Charte de protection des données personnelles
1. Introduction
DMX Assurances accorde une importance particulière à la protection de la vie privée et des données à caractère personnel qui sont collectées et utilisées dans le cadre de ses activités et services.
Cette « Charte de protection des données personnelles », consultables par tous, présente le type de données personnelles que nous traitons et la manière dont nous les utilisons, les mesures de protection des données, ainsi que la façon dont vous pouvez exercer vos droits en la matière.
La présente Charte s’inscrit dans le respect des réglementations en vigueur, notamment :
§ la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée (dite «loi Informatique et Libertés») ;
§ le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (dit «Règlement Général sur la Protection des Données»).
La présente Charte peut être modifiée à tout moment, notamment en vue de l’adapter aux modifications apportées à un service ou aux exigences légales et réglementaires. Nous vous invitons donc à consulter cette page régulièrement. Nous sommes aussi susceptibles d’informer des mises à jour par email ou par le biais de nos réseaux sociaux.
2. Acteurs de la protection des données personnelles
Responsable du traitement
DMX Assurances, siégeant au 135 place du maréchal Joffre, 62400 Béthune, intervient en qualité de Responsable du traitement dans le cadre de ses activités.
Gouvernance liée à la protection des données
Une gouvernance en interne a été mise en place dont les membres sont chargés de la mise en conformité des traitements de données personnelles vis-à-vis de la réglementation en vigueur.
Ils interviennent par exemple :
§ en amont de la mise en œuvre de nouveaux traitements et dans le cycle de vie des traitements, notamment pour déterminer l’ensemble des actions et dispositifs de conformité à mettre en place ;
§ pour sensibiliser et conseiller les acteurs amenés à traiter des données personnelles au sein de l’entreprise ;
§ pour échanger avec l’autorité de contrôle (CNIL) et répondre aux demandes de cette dernière, le cas échéant ;
§ pour répondre à vos questions, réclamations ou demandes d’exercice de vos droits.
3. Information préalable à la collecte de données
Préalablement à la mise en œuvre des traitements de données personnelles, et au plus tard lors de la collecte de ces données, vous êtes informés :
§ de l’identité et des coordonnées du responsable du traitement ;
§ des coordonnées de notre gouvernance de protection des données ;
§ du caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse ;
§ des finalités de traitement ainsi que leur(s) base(s) légale(s) ;
§ des destinataires de ces données ou catégories de destinataires ;
§ de la durée de conservation des données collectées ou des critères permettant de la déterminer ;
§ de l’intention d’effectuer un transfert de vos données personnelles vers un destinataire situé dans un pays hors Union Européenne ;
§ de vos droits concernant vos données personnelles.
4. Bases légales des traitements
DMX Assurances collecte des données personnelles en se fondant sur les bases légales suivantes :
§ le consentement de la personne ;
§ l’exécution d’un contrat ou de mesures précontractuelles, prises à la demande de la personne ;
§ nos intérêts légitimes ;
§ le respect d’obligations légales
Pour être licite, le traitement de données à caractère personnel doit respecter au moins l’une de ces bases légales.
Consentement de la personne
Lorsque vous fournissez des données personnelles, votre consentement à nous les communiquer vous est demandé explicitement.
Votre consentement se formalise par exemple, pour les documents ou sur les sites, par une mention à cocher du type « J’accepte de transmettre mes données personnelles et suis averti(e) que DMX Assurances protège mes données confiées, en accord avec sa Charte de protection des données personnelles ».
Votre consentement explicite est obligatoire pour que nous puissions traiter vos données, si la base légale repose sur ce seul consentement.
Le retrait de ce consentement peut s’effectuer à tout moment, sans porter atteinte à la licéité du traitement fondé sur ce consentement et effectué avant ledit retrait.
En France, la CNIL reconnaît deux exceptions au consentement préalable en matière de prospection électronique (datant d’octobre 2016) :
§ dans les rapports entre professionnels, le consentement préalable de la personne concernée n’est pas requis pour des sollicitations commerciales envoyées sur l’adresse électronique professionnelle dès que ces sollicitations sont en rapport avec la profession de la personne en question. Cette tolérance est appelée « exception BtoB ».
§ le consentement préalable n’est pas requis pour toute sollicitation envoyée à une personne concernée pour des services/produits analogues à ceux que cette personne aurait déjà acquis auprès de notre entreprise.
Exécution d’un contrat ou de mesures précontractuelles
Le recueil des données personnelles est nécessaire afin d’exécuter les termes du contrat et d’assurer la fourniture du service souscrit par la personne concernée ou pour l’exécution de mesures précontractuelles (par le biais d’une demande de devis par exemple), prises à la demande de la personne.
Nos intérêts légitimes
Nos intérêts légitimes sont les intérêts propres à la conduite de nos activités. Avant la mise en œuvre d’un traitement ayant pour fondement ces intérêts légitimes, nous veillons attentivement à l’équilibre entre ces intérêts et vos droits fondamentaux, notamment en évaluant les impacts potentiels vous concernant. Nous n’utilisons pas vos données personnelles dans le cadre d’activités de traitement pour lesquelles vos droits fondamentaux prévalent sur nos intérêts légitimes (sauf consentement de votre part ou disposition légale
particulière).
Respect d’obligations légales
Dans le cadre de notre métier, nous sommes soumis à des obligations légales ou à l’autorité publique rendant nécessaires certains traitements de données. C’est le cas notamment pour la gestion des réclamations et des contentieux ainsi que la lutte contre la fraude, le blanchiment des capitaux et le financement du terrorisme.
5. Activités de traitement et finalités
Vos données à caractère personnel sont collectées pour des finalités déterminées (avec un objectif précisément identifié à l’avance), explicites (dont l’énoncé est clair pour les personnes concernées) et légitimes (au regard de nos intérêts et/ou de notre activité).
Finalités déterminées et explicites
Toute finalité de traitement soumise à votre consentement est présentée en conséquence et de manière explicite au moment de la collecte des données personnelles afférentes.
Les finalités de traitement de vos données personnelles vous sont précisées au moment de la première collecte de ces données, le plus souvent sur le support même de collecte. C’est notamment le cas lorsque vous effectuez une demande de devis sur l’un de nos sites ou lorsque vous remplissez une demande d’adhésion.
Pour les supports de collecte gérés directement par les compagnies partenaires, nous veillons à ce qu’ils soient en conformité avec notre présente charte.
Vos données personnelles ne seront pas traitées ultérieurement à leur collecte de manière incompatible avec ces finalités ou pour d’autres finalités sans que les informations relatives à ces nouvelles finalités ne vous soient fournies au préalable.
Pertinence des données
Les données personnelles collectées sont uniquement celles nécessaires à la réalisation des finalités de traitement décrites ci-après dans le tableau des « Activités et Finalités de traitement ». Nous nous engageons ainsi à ne pas collecter plus de données que nécessaire.
Au vu de la nature de ses activités, DMX Assurances peut être amené à traiter des données personnelles dites « sensibles » au regard de la réglementation en vigueur. Ce sont :
§ les données médicales demandées pour certains produits d’assurance (réception sous enveloppe cachetée du questionnaire
médical et transmis de la même façon en compagnie à la Cellule médecin conseil) ;
§ le n° de sécurité sociale.
Présentation des activités et finalités de traitement
Le tableau suivant décrit les finalités classiques d’assurance et de services pour lesquelles DMX Assurances est susceptible de traiter vos données personnelles.
Désignation activités de |
Finalités de |
Gestion des clients |
Vente de contrats d’assurance sur visite ou par téléphone. Respect d’obligations légales, notamment en matière de lutte contre la fraude et de lutte contre le blanchiment des capitaux et le financement du terrorisme. |
Gestion des prospects |
Remise de devis et garanties (sur demande en agence et au téléphone). |
Gestion de la sécurisation des locaux |
Vidéoprotection des locaux afin d’assurer la sécurité du personnel, des biens et de l’accès aux données. |
Gestion des sites internet |
Faire connaitre l’entreprise, son activité et ses produits assurantiels. Collecte de données des prospects, clients, apporteurs, candidats, pour redirection vers les services appropriés (tels que l’IARD, la Direction, le service Réclamation etc). |
Certains traitements peuvent se fonder sur une ou plusieurs bases légales différentes en fonctions des finalités poursuivies. Pour en savoir plus, vous pouvez contacter notre gouvernance de protection des données (voir 10. Droits et modalités de contact).
6. Destinataires de vos données personnelles
Les destinataires sont, dans la limite de leurs attributions respectives et suivant les finalités prévues :
§ les personnes habilitées en interne, de par leur fonction ;
§ les compagnies d’assurance ;
§ votre intermédiaire en assurances ;
§ le cas échéant, les sous-traitants.
7. Conservation de vos données personnelles
Vos données personnelles sont détruites ou anonymisées au-delà des durées nécessaires à la réalisation des différentes finalités de traitement : ces durées varient donc en fonction des finalités prévues et des durées de prescription légales en vigueur.
À titre d’exemple :
§ les données relatives à la prospection commerciale sont conservées au maximum pendant 3 ans à compter de la dernière action de contact que vous avez initiée ; dans la pratique, ces données sont généralement supprimées dans un délai de 3 à 6 mois.
§ les documents contractuels sont conservés pendant la durée de la relation contractuelle, à laquelle s’ajoute la durée de prescription légale applicable.
8. Mesures de sécurité
DMX Assurances met en œuvre des mesures de sécurité physiques, organisationnelles et techniques pour préserver la confidentialité et protéger l’ensemble des données personnelles.
§ maîtrise du système d’information et des données, de leur architecture et des besoins de protection associés ;
§ infrastructure et mesures de sauvegardes informatiques ;
§ site sécurisé, sous alarme et vidéo-surveillance ;
§ sensibilisation, information et formation des utilisateurs des systèmes d’information aux enjeux, risques et bonnes pratiques de sécurité avec notamment le respect d’une Charte en interne de confidentialité et de sécurité ;
§ maîtrise des risques, traitée par une analyse objective et partagée entre les métiers ;
§ mise en œuvre du principe de « privacy by design » (confidentialité dès la conception) dans le cadre de nos projets informatiques ;
§ continuité des opérations assurées par les capacités de résilience de nos infrastructures et la mise en œuvre de procédures de gestion de crise ;
§ contrôle et suivi permanent de l’efficacité de la sécurité de nos systèmes d’information et de nos processus ;
§ veille réglementaire et mise en conformité adaptée à nos engagements et responsabilités ;
Nous veillons à ce que nos partenaires (prestataires, fournisseurs, etc.) garantissent un niveau de sécurité adapté au risque et répondent aux exigences règlementaires en matière de protection des données personnelles.
Conformément à la règlementation en cas de violation de données personnelles, DMX Assurances s’engage à la notifier à la CNIL. Dans le cas où cette violation présenterait un risque élevé pour les droits et libertés de personnes physiques, nous les informerions dans les meilleurs délais et dans les conditions prévues par la règlementation sur la protection des données à caractère personnel.
9. Transferts de données hors Union Européenne
En cas de transfert de données à caractère personnel hors de l’Union Européenne, nous vous adresserons les informations suivantes : pays du destinataire des données transférées ainsi que sa catégorie, nature des données transférées, finalité du transfert et les garanties assurant un niveau de protection adéquate des données.
10. Droits et modalités de contact
Droits des personnes
Conformément à la règlementation en vigueur, vous disposez d’un droit d’accès, de rectification et de suppression de vos données ainsi que décider du sort de celles-ci après votre décès. Vous pouvez également vous opposer à leur traitement, obtenir sa limitation et la
portabilité de vos données, dans la mesure où cela est applicable et sous réserve des motifs légitimes et des modalités légales.
Par ailleurs, vous pouvez à tout moment demander à ne plus recevoir les communications relatives à nos offres, produits et évènements en répondant directement au mail qui vous a été adressé ou en utilisant le lien de désabonnement prévu à cet effet.
Enfin, vous disposez du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), sur leur site internet : www.cnil.fr ou à l’adresse suivante : 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07.
Modalités de contact
Pour exercer vos droits, vous pouvez adresser votre demande à notre gouvernance de protection des données en utilisant l’un des moyens suivants et en y joignant une copie de votre pièce d’identité :
§ Par courrier : DMX Assurances – Gestion des Données – 135 place du maréchal Joffre, 62400 Béthune
§ Par email : contact@dmx-assurances.com
A compter de la date de réception, une réponse vous sera apportée dans un délai de 1 mois maximum. Ce délai peut être prolongé de 2 mois (soit 3 mois au total), compte tenu de la complexité et du nombre de demandes : vous en seriez alors informé dans le délai d’un mois suivant la réception de votre demande.
Si la demande est imprécise ou ne comporte pas tous les éléments permettant de procéder aux opérations demandées, DMX Assurances peut être amené à demander des éléments complémentaires. Le délai est alors suspendu et courre à nouveau une fois ces éléments fournis.