Politique de protection des données personnelles
La présente politique de confidentialité est destinée à vous fournir des informations détaillées sur l’usage fait de vos données à caractère personnel, nos obligations et vos droits en la matière.
Qui traite vos données ?
La Mutuelle Fraternelle d’Assurances collecte et traite vos données personnelles en sa qualité de responsable de traitement dans le respect du Règlement Général sur la Protection des Données n°2016/679 du 27 avril 2016 et la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée.
Quelles données personnelles vous concernant recueillons-nous ?
Nous recueillons des informations personnelles vous concernant de diverses manières.
Directement auprès de vous lorsque vous demandez la réalisation d’un devis ou lors de la souscription d’un contrat.
Nous pouvons recevoir également des informations sur vous ou vos activités de la part de tiers, lorsque vous avez recours à des prestations du contrat pour lesquelles la MFA a signé un contrat de prestation.
Nous recueillons et traitons les catégories de données suivantes uniquement lorsqu’elles sont strictement nécessaires à notre activité afin de vous faire bénéficier de nos produits et services.
Ces données peuvent concerner :
- Les données relatives à l’identification des personnes, parties intéressées ou intervenantes au contrat, état civil ainsi que les pièces justifiant l’identité, les coordonnées etc…
- Les données relatives à la gestion du contrat: le numéro d’identification du client, de l’assuré, du contrat, du dossier sinistre, les créances en cours, les références de l’apporteur, des coassureurs et des réassureurs, la durée, les montants, l’autorisation de prélèvement, les données relatives aux moyens de paiement ou relatives aux transactions telles que le numéro de la transaction, le détail de l’opération relative au produit ou service souscrit, les impayés, le recouvrement…
- Les données relatives à la situation familiale, matrimoniale, à la composition du foyer, la capacité et le régime de protection.
- Les données relatives à la situation économique, patrimoniale et financière notamment les éléments relatifs aux revenus du travail, au patrimoine mobilier et immobilier, aux encours et à l’endettement aux avoirs financiers, aux données d’imposition, aux crédits, etc.
- Les données nécessaires au paiement de la prime d’assurance: Numéro de chèque, numéro de carte bancaire, la date d’expiration et le cryptogramme visuel dans le cadre de délibération n°2018-303 du 6 septembre 2018 portant adoption d’une recommandation concernant le traitement des données relative à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2017-222 du 20 juillet 2017, des références bancaires (RIB / IBAN).
- Les données relatives à la situation professionnelle, notamment la catégorie socioprofessionnelle, le domaine d’activité, la profession et selon les catégories de contrat : l’employeur, le n° d’immatriculation de la société, la raison sociale, les revenus ou le chiffre d’affaire, le régime fiscal, etc.
- Les données nécessaires à l’appréciation du risque. Il s’agit notamment de la situation géographique, des caractéristiques du logement ou du local, des conditions d’occupation, des renseignements sur les biens assurables, le type et les (caractéristiques) du ou des biens.
- Les informations relatives à la sinistralité et les antécédents de conduite et d’assurance, le permis de conduire, la validité du permis de conduire, et le cas échéant si le bien est utilisé sur le lieu de travail et lors de déplacements professionnels, éléments entraînant une déchéance de garantie…
- Les données nécessaires à la passation, l’application du contrat, et à la gestion des sinistres et des prestations
- Les données relatives à la détermination ou à l’évaluation des préjudices et des prestations. Il s’agit notamment des données liées au sinistre, la nature et les circonstances du sinistre, la description des atteintes aux biens et/ou aux personnes, les PV de gendarmerie et autres rapports d’enquête, les rapports d’expertise, les éléments afférents aux procédures administratives ou judiciaires éventuellement engagées…, des données liées aux victimes: la nature et l’étendue des préjudices subis, le taux invalidité/incapacité, les rentes, le capital décès, les montants des prestations, données permettant de déterminer les obligations fiscales de la personne concernée, les modalités de règlement, la réversion, les indemnités chômage, les montants remboursés par la sécurité sociale pour les complémentaires frais de soins (maladie, maternité)
- Les données de géolocalisation des personnes ou des biens en relation avec les risques assurés ou les services proposés. Ces données sont notamment la position du véhicule assuré lorsque cela entre dans les conditions de mise en œuvre du contrat d’assurance.
- Les données relatives à la vie personnelle et aux habitudes de vie en relation avec les risques assurés
- Les données relatives aux habitudes de vie sont les loisirs, activités sportives et de plein air, la pratique de la chasse, de la plaisance, les trajets, les kilométrages parcourus…
- Les données relatives aux usages des biens sont notamment les données nécessaires pour les contrats d’assurance véhicule professionnel, personnel, résidence principale et résidence secondaire, présence d’animaux domestiques.
Les données de connexion et de traçabilité
- Il s’agit notamment de la piste d’audit, de l’horodatage, des cookies, traceurs, des connexions sur l’espace client. L’identification numérique du client est nécessaire pour sécuriser les transactions et pour la constitution des moyens de preuve;
- Les données sensibles visées à l’article 9 du RGPD.
L’article 9 point b du paragraphe 2 du RGPD peut s’appliquer aux Organismes d’assurance aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit de la protection sociale. Il s’agit des contrats relevant de ce périmètre, tels que:
- Les contrats de complémentaire santé;
- Les contrats de prévoyance complémentaire;
- La retraite supplémentaire.
L’article 9 point a du paragraphe 2 relatif au consentement peut être utilisé dès lors que le traitement des données de santé est « nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ». Cela concerne :
- L’assurance emprunteur;
- La prévoyance individuelle;
- L’assistance;
- Les contrats d’individuelle accident;
- La protection juridique;
- Les garanties de Responsabilité civile;
- Les contrats obsèques.
Le traitement de ces données est également possible:
- Pour la constatation, l’exercice ou la défense d’un droit en justice (ex : action directe en RC) (article 9 (2) (f) du RGPD;
- Dès lors que la personne concernée est dans l’impossibilité de consentir (ex : assistance) (article 9 (2) (c) du RGPD).
Le NIR (numéro de sécurité sociale) :
L’article 2, D, du décret du 19 avril 2019 autorise l’utilisation du NIR, lorsque ce dernier est nécessaire aux traitements ayant pour finalité la passation, la gestion et l’exécution des contrats d’assurance, de capitalisation, de réassurance ou pour leurs engagements de retraite, par les entreprises d’assurance, la lutte contre la fraude, les prélèvements à la source, la lutte contre le blanchiment de capitaux et le financement du terrorisme.
Les données d’infraction
En application de la jurisprudence du Conseil d’état, les données d’infraction sont celles collectées dans le but d’établir l’existence ou de prévenir la commission d’infractions.
Les assureurs sont, d’une part, autorisés par le code des assurances à collecter des données d’infractions (art A.121-1 à A.121-2), et d’autre part, les données pouvant être traitées pour établir l’existence d’une infraction suite à un dépôt de plainte ne sont pas mobilisées pour établir ou prévenir une infraction mais pour indemniser les victimes.
Les données relatives à la lutte contre la fraude
- Les données de localisation et connexion : Il s’agit des données en lien avec le dossier de fraude (vidéo, photographies et métadonnées). Ne sont pas concernées, les données de géolocalisation des salariés répondant à une finalité autre que la lutte contre la fraude. Les données de localisation sont celles qui figurent sur les enregistrements permettant d’horodater et de localiser l’objet de l’enregistrement. Par exemple, une photo envoyée par l’assuré dans le cadre du rapport d’enquête, identifie le lieu du sinistre et sa date. Ainsi, il est possible de constater si la date correspond ou non avec celle de la déclaration du sinistre;
- Les données issues de pages internet ouvertes au public : La consultation de ces pages n’est possible qu’à condition que la suspicion de fraude soit corroborée avec d’autres informations relatives à la personne concernée. La collecte doit être limitée aux seules informations concernant un éventuel fraudeur. La collecte doit être réalisée manuellement par un gestionnaire habilité et ne pas conduire à une collecte massive des données présentes sur ces pages internet ouvertes au public;
- Les données collectées au titre de la gestion administrative du personnel uniquement dans le cadre de requêtes ponctuelles et individuelles consécutives à la détection d’une fraude. Par exemple : vérification de la présence, des absences, la téléphonie, la rémunération, le badgeage des salariés…
- Les données relatives aux anomalies, incohérences et signalements pouvant révéler une fraude.
Exemples d’anomalies ou incohérences:
- La remise de « faux » et « l’usage de faux » lors de la souscription du contrat ou au stade de son exécution (ex : fausse fiche de paie, fausse carte vitale, faux constat amiable, ou faux justificatifs d’identité…);
- Une signature illisible pouvant constituer un indice de fraude qui devra être conforté par d’autres éléments;
- La répétition de plusieurs sinistres pour un même bien ou une même personne;
- Plusieurs personnes impliquées pour des mêmes sinistres;
- Une incohérence sur les dates indiquées;
- Le refus de communication d’une information ou d’un justificatif;
- La modification récurrente d’un RIB ou quasiment concomitante avec la fraude;
- Une durée très proche entre la souscription du contrat d’assurance et la réalisation du sinistre;
- Des modifications répétées des bénéficiaires d’une clause contractuelle ou quasiment concomitante avec la fraude.
Les données relatives aux investigations, à l’instruction du dossier de fraude et à l’évaluation du périmètre de la fraude. Exemples de données de gestion d’un dossier de fraude :
- Descriptif des anomalies, indicateurs, incohérences, alertes automatiques ou signalement ayant permis de détecter la fraude;
- Investigations, instruction du dossier de fraude et évaluation : descriptif de la fraude, faits, personnes suspectées, témoins, dates, préjudice résultant de la fraude pour l’organisme ou les personnes victimes, rapports d’enquête, expertises, durée, montant, nombre de personnes impliquées, décisions prises par l’organisme;
- Données issues des bases de données internes (bases relation client, gestion des contrats, gestion du personnel ou des intermédiaires, …) ou de fichiers externes (Agira, Alfa, Argos…) ou encore de bases externes et registres qui sont destinés exclusivement à l’information du public et sont ouverts à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime;
- Les données d’identification des personnes intervenant dans la détection et la gestion de la fraude. Exemple : les enquêteurs et les personnes impliquées dans l’enquête, dont l’usage de pseudonymes, ou identités fictives destiné à protéger ces personnes.
Pourquoi traitons-nous vos données personnelles ?
Vos données personnelles sont collectées et traitées pour les finalités suivantes :
- La passation, la gestion et l’exécution de vos contrats d’assurance;
- La gestion de notre relation client et la prospection commerciale;
- L’amélioration de nos services notamment en vous proposant des produits ou services permettant de réduire la sinistralité ou d’offrir un contrat ou une prestation complémentaire;
- Les études statistiques, enquêtes et sondages;
- La mise en place d’actions de prévention;
- L’exécution des dispositions légales, réglementaires et administratives en vigueur;
- La lutte contre la fraude pouvant notamment conduire à l’inscription sur une liste de personnes présentant un risque de fraude;
- La lutte contre le blanchiment des capitaux et le financement du terrorisme;
- La conduite d’activités de recherche et de développement dans le cadre des finalités précitées.
Quels sont les fondements légaux du traitement de vos données ?
Les traitements de vos données personnelles reposent sur au moins l’un des fondements juridiques suivants :
- L’exécution d’un contrat auquel vous êtes partie ou l’exécution de mesures précontractuelles prises à votre demande. Article 6, 1°, b du RGPD;
- Le respect d’une obligation légale à laquelle le responsable de traitement est soumis. Article 6, 1°, c du RGPD;
- L’intérêt légitime poursuivi par le responsable de traitement notamment la lutte contre la fraude, la prospection commerciale, la conduite d’activités de recherche et de développement. Article 6, 1°, f du RGPD;
- Votre consentement.
Lorsque le traitement n’est fondé sur aucun des fondements définis ci-dessus, votre accord vous sera demandé.
A qui pouvons-nous communiquer vos données ?
Peuvent avoir accès aux données à caractère personnel dans les limites de leurs attributions respectives en fonction des traitements concernés :
Dans le cadre des missions habituelles qui leur sont assignées et dont ils doivent répondre :
- Les personnels chargés de la gestion commerciale clients/prospects ou de la passation, la gestion et l’exécution des contrats;
- Les délégataires de gestion, les intermédiaires d’assurance, les partenaires, les prestataires;
- Les co-responsables de traitement;
- Les sous-traitants;
- Les responsables de traitement chargés dans le cadre d’un contrat de partenariat de gérer les contrats d’assurance du responsable de traitement;
- S’il y a lieu les assureurs des personnes impliquées ou offrant des prestations complémentaires;
- S’il y a lieu les coassureurs et réassureurs, les intermédiaires de réassurance ainsi que les organismes professionnels et les fonds de garanties;
- Les personnes intervenant au contrat tels que les avocats, experts, auxiliaires de justice et officiers ministériels, curateurs, tuteurs, enquêteurs et professionnels de santé, médecins conseils et le personnel habilité;
- Les organismes sociaux lorsque les régimes sociaux interviennent dans le règlement des sinistres ou lorsque les responsables de traitement offrent des garanties complémentaires à celles des régimes sociaux;
- Les organismes et associations pratiquant la prévention, l’action sociale ou la gestion de réalisations sanitaires et sociales; les services chargés du contrôle (services chargés des procédures internes du contrôle…).
En qualité de personnes intéressées au contrat :
- Les souscripteurs, les assurés, les adhérents et les bénéficiaires des contrats ; et s’il y a lieu leurs ayants droit et représentants;
- S’il y a lieu les bénéficiaires d’une cession ou d’une subrogation des droits relatifs au contrat;
- S’il y a lieu le responsable, les victimes ou leurs ayants droit, ainsi que leurs représentants ; les témoins, les tiers intéressés à l’exécution du contrat.
En qualité de personnes bénéficiant d’un droit de communication :
- Les juridictions concernées, les arbitres, les médiateurs, les ministères concernés, autorités de tutelle et de contrôle et tous organismes publics habilités à les recevoir;
- Les services chargés du contrôle tels que les commissaires aux comptes et les auditeurs ainsi que les services chargés du contrôle interne.
Les transferts internationaux
Vos données personnelles anonymisées pourront être transférées en dehors des pays de l’Union Européenne pour les besoins du traité de réassurance de la MFA.
Le traitement de vos données par l’ALFA
Vos données font l’objet d’une mutualisation avec les données d’autres assureurs dans le cadre d’un dispositif professionnel ayant pour finalité la lutte contre la fraude, dont le responsable de traitement est l’Agence pour la Lutte contre la Fraude à l’Assurance (ALFA). Les données mutualisées sont celles relatives aux contrats d’assurance et aux sinistres déclarés aux assureurs.
Vos données sont alors destinées au personnel habilité de l’ALFA, ainsi qu’aux organismes directement concernés par une fraude (organismes d’assurance, autorités judiciaires, officiers ministériels, auxiliaires de justice, organismes tiers autorisés par une disposition légale ou réglementaire).
Pour l’exercice de vos droits dans le cadre de ce traitement, vous pouvez contacter l’ALFA, 1 rue Jules Lefebvre 75431 Paris Cedex 09.
Combien de temps conservons-nous vos données personnelles ?
Nous ne conservons vos données personnelles que pendant le temps nécessaire aux opérations pour lesquelles elles ont été collectées et dans le respect de la réglementation en vigueur. En fonction de la finalité, des services ou contrats souscrits, d’obligations légales, vos données personnelles seront conservées pour une durée variable afin de nous permettre d’établir la preuve d’un droit ou d’un contrat, notamment en cas de recours et de contentieux. Elles seront ensuite détruites ou archivées, conformément aux obligations légales.
Vos données personnelles utilisées dans le cadre de la gestion de vos contrats d’assurance seront conservées jusqu’à la fin du contrat ou de la mise en œuvre de la garantie puis pendant les délais légaux de prescription.
Quel est le niveau de sécurité appliqué à vos données personnelles ?
Pour protéger la confidentialité des données que vous nous fournissez et que nous obtenons de vous, ainsi que des informations permettant de vous identifier personnellement, nous nous sommes dotés de dispositifs de protection physiques, techniques et administratifs. Nous mettons à jour et testons régulièrement notre technologie de sécurité. Nous prendrons en outre des mesures raisonnables pour garantir que les tierces parties auxquelles nous transférons des données protègent suffisamment les informations personnelles. Nous limitons l’accès à vos données personnelles aux employés indiqués ci-dessus. Enfin, nous formons nos employés pour qu’ils comprennent l’importance de la confidentialité et qu’ils préservent le caractère privé et la sécurité de vos informations.
Quels sont vos droits ?
Vous disposez sur vos données personnelles des droits :
D’accès : Vous pouvez obtenir les informations relatives aux traitements de vos données personnelles et la communication d’une copie de ces données;
De rectification : Vous pouvez corriger vos données personnelles si vous pensez qu’elles sont erronées;
D’effacement : Vous avez le droit de demander la suppression de certaines de vos données si vous répondez aux conditions prévues par la réglementation (Article 17 du RGPD);
De limitation du traitement : Vous avez le droit d’obtenir la limitation du traitement de vos données si vous répondez aux conditions prévues par la réglementation (Article 18 du RGPD);
De portabilité : Vous avez le droit de recevoir les données à caractère personnel vous concernant, que vous nous avez fournies, dans un format structuré, couramment utilisé et lisible dans la limite des conditions fixées par l’article 20 du RGPD;
D’opposition : Vous pouvez vous opposer à tout moment pour des raisons tenant à votre situation particulière, au traitement des données vous concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris au profilage.
Vous pouvez exercer l’ensemble de ces droits sous réserve de la production d’un justificatif d’identité valide par courrier à l’adresse suivante : MFA à l’attention du Délégué à la Protection des Données 6, rue Fournier – 92110 Clichy ou bien par courrier électronique à l’adresse suivante : dpo@mfa.fr.
Vous disposez du droit d’introduire une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL) à l’adresse suivante : CNIL 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07.
Enfin, vous avez la faculté de vous inscrire sur la liste d’opposition au démarchage téléphonique sur www.bloctel.gouv.fr. Néanmoins nous pouvons toujours vous téléphoner, dès lors que vous êtes titulaire auprès de nous d’un contrat en vigueur ou que vous avez demandé à être contacté.
Cookies
Lors de votre navigation sur le site MFA, nous pouvons être amenés à déposer sur votre terminal divers cookies aux fin décrites ci-dessous sous réserve de vos choix que vous pouvez exprimer et modifier à tout moment.
Les cookies sont des fichiers texte permettant d’analyser le comportement des usagers lors de la visite d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile. Ces fichiers peuvent être stockés sur tout type de terminal tel que votre ordinateur, votre tablette, votre smartphone.
Ils nous permettent d’analyser votre navigation en ligne, améliorer notre site internet, obtenir des statistiques de fréquentations, adapter la présentation de nos services aux préférences d’affichage de votre terminal (langue utilisée, résolution d’affichage, système d’exploitation utilisée, etc.)
Ils nous permettent également d’analyser vos centres d’intérêt ou vos besoins afin de vous proposer des publicités ciblées ou des offres et services personnalisés
Pour plus d’information au sujet de notre politique de gestion des cookies, cliquez ici.
Autres remarques ou réclamations
Si vous avez des questions ou des incertitudes concernant la protection des données à la MFA, vous pouvez contacter le délégué à la protection des données dpo@mfa.fr.
Si vous pensez que la MFA porte atteinte à vos droits, ou si vous souhaitez signaler un abus aux autorités de protection des données, contactez l’autorité de contrôle du pays où vous vivez ou travaillez, ou du pays où vous pensez que la loi sur la protection des données a été violée.