Politique de confidentialité

Préambule

Réglementation

Conformément au règlement général sur la protection des données 2016/679 (RGPD) applicable depuis le 25 mai 2018 et à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée (dite « loi Informatique et Libertés), la Mutuelle Centrale des Finances (MCF) se conforme aux lois et règlementations dans le cadre de ses activités en matière de protection et de collecte de traitement des données personnelles.

 

Présentation de la Mutuelle Centrale des Finances

La Mutuelle Centrale des Finances, enregistrée sous le numéro SIREN 302 976 568 Mutuelle Centrale des Finances, MCF, Mutuelle soumise aux dispositions du livre II du code de la mutualité, numéro LEI 969500RCWXYXRZJGU680 et ayant son siège au 110, rue de Picpus – CS 80054 – 75131 Paris Cedex 12.

Elle est responsable de traitement pour la gestion des données qu’elle réalise dans le cadre de
ses activités.

Elle dispose d’un Délégué à la protection des données dit DPO (Data Protection Officer) qui est chargé de mettre en œuvre la conformité du règlement européen sur la protection des données au sein de la MCF s’agissant de l’ensemble des traitements mis en œuvre. Il est le garant du respect du RGPD. Il a fait l’objet d’une déclaration de désignation auprès de la CNIL portant N°DPO-149450.

Ses missions principales sont :

  • D’informer et de conseiller l’organisme qui l’a désigné
  • De contrôler le respect du RGPD et du droit national.
  • De conseiller la MCF sur la réalisation d’analyse d’impact relative à la protection des données et d’en vérifier la bonne exécution.
  • D’être contacté par les personnes concernées pour toute question
  • De coopérer avec la CNIL et d’être son point de contact.

A cet égard, le DPO a été choisi pour ses compétences, son expérience professionnelle, ses connaissances juridiques et techniques en assurance, ses qualités personnelles (honorabilité, absence de conflits d’intérêts) et son indépendance dans l’exercice de ses missions. Le DPO peut être contacté directement par courriel dpo@mutuellemcf.fr ou par voie postale 110 rue de Picpus CS 80502 PARIS 75131.

Les services de la mutuelle tiennent à jour le registre de traitement des données personnelles dont ils sont aussi responsables.

Objectifs de la politique

La présente politique synthétise les engagements pris par la MCF en matière de protection des données personnelles. La confiance étant un élément essentiel dans la relation avec ses adhérents, la MCF fournit ce document aux informations claires, simples et précises concernant le traitement des données à l’usager : quelles données personnelles sont collectées, quelle utilisation en est faite, et quels droits existent sur ces données et qui est le point de contact pour obtenir plus d’informations sur les traitements qui sont opérés par la MCF ou pour exercer vos droits.

 

Périmètre et modification de la politique

En tant que mutuelle, la MCF est amenée à gérer des données personnelles y compris des données dites sensibles telles que les données de santé. Cette politique s’applique à toutes les données recueillies, traitées partagées par MCF en ligne et hors ligne. Cette politique s’applique à l’ensemble des collaborateurs de la mutuelle dans la limite de leurs habilitations (sécurisée via une clause aux contrats de travail), aux élus et les membres du conseil d’administration, aux utilisateurs ou visiteurs du site internet et des espaces extranets, aux adhérents et bénéficiaires d’une garantie souscrite, aux professionnels de santé, aux centres de gestion, à l’assisteur, aux réseaux de soins partenaires, aux représentants légaux d’une personne morale, à nos fournisseurs, à nos partenaires (délégataires, intermédiaires co-assureurs, réassureurs) à des organismes professionnels, à nos prestataires. Cette liste n’est pas exhaustive, seuls les destinataires dûment habilités peuvent accéder dans le cadre de la politique d’accès aux informations nécessaires à leur activité. Les relations avec les sous-traitants sont encadrées contractuellement pour intégrer les exigences RGPD.

 

Le périmètre du traitement des données à caractère personnel mis en place par MCF ne fait pas l’objet de transfert hors Union européenne. Les données sont hébergées au sein de l’UE, et la MCF oblige ses sous-traitants à ce que les données personnelles traitées soient hébergées en France ou au moins au sein de l’Union Européenne. Des clauses contractuelles encadrent le respect du RGPD dans le cadre des relations commerciales et ou de sous-traitance. La mutuelle MCF se réserve le droit de modifier ou mettre à jour à tout moment en raison de l’évolution des traitements ou de l’évolution réglementaire applicable ses mentions légales et la présente politique. Toute nouvelle version de la politique protection des données vous sera communiquée par tout moyen (courriel, site web mutuelle …).

Règles pour le traitement des données personnelles

Dans le cadre de la présente politique, les termes employés auront le sens qui leur est donné par la présente section :

 

Données à caractère personnel

Selon le RGPD, toute information se rapportant à une personne physique identifiée ou identifiable (personne concernée par le traitement) directement ou indirectement est une donnée à caractère personnel.

 

Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, un n° de carte d’identité, un salaire, une rémunération, des dossiers de santé, des informations de compte bancaire, des habitudes de conduites ou de consommation des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

 

Ainsi, MCF, en raison de son activité, est amenée à collecter et à traiter des données personnelles strictement nécessaires à la réalisation des services proposés tels que le nom, prénom, l’âge, le lieu et la date de naissance , l’adresse postale, le courriel, le numéro de téléphone, le sexe, la signature, des documents officiels d’identités, le numéro de sécurité sociale, les coordonnées bancaires, les données de santé exclusivement utilisées pour la gestion des prestations et les prises en charge. Ces données sont collectées avec le consentement exprès et préalable ou selon le fondement de la base légale (l’exécution du contrat nous liant ; les obligations auxquelles MCF est soumise, la poursuite des intérêts légitimes (fraude etc.) et sont traitées de manière transparente, confidentielle et sécurisée.

 

La collecte

Avant toute collecte, la MCF définit de façon claire les objectifs poursuivis par la collecte de données et s’assure que la finalité définie est compatible avec ses activités. Conformément au principe de minimisation, la MCF ne collecte que les données à caractère personnel strictement nécessaire à l’exécution du contrat. Elle s’attache à la bonne pertinence, adéquation et minimisation des données collectées. La MCF s’engage à minimiser les données collectées, à les tenir exactes et à jour. Les données personnelles collectées sont mises à jour en fonction des données transmises par les personnes concernées.

 

La MCF peut être amenée à collecter différentes catégories de données personnelles auprès de personnes, et notamment :

  • Informations d’identification et de contact (nom, prénom, date de naissance, numéro de Sécurité sociale, adresses postale et électronique, numéro de téléphone, ou signature) ;
  • Données d’identification et d’authentification notamment lors de l’utilisation de l’Espace adhérent ;
  • Informations relatives à l’emploi (statut, date de recrutement, administration d’appartenance, rémunération) ;
  • Informations bancaires et financières (coordonnées bancaires, mandat SEPA).

Les collaborateurs de la mutuelle ont l’obligation de respecter les principes de légalité, licéité et de loyauté du traitement lorsqu’ils collectent, traitent, conservent et enregistrent les données personnelles (Article 5 du RGPD).

 

Elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.

 

La collecte des données à caractère personnel se fait au soutien de formulaires papier ou électronique (Site internet) notamment au moment de l’adhésion à la Mutuelle, ou lors de la visite et de l’utilisation de fonctionnalités et/ou services proposés sur le Site et son Espace adhérent.

 

La collecte est nécessaire à l’accomplissement des finalités de traitements. Pour offrir un service toujours plus performant et personnel, nos applications proposées sur smartphone ou tablette peuvent avoir recours aux fonctionnalités suivantes :

  • La géolocalisation
  • L’appareil photo pour permettre la prise de photographies de devis ou factures
  • L’analyse de la navigation après avoir recueilli le consentement préalable éclairé et spécifique et express.

Cette politique fournit une information concise, transparente, compréhensible et facilement accessible en termes clairs et simple, à toute personne concernée par la collecte et le traitement de ses données (article 12 et 13 du RGPD). Elle résume les principes et les droits liés à la protection des données personnelles qui sont dans cette politique et dans les documents contractuels (règlements mutualistes, conditions particulières, notices d’informations…). Dans le cadre de l’exploitation de son site internet, et de l’espace personnel adhérent, la MCF est susceptible de collecter des données personnelles relatives utilisateurs. Dans ce cas, elle les traite selon les finalités prévues lors de la collecte.

 

Les traitements

Les traitements de la MCF se fondent sur le consentement exprès, préalable, éclairé, spécifique de l’adhérent ou du prospect, ou sur l’exécution du contrat conclu entre MCF et son adhérent, ou sur le respect des obligations légales, ou sur l’intérêt légitime de cette dernière comme la lutte contre la fraude.

 

L’ensemble des traitements est répertorié dans un registre de traitements tenu sous format électronique, mis à jour annuellement et à disposition des autorités de contrôle sur demande.

 

Analyse d’impact

MCF réalise une analyse d’impact sur la vie privée des personnes concernées si les traitements répondent aux critères obligatoires listés par la CNIL ou si non obligatoire mais que deux critères y répondent MCF s’exécute par le traitement des données pour mesurer le risque de chaque traitement envisagé, présentant un risque important ou critique pour la vie privée, à l’aide de l’outil PIA mis à disposition par la CNIL.

Tout risque identifié est classé par niveau : inexistant, faible, modéré, important, critique. La MCF met en place des mesures techniques et/ou organisationnelles supplémentaires pour atténuer tout risque et consulte la CNIL pour avis lorsque que cela est préconisé, ou si les différentes mesures de maîtrise du risque s’avèrent insuffisantes pour autorisation.

 

Privacy by design et by default

La MCF s’engage à respecter les principes de Privacy by design et de Privacy by default lors de la création de tout traitement. Ces principes signifient que lorsqu’un traitement est créé, il doit intégrer des mesures de sécurité par défaut, et d’un niveau suffisant et maximum. La MCF vérifie lors de la création ou de la modification d’un produit, si le traitement est modifié ou crée et procède à l’analyse du risque qui en découle.

 

Les finalités du traitement : une utilisation légitime et proportionnée

Vos données à caractère personnel sont collectées par la MCF en tant que responsable de traitement pour des finalités déterminées et légitimes dont l’objectif est précisément identifié à l’avance au regard des intérêts de la mutuelle Centrale des Finances.

Pour exécuter un contrat conclu avec l’adhérent et fournir des informations précontractuelles ;

Fournir des informations relatives à ses produits et services aux adhérent ;

Assister les prospects lors de la demande d’adhésion/souscription ;

Souscrire des produits et services distribués par la MCF ;

Dans le cadre de la gestion de la relation adhérent ;

  • Gestion et exécution des produits et services ;
  • Evaluation des besoins des adhérents ;
  • Distribution notamment de produits ; étant entendu que l’assureur ou le fournisseur du service, selon le cas, demeure par ailleurs responsable du traitement nécessaire à la mise en œuvre de l’opération d’assurance et à la fourniture du service ;
  • Gestion informatique y compris gestion de l’infrastructure et continuité des activités ;
  • Pour servir nos intérêts légitimes ;
  • Les réponses aux demandes officielles des autorités publiques ou judiciaires dûment autorisées

Elle ne vend jamais les données de ses adhérents et ne les récolte les données que pour réaliser des traitements dont les finalités et les bases juridiques sont aussi les suivantes :

  • Mise en œuvre d’opérations de prospections, commerciales ou promotionnelles ou de fidélisation à destination des adhérents : le traitement est fondé soit sur le consentement, soit sur l’intérêt légitime du responsable de traitement dans le respect des droits et des intérêts des assurés
  • A l’exercice du devoir de conseil impliquant le recueil des besoins exprimés par l’adhérent et à la proposition à l’assuré de produits, de services permettant de réduire la sinistralité ou d’offrir un contrat ou une prestation complémentaire par l’organisme porteur du risque ou tout partenaire : le traitement est alors fondé sur l’exécution contractuelle qui lie MCF à l’assuré ou sur des mesures précontractuelles prises à la demande de celui-ci.
  • A la souscription, la gestion et l’exécution du contrat ainsi que des autres contrats souscrits auprès de MCF : le traitement est fondé sur l’exécution du contrat.
  • La gestion des avis de l’assuré sur les produits, services ou contenus proposés par MCF : le traitement est alors fondé sur l’intérêt légitime du responsable de traitement dans le respect du droit et des intérêts de l’usager.
  • A l’élaboration de statistiques y compris commerciales, d’études actuarielles ou autres analyses comme pour la maîtrise du risque : le traitement est fondé sur l’intérêt légitime du responsable de traitement dans le respect des droits et des intérêts de l’adhérent.
  • A l’exercice des recours, la gestion des réclamations et des contentieux : le traitement est alors fondé sur l’exécution du contrat auquel l’adhérent est partie prenante.
  • La lutte contre la fraude : le traitement est alors fondé sur l’intérêt légitime du responsable de traitement dans le respect des droits et des intérêts de l’adhérent.
  • La lutte contre le blanchiment des capitaux et au financement du terrorisme : le traitement est fondé sur le respect d’une obligation légale incombant à la MCF en tant que responsable de traitement.
  • L’exécution des dispositions légales, réglementaires et administratives en vigueur : le traitement est fondé sur le respect d’une obligation légale incombant au responsable de traitement.
  • La fiabilisation et l’enrichissement de nos bases de données.

Certaines des données à caractère personnel contribuent à fournir les prestations de la mutuelle et à améliorer la qualité des services et des actions de préventions. Vos données à caractère personnel ne font l’objet d’aucun traitement ultérieur incompatible avec les finalités pour lesquelles elles ont été collectées initialement.

Dans certains cas la MCF, pour utiliser les données personnelles, doit requérir au consentement de la personne concernée :

  • Lorsque les finalités décrites ci-dessus donnent lieu à une prise de décision automatisée produisant des effets juridiques la concernant ou l’affectant de manière significative. La MCF l’informera alors de la logique sous-jacente ainsi que de l’importance et des conséquences prévues de ce traitement ;
  • S’il est procédé à un traitement à des fins autres que celles décrites ci-avant. La MCF l’informera alors et, si nécessaire, lui demandera son consentement.

Pour chaque traitement le MCF s’engage à ne collecter et traiter que des données strictement nécessaires à l’objectif poursuivi.

 

Le numéro de Sécurité sociale

Les articles R.115-1 et R.115-2 du code de la Sécurité sociale autorisent la MCF à collecter et à utiliser le numéro de Sécurité sociale NIR pour l’exercice de ses missions de mutuelle. La complémentaire santé est l’activité principale de la MCF. Dans ce cadre, le numéro de sécurité sociale sert à mettre en place le lien de télétransmission NOEMIE entre les services de gestion et les différentes Caisses Primaires d’assurances Maladie(CPAM) pour accélérer et automatiser le remboursement des prestations adhérents.

 

Les données de santé

La MCF veille au respect des obligations issues de la conventions AERAS, du Décret n°2018-137 du 26 février 2018 relatif à l’hébergement des données de santé à caractère personnel, et y accorde une attention particulière pour ses partenaires. Les données protégées par le secret médical sont uniquement destinées au service et personnes habilitées.

 

Les données sensibles

De manière générale, les différentes données ont un niveau de criticité évalué en interne. La MCF se conforme à la définition CNIL sur les données personnelles à caractère sensible et au champs d’application exigé par le règlement européen.

 

La sécurité des données personnelles

La MCF s’assure de respecter les obligations règlementaires en matière de sécurité et de confidentialité des données, notamment avec ses hébergeurs informatiques. A ce titre, elle prend toutes les mesures de précautions utiles, raisonnables et appropriées au regard de la nature des données traitées et des risques présentés par les traitements mis en œuvre, pour préserver leur sécurité et leur intégrité et prévenir toute perte, altération, tout accès ou divulgation non autorisés( protection physique des locaux et logique des postes informatiques, accès restreints, gestion des habilitation et des entrées / sorties, procédé d’authentification, chiffrements des données, la pseudonymisation, et l’anonymisation des données en fonction des risques ou de la capacité à assurer la confidentialité).

 

La MCF applique différentes procédures (audits périodiques, politique sécurité des systèmes d’information, le plan d’action spécifique prévu en cas de vol, perte, fuite, dégradation de données personnelles dans le plan de continuité d’activité, sensibilisation et formation du personnel, contrôles) en interne ou en lien avec ses partenaires.

 

En cas de violation présentant un risque élevé pour les droits et les libertés des personnes physiques, la MCF transmettra dans les meilleurs délais et les conditions prévues par la réglementation une notification à la CNIL. Malgré toutes les mesures techniques et organisationnelles physiques et informatiques, la MCF ne peut se prémunir de tous risques de détournement, de piratage et se saurait être tenue pour responsable.

Les droits

Conformément à la réglementation article 15 et suivants du RGPD, les personnes physiques concernées par le traitement de leurs données disposent d’un droit à exercer selon la base juridique de traitement :

  • Un droit d’accès : permet d’obtenir confirmation que vos données à caractère personnel sont traitées par la MCF en tant que responsable de traitement et d’en obtenir une copie.
  • Un droit de rectification : permet d’obtenir de la MCF la rectification à votre demande des données à caractère personnel si elles sont inexactes ou incomplètes
  • Un droit à l’effacement ou oubli : permet d’obtenir l’effacement de vos données
  • Un droit d’opposition : permet de vous opposer à tout moment pour des raisons tenant à une situation particulière à un traitement de données à caractère personnel, y compris au profilage dans la mesure où il est lié à collecte de données à des fins de prospections.
  • Un droit à la limitation : permet de demander un gel ou une limitation temporaire de l’utilisation de vos données à caractère personnel
  • Un droit à la portabilité : permet de demander que les données que vous nous avez confiées, vous soient restituées dans un format structuré, couramment utilisé et lisible par une machine. Libre à vous de stocker ailleurs ces données portables ou de les transmettre d’un système à un autre en vue d’une réutilisation à d’autres fins.
  • Un droit post mortem : Conformément à l’article 40-1 de la loi Informatique et Liberté, les personnes physiques concernées peuvent donner des directives particulières à la MCF, relatives à la conservation, à l’effacement et à la communication de leurs données après leur décès à charge de justifier de leur identité lord de la demande conditionnelle.

Dans le cadre de l’exercice de vos droits vous pouvez directement contacter le Délégué à la protection des données en justifiant de votre identité par tout moyen.

Soit par courriel : dpo@mutuellemcf.fr
Soit par voie postale à l’adresse suivante : 110, rue de Picpus, CS 80 504, 75131 PARIS CEDEX 12

 

Pour toute question, requête soulevée auprès de nos services qui resterait infructueuses, vous êtes en droit d’introduire une réclamation auprès de la CNIL sis 3 Place Fontenoy -TSA 80715- 75334 PARIS CEDEX 07 Tél. : +33 (0)1.53.73.22.22, et accessible par formulaire. En outre, vous disposez également du droit de vous inscrire sur la liste d’opposition au démarchage téléphonique www.bloctel.gouv.fr

 

Durée de conservation des données

La MCF ne conserve les données à caractère personnel que pendant le temps nécessaire aux finalités de traitement pour lesquelles elles ont été collectées et, dans le respect de la réglementation en vigueur, pour la durée prévue spécifiquement prévue par la CNIL (normes pour le secteur de l’assurance) ou la loi (prescriptions légales). Ainsi, les données relatives aux adhérents sont conservées pendant la durée des relations contractuelles, augmentée de 5 ans à compter de la cessation de ces dernières au titre du délai de prescription de droit commun.

 

Ces durées de conservation de données à caractère personnel sont mentionnées dans le registre des activités de traitement de la MCF.

 

Chaque année, la MCF procédé à une revue des données. En dehors des cas dans lesquels il existe une obligation d’archivage, les données qui ne présentent plus d’intérêt sont supprimées sans délai. Un certificat de destruction est produit pour tracer la bonne réussite de cette exécution.

 

Les cookies : petits fichiers déposés et stockés dans l’ordinateur ou le téléphone de l’utilisateur lors de la consultation des sites web permettant de conserver des informations comme le recueil de la traçabilité du consentement ou de son refus. En naviguant sur l’espace personnel ou le site, l’utilisateur peut consentir à l’utilisation des cookies pour lui proposer des services et offres adaptées à ses besoins. Sur ce point, la MCF ne contrôle que les pages qu’elle gère.

Les contrôles

La MCF réalise des contrôles réguliers en interne et en externe (partenaires ). Elle s’engage à coopérer avec la CNIL lors de l’accomplissement de toute mission de contrôle sur pièces et sur place. Pour les données de santé, seul un médecin peut requérir la communication des données de santé.

 

GLOSSAIRE

  • AERAS : s’Assurer et Emprunter avec un Risque Aggravé de Santé.
  • Autorité de Contrôle : désigne l’autorité administrative dont le rôle est d’assurer le respect des règlementations et législations sur la protection des données à caractère personnel. A cette fin, elle peut exercer des missions de contrôle ou sanctionner les manquements constatés. Pour la MCF, il s’agit de la CNIL commission nationale de l’informatique et des libertés.
  • CNIL : Commission Nationale de l’Informatique et des Libertés qui est l’autorité de contrôle pour le RGPD.
  • Consentement de la personne concernée : il désigne toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la Personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.
  • Destinataire : Désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit la communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Les autorités publiques susceptibles de recevoir des données dans le cadre de mission d’enquête ne sont pas considérés comme des destinataires.
  • Donnée à caractère personnel : Désigne toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une personne physique identifiable une personne physique qui peut être identifiée directement ou indirectement notamment par référence à un identifiant, tel qu’un nom, numéro d’identification, n°carte d’identité, informations de compte bancaire, habitudes de conduite ou de consommation, données de localisation, un identifiant en ligne , ou un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
  • Données à caractère personnel sensibles : désigne les données à caractère personnels tels que : l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophique, l’appartenance à une organisation syndicale, la santé physique ou mentale, les conditions de vie/sexuelle , les données soumises à une
    réglementation spécifique, les données génétiques et biométrique, la commission présumée d’infraction de la personne concernée, toutes poursuites engagées par une infraction commise, présumée par la personne concernée, la soumission de telles poursuites ou la décision de toute juridiction dans le cadre de telles poursuites.
  • DPO : abréviation anglaise de Data Protection Officer traduit en français délégué à la protection des données. Ce terme désigne la personne garante de la protection des données personnelles au sein de l’organisme. A cet effet, elle conseille et informe le responsable de traitement et les opérationnels sur la mise en place de nouveaux
    traitements conformément à la réglementation en vigueur, répond aux demandes des personnes concernées et assiste le responsable de traitement lors de la tenue d’étude d’analyse d’impact sur la vie privée.
  • Fichier : tout ensemble structuré de données à caractère personnel accessibles selon les critères déterminés, que cet ensemble soit centralisé, décentralisé, ou réparti de manière fonctionnelle ou géographique.
  • Finalité de traitement : désigne l’objectif poursuivi par le traitement de données à caractère personnel ou l’objectif principal d’une application informatique des données personnelles. Exemple : la gestion du recrutement, la gestion des clients, les enquêtes de satisfaction, la surveillance des locaux….
  • Personne concernée : Désigne l’individu sur lequel porte les données à caractère personnel et peut être identifié ou distingué des autres directement, indirectement notamment par référence à un numéro d’identification, des éléments spécifiques propres à ses caractéristiques physique, physiologique, comportementale, économique, culturelle ou sociales. Cela inclut les adhérents, usagers, prospects, salariés, retraités, particuliers, les entrepreneurs individuels, ou les membres d’une collectivité, d’une société.
  • Profilage : le profilage est défini à l’article 4 du RGPD. Il s’agit d’un traitement utilisant des données personnelles d’un individu en vue d’analyser et de prédire son comportement, comme par exemple déterminer ses performances au travail, sa situation financière, sa santé etc…
  • RGPD : Règlement général à la protection de la donnée. Texte européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’UE. Il est entré en vigueur le 25 mai 2018.
  • Responsable de traitement : désigne une personne physique ou morale qui seule ou conjointement avec d’autres, décide quelles données sont collectées et traitées, détermine les finalités et les moyens de traitement. Souvent il s’agit de la personne qui détient les données. Être responsable de traitement ne signifie pas en être le propriétaire et pouvoir les utiliser comme il l’entend. Au sens du RGPD, le responsable de traitement sera entendu au sens général comme le Dirigeant de l’entité, et par délégation de pouvoir expresse et écrite les responsables de Direction ou de métiers. Dans le cadre de la MCF le responsable de traitement est MCF et son dirigeant opérationnel.
  • Site : désigne le site interne de la mutuelle MCF.
  • Sous-traitant : désigne toute personne physique ou morale non employée par le responsable de traitement, qui traite les données à caractère personnel pour le compte du responsable de traitement et selon ses instructions.
  • Tiers : Désigne toute personne physique ou morale autre que la personne concernée, que le responsable de traitement, le sous -traitant et les personnes placées sous l’autorité directe du responsable de traitement ou du sous-traitant, et qui sont autorisées à traiter des données à caractère personnel.
  • Traitement de donnée : désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou ensemble de données personnelles telles que la collecte, l’accès, l’enregistrement, la copie, la conservation, le stockage, la séparation, le croisement, la fusion, la modification, la structuration, l’adaptation, la divulgation, la diffusion, la communication, l’extraction, la mise à disposition, le rapprochement , l’interconnexion, la destruction ainsi que la mise en œuvre d’autres actions sur les données que ce soit de manière automatique semi-automatique ou autre. Cette liste n’étant pas exhaustive.
  • Transfert de données : désigne toute communication toute copie, ou déplacement de données par l’intermédiaire d’un réseau, ou toute communication toute copie ou tout déplacement d’un support à un autre quel que soit le support dans la mesure ou ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire.
  • Violation de données à caractère personnel : une violation de la sécurité entrainant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation non autorisée de données à caractères personnel transmises, conservées, ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. Les données collectées sont nécessaires à la fourniture des services proposés. La non-fourniture des données demandées a pour conséquence de ne pas permettre la réalisation des services attendus.