Données personnelles
Pourquoi une Politique de Protection des Données ?
En vertu du Règlement Général sur la Protection des Données (RGPD) et de la loi « Informatique et Libertés » du 6 janvier 1978 telle que modifiée, la confidentialité et la sécurisation des données à caractère personnel (ou données personnelles) constituent des enjeux prioritaires pour les Mutuelles du Pays-Haut, nous nous efforçons donc de prendre des engagements transparents en ce qui concerne la protection et la confidentialité des données personnelles.
La présente politique de protection des données a pour objectif de vous informer sur la manière dont les Mutuelles du Pays-Haut utilisent les informations et données vous concernant. Elle expose quelles sont les catégories de données collectées et traitées, la façon dont les Mutuelles du Pays-Haut les gère, et précise les droits dont vous disposez.
En fonction de la sensibilité des données personnelles traitées et de la criticité des traitements les Mutuelles du Pays-Haut mettent également en place des mesures de sécurité proportionnées.
Identité du responsable de traitement des données
Le responsable de traitement est le dirigeant effectif des Mutuelles du Pays-Haut, dont les coordonnées sont :
Mutuelles du Pays-Haut
Madame Edith GATEL
10 Avenue de Saintignon
CS 51418
54414 LONGWY Cedex
Quelles sont les données collectées ?
En appliquant le principe de minimisation, un des principes-clés du Règlement Général sur la Protection des Données (RGPD), les Mutuelles du Pays-Haut veillent à n’utiliser que les données strictement nécessaires au regard de la finalité pour laquelle elles ont été collectées.
Ainsi, les catégories de données personnelles suivantes sont concernées :
Données personnelles courantes
- Identification (état civil, identité, coordonnées, adresse)
- Informations sur la vie personnelle (situation familiale)
- Informations professionnelles
- Informations sur le régime sécurité sociale de rattachement (hors numéro de sécurité sociale)
- Informations d’ordre financier et bancaire
- Données techniques d’utilisation informatique (cookies fonctionnels)
Données dites « sensibles », au sens du RGPD
- Numéro de sécurité sociale (NIR)
- Données concernant la santé (date de soins, acte, codification de médecins…)
Quelles sont les finalités de cette collecte ?
Les traitements de données personnelles mis en œuvre par les Mutuelles du Pays-Haut répondent systématiquement à une finalité explicite, légitime et préalablement déterminée. Leur traitement est nécessaire pour assurer l’exécution des contrats d’assurance, notamment pour :
- Etablissement et traitement des devis en Santé et Prévoyance
- L’adhésion et la gestion, y compris commerciale, des contrats individuels et collectifs Santé et Prévoyance (incluant la gestion des garanties d’assistance)
- L’ouverture, le traitement et/ou le règlement des prestations Santé et Prévoyance
- La gestion des recrutements de personnel pour les besoins de la mutuelle
Les Mutuelles du Pays-Haut recueillent les données personnelles essentiellement directement auprès des adhérents ou, dans le cadre des contrats collectifs, via les entreprises souscriptrices.
Le traitement des données personnelles est également nécessaire pour se conformer aux obligations légales et règlementaires, notamment :
- Les déclarations obligatoires auprès des autorités et administrations publiques, notamment sociales et fiscales
- La lutte contre le blanchiment et le financement du terrorisme (dispositif LCB-FT)
- La lutte contre la fraude
- Le devoir d’information et de conseil dans le cadre de la Directive sur la Distribution d’Assurances (DDA)
Fondement juridique des traitements de vos données
Un traitement ne peut être mis en œuvre que s’il respecte le principe de licéité. Pour ce faire, il est nécessaire qu’il remplisse au moins une des conditions alternatives suivantes :
- La personne a consenti au traitement pour une ou plusieurs finalités spécifiques
- Le traitement est nécessaire à l’exécution d’un contrat dont la personne fait partie ou à l’exécution de mesures précontractuelles prises à sa demande
- Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable de traitement est soumis ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont il est investi
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne ou d’une autre personne physique
- Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par les Mutuelles du Pays-Haut, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données
Les fondements juridiques des principaux traitements exécutés par les Mutuelles du Pays-Haut sont présentés ci-dessous :
| Domaine de traitement | Fondement juridique |
| Gestion contrats Santé* | Exécution du contrat |
| Gestion contrats Prévoyance* | Exécution du contrat |
| Gestion des flux de tiers-payant | Exécution du contrat |
| Relations avec les professionnels de santé | Exécution du contrat |
| Communication aux adhérents | Exécution du contrat
Intérêt légitime |
| Communication aux acteurs externes | Obligation légale
Intérêt légitime |
| Relations avec les organismes d’assurance partenaires | Exécution du contrat |
* Le terme gestion doit être entendu ici au sens large ; c’est-à-dire la souscription, l’exécution, la gestion à proprement parler du contrat d’assurance de l’adhérent et de ses bénéficiaires / ayants droit, avant et post adhésion / affiliation, résiliation.
Avec qui partageons-nous les données traitées ?
Les Mutuelles du Pays-Haut ne communiquent vos données à caractère personnel qu’à des destinataires habilités et déterminés, en lien avec les finalités définies à l’avance.
Ainsi, les destinataires de vos données à caractère personnel sont les services concernés au sein des Mutuelles du Pays-Haut.
Par ailleurs, dans le cadre de la gestion des contrats d’assurance et des services associés, les Mutuelles du Pays-Haut sont amenées à travailler avec des sous-traitants dans les domaines suivants :
- La gestion des flux de tiers-payant entre les professionnels de santé et les Mutuelles du Pays-Haut
- La gestion des flux de télétransmission entre les caisses du régime obligatoire et les Mutuelles du Pays-Haut
- La gestion des contrats Prévoyance
- La gestion des garanties d’assistance
- La gestion des prestations éditiques
| Domaine de traitement | Destinataires |
| Gestion contrats Santé | Service interne des Mutuelles du Pays-Haut
Partenaires institutionnels ou commerciaux (ex. gestion des garanties d’assistance) Sous-traitant (ex. mise sous pli des éditiques) |
| Gestion contrats Prévoyance | Service interne des Mutuelles du Pays-Haut
Partenaires institutionnels ou commerciaux Sous-traitant (ex. mise sous pli des éditiques) |
| Gestion des flux de tiers-payant | Service interne des Mutuelles du Pays-Haut
Partenaires institutionnels ou commerciaux |
| Relations avec les professionnels de santé | Service interne des Mutuelles du Pays-Haut
Partenaires institutionnels ou commerciaux |
| Gestion des candidatures aux offres d’emploi de la mutuelle | Service interne des Mutuelles du Pays-Haut |
Nous nous assurons que l’ensemble des sous-traitants et prestataires externes offrent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles en matière de protection des données à caractère personnel.
Actuellement, aucun transfert de données personnelles en dehors de l’Union européenne n’a lieu et l’intégralité de nos données sont hébergées en France.
Pour combien de temps les données sont-elles conservées ?
Les Mutuelles du Pays-Haut ne conservent vos données personnelles que pour une durée limitée, en fonction de la finalité du traitement, de la durée de conservation relevant d’obligations légales et en respectant les lignes directrices de la CNIL (Commission Nationale Informatique et Libertés).
Les données personnelles nécessaires à la gestion des contrats d’assurance et des services associés sont conservées pendant toute la durée du contrat et, après résiliation, jusqu’à l’expiration des délais de prescription légales applicables. Ces délais peuvent notamment être prolongés en cas de contentieux.
Par ailleurs, dans le cadre du traitement des candidatures à un emploi, cette durée n’excède pas 2 ans après le dernier contact.
Comment assurons-nous la sécurité des données ?
Les Mutuelles du Pays-Haut assurent la confidentialité et l’intégrité de vos données à caractère personnel. Selon une approche par les risques, tous les moyens techniques et organisationnels appropriés sont mis en œuvre, notamment pour empêcher qu’elles soient altérées, endommagées ou accessibles par des tiers non autorisés.
Les données concernant la santé font l’objet de mesures de sécurité renforcées. Elles sont uniquement accessibles par un personnel habilité et sensibilisé au sujet du secret médical et de protection des données personnelles.
En cas de violation de données personnelles et conformément aux exigences du RGPD, les Mutuelles du Pays-Haut s’engagent à notifier celle-ci à la CNIL (l’autorité de contrôle compétente) si possible, au plus tard 72h après en avoir pris connaissance. Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et les libertés de la personne concernée, les Mutuelles du Pays-Haut l’en informeront également dans les meilleurs délais.
De quels droits disposez-vous ?
Conformément au RGPD, les Mutuelles du Pays-Haut tiennent à être transparentes sur les traitements de données à caractère personnel qu’elles mettent en œuvre lors de leur activité.
Ainsi, lors de chaque collecte de données à caractère personnel, nous informons de manière claire et compréhensible les personnes concernées sur l’existence des droits dont la liste suit.
- Droit d’accès : toute personne concernée a le droit d’accéder à l’ensemble des données à caractère personnel la concernant et de connaître leur origine
- Droit de rectification : la personne concernée a le droit d’obtenir la rectification des données personnelles la concernant qui sont inexactes ou incomplètes
- Droit à la portabilité : le droit à la portabilité permet de récupérer une partie de ses données personnelles et de les réutiliser à des fins personnelles. Il est limité aux traitements automatisés et ne s’applique que sur les traitements fondés sur le consentement et / ou sur l’exécution d’un contrat
- Droit d’effacement (droit à l’oubli) : toute personne concernée peut faire une demande d’effacement de ses données à caractère personnel dans une série limitative de cas : cessation des finalités du traitement, retrait du consentement qui est la base juridique du traitement, le traitement illicite, l’effacement prévu par une disposition légale, l’exercice du droit d’opposition de la personne, les données collectées auprès d’enfants.
- Droit de limitation du traitement : toute personne concernée peut demander de geler temporairement l’utilisation de ses données personnelles dans certains cas déterminés, comme par exemple la contestation de l’exactitude des données
- Droit de retirer son consentement : toute personne concernée peut retirer le consentement donné antérieurement sauf s’il existe une autre base légale au traitement
- Droit d’opposition : ce droit peut s’exercer notamment en matière de traitement automatisé, y compris le profilage. Il s’agit d’un droit d’opposition à un traitement de données concernant la personne concernée, pour des raisons tenant à sa situation particulière, lorsque la mise en œuvre de ce traitement était justifiée par l’exécution d’une mission d’intérêt public, ou les intérêts légitimes poursuivis par le responsable de traitement.
- Droit d’introduire une réclamation auprès d’une autorité de contrôle : toute personne estimant que le traitement de ses données personnelles n’est pas conforme à la réglementation européenne de protection des données personnelles, peut déposer une plainte auprès de la CNIL dont les coordonnées sont les suivantes :
CNIL – Service des plaintes, 3 place de Fontenay – TSA 80715 – 75334 PARIS Cedex 07
- Droit post-mortem : toute personne concernée peut donner des directives au responsable de traitement quant à l’utilisation de ses données personnelles après son décès.
Contact
L’ensemble des droits ci-dessus s’exerce par la personne concernée auprès du Délégué à la protection des données (DPO) des Mutuelles du Pays-Haut, par courrier électronique (dpo@mutpio.fr) ou par courrier postal à l’adresse suivante (accompagné d’une copie d’un titre d’identité signé) :
Mutuelles du Pays-Haut
DPO – Données Personnelles
10 Avenue de Saintignon
CS 51418
54414 LONGWY Cedex
Les Mutuelles du Pays-Haut s’engagent à fournir les informations demandées dans un délai d’un mois à compter de la réception de la demande. En fonction de la complexité de la demande, ce délai pourra être prolongé d’un mois supplémentaire.
Il convient également de noter qu’en cas de demandes infondées ou excessives des personnes concernées, le Règlement prévoit la possibilité soit d’exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, soit de refuser de donner suite à ces demandes, notamment pour garantir le respect du droit des tiers.
Date d’entrée en vigueur et révision de la Politique de Protection des Données Personnelles
La présente Politique de Protection des Données peut être mise à jour en fonction des besoins des Mutuelles du Pays-Haut ou si une évolution réglementaire et/ou légale l’exige.
Date de dernière mise à jour : juin 2020