Nous connaître

Nos engagements pour la protection des données de nos clients

Depuis le 25 mai 2018, la nouvelle réglementation relative à la protection des données personnelles est entrée en application. Son objectif : renforcer la protection et les droits des citoyens au niveau européen. Voici ce que vous devez retenir pour le traitement de vos données liées à vos contrats d’assurance (santé, prévoyance, retraite supplémentaire) et retraite complémentaire.
 
Qu’est-ce que le RGPD ou GDPR ?
Le Règlement Général sur la Protection des données (RGPD) ou (GDPR -  General Data Protection Regulation) est le texte de référence européen en matière de protection des données personnelles pour les résidents de l’Union Européenne.
Il est applicable depuis le 25 mai 2018.

Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle est une information se rapportant à une personne physique identifiée ou qui peut être identifiée :
- directement (exemple : nom, prénom, adresse, mail...),
- ou indirectement (exemple : numéro client, numéro d'inscription au registre des personnes physiques de l’INSEE - NIR…).

Qu’est-ce qu’un traitement de données personnelles ?
Un « traitement de données personnelles » est une opération, ou un ensemble  d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

Comment Malakoff Médéric s’est-il préparé à cette réglementation ?
Nous avons initié notre projet de mise en conformité avec le RGPD il y a maintenant plus d’un an autour de plusieurs chantiers tels que :
- la gouvernance des données personnelles,
- l’information et les droits des personnes,
- les relations contractuelles avec les tiers (sous-traitants, partenaires, fournisseurs...),
- la responsabilisation et le pilotage de la conformité,
- le process de violation de données personnelles.
Dans ce cadre, plusieurs actions ont été entreprises afin d’être en conformité avant l’entrée en application le 25 mai 2018.
- Le groupe a désigné un Data Protection Officer en mai 2018 et notre politique de protection des données (publiée sur notre site internet) a été mise à jour. N’hésitez pas à la consulter. Nos contrats et mentions d’information sont en cours de modification.

Quelle est la responsabilité de Malakoff Médéric ?
L’entreprise cliente est responsable des traitements RH de ses salariés. Parmi les finalités de ce traitement, la mise en place des régimes de protection sociale complémentaire incombe bien aux employeurs, dans le respect des lois, obligations conventionnelles, accords d’entreprise et engagements auxquels ils sont soumis.
Pour ce qui est de l’exécution des contrats d’assurance souscrits en application desdites obligations, le Groupe Malakoff Médéric est seul responsable de traitement. En effet, la finalité des traitements réalisés pour l’exécution des contrats d’assurance est définie par les assureurs qui agissent en propre, conformément au pack de conformité de la CNIL en la matière.

Comment Malakoff Médéric vous informe-t-il ?
Malakoff Médéric a mis à jour sa politique de protection des données sur le site internet (accessible directement sur la page d’accueil de son site : http://www.malakoffmederic.com/mentions-legales/confidentialite.jsp)
Cette politique a pour objectif de décrire les règles en vigueur en matière de protection des données et leur application au sein du Groupe Malakoff Médéric.

Comment puis-je exercer mes droits ?
Vous disposez d’un droit d’accès, de rectification et le cas échéant de suppression des données vous concernant, ainsi que d’un droit à la portabilité des données personnelles que vous nous avez confiées.
Lorsque vos données sont traitées à des fins de prospection, vous avez le droit, à tout moment et sans frais, de vous y opposer, y compris au profilage lié à une telle prospection.
Ces droits peuvent être exercés, en justifiant de votre identité, sur simple demande écrite adressée :
• par courrier électronique à l’adresse suivante :
- sgil.assurance@malakoffmederic.com pour une demande relative à l’activité d’assurance.
- sgil.retraitecomplementaire@malakoffmederic.com pour une demande relative à l’activité de retraite complémentaire.
• ou par courrier :
- Malakoff Médéric - Pôle Informatique et Libertés Assurance, 21 rue Laffitte 75317 Paris Cedex 9.
- Malakoff Médéric - Pôle Informatique et Libertés Retraite Complémentaire, 21 rue Laffitte 75317 Paris Cedex 9.
Depuis mai 2018, Malakoff Médéric dispose d’un délai d’un mois à compter de la réception de la demande pour répondre aux sollicitations.
Si la demande est imprécise ou ne comporte pas tous les éléments permettant de procéder aux opérations qui lui sont demandées, Malakoff Médéric peut être amené à demander des éléments complémentaires.

Mon contrat d’assurance va-t-il être mis à jour ?
Votre contrat d’assurance sera mis à jour prochainement. Les lettres d’avenants incluant la nouvelle clause « protection des données » seront adressées aux assurés et aux entreprises progressivement dans le courant de l’année 2018.

Le recueil du consentement relatif au traitement des données de santé des assurés est-il obligatoire ?
Oui, il l’est. Toutefois, la signature du contrat d’assurance vaut acceptation de l’utilisation de vos données y compris de vos données de santé, nécessaires à l’exécution du contrat.
Pour tout autre service proposé par Malakoff Médéric (« Vigisanté » ou « Devis conseil » par exemple), il vous sera expressément demandé votre consentement à l’utilisation de vos données de santé.

Comment Malakoff Médéric a-t-il intégré la sécurité des systèmes d’information et la lutte contre le cyber risque ?
Le Groupe Malakoff Médéric est attentif à la sécurité des données. Les politiques de sécurité sont formalisées et suivent les bonnes pratiques du marché en s’appuyant sur les normes :
- ISO/CEI27001 pour le système de management de la sécurité,
- ISO/CEI27005 pour le management des risques
- et ISO/CEI22301 pour la continuité d’activité.
Les politiques se déclinent en exigences qui s’affinent en règles fines de sécurité opérationnelles.
Le groupe s’est doté de compétences spécifiques et d’équipes dédiées, permettant de définir, déployer et accompagner au sein du groupe la mise en œuvre des règles de sécurité en application des politiques de sécurité des systèmes d’information.
 
En tant qu’entreprise, ai-je le droit de transmettre à Malakoff Médéric un fichier contenant les données personnelles de mes salariés (nom, prénom, date de naissance, numéro Sécurité sociale…) pour réaliser une étude santé et/ou prévoyance ?
Si la finalité de la transmission est la réalisation d’une étude ou enquête, il convient de ne transmettre que des données anonymisées ne permettant pas de remonter à un individu.

Puis-je utiliser le numéro de Sécurité Sociale (NIR) et dans quel cas ?
Le numéro Sécurité sociale (ou numéro d’inscription au registre des personnes physiques de l’INSEE, NIR) est un identifiant utilisable en santé dans les échanges avec la CPAM mais pas en prévoyance hormis pour les besoins du prélèvement à la source (le NIR est alors une clé d’identification entre l’administration fiscale et nous).
Le NIR ne peut pas être un identifiant interne pour l’organisme d’assurance. Vous devez supprimer le NIR de tout fichier pour lequel il n’est pas utile ou autorisé.
 
En tant qu’entreprise, ai-je le droit de collecter les bulletins individuels d’affiliation (BIA) qui contiennent les données personnelles de mes salariés pour les transmettre à Malakoff Médéric ?
Vous, entreprises souscriptrices, avez le droit de collecter les bulletins individuels d’affiliation qui contiennent les données personnelles de vos salariés pour les transmettre à Malakoff Médéric.
Votre contrat d’assurance précise à ce titre que « vous vous engagez à affilier tous vos salariés présents et futurs appartenant à la catégorie de personnel assurée et à nous adresser les bulletins individuels d’affiliation complétés et signés par les assurés, dans les trente jours suivant leur entrée dans la catégorie de personnel assurée (sous réserve des dispenses d’affiliation prévues par l’acte juridique ayant instauré le régime frais de santé)."