Protéger vos données personnelles et les utiliser en toute transparence, dans le respect de votre liberté de choix, est un engagement fort de REMA Assurances depuis plusieurs années. Il est porté par notre ambition de créer un modèle d’entreprise responsable et citoyenne. Au quotidien, cet engagement se traduit par la mise en œuvre de mesures permettant d’assurer la protection des informations que nous détenons. La Politique de protection des données à caractère personnel, définie par REMA Assurances dans le cadre de ses activités, témoigne des engagements mis en œuvre pour une utilisation respectueuse de vos données.
Principes de protection des données personnelles
En tant qu’assureur, REMA Assurances recueille des données à caractère personnel à différentes étapes de la relation commerciale ou de la gestion des contrats d’assurances. Ces données peuvent concerner des prospects ou assurés, ainsi que toute personne partie ou intéressée au contrat d’assurance (ayants-droits, bénéficiaires, tiers victimes, apporteurs, experts, …).
REMA Assurances traite ces données dans le respect des lois et réglementations, et notamment du Règlement Général sur la Protection des Données (RGPD), de la loi Informatique et Libertés du 6 janvier 1978 modifiée, et des référentiels édictés par la CNIL (Commission Nationale de l’Informatique et des Libertés).
Pourquoi vos données sont-elles nécessaires (finalités des traitements) ?
Les données personnelles traitées peuvent être nécessaires à différentes finalités et selon différents fondements juridiques.
Finalité « Passation, gestion et exécution des contrats d’assurances »
Gestion des contrats d’assurance
Sur le fondement juridique de l’exécution des contrats (ou mesures précontractuelles), des données personnelles sont utilisées pour :
- L’étude des besoins de chaque assuré afin de proposer des contrats et services adaptés à chaque situation ;
- L’examen, l’acceptation, le contrôle et la surveillance des risques ;
- La gestion des clients et la gestion des contrats (de la phase pré contractuelle à la résiliation du contrat) ;
- L’exécution des garanties et prestations prévues aux contrats (ex : évaluation des préjudices et indemnisations…) ;
- L’exercice des recours et la gestion des réclamations ou contentieux.
- Respect d’obligations légales, réglementaires ou administratives
La législation impose certaines exigences pour lesquelles vos données sont obligatoirement traitées. Ces traitements sont réalisés sur le fondement juridique des textes existants, et notamment le code des assurances et le code monétaire et financier.
Dans ce cadre, des données peuvent être utilisées, par exemple pour répondre à des règles fiscales ou sociales, ou encore pour nos obligations concernant la lutte contre le blanchiment des capitaux et le financement du terrorisme.
Intérêts légitimes des Responsables de traitement
Certains traitements sont mis en œuvre aux fins des intérêts légitimes poursuivis par les responsables du traitement. Sur ce fondement, des données pourront être utilisées pour :
- L’élaboration de statistiques et études actuarielles (en respect notamment de nos obligations prudentielles) ;
- La mise en place d’actions de prévention, notamment en vue de réduire les risques et les sinistres de notre clientèle ;
- La conduite d’activités de recherche et développement, notamment pour l’amélioration de nos produits et services ;
- La lutte contre la fraude à l’assurance (ces traitements concernent l’analyse et la détection d’actes présentant des anomalies, incohérences, ou ayant fait l’objet d’un signalement pouvant révéler une fraude ; la gestion des alertes en cas d’anomalies/ incohérences/ signalement ; la gestion des procédures amiables, contentieuses ou disciplinaires consécutives à une fraude ; l’exécution des dispositions contractuelles, législatives, réglementaires ou administratives consécutives à une fraude). Ces dispositifs peuvent notamment conduire à l’inscription sur une liste de personnes présentant un risque de fraude pour une durée de 5 ans.
- Des opérations de communication et de fidélisation (jeux concours, programmes de fidélité…) ou d’amélioration de la qualité du service, notamment par la réalisation de sondages ou enquêtes de satisfaction ou l’analyse de nos échanges (courriers, emails, téléphoniques).
- Des enregistrements de conversations téléphoniques ponctuels pourront également être réalisés aux fins de former nos collaborateurs et d’améliorer notre qualité de service et votre satisfaction.
Finalité « Prospection commerciale »
Dans le cadre des activités de Prospection commerciale, des données personnelles pourront être utilisées par les services de REMA Assurances responsables de traitement pour effectuer les opérations relatives à la gestion des prospects (sélection des personnes, sollicitation commerciale…).
Nous pouvons également, dans le respect de la réglementation, acquérir auprès de tiers des données relatives à des prospects en vue d’opérations commerciales (par exemple : données d’identification, coordonnées, ainsi que des données relatives au ciblage envisagé tels par exemple les tranches d’âge, la zone géographique, catégories sociaux professionnelles, …).
Les traitements mis en œuvre aux fins de prospection par voie électronique (email, SMS/MMS) à destination de prospects ont pour fondement juridique le recueil du consentement explicite des prospects (nb : le recueil du consentement n’est pas nécessaire pour la prospection électronique à destination de clients ou de professionnels).
Concernant la prospection à destination de clients ou de professionnels, ou la prospection par courrier ou téléphone, nos traitements ont pour fondement juridique l’intérêt légitime des Responsables de traitement.
Vous pouvez vous opposer à tout moment et sans motif à l’utilisation de vos données à des fins de prospection commerciale.
Décisions automatisées, profilage
Les Responsables de traitement peuvent être amenés à mettre en œuvre des traitements de profilage et dans certains cas à avoir recours à des décisions individuelles automatisées.
Ces dispositifs peuvent être mis en œuvre pour les finalités de “prospection commerciale” ou de “passation, gestion, exécution des contrats d’assurance” (cf rubrique “pourquoi vos données sont-elles nécessaires“), et permettent notamment d’évaluer et anticiper les risques ou d’améliorer notre efficacité et nos services.
En cas de décision individuelle produisant des effets juridiques fondée sur un traitement automatisé, les personnes sont spécifiquement informées et mises en mesure de contacter nos services afin d’apporter toute précision utile et le cas échéant de contester la décision.
Si vos données à caractère personnel sont utilisées dans le cadre d’une prise de décision automatisée, les informations utiles à la compréhension et aux conséquences de la décision prise peuvent être communiquées sur demande (dès lors que cela ne porte pas atteinte au secret des affaires).
Quelles sont les données utilisées ?
En respect du principe de minimisation, seules les données pertinentes et strictement nécessaires aux objectifs poursuivis sont collectées. Ces données varient selon la nature du contrat d’assurance et/ou de votre situation. Ainsi, les Responsables de Traitement pourront traiter tout ou partie des données suivantes pour atteindre les finalités visées dans la rubrique « Pourquoi vos données sont nécessaires ? » :
- Données d’identification (état civil coordonnées, nationalité, …)
- Données relatives à la gestion du contrat (numéro d’identification du client, du sinistre, montant de primes…)
- Données relatives à la situation familiale (situation matrimoniale, composition du foyer, …)
- Données relatives à la situation économique, patrimoniale et financière (salaires, avoirs financiers, capitaux souscrits, données de patrimoine, …)
- Données nécessaires au paiement de la prime d’assurance (numéro de chèque, RIB/IBAN, …)
- Données relatives à la situation professionnelle (domaine d’activité, profession, n° SIRET, …)
- Données relatives à l’appréciation du risque (ex : caractéristiques du bien assurable, type de bien.
- Données relatives à la détermination ou à l’évaluation des préjudices et des prestations (nature et circonstances du sinistre, nature et étendue des préjudices, …)
- Données sensibles (données relatives à la santé des personnes, …) dès lors qu’elles sont nécessaires à la souscription ou à la gestion d’un contrat (ex : indemnisation d’un préjudice corporel, évaluation du risque, …). Les données relatives à la santé sont recueillies avec l’accord explicite des personnes.
- « Numéro de sécurité sociale » (dans les conditions légalement prévues)
- Données de géolocalisation des personnes ou des biens en relation avec les risques assurés ou les services proposés
- Données relatives à la lutte contre les fraudes : En complément des données listées ci-dessus pourront être traitées aux fins de détection des fraudes : des données de localisation et de connexion, des données issues de pages internet ouvertes au public, des données collectées au titre de la gestion administrative du personnel, des données relatives aux anomalies/incohérences et signalements pouvant révéler une fraude, des données de personnes intervenant dans la détection et la gestion de la fraude, ainsi que toutes données relatives aux investigations, à l’instruction du dossier de fraude et à l’évaluation du périmètre de la fraude.
- Données relatives aux prospects (civilité, coordonnées, …)
- Données relatives au suivi de la relation commerciale (demande de renseignement, abonnement, …)
- Données relatives aux parcours digitaux (date et lieu de connexion, applications mobiles, cookies…)
- Données relatives aux actions de prospection, de fidélisation, d’enquêtes ou sondages, de jeux concours ou opérations promotionnelles, ou relatives aux avis des personnes ou aux enregistrements téléphoniques
Ces données sont collectées directement auprès des personnes concernées. La fourniture de vos données est nécessaire au traitement des demandes ou à l’exécution des contrats ou d’obligations légales. Leur fourniture est obligatoire, à défaut, ces demandes ne pourront être traitées ou leur temps de traitement pourra être retardé. Nous sommes, par ailleurs, tenus par la réglementation de vérifier régulièrement que vos données sont exactes, complètes et à jour. Nous pourrons ainsi vous solliciter régulièrement pour le vérifier et, le cas échéant, compléter votre dossier.
Certaines données peuvent également nous être communiquées par des administrations, organismes professionnels ou être collectées auprès de tiers dans le respect de la réglementation (administration fiscale, régimes sociaux, notaires, co-assureurs, intermédiaires, partenaires, experts, enquêteurs, ALFA aux fins de détecter des fraudes …) dès lors qu’elles sont nécessaires à l’exécution des contrats d’assurance ou à la relation commerciale.
Combien de temps les données sont conservées ?
REMA Assurances est tenu de conserver les données dans le respect des règles de prescription applicables conformément à ses obligations.
Finalité « Passation, gestion, exécution des contrats » :
En cas de conclusion d’un contrat d’assurance, les données sont conservées le temps de nos engagements contractuels, et jusqu’à expiration des délais de prescription. A l’issue de ces délais, les données sont supprimées (ou anonymisées).
Durant cette période de conservation et conformément à nos obligations légales (loi 2017-1433), les documents restent accessibles et disponibles aux assurés, sur simple demande, pendant 5 ans après la fin de la relation contractuelle, afin de leur permettre de les consulter et de les archiver.
Dans le cadre de la lutte à la fraude, les signalements ou alertes « non pertinentes » sont conservées 6 mois maximum. Si l’alerte est confirmée, les données sont conservées 5 ans à compter de la clôture du dossier de fraude ou jusqu’au terme de la procédure judiciaire. Les informations sont ensuite archivées conformément aux règles de prescription. En cas d’inscription sur une liste de personnes présentant un risque de fraude, les données pourrons être conservées 5 ans à compter de la date d’inscription.
En cas de non-conclusion d’un contrat, les données (notamment les données nécessaires à l’étude des besoins, à l’examen, l’acceptation et la surveillance des risques, ou encore les données de santé) pourront être conservées pour une durée de 5 ans à compter de leur collecte ou du dernier contact. La conservation des données de santé en l’absence de conclusion d’un contrat d’assurance est justifiée par le fait que les Responsables de Traitement doivent pouvoir répondre aux demandes d’un assuré en cas de contestation suite à un refus ou une mise en cause de leur responsabilité ou en cas de demandes de médiation. Les obligations en matière de lutte contre le blanchiment et de financement du terrorisme peuvent également justifier une conservation des informations pendant 5 ans en l’absence d’entrée en relation d’affaires.
Les enregistrements des conversations téléphoniques à des fins de formation des collaborateurs et d’amélioration de notre qualité de service sont conservés 6 mois maximum à compter de leur collecte.
Les enquêtes de satisfaction sont conservées 3 ans maximum à compter de la collecte (puis anonymisées).
Prospection commerciale :
Les données des prospects sont conservées 3 ans maximum après le dernier contact ou la fin de la relation contractuelle.
Quels sont vos droits sur vos données ?
Toute personne dispose de droits sur ses données :
- Droit d’accès : vous pouvez obtenir des informations concernant le traitement de vos données ainsi qu’une copie de ces données
(nb : concernant les données traitées dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme, le droit d’accès s’exerce auprès de la Commission Nationale de l’Informatique et des Libertés) ;
- Droit de rectification : si vous estimez que vos données sont inexactes ou incomplètes, vous pouvez demander à ce que ces données soient modifiées ou complétées ;
- Droit d’opposition au traitement des données à caractère personnel pour des motifs légitimes, ou droit d’opposition sans motif s’agissant de l’utilisation de vos données à des fins de prospection commerciale ou concernant les enregistrements téléphoniques ; Concernant la prospection par téléphone, vous pouvez aussi vous opposer en vous inscrivant gratuitement sur la liste d’opposition nationale BLOCTEL (bloctel.gouv.fr) qui interdit aux professionnels avec lesquels vous n’avez pas de relation contractuelle en cours, de vous démarcher par téléphone
- Droit à la limitation des données à caractère personnel ;
- Droit à l’effacement des données : vous pouvez demander l’effacement de vos données personnelles (sous réserve d’obligations des responsables de traitement de conserver les données selon les règles de prescription applicables) ;
- Droit à la portabilité des données : vous pouvez demander que les données personnelles que vous avez personnellement fournies vous soient rendues ou, lorsque cela est techniquement possible, transférées à un tiers
- Droit de retirer votre consentement si l’utilisation des données est fondée sur une autorisation spéciale et expresse ;
- Droit de définir des directives relatives au sort des données à caractère personnel après son décès.
Pour exercer ces droits, contacter notre DPO par un courrier à DPO REMA Assurances [Direction Gouvernance et Qualité de la Donnée –
8 rue Henri IV – 28000 CHARTRES], ou par email à DPOrema@rema-assurances.fr
En cas de demandes liées à des données médicales, veuillez adresser votre demande à l’attention du Médecin conseil, REMA Assurances, 8 rue Henri IV, 28000 CHARTRES.
Vous pouvez également, en cas de réclamation, choisir de saisir la CNIL (https://www.cnil.fr/). Nous vous encourageons à contacter le Délégué à la Protection des Données pour toute problématique relative à vos données personnelles.
Quels sont les destinataires des données personnelles ?
Les données sont destinées, dans la limite de leurs attributions :
- Aux services des Responsables de Traitements ou d’autres entités de REMA Assurances en charge des relations commerciales ou de la gestion des contrats
- Aux services des Responsables de Traitement ou d’autres entités dès lors que leurs missions le justifient, et notamment à des fins de regroupement des contrats, d’amélioration de la qualité de service ou de la connaissance client, de reporting, de lutte contre la fraude, de lutte contre le blanchiment et le financement du terrorisme, d’audit et de contrôle, de recherches et développements.
- Certaines informations peuvent être communiquées, dès lors que cela est nécessaire, à nos réassureurs, co-assureurs, intermédiaires, partenaires, délégataires, ou sous-traitants, et à d’autres sociétés d’assurance si celles-ci sont impliquées dans la gestion d’un contrat (ex : assureur d’un tiers victime) ou encore être communiquée à des personnes intéressées au contrats (souscripteurs, adhérents, bénéficiaires, ayants-droits) ou aux tiers intéressés par l’exécution du contrat (victimes et leurs ayants, témoins, …).
- Certaines données peuvent être transmises aux organismes susceptibles d’intervenir l’activité d’assurance, tels les organismes publics habilités (administration fiscale, ministères concernés, autorités de tutelle, régimes sociaux, autorités compétentes, …), ainsi qu’aux organismes professionnels (notamment à l’Agence de Lutte contre la Fraude à l’Assurance, l’Association pour la Gestion des Informations sur le Risque en Assurance, le Fonds de garanties), ou encore aux médiateurs, notaires, avocats, curateurs, auxiliaires de justice ou juridictions s’il y a lieu.
- Les enregistrements téléphoniques sont destinés aux personnes en charge de la formation des collaborateurs et de l’amélioration de notre qualité de service et de la connaissance clients (managers et services en charge des ressources humaines, sous-traitants, services en charge de l’audit et du contrôle, services en charge de la division client et de la transformation digitale).
Quelles sont les mesures prises en cas de transfert d’informations hors UE ?
Vos données sont traitées par REMA Assurances principalement en France ou au sein de l’Union Européenne.
Dans certains cas, des transferts vers un pays tiers à l’Union Européenne peuvent être nécessaires à l’exécution du contrat d’assurance ou de mesures pré-contractuelles prises à la demande des personnes concernées (assurés, tiers victimes, …), ou être nécessaires à la conclusion ou l’exécution d’un contrat dans l’intérêt de la personne concernée, ou être nécessaires à la constatation, l’exercice ou la défense de droits en justice des personnes concernées ou des Responsables de traitement.
Certains transferts vers des pays tiers à l’Espace Economique Européen, peuvent également être effectués vers nos partenaires pour l’exécution des contrats d’assurance (réassureurs ou courtiers internationaux, assistance, gestion de sinistres étrangers, …) ou vers des sous-traitants pour la fourniture de services spécifiques et/ou la maintenance, l’administration ou l’hébergement d’outils informatiques ou de communication (notamment nos outils bureautiques et de messageries). Dans ce cadre, certaines données énumérées à la rubrique « Quelles sont les données utilisées ? » pourront être transférées vers un pays tiers. Dès lors que le pays de destination n’offre pas un niveau de protection de vos données équivalent au niveau de protection offert par le RGPD, ces transferts sont encadrés par des conventions de flux transfrontières basés sur les Clauses types adoptées par la Commission Européenne, ou sur d’autres garanties spécifiques en fonction des situations (règles d’entreprise contraignantes, existence d’un code de conduite ou de certifications approuvées par exemple).
Quelles mesures de sécurité de vos données ?
REMA Assurances détermine et met en œuvre les moyens nécessaires à la protection des données à caractère personnel pour éviter tout accès par un tiers non autorisé et prévenir toute perte, altération ou divulgation de données. Ainsi, la politique de sécurité de REMA Assurances s’organise autour de mesures d’ordre logique, physique ou organisationnel. REMA Assurances définit des règles d’accès et de confidentialité applicables aux données personnelles traitées, et seules les personnes dûment habilitées peuvent accéder aux informations nécessaires à leur activité. Les mesures mises en œuvre sont adaptées en fonction de la sensibilité des informations concernées. Ainsi par exemple, les données relatives à la santé des personnes font l’objet de mesures renforcées.
Par ailleurs, nous exigeons contractuellement de nos partenaires ou sous-traitants qu’ils présentent des garanties appropriées pour assurer la sécurité et la confidentialité des données personnelles, et nos collaborateurs sont régulièrement formés aux règles de protection des données et de sécurité.
Les acteurs de la protection des données chez REMA Assurances
REMA Assurances a désigné un DPO (Délégué à la Protection des Données). Interlocuteur spécialisé dans la protection des données personnelles, chargé de veiller à la bonne application des règles de protection des données, interlocuteur privilégié de la Commission Nationale de l’Informatique et des Libertés (CNIL) et de toutes personnes concernées par un traitement de données à caractère personnel.
Politique de protection des données à caractère personnel accessible à tous sur les sites internet REMA Assurances.
Un renvoi à cette politique figure dans nos formulaires, documents commerciaux ou contractuels.
Cette Politique de Protection des Données Personnelles est complétée :
- De notices « cookies », consultables sur nos sites et applications, informant des dispositifs de suivi de la navigation mis en œuvre et permettant de gérer vos préférences (notamment vous y opposer).
- S’il y a lieu, de dispositions particulières concernant certains contrats ou services (ex : dispositifs de géolocalisation, conditions générales d’utilisations de nos applications et espaces personnels…)
Politique de protection des données validée par le DPO de REMA Assurances
Cette politique sera actualisée régulièrement selon besoins. : Dernière mise à jour : Décembre 2021