Notice protection des données à caractère personnel - RGPD
En tant que partenaire de confiance, la protection de vos données à caractère personnel est très importante pour nous ! Notre métier consiste à concrétiser les projets de nos clients, assurés et adhérents, grâce à nos solutions digitales d’assurance.
Ce document vous apportera toutes les informations pratiques et utiles à ce sujet, dans le cadre de la navigation et utilisation de notre site web et de votre Espace Client personnel et sécurisé pour toutes vos démarches auprès de notre société.
MULTI-IMPACT est responsable de traitement de ses plateformes accessibles sur le web, à ce titre, vos données sont collectées par notre société lors de votre navigation dans le cadre de vos différentes demandes et démarches d’assurance.
MULTI-IMPACT est responsable de traitement conjoint ou sous-traitant(au sens de la règlementation générale sur la protection des données) :
- De votre Courtier dans le cadre de la réalisation de votre projet d’assurance,
- Des compagnies d’assurance avec lesquelles nous collaborons pour la souscription, la gestion de vos contrats.
Le responsable de traitement est la société qui détermine les finalités et les moyens d’un traitement (l’utilisation de données à caractère personnel), c’est-à-dire l’objectif et la façon de le réaliser, mais également les moyens de sécurité adéquats et les durées de conservation & d’archivage.
À tout moment, vous pouvez contacter notre Délégué à la Protection des Données à l’adresse : [email protected] .
Cette notice peut être complétée par une clause spécifique au sein de votre contrat d’assurance.
Nos traitements sur les données sont :
Les étapes de votre contrat | Catégorie de données collectées | Finalités principales poursuivies | Base légale | Durée de conservation |
---|---|---|---|---|
Votre projet d’assurance |
Votre identité Vos coordonnées Informations relatives à votre emprunt Vos garanties demandées Polices d’assurance choisies. |
Vous proposer le contrat le plus adapté à votre besoin. | Mesures précontractuelles | 3 ans à compter de la dernière action sur votre projet |
Votre demande d’adhésion / d’affiliation | Les données nécessaires au contrôle de l’éligibilité à l’assurance (Conditions Générales). | Procéder à votre adhésion / affiliation à l’assurance. | Mesures précontractuelles et contractuelles | 5 ans à compter de la dernière action sur votre dossier. |
L’étude médico-technique et l’acceptation du risque | Données nécessaires à l’étude du risque assurantiel (formalités médicales contractuelles, risques externes déclarés, renseignements complémentaires demandés | Etudier le risque assurable et vous proposer des Conditions particulières les plus favorables possibles. | Votre consentement / Intérêt légitime | 5 ans à compter de la dernière action sur votre dossier. |
La vie du contrat d’assurance | Les éléments que vous pourrez nous communiquer pour opérer toute modification en cours de vie du contrat. | Gestion de vos modifications et demandes en cours de vie du contrat (avenants). | Mesures contractuelles | 10 ans post extinction du contrat (à date de la dernière action sur votre contrat). |
La gestion des demandes de prestations / indemnisation | Tous les éléments que vous serez amenés à nous communiquer / que nous pourrions vous réclamer pour l’instruction et la prise en charge de votre sinistre. | Instruire la demande de la prise en charge conformément aux Conditions Générales et Particulières du contrat d’assurance et à la réglementation. Poursuivre la prise en charge dans le temps. | Votre consentement /Mesures contractuelles | 10 ans post extinction du contrat (à date de la dernière action sur votre contrat). |
Le traitement des réclamations | Tous les éléments que vous pourrez nous communiquer ou que nous pourrions être amené à vous demander pour le traitement de vos réclamations. | Traiter les réclamations reçues Permettre la constatation, la défense ou l’exercice de droit en justice de l’entreprise ou du réclamant. | Intérêt légitime | 5 ans à compter du dernier contact |
Lutte contre le blanchiment des capitaux et le financement du terrorisme | Les éléments liés à votre identité Les éléments liés à votre activité Les éléments liés à notre relation d’affaire Les registres officiels (BODACC, info greffe, INPI, Listes de Personnalités politiquement exposées, listes de sanctions françaises et internationales tel que le Gel des Avoirs). | Réaliser nos obligations réglementaires notamment en matière de lutte contre le blanchiment et le financement du terrorisme (5e directive LCB/FT). Remplir nos obligations de KYC (connaissance de nos clients). | Obligations légales. | Durant la relation d’affaire (durées explicitées ci-avant), Et 5 ans si alerte qualifiée de pertinente. |
Etablissement de bases statistiques et actuarielles liées au domaine de l’assurance de personnes | Toutes les données, flux financiers, éléments de reportings établis durant la relation contractuelle. | La réalisation des états statistiques et actuarielles (tables de risques, de mortalités, taux de sinistralité, ratios de solvabilité …). | Intérêt légitime | Les données statistiques sont anonymisées avant utilisation. |
1- La collecte
Chez MULTI-IMPACT, nous collectons et utilisons uniquement les données personnelles qui nous sont nécessaires dans le cadre de notre activité de conseil & de gestion afin de vous proposer des services sur-mesure qui répondent parfaitement à vos attentes.
S’il existe des données à caractère personnel « courantes » telles que votre nom, prénom par exemple, il existe aussi des données à caractère personnel « sensibles », telles que vos données santé.
a- Les données courantes
Nous vous demanderons dans le cadre de nos relations, les données « de tous les jours » ou liées à votre projet d’assurance (montage financier…), telles que :
- Données d'identification (nom(s), prénom(s), civilité, date de naissance)
- Données de contact privées ou professionnelles (adresse, courriel, téléphone)
- Données relatives à la vie professionnelle (profession, déplacements professionnels, risques professionnels, etc.)
- Données relatives à la vie personnelle, habitudes de vie (statut familial, statut fumeur, pratiques sportives, séjours à l’étranger réguliers, etc.)
- Données d'authentification et de connexion (identifiants, adresses IP, logs de connexion)
- Données relatives à la gestion du contrat (numéro de client, de contrat, du sinistre, la durée, les montants des primes, capital emprunté et restant dû, l’organisme prêteur, les bénéficiaires du contrat, les conditions particulières)
- Données nécessaires au paiement de la prime d’assurance (appels de cotisations, RIB, mandats SEPA, données de paiements et recouvrement)
- Documents officiels (CNI, passeports, numéro de document, photo, signature)
- Données collectées dans le cadre de nos interactions avec vous : vos commentaires, suggestions, besoins collectés lors de nos échanges avec vous en ligne lors de communications téléphoniques (conversation), discussions par courrier électronique, chat, échanges sur nos pages sur les réseaux sociaux et vos dernières réclamations/plaintes.
b- Les données sensibles
Dans le cadre de l’appréciation des risques assurantiels, pour déterminer une tarification et vérifier votre assurabilité, mais également, dans le cadre de l’exécution des garanties contractuelles, nous pouvons être amené à collecter certaines données dites « sensibles » dont vous trouverez une liste non exhaustive ci-dessous telles que :
- Données sur votre état de santé, vos antécédents éventuels
- Données issues de formalités médicales et certificats médicaux, arrêts de travail, attestations employeurs, comptes rendus d’hospitalisation ou d’examens
- Données issues de vos droits et attestations de prestations de la Sécurité Sociale ou tout organisme équivalent
L’article 9 du RPGD encadre la collecte des données de santé. En effet cet article prévoit que les données à caractère personnel peuvent faire l’objet d’un traitement seulement si ces dernières sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel.
Dans ce cadre, les activités de MULTI-IMPACT sont encadrées par 3 Médecins Conseils, garant du secret professionnel et médical. Nous mettons tout en œuvre pour assurer la protection de vos données sensibles, c’est pourquoi, nous disposons d’une zone de confidentialité restreinte, associée à des mesures de sécurité techniques et organisationnelles adaptées. Seuls les salariés habilités au secret médical disposeront des clefs (badge, verrou adapté) permettant l’accès à cette zone.
Pour rappel, un contrat d’assurance emprunteur est un contrat à sélection médicale. L’article L.113-2 du code des assurances impose « de répondre exactement aux questions posées par l’assureur, notamment dans le formulaire de déclaration du risque par lequel l’assureur l’interroge lors de la conclusion du contrat, sur les circonstances qui sont de nature à faire apprécier par l’assureur lesrisques qu’il prend en charge ».
La réticence ou la fausse déclaration intentionnelle entraînerait la nullité de l’adhésion conformément aux articles L113-8 du Code des assurances ou L.221-14 du Code de la Mutualité.
c- Collecte nécessaire vis-à-vis de votre situation
Les données que nous utilisons peuvent être collectées directement auprès de vous ou obtenues des sources suivantes :
- Publications/ bases de données rendues accessibles par les autorités officielles (Journal officiel, Caisse Nationale d’Assurance Maladie)
- Nos entreprises clientes ou fournisseurs de services
- Réquisitions judiciaires et de l’association ALFA (agence de lutte contre la fraude à l’assurance) dans le cadre de la lutte contre la fraude à l’assurance
- Avis et notation en ligne que vous pouvez nous adresser
d- Cas particuliers de collecte de données, notamment collecte indirecte
MULTI-IMPACT peut collecter des informations vous concernant bien que vous ne soyez pas client ou assuré. C’est notamment le cas, lorsque vous avez recours aux services d’un courtier en assurance qui utilise notre outil de comparaison d’assurance en ligne.
Lorsque vous nous fournissez des données personnelles relatives à d’autres personnes, n’oubliez pas de les informer de la communication de leurs données et invitez les à prendre connaissance de la présente Notice.
La liste ci-dessous (non exhaustive) constitue les personnes susceptibles de faire l’objet d’une collecte de données personnelles par MULTI-IMPACT :
- Notre client ou en relation contractuelle avec nous (souscripteur/adhérent, co-souscripteur/co-adhérent, assuré)
- Un membre de la famille d’un client. En effet, nos clients peuvent parfois être amenés à partager avec nous des informations portant sur leur famille lorsque cela est nécessaire pour leur fournir un produit ou service ou mieux les connaître
- Une personne intéressée par nos produits ou services dès lors que vous nous communiquez vos données personnelles (sur des sites de comparateurs en ligne, tel que www.meilleurtaux.com )
- Un héritier ou ayant-droit
- Un co-emprunteur / garant / caution
- Un représentant légal de notre client dans le cadre d’un mandat/délégation de pouvoir
- Un bénéficiaire d'une opération de paiement
- Un bénéficiaire d'un contrat ou d'une police d'assurance
- Un bénéficiaire du contrat
- Un bénéficiaire effectif (au sens de L.561-2-2 du Code Monétaire et Financier) d’un client personne morale
- Un dirigeant ou représentant légal d’un client personne morale
2- Les finalités et bases légales
Finalité → Les finalités d’un traitement de données correspondent aux objectifs poursuivis par le traitement des données
Base légale → c’est le fondement juridique qui nous autorise à collecter et traiter vos données
a- Vos données personnelles sont traitées pour exécuter un contrat, ou des mesures précontractuelles prises à votre demande :
Nous traitons vos données personnelles lorsqu’elles sont nécessaires à l’exécution du contrat.
- Définir votre profil de risque d’assurance et déterminer une tarification associée
- Evaluer (par exemple sur la base de votre profil de risque d’assurance) si nous pouvons vous proposer un produit ou un service et à quelles conditions (par exemple le tarif)
- Vous envoyer des informations sur nos produits ou services à votre demande
- Vous fournir les produits et services souscrits conformément au contrat applicable
- Assurer la gestion de votre contrat (notamment gérer les sinistres, les procédures d’indemnisation, le suivi des règlements, etc.)
- Répondre à vos demandes et vous assister dans vos démarches
- Souscrire (notamment via une signature électronique) à nos produits et services
- Assurer le règlement de votre succession
b- Les situations ou votre consentement est nécessaire
Pour certains traitements de données personnelles, nous vous communiquerons des informations spécifiques et vous demanderons votre consentement. Nous vous rappelons que vous pouvez retirer votre consentement à tout moment.
En particulier, nous vous demandons votre consentement pour :
- Traiter des données sur votre état de santé, lorsque cela s’avère nécessaire notamment pour évaluer votre profil de risque et permettre la conclusion d’un contrat
- Pour assurer la mise en œuvre des garanties du contrat
- Pour permettre l’amélioration de nos processus internes (améliorer nos parcours en diminuant les formalités médicales, assurer une meilleure évaluation du risque, etc.)
Pour le traitement de vos données de santé, un consentement explicite est nécessaire. Ce consentement nous assure que vous avez été avertis à la collecte et au traitement de vos données de santé dans le cadre de la passation de votre projet et la vie contrat d’assurance (gestion de vos sinistres par exemple).
Si vous retirez votre consentement en cours de vie du contrat, nous ne supprimerons pas pour autant vos données de santé. Cependant nous ne pourrons plus traiter vos demandes relatives à votre souscription ou à la gestion de vos sinistres.
c- Pour nous conformer à nos obligations légales et réglementaires :
Vos données personnelles sont traitées lorsque cela est nécessaire pour nous permettre de respecter les réglementations auxquelles nous sommes soumis, notamment les réglementations propres aux activités d’assurance et financières.
Nous utilisons vos données personnelles pour :
- Contrôler les opérations et transactions et ainsi identifier celles qui sont anormales ou inhabituelles
- Surveiller vos transactions et opérations pour gérer, prévenir et détecter la fraude
- Gérer, prévenir et déclarer les risques (de nature financière, de crédit, de nature juridique, de conformité ou liés à la réputation, etc.) auxquels notre société est susceptible d’être confrontée dans le cadre ses activités
- Répondre à nos obligations de lutte contre la déshérence et aux contrats non réglés
- Contribuer à la lutte contre la fraude fiscale et satisfaire nos obligations de notification et de contrôle fiscal & enregistrer les opérations à des fins comptables
- Détecter et prévenir la corruption
- Respecter les dispositions applicables aux prestataires de service de confiance délivrant des certificats de signature électronique
- Echanger et signaler différentes opérations, transactions ou demandes ou répondre à une demande officielle émanant d’une autorité judiciaire, pénale, administrative, fiscale ou financière locale ou étrangère dûment autorisée, un arbitre ou un médiateur, des autorités chargées de l’application de la loi, d’organes gouvernementaux ou d’organismes publics
- Répondre à notre obligation d’accessibilité aux services pour les personnes handicapées, par exemple avec des outils spécifiques
- Respecter nos obligations de mise en œuvre des mesures de lutte contre le blanchiment d’argent et le financement du terrorisme conformément au Code monétaire et financier.
- Respecter les engagements de la convention AERAS
La convention AERAS, s’Assurer et Emprunter avec un Risque Aggravé de Santé, définit un cadre normatif de collecte, d'utilisation et de protection des données sensibles en assurance.
Le saviez-vous ? Avant l’entrée en vigueur du RGPD, Règlement Général sur la Protection des Données, depuis 2007, la convention AERAS définissait déjà les conditions de traitement des données de santé, d’encadrement et les mesures de sécurité. Elle a été révisée à plusieurs reprises, la dernière révision datant de 2020
La Convention AERAS permet également un « Droit à l’Oubli » systématique. Cela permet aux emprunteurs de ne pas fournir d'informations relatives à leur état de santé & de ne pas réaliser d'examen médical sous certaines conditions ( https://www.aeras-infos.fr/ ).
d- Dans le cadre de nos intérêts légitimes ou celles d’un tiers (Courtier / Compagnie d’assurance)
Lorsque nous motivons un traitement sur l’intérêt légitime, nous opérons une pondération entre cet intérêt et vos intérêts ainsi que vos libertés et droit fondamentaux afin de nous assurer qu’il y a un juste équilibre entre les deux.
Nous nous réservons le droit de collecter, traiter et conserver différentes données à caractère personnel pour répondre à notre intérêt légitime ou celui d’un tiers :
- Pour conserver la preuve d’opérations ou de transactions, y compris sous format électronique
- Assurer la mise en œuvre de mesures à des fins de prévention de la fraude à l’assurance (par exemple se prémunir face aux fausses déclarations intentionnelles)
- Le recouvrement & la prévention des impayés
- La lutte contre toute forme de fraude, les conflits d’intérêts ou encore la corruption
- La création et la transmission à la compagnie d’assurance des états statistiques nécessaires à l’établissement des rapports de solvabilité et de sinistralité
- Le suivi des projets et des contrats d’assurance
- Le traitement des réclamations et les éléments servant à la défense de l’entreprise en cas de litige
- A des fins de conformité telle que la lutte contre le blanchiment de capitaux et le financement du terrorisme
- Améliorer la cybersécurité, gérer nos plateformes et sites internet, et assurer la continuité des activités
- Améliorer l’automatisation et l’efficacité de nos processus opérationnels et nos services à la clientèle (ex. acceptation automatique des sinistres, suivi de vos demandes et amélioration de votre satisfaction sur la base des données collectées lors de nos interactions avec vous comme les enregistrements téléphoniques, les courriels ou les chats)
3- Le transfert éventuel de vos données à caractère personnel
Dans le cadre de votre souscription et durant la vie de votre contrat, certaines données à caractère personnel peuvent être partagées avec :
- Votre courtier (Etat de votre contrat, historique de vos modifications, éléments de rémunération)
- La compagnie d’assurance (éléments liés à la passation du contrat, la gestion des sinistres, la collecte des primes et du recouvrement, divers flux et reporting statistiques)
Nous pouvons également être amené à communiquer avec votre organisme prêteur, bénéficiaire des garanties sur l’état de votre contrat ou le versement des indemnisations, et à d’autres tiers pour des finalités strictement nécessaires au contrat (notaire, ayant-droit, …).
Dans certains cas, vos données peuvent faire l’objet de transfert en dehors de l’Union européenne Le cas échéant, nous mettons en place toutes les mesures pour assurer un niveau de protection des données suffisant et approprié.
4- Les mesures de sécurité
Nous mettons en œuvre des mesures de sécurité techniques, organisationnelles et physiques destinées à protéger vos données personnelles.
Dans le cadre des mesures de sécurité techniques, nous comptons :
- Des mesures d’authentifications fortes
- Du chiffrement des données
- Le cloisonnement
- L’archivage
Concernant les mesures organisationnelles :
- Contractualisation (avec nos partenaires et nos prestataires de service)
- Habilitations
- Journalisation des accès
- Supervision et maintenance des outils informatiques
Nous avons également mis en place des mesures physiques comme indiqué précédemment :
- Vidéo surveillances
- Alarmes
- Locaux avec accès restreints
5- Les durées de conservation
Nous classifions les durées de conservation suivant les étapes réalisées dans le parcours de souscription :
- Lorsque vous soumettez un projet d’assurance qui n’aboutit pas, nous disposons de vos données personnelles sur votre simulation. Nous gardons vos données personnelles pendant une période de 3 ans (2 ans en base active et 1 an en base d’archive).
- Lorsque vous avez opéré un projet avec votre courtier et que vous avez complété des documents assureurs (demande d’affiliation, adhésion, questionnaire de santé) mais que vous n’avez pas reçu ou accepté la conclusion du contrat, nous conservons vos données pendant 5 ans (3 ans en base active et 2 en base d’archive).
- En présence d’une relation contractuelle, nous conservons les données personnelles durant une période de 10 ans après la fin de cette dernière (7 ans en base active et 3 ans en base archive).
La base active est accessible par tout le personnel de Multi-Impact quant à la base d’archivage, seul une infime partie des salariés y ont accès.
6- Le droit des personnes concernées
Vous disposez d’un certain nombre de droit vous permettant de garder la maitrise sur les données à caractère personnel que nous traitons.
Vous possédez un droit d’accès, droit de rectification, de modification, droit à l’effacement, droit d’opposition, droit à la limitation du traitement, droit à la portabilité et d’un droit d’adresser une réclamation à la CNIL.
- Droit de rectification et de modification : Vous pouvez à tout moment demander la rectification ou modification de vos données personnelles si ces dernières sont erronées ou incomplètes.
- Droit d’information & d’accès et de portabilité : Vous pouvez obtenir une copie des données personnelles que nous traitons.
- Droit lié au profilage : en cas de décision automatique (cela peut être le cas sur une souscription en ligne) vous avez le droit de demander l’intervention d’un humain dans une décision automatisée vous concernant.
- Droit à l’effacement : Vous pouvez demander l’effacement de vos données personnelles pour lesquelles il n’y a plus de motif fondé afin de les exploiter dans la limite de ce qui est permis par la réglementation.
- Droit à l’opposition & à la limitation du traitement : Si les données personnelles sont inexactes ou si vous émettez votre opposition à leurs traitements, vous pouvez demander la limitation du traitement de ces données.
- Droit d’adresser une réclamation à la CNIL : Vous disposez d’un droit de réclamation Vous pouvez déposer un recours ou une réclamation auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés) directement sur leur site internet ( https://www.cnil.fr/fr )
L’exercice de ces droits pourra être assujetti à une demande de votre pièce d’identité.
Pour exercer vos droits, merci d’adresser votre demande par courriel à l’adresse [email protected] ou par courrier à l’adresse suivante : Multi-Impact, 41-43 avenue Hoche CS 110002 REIMS cedex.
En cas de manquement à l’une des dispositions ci-dessus, vous avez le droit d’introduire une réclamation auprès des autorités compétentes ou auprès du service réclamations de Multi-Impact par courriel à [email protected] .
En cas de demande par voie postale, une réponse sera effectuée par voie postale. Si la demande est induite par courriel, nous vous ferons une réponse par courriel.
L’exercice de certains de vos droits peut entraîner des conséquences ou ne pas être applicable au regard de l’état de notre relation.