Protection des données à caractère personnel
1. Avant-propos
En 2018, les groupes SAGESSE et AMI3F se sont rapprochés pour former le Groupe ASSURANCES GESTION SERVICES. Les deux groupes forts de plus de 35 ans d’expérience distribuent des solutions d’assurances notamment par l’intermédiaire de leurs deux réseaux de partenaires et affiliés. Les deux entités s’attachent à préserver une relation de proximité tout en affirmant leur indépendance envers les compagnies d’assurance, et une totale transparence envers leurs assurés. Transparence, confiance et responsabilité. Ces trois mots résument à eux seuls le nouveau Règlement Général sur la Protection des Données (RGPD). En application dans toute l’Union européenne depuis le 25 mai 2018, les entreprises traitant des données personnelles doivent assurer leur conformité. Dans le cadre de son activité, AMI3F récolte des données à caractère personnel de ses assurés particuliers et professionnels, et de ses partenaires. AMI 3F s’engage à protéger l’ensemble des données à caractère personnel dont il a connaissance. Cette « notice de protection des données » apporte les précisions nécessaires afin de comprendre quelles sont les données collectées, leurs finalités, comment elles sont traitées, les destinataires et quels sont les droits de la personne concernée.
2. Nécessité de collecte des données et responsables de traitement
Dans la rédaction d’un devis, dans la conclusion d’un contrat d’assurance, dans le cadre d’une résiliation, d’une réclamation, et de l’ensemble de la durée de vie du contrat, ou encore dans le cadre d’une campagne publicitaire depuis les réseaux sociaux, nous avons besoin de collecter, de stocker, et de traiter des données à caractère personnel de la personne concernée. Ainsi, au sens du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, applicable en France par la loi de mise en conformité n°2018-493 du 20 juin 2018 modifiant la loi n°78-17 du 6 janvier 1978 « Loi Informatique et Libertés », AMI3F doit respecter l’ensemble des dispositions législatives. Au sens de ces textes, le groupe agit par conséquent en qualité de « responsable du traitement », entendu comme étant la personne morale incarnée par son représentant légal, qui détermine les finalités et les moyens de l’ensemble des traitements relatifs aux données à caractère personnel. Puisque AMI3F est un courtier-grossiste, nous travaillons avec un réseau de partenaires et de compagnies. Le partenaire de l’assuré est désigné comme « sous-traitant » du traitement. Ainsi, le partenaire s’est engagé à respecter ses obligations législatives afin d’assurer le respect du présent règlement. Les compagnies d’assurance partagent avec AMI3F la qualité de « responsable de traitement » de données et se sont engagées à respecter, avec AMI 3F, la confidentialité des données. En cas de manquements de la part d’un des partenaires, nous nous réservons le droit de tirer les conséquences qui s’imposent, notamment par la résiliation de notre partenariat.
3. Les données collectées
a. Les assurés
- Des données générales telles que le nom, prénom, adresse, coordonnées, date de naissance, sexe, informations relatives au Co titulaire de la carte grise ;
- Des éléments d’identification tels que la carte grise, le permis de conduire, des relevés d’informations, l’usage du véhicule dans le cadre d’un contrat automobile (privé ou professionnel) ;
- Des données relatives au contrat professionnel, telles que le Kbis, tout document INSEE, le numéro d’inscription au registre du commerce et des sociétés, et toute information nécessaire à l’établissement d’une tarification en vue d’un contrat ;
- Des données relatives à la situation professionnelle telles que la catégorie socio professionnelle ;
- Des données nécessaires à la gestion du contrat, telles que l’ensemble des réclamations, l’ensemble des sinistres, avis d’experts, constats, les avis d’échéance, les lettres de résiliation, les déclarations kilométriques, les devis ;
- Des informations relatives aux formulaires de contact ;
- Des adresses e-mail relatives à l’envoi de la newsletter ;
- Des données d’ordre économique et financier, comme le patrimoine mobilier et immobilier, les relevés d’identité bancaires, les mandats SEPA, le montant des cotisations, les informations financières des sociétés inscrites au Kbis et au RCS, des chèques pour paiement de cotisations ;
- Des données relatives aux connexions internet telles que les cookies ;
- Des données relatives aux appels téléphoniques ;
Des données dites « sensibles » sont également collectées :
- Des données relatives à des infractions, des condamnations pénales, des procédures de recouvrement de dettes, des données relatives à des réquisitions des forces de l’ordre, des créances ;
- Des données concernant la santé : numéro de sécurité sociale, numéro d’affiliation, des certificats médicaux lors de sinistres corporels, des comptes rendus de blessures, des demandes d’attestation d’alcoolémie et d’usage de stupéfiants.
b. Les partenaires
À double titre, les partenaires sont concernés par les données à caractère personnel. Ils récoltent et traitent les données des assurés, et leurs propres données sont collectées et traitées par AMI3F. À propos des données des assurés Les partenaires s’engagent à respecter l’ensemble des dispositions législatives en vigueur, notamment en vertu du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, applicable en France par la loi de mise en conformité n°2018-493 du 20 juin 2018 modifiant la loi n°78-17 du 6 janvier 1978 « Loi Informatique et Libertés ». Lors de la conclusion du partenariat avec AMI3F, le partenaire assure collecter les données strictement nécessaires aux finalités prévues par chacun des contrats et des clauses qui y sont insérées. Le partenaire s’assure également du consentement de l’assuré quant à la collecte de ses données et l’informe de ses droits à chaque nouvelle souscription. Il assure respecter les délais de conservation des données prévus par la loi et assure détruire toutes les données non nécessaires. En qualité de responsable conjoint de traitement, il assure respecter la « Notice de protection des données » établie par AMI3F. En cas de question, le PARTENAIRE peut contacter le DPO d’AMI3F à l’adresse mail suivante : dpo@groupeami3f.com. À propos des données des partenaires AMI3F s’engage à protéger l’ensemble des données des partenaires qu’il collecte. AMI3F collecte des données générales d’informations (prénom, nom, adresse de l’entreprise, téléphone, e-mail) ; des données relatives à la situation professionnelle (numéro SIRET, numéro ORIAS, Kbis, date de commencement d’activité, responsabilité civile professionnelle, nombre de contrats souscrits), des données d’ordre économique et financier (RIB, mandat SEPA, montant des commissions). L’ensemble des données récoltées répond à des finalités précises : conclusion, gestion et exécution du contrat de partenariat, établissement de statistiques, prospection, lutte contre la fraude. L’ensemble de ces données sont procurées grâce au consentement du partenaire. Les gestionnaires de AMI3F sont destinataires des données. Nous nous réservons le droit de les transférer à des tiers agréés, notamment dans notre lutte contre la fraude et contre le blanchiment. AMI3F s’engage à ce qu’aucune donnée ne soit conservée au-delà du temps nécessaire à l’accomplissement de la finalité poursuivie par leur collecte, dans le cadre de la législation en vigueur. Les données collectées sont conservées durant l’exécution du contrat et même au-delà, conformément à la législation en vigueur, notamment en cas de procédure judiciaire. Le partenaire dispose également des droits prévus par le RGPD (voir point 10. Quels sont les droits des assurés et partenaires ?)
4. Comment nous procurons-nous vos données à caractère personnel ?
- Du consentement exprès de la personne concernée, lors du contrat ou de la gestion de ce dernier ;
- De nos partenaires et agences ;
- De tiers qui fournissent une prestation relative au contrat (experts, médecins, etc.)
- De ressources publiques, telles que les jugements, les procès-verbaux de police, la Banque de France ;
- Des compagnies auprès desquelles la personne concernée a des contrats ;
- De vos banques lors de notification d’opposition en cas de prêts financiers ;
- De nos propres sites internet ;
5. Quelles sont les finalités des traitements de données à caractère personnel ?
Les finalités des traitements doivent toujours être « déterminées, explicites et légitimes », en vertu du b) du paragraphe 1 de l’article 5 du RGPD.
- Les données à caractère personnel sont utilisées pour la conclusion d’un contrat d’assurance (proposition de devis, acceptation et réception des pièces justificatives) ;
- Les données collectées sont également utilisées dans la gestion du contrat, et durant toute sa durée d’exécution, par exemple les données bancaires pour les échéances, les certificats médicaux pour les sinistres, etc ;
- Les données collectées sont également utilisées lors de la résiliation, ou du choix de mettre un terme au contrat ;
- Les données peuvent également être utilisées pour répondre au besoin de lutte contre la fraude et le blanchiment.
6. Les destinataires des données
Toujours dans un désir de transparence et de confidentialité des données, AMI3F est amené à partager ces données à caractère personnel avec des tiers. Il peut s’agir :
- Des partenaires avec lesquels la personne concernée a souscrit une assurance ;
- Des gestionnaires internes à AMI3F ;
- Les compagnies d’assurance avec lesquelles la personne concernée a souscrit une assurance et leurs propres destinataires ;
- Un tiers bancaire servant à la transmission des paiements ;
- Un huissier de justice en cas de contentieux ;
- Des tiers dans la gestion de l’envoi de mails ;
- Les services de police en cas de réquisitions ou de suspections de fraudes ;
7. La durée de conservation des données à caractère personnel
AMI3F s’engage à ce qu’aucune donnée ne soit conservée au-delà du temps nécessaire à l’accomplissement de la finalité poursuivie par leur collecte, dans le cadre de la législation en vigueur. Les données collectées sont conservées durant l’exécution du contrat et même au-delà, conformément à la législation en vigueur, notamment en cas de procédure judiciaire. La personne concernée est libre de demander à tout moment la durée de conservation de ses données, directement auprès de son courtier ou de AMI 3F. Nous avons mis en place, tant en interne qu’auprès des partenaires, des processus de conservation des données dans un temps limité.
8. Les données sont-elles transmises à l’international ?
AMI3F s’engage à ce que les données à caractère personnel récoltées et utilisées soient stockées au sein de l’Union européenne ou au sein d’un pays dont le niveau de sécurité est considéré comme « adéquat », au regard des exigences formulées par le RGPD. Pour ce qui est des compagnies avec lesquelles AMI3F met à disposition les produits, toutes doivent s’assurer de conserver leurs données en France, dans l’Union européenne, ou au sein d’un pays dont la législation est adéquate à celle de l’Union dans le cadre de la protection des données.
9. Comment les données sont-elles protégées ?
Des mesures techniques et organisationnelles sont mises en oeuvre afin de garantir un niveau élevé de sécurité. Nous avons notamment mis en place :
- Des mesures de sécurité concernant nos bâtiments : alarmes, vidéosurveillance, etc. ;
- Des mesures de sécurité techniques protégeant nos serveurs et contre tout type d’intrusion ;
- Des contrôles d’accès aux espaces informatiques tels que les mots de passes et identifiants ;
- Des antivirus et antimalwares ;
- Des conservations d’archives numériques et papiers aux accès restreints et sécurisés ;
10. Quels sont les droits des assurés et partenaires ?
Partenaires et assurés bénéficient des mêmes droits prévus par le RGPD dans la collecte et le traitement des données à caractère personnel. Quelques précisions :
- Dans certaines circonstances, nous ne pouvons faire droit à une requête. Nous exposerons nos motifs lors de notre réponse.
- Dans certaines circonstances, l’exercice des droits peut rendre impossible l’exécution du contrat et entraîner une résiliation du contrat d’assurance. C’est notamment le cas lors de certaines applications du droit à l’effacement.
Ainsi, assurés et partenaires disposent :
- D’un droit d’accès aux données à caractère personnel, c’est-à-dire une copie des données dont nous disposons à l’égard du demandeur ;
- D’un droit à la rectification, c’est-à-dire un droit de mise à jour si les données sont inexactes ou si un changement est notifié ;
- D’un droit à l’effacement, c’est-à-dire un droit qui permet de supprimer l’ensemble des données, notamment lors d’un retrait de consentement.
- D’un droit à la limitation, c’est-à-dire un droit de cessation d’utilisation des données à caractère personnel.
- D’un droit à la portabilité des données, c’est-à-dire un droit de transfert à un tiers.
- D’un droit d’opposition aux démarches publicitaires, soit par désinscription grâce à la fonctionnalité présente dans chaque mail de démarchage publicitaire, ou par demande écrite par mail ou courrier ;
- D’un droit au retrait du consentement, par exemple pour notre politique d’utilisation de cookies. En revanche, un retrait de consentement d’un contrat peut amener à résiliation de notre accord commercial.
- D’un droit d’opposition afin de procéder à la clôture des comptes utilisateurs d’un défunt et de s’opposer au traitement de ses données, sur présentation d’un justificatif.
- D’un droit de plainte auprès de la CNIL, si la personne concernée estime que l’utilisation, la collecte, le stockage, ou tout traitement des données à caractère personnel ne respecte pas la législation en vigueur. Toute personne peut alors librement se rendre sur www.cnil.fr/plaintes
11. Contacter le Délégué à la Protection des données
Pour toute question, renseignement, ou pour faire valoir ces droits, la personne concernée demanderesse peut adresser à notre Délégué à la protection des données sa requête, soit :
- Par mail : dpo@groupeami3f.com
- Par téléphone : 05 62 71 67 40
- Par courrier : DPO – M. Antoine BERTRAND, 52 Boulevard Gabriel KOENIGS, CS63020, 31024 TOULOUSE Cedex 03