POLITIQUE DE PROTECTION DES DONNÉES
II. Définitions des termes juridiques
III. A qui s’adresse la présente politique de protection des données personnelles ?
IV. Pour quelles finalités traitons-nous vos données à caractère personnel ?
V. Sur quel fondement traitons-nous vos données ?
VI. Quelles catégories de données à caractère personnel collectons-nous ?
VII. A qui adressons-nous vos données personnelles ?
VIII. Où sont hébergées vos données personnelles ?
IX. Combien de temps conservons-nous vos données personnelles ?
X. Quels sont vos droits ? Comment les exercer auprès de nous ?
XI. Mise à jour de la Politique de Protection des Données
I. Préambule
La protection des données à caractère personnel est au cœur des préoccupations de la mutuelle SMH (ci-après « nous »).
En tant que responsable de traitement, SMH, dont le siège social est sis Parc Eurasanté Ouest - 310 avenue Eugène Avinée - 59120 LOOS, assure la responsabilité des traitements mis en œuvre dans le cadre de ses activités.
A ce titre, nous nous engageons dans le cadre de nos activités à assurer la protection, la confidentialité et la sécurité vos données à caractère personnel (« vous » étant explicité dans la partie « III »), et ce conformément à la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés (dite » Loi « Informatique et Libertés ») modifiée, et du Règlement Général sur la Protection des Données (dit « RGPD ») du 27 avril 2016, entré en application le 25 mai 2018.
Afin d’apporter une information claire et détaillée sur ces traitements de données, nous avons opté pour une Politique de Protection des Données Personnelles laquelle vous indique notamment les catégories de données que nous collectons, les raisons pour lesquelles nous les collectons et traitons, les durées pendant lesquelles nous les conservons, quels sont vos droits et les modalités d’exercice de ceux-ci.
Les informations contenues dans la présente politique de protection des données peuvent être complétées par d’autres informations lesquelles sont intégrées dans les documents contractuels des produits ou services auxquels vous avez souscrits.
II. Définitions des termes juridiques :
Données à caractère personnel (ou « Données personnelles ») : Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence d’identification ou à un ou plusieurs facteurs propres à l’identité physique, physiologique, psychique, économique, culturelle ou sociale de cette personne.
Données sensibles : il s’agit d’une catégorie particulière de données personnelles. Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
Données de santé : il s’agit des données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.
Responsable de traitement : désigne la personne physique ou morale qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
Sous-traitant : il s’agit d’une personne physique ou morale, d’une autorité publique, d’un service ou d’un autre organisme traitant des données à caractère personnel pour le compte du responsable de traitement.
Destinataire : il s’agit d’une personne physique ou morale, d’une autorité publique, d’un service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers.
III. A qui s’adresse la présente politique de protection des données personnelles ?
Dans le cadre de nos activités (complémentaire santé et prévoyance), nous sommes susceptibles de collecter des données directement auprès de vous. Cette collecte peut se faire au moyen des formulaires de collecte que vous renseignez, lors de votre navigation sur notre site internet, lorsque vous utilisez nos services, au moment de la souscription d’un contrat, etc.
Par ailleurs, nous pouvons indirectement collecter des données personnelles concernant d’autres personnes. Cette collecte s’effectue dans la mesure où ces personnes ont des liens avec vous. Il peut s’agir des bénéficiaires d’un contrat, des ayants droit, des professionnels de santé, des représentants légaux de majeurs protégés, etc.
IV. Pour quelles finalités traitons-nous vos données à caractère personnel ?
Dans le cadre de nos activités, les données personnelles sont collectées pour des finalités déterminées, explicites et légitimes. Aussi, ces données à caractère personnel ne peuvent être traitées ultérieurement d’une manière incompatible avec ces finalités.
Ces données personnelles sont traitées principalement pour les finalités suivantes :
- L’identification et l’étude des besoins et du profil des adhérents/souscripteurs aux fins de satisfaire à notre devoir de conseil ;
- L’examen, l’acceptation, le contrôle et la surveillance du risque ;
- La gestion du contrat d’assurance de la phase précontractuelle à la résiliation ;
- L’élaboration des statistiques et études actuarielles ;
- L’exercice des recours et la gestion des réclamations et contentieux ;
- La mise en place d’actions de prévention ;
- L’exécution des dispositions légales, réglementaires et administratives en vigueur telles que la lutte contre le blanchiment de capitaux et le financement du terrorisme, la gestion des contrats en déshérence, etc ;
- La lutte contre la fraude à l’assurance pouvant conduire à l’inscription sur une liste de personnes présentant un risque de fraude ;
- La gestion des espaces en ligne à destination des adhérents et des souscripteurs ;
- L’organisation de la vie institutionnelle de la Mutuelle ;
- La gestion des exercices de droits « Informatique et Libertés ».
A titre accessoire, cela peut concerner dans certaines conditions, les finalités suivantes :
- Les opérations relatives à la gestion des adhérents telles que le programme de fidélité, le suivi de la relation client ;
- Les opérations relatives à la prospection telles que les actions de fidélisation, de prospection, de sondage etc.
- L’élaboration de statistiques commerciales ;
- L’organisation de jeux concours, de loteries ou de toute opération promotionnelle à destination des adhérents.
V. Sur quel fondement traitons-nous vos données ?
Les traitements que nous mettons en œuvre, reposent sur l'un des fondements juridiques suivants :
- Le consentement exprès et préalable que vous nous accordez pour utiliser vos données (par exemple, au titre de la prospection commerciale par voie électronique) ;
- L’exécution du contrat nous liant à vous ou l’exécution des mesures précontractuelles prises à votre demande ;
- Le respect des obligations légales auxquelles nous sommes soumis ;
- La poursuite de nos intérêts légitimes (par exemple, en matière de lutte contre la fraude ou encore pour assurer la sécurité de l’espace en ligne mis à disposition).
VI. Quelles catégories de données à caractère personnel collectons-nous ?
Conformément au principe de minimisation, nous ne collectons que les données à caractère personnel strictement nécessaires à l’exécution de nos activités.
Ces données à caractère personnel peuvent être collectées directement auprès de vous par l’intermédiaire des formulaires que vous renseignez (par exemple, bulletin d’adhésion/affiliation), ou indirectement auprès de votre employeur dans le cadre d’un contrat collectif.
En outre, nous vous informons que certaines données à caractère personnel sont générées par l’utilisation de nos services (par exemple, les données de connexion ou de navigation lors de votre connexion à notre espace en ligne) ou lors la gestion de vos contrats.
Catégories de données à caractère personnel | Exemples de types de données à caractère personnel |
Données relatives à l’identification | Etat civil, coordonnées postales, électroniques et téléphoniques, nationalité, numéro adhérent, etc. |
Données relatives à la situation personnelle | Situation matrimoniale, composition du foyer, ayants droit, nombre de personnes composant le foyer, âge des ayants droit, capacité et régime de protection, etc. |
Données relatives à la situation professionnelle | Employeur, secteur d’activité, emploi, statut, rémunération, catégorie socioprofessionnelle, convention collective, n° SIRET/SIREN, raison sociale, etc. |
Données relatives aux contrats | Date de souscription, types de garanties, montant de la cotisation, utilisation des services associés aux contrats (ex : téléconsultation, suivi nutritionnel, etc.), mode de paiement, etc. |
Informations d’ordre économique et financier | Relevé d’identité bancaire, salaires, données relatives à l’imposition |
Données de santé | Dépenses de santé (acte, date, bénéficiaire, montant, praticien), les antécédents médicaux recueillis dans le cadre d’un questionnaire médical, les informations relatives aux arrêts de travail (cause, date, durée), à l’invalidité (date, catégorie), et au décès (date, cause) |
Données relatives au régime de sécurité sociale | Numéro d’Inscription au Répertoire - NIR, caisse d’assurance maladie obligatoire, lien d’affiliation |
Données de connexion et de navigation | cookies, adresse IP, etc. |
VII. A qui adressons-nous vos données personnelles ?
Nous veillons à ce que vos données à caractère personnel ne soient transmises qu’aux seules personnes ayant besoin d’en connaître dans le cadre de leurs missions.
Les destinataires de vos données personnelles sont :
- Les collaborateurs de la mutuelle SMH dans la limite de leur habilitation ;
- Les délégataires de gestion, les intermédiaires d’assurance, les partenaires commerciaux ;
- Les prestataires : ALMERYS; VIAMEDIS
- Les partenaires : FILASSISTANCE; MUTAC; APACE LOISIRS
- S’il y a lieu les coassureurs et réassureurs ainsi que les organismes professionnels et les fonds de garanties ;
- Les personnes intervenant au contrat tels que les avocats, experts, auxiliaires de justice et officiers ministériels, curateurs, tuteurs, enquêteurs et professionnels de santé, médecins conseils ;
- Les personnes intéressées au contrat telles que les souscripteurs, les assurés, les adhérents et les bénéficiaires des contrats et s’il y a lieu, leurs ayants droit et représentants o Les organismes sociaux lorsque les régimes sociaux interviennent dans le règlement des sinistres ou lorsque les organismes d’assurances offrent des garanties complémentaires à celles des régimes sociaux ;
- Les services chargés du contrôle tels que les commissaires aux comptes et les auditeurs ainsi que les services chargés du contrôle interne
- Les ministères concernés, autorités de tutelle et de contrôle et tous organismes publics habilités à les recevoir ;
- S’il y a lieu les juridictions concernées, les médiateurs ;
VIII. Où sont hébergées vos données personnelles ?
Nous hébergeons vos données personnelles au sein de l’Union Européenne. Toutefois, si nous devions transférer vos données en dehors de l’Union Européenne, nous nous assurerions :
- D’une part, de prendre des garanties appropriées, notamment par la mise en place de clauses contractuelles types adoptées par la Commission ;
- D’autre part, de vous informer sur les modalités du transfert.
IX. Combien de temps conservons-nous vos données personnelles ?
Les données à caractère personnel collectées par la Mutuelle sont conservées pendant une durée limitée laquelle est proportionnée à la réalisation des finalités pour lesquelles elles sont traitées.
Les durées de conservation varient en fonction de la nature des données, de la finalité des traitements ou des obligations légales ou réglementaires auxquelles est soumise la Mutuelle.
En cas de contractualisation, les données à caractère personnel utilisées dans le cadre de la passation, de la gestion et de l’exécution du contrat sont conservées, le temps de la relation contractuelle ou relation d’affaire, augmentée des délais nécessaires à la liquidation et à la consolidation de vos droits en matière d’assurance, ainsi que des durées de prescription et des délais légaux d’archivage.
A titre d’exemple, les données à caractère personnel sont conservées :
- Dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT), pendant cinq (5) ans à compter de la fin de la relation contractuelle ;
- Dans le cadre de la lutte contre la fraude, pendant six (6) mois à partir d’une alerte non pertinente ; en cas d’alerte pertinente, pendant cinq (5) ans à compter de la clôture du dossier de fraude ;
- Dans le cadre de la prospection commerciale, en l’absence de contractualisation, pendant trois (3) ans à compter du dernier contact avec la personne concernée.
En tout état de cause, en cas de contentieux, les données à caractère personnel peuvent être conservées pour des durées plus longues notamment jusqu’à l’épuisement des voies de recours.
X. Quels sont vos droits ? Comment les exercer auprès de nous ?
Le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») ainsi que la Loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« Loi informatique et Libertés ») vous reconnaissent des droits « Informatique et Libertés » lesquels s’exercent à l’égard des traitements que nous effectuons sur vos données à caractère personnel.
Dans ce cadre, nous vous garantissons la possibilité d’exercer à tout moment, librement et sans frais, ces droits, dans la limite de ce que prévoit la réglementation.
Ces droits sont définis de la façon suivante :
- Un droit d’accès : vous pouvez obtenir confirmation auprès de nous, des traitements effectués à l’égard de vos données personnelles et le cas échéant, obtenir une copie de vos données.
- Un droit de rectification : vos données personnelles peuvent être rectifiées à votre demande, si elles sont inexactes ou incomplètes.
- Un droit à l’effacement : vous pouvez obtenir l’effacement de vos données personnelles.
- Un droit à la limitation du traitement : vous avez le droit de geler temporairement l’utilisation de vos données personnelles.
- Un droit à la portabilité de vos données : vous pouvez demander à ce que les données que vous nous avez confiées, vous soient restituées dans un format structuré, couramment utilisé et lisible par une machine.
- Un droit à la limitation : vous pouvez demander d’encadrer l’utilisation qui est faite de vos données si vous considérez qu’elles sont inexactes ou alors que vous vous êtes opposé à leur utilisation. L’organisme pourra, le temps de la vérification ou de l’examen de la demande, conserver les données mais ne plus les utiliser.
- Un droit post-mortem : vous pouvez définir des directives relatives à la conservation, l’effacement et la communication de vos données en cas de décès.
Un droit d’opposition : vous avez le droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement de vos données.
En cas de collecte de vos données à des fins de prospection, vous avez le droit de vous opposer à tout moment au traitement des données à caractère personnel vous concernant, y compris au profilage dans la mesure où il est lié à une telle prospection.
L’exercice de ces droits se fait dans la limite de ce qui est prévu par la réglementation. Toute demande d’exercice de droits sera étudiée attentivement et fera l’objet d’une réponse de notre part.
Dans le cadre de l’exercice de vos droits, vous pouvez directement contacter le Délégué à la Protection des Données :
- soit par e-mail à l’adresse électronique suivante : dpo@smh.fr
- soit par courrier à l’adresse postale suivante :
- Mutuelle SMH- service DPO
- Parc Eurasanté Ouest –
- 310 avenue Eugène Avinée –
- 59120 LOOS
Pour permettre le traitement de votre demande d’exercice de droits, il conviendra d’indiquer le(s) droit(s) que vous souhaitez exercer et de justifier de votre identité.
Une réponse vous sera apportée dans un délai maximum d’un mois à compter de la réception de votre demande. Toutefois, ce délai pourra être prolongé de deux mois si votre demande présente une certaine complexité ou en raison d’un grand nombre de demandes. Dans ce cas, le DPO de la Mutuelle vous informera du prolongement du délai initial.
En tout état de cause, si vous ne parvenez pas à exercer vos droits « Informatique et Libertés » auprès de la mutuelle SMH ou si vous souhaitez signaler une atteinte à ceux-ci, vous pouvez saisir la Commission Nationale Informatique et Libertés (CNIL) d’une réclamation. Celle-ci peut être adressée :
- soit directement sur son site internet via le formulaire prévu à cet effet : https://www.cnil.fr/fr/plaintes
- soit par courrier à l’adresse suivante : CNIL - 3 Place de Fontenoy – TSA 80715 - 75334 PARIS CEDEX 07.
Conformément aux dispositions de l’article L 561-45 du code monétaire et financier, la CNIL est compétente pour recevoir vos demandes de droit d’accès indirect concernant les traitements mis en œuvre par notre Mutuelle, dans le cadre de nos obligations relatives à la lutte contre le blanchiment et le financement du terrorisme.
En application des articles L 223-1 et suivants du code de la consommation, nous vous rappelons que si, en dehors de votre relation avec la mutuelle, vous ne souhaitez pas faire l’objet de prospection commerciale par voie téléphonique, vous pouvez gratuitement vous inscrire sur une liste d’opposition au démarchage téléphonique en adressant un courrier à la société anonyme WORLDLINE, sise Immeuble River Ouest, 80, quai Voltaire, 95870 BEZONS, ou sur le site bloctel.gouv.fr
XI. Mise à jour de la Politique de Protection des Données
La présente politique de protection des données est susceptible de faire l’objet de mises à jour en raison de l’évolution des traitements (modification ou suppression ou ajout) effectués par la mutuelle SMH ou de l’évolution de la réglementation applicable en matière de protection des données personnelles.
Toute nouvelle version de la politique de protection des données vous sera communiquée par tout moyen défini par la mutuelle SMH (par exemple : courriel ou mise en ligne sur le site web de la Mutuelle).
Date de la dernière mise à jour : 13/12/2023