Politique de protection des données à caractère personnel IRP AUTO

Dans le cadre de ses valeurs et de ses missions au service des employeurs et des salariés des services de l’automobile et des activités connexes, IRP AUTO s’engage à répondre à leurs attentes et préoccupations en matière de protection des données à caractère personnel.

Ainsi, IRP AUTO a mis en place la présente politique externe de protection des données à destination de ses clients et prospects.

Cette politique a pour objectif de décrire les règles en vigueur en matière de protection des données, couvertes notamment par les dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée (dite « Loi informatique et libertés ») et du règlement général sur la protection des données n° 2016-679 du 27 avril 2016, et leur application au sein d’IRP AUTO.

Cette politique fait partie des informations préalables fournies aux personnes concernées en amont de la collecte et du traitement des données.

En tant que groupe de protection sociale intervenant notamment en prévention, santé, prévoyance, retraite complémentaire et action sociale, IRP AUTO est amené à collecter et gérer des données personnelles, y compris des données dites sensibles telles que les données de santé.

• Une donnée à caractère personnel correspond à toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un prénom, un numéro de contrat IRP AUTO, un numéro de téléphone, des données de localisation, un identifiant en ligne, une photographie, ou encore à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
• Une donnée sensible peut faire apparaître directement ou indirectement des informations susceptibles d’entraîner une quelconque discrimination pour les personnes concernées. Les données sensibles peuvent par exemple être relatives aux opinions politiques, philosophiques ou religieuses ou à l’appartenance syndicale, aux origines ou aux orientations sexuelles.
• Une donnée concernant la santé émane d’actions de diagnostic, de prévention ou de soin. Elle correspond à toute donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique, telle que le rythme cardiaque, le poids ou les cycles de sommeil. Ces données de santé révèlent des informations sur l’état de santé passé, présent ou futur de cette personne.
• La donnée médicale peut révéler des informations relatives à la santé d’un individu. Il peut s’agir d’analyses médicales, de taux de glycémie ou de traitements pris. Elle est « recueillie ou produite à l’occasion des activités de prévention, de diagnostic de soins ou de suivi social et médico-social » (article L. 1111-8 du Code de la santé publique) fait partie des données concernant la santé.

IRP AUTO apporte une attention particulière aux modalités de collecte et aux mesures de sécurité encadrant les traitements des données à caractère personnel, particulièrement la collecte et la conservation des données concernant la santé, et a fortiori des données médicales. Les données médicales ne sont traitées que par le médecin-conseil désigné par les institutions concernées et par les salariés d’IRP AUTO Gestion dûment formés et habilités.

3.1    Les responsables de traitement

Dans le cadre des activités :

• De gestion de la retraite complémentaire : Alliance professionnelle Retraite Agirc-Arrco. 
• De souscription et de gestion de contrats autre que retraite complémentaire incluant des prestations de services et de l’action sociale : les entités d’IRP AUTO et notamment IRP AUTO Prévoyance-Santé, IRP AUTO Iéna Prévoyance, 
  IRP AUTO MPA, IRP AUTO Épargne salariale, IRP AUTO Apasca, 
  IRP AUTO Solidarité Prévention, IRP AUTO Conseil en assurance et service, 
  IRP AUTO Services, IRP AUTO Assurés.

3.2    Le délégué à la protection des données

IRP AUTO, pour l’ensemble de ses entités, a désigné un délégué à la protection des données à caractère personnel (ou « DPD »). Il est garant du respect de la réglementation sur la protection des données à caractère personnel par IRP AUTO.

Référent des sujets relatifs à la Commission nationale de l’informatique et des libertés (CNIL), il est également le point d’entrée en cas de contrôle réglementaire portant sur les données personnelles.
 

4.1    La finalité du traitement

IRP AUTO collecte et traite les données à caractère personnel pour des finalités déterminées, explicites et légitimes au regard des intérêts et/ou des activités d’IRP AUTO.

Les données à caractère personnel ne sont pas traitées ultérieurement à leur collecte d’une manière incompatible avec ces finalités.

En pratique, IRP AUTO est amené à traiter des données à caractère personnel pour réaliser les missions qui lui sont confiées, dont voici quelques exemples des traitements principaux :

Sur le fondement du contrat ou des mesures précontractuelles : 

• La souscription, la gestion et l’exécution de contrats, l’authentification et gestion des espaces abonnés.
• L’exercice des recours, de la gestion des réclamations, médiations et contentieux.
• L’exercice du devoir de conseil impliquant le recueil des besoins exprimés par l’assuré.
• L’enregistrement des appels téléphoniques à des fins de contrôle qualité, de formation et d’évaluation des collaborateurs.

Sur le fondement de l’intérêt légitime :

• L’élaboration de statistiques, d’études actuarielles ou autres analyses de recherche et de développement.
• La proposition à l’assuré de produits, de service et/ou d’outils permettant de réduire la sinistralité ou d’offrir un contrat ou une prestation complémentaire par l’organisme assureur ou tout partenaire de l’organisme assureur.
• La mise en œuvre d’opérations de prospection, commerciales ou promotionnelles.
• La mise en place d’opérations de fidélisation à destination de l’assuré.
• La récupération d’avis client par un tiers de confiance.
• L’évaluation et l’amélioration de nos services via les enquêtes de satisfaction.
• La gestion et l’optimisation du site Internet ainsi que les réponses sur les réseaux sociaux.

Sur le fondement principal des obligations légales :

• La lutte contre la fraude, pouvant conduire à une inscription sur une liste de personnes présentant un risque de fraude et à la lutte contre le blanchiment des capitaux et le financement du terrorisme.
• L’exécution des dispositions légales, réglementaires, fiscales et administratives en vigueur.

Sur le fondement du consentement :

• La promotion des offres des différentes institutions d’IRP AUTO ou de ses partenaires.
• La géolocalisation, pour calculer la position géographique de l’utilisateur afin d’indiquer notamment la possibilité de services à proximité.

IRP AUTO construit son offre de produits et de services dans le respect de la réglementation en matière de protection des données personnelles. Les informations personnelles des clients permettent notamment de mettre en œuvre les garanties souscrites et d’améliorer la qualité des services délivrés. Elles servent aussi à mieux connaître les assurés pour leur proposer des contenus et des services personnalisés, adaptés à leurs besoins.

4.2    La pertinence des données 

IRP AUTO collecte et traite les données de manière loyale et licite. Cette politique s’inscrit dans cette démarche de transparence.

Les données collectées sont adéquates, pertinentes, non excessives et nécessaires au regard des finalités suivantes pour lesquelles elles sont collectées.

La collecte et le traitement des données à caractère personnel sont nécessaires à la gestion, à l’exécution des contrats par les entités d’IRP AUTO, et à la bonne relation clients.

Voici les typologies de données traitées par IRP AUTO dans le cadre des contrats et pour son intérêt légitime ou en rapport avec ses obligations légales.

IRP AUTO s’engage à ne traiter que des données exactes et tenues à jour. Toute donnée inexacte est rectifiée ou effacée dans les meilleurs délais. 

La collecte des données s’effectue directement auprès des clients et des assurés, mais également auprès de tiers tel que l’employeur ou des organismes externes tels que la CNAV (Caisse nationale d’assurance vieillesse) ou la CNAM (Caisse primaire d’assurance maladie).

4.3    La conservation limitée des données

IRP AUTO ne conserve pas les données à caractère personnel au-delà de la durée nécessaire à la finalité du traitement et respecte les durées de conservation fixées par la réglementation. 

Les durées de conservation des données à caractère personnel traitées dans le cadre de la gestion des contrats et de la relation clients varient en fonction des finalités prévues et sont conformes aux durées prévues par la réglementation. 

4.4    La sécurité

IRP AUTO prend les précautions nécessaires compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que de la probabilité de chaque risque afin de préserver la sécurité et la confidentialité des données à caractère personnel qui lui sont communiquées et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

Par conséquent, IRP AUTO met en œuvre toutes les mesures technique, physique et organisationnelle permettant de garantir un niveau de sécurité adapté au risque et de prévenir toute perte, altération, divulgation de données ou accès à des tiers non autorisés.

Toutefois, compte tenu des caractéristiques intrinsèques de l’Internet, les données transmises au moyen des sites et/ou de l’espace client font l’objet de mesures qui ne peuvent prémunir de tous les risques de détournement et/ou de piratage, ce dont IRP AUTO ne saurait être tenu pour responsable. En cas de violation de données à caractère personnel et conformément à la réglementation, IRP AUTO s’engage à la notifier à la CNIL.

Dans le cas où cette violation présenterait un risque élevé pour les droits et libertés des personnes physiques, IRP AUTO les informerait dans les délais et les conditions prévues par la réglementation sur la protection des données à caractère personnel.

4.5    Les destinataires des données

Les destinataires des données sont des organismes légitimes à traiter les données dans le cadre de l’exécution du contrat des obligations légales, dans la limite de leurs attributions respectives et suivant les finalités.

Ces destinataires sont notamment les institutions et autres organismes d’IRP AUTO, les salariés d’IRP AUTO Gestion, la fédération Agirc-Arrco.

IRP AUTO peut être amené à travailler avec des sous-traitants qui réalisent certaines opérations techniques ou des actes de gestion et des partenaires (réassureurs, commissaires aux comptes). Seuls les destinataires dûment habilités peuvent accéder, dans le cadre de la politique de sécurité aux informations nécessaires à leur activité. Les sous-traitants et partenaires sont soumis aux mêmes exigences de sécurité et de confidentialité que celles définies pour IRP AUTO.

IRP AUTO peut recourir aux services d’un prestataire d’enquête, sur le fondement de son intérêt légitime, afin de recueillir des avis basés sur des prestations réellement effectuées. Pour cela, IRP AUTO communique certaines des données clients dans la seule finalité d’établir des avis authentiques. 

Les données médicales de l’assuré sont traitées dans des conditions de sécurité renforcées, et sont ainsi uniquement destinées au médecin-conseil.

Dans le cadre de la gestion du tiers payant pour des contrats non responsables, IRP AUTO informe l’assuré que les données de santé seront transmises du professionnel de santé vers le sous-traitant de tiers payant « Almérys ». La personne concernée dispose du droit de s’opposer à ce transfert « cf. 4.7 Les droits des personnes », mais, le cas échéant, ne pourra plus bénéficier du principe de tiers payant.

Contractuellement, les sous-traitants n’ont pas le droit d’utiliser les données pour leur propre compte.

IRP AUTO ne vend pas de données à caractère personnel.

4.6    Localisation des données et traitement à l’étranger 

Les données sont stockées en Europe et plus particulièrement sur le territoire français. Elles sont très majoritairement traitées sur le territoire européen. Quelques traitements peuvent nécessiter un export en dehors de l’Union européenne auquel cas des mesures d’encadrement spécifiques sont prises telles que les clauses contractuelles types de l’Union européenne ou des garanties supplémentaires par les entreprises concernées.

4.7    L’information des personnes

Préalablement à la mise en œuvre de ses traitements, et au plus tard lors de la collecte de données, IRP AUTO informe les personnes concernées :

• De la collecte et du traitement des données par IRP AUTO.
• Des coordonnées du délégué à la protection des données.
• De la finalité des traitements portant sur leurs données à caractère personnel.
• Des destinataires de ces traitements.
• De la durée de conservation des informations collectées.
• Des droits des personnes.
• De la base juridique du traitement, notamment le consentement, l’exécution du contrat, le respect d’obligations légales et la sauvegarde des intérêts vitaux.
• Le cas échéant, des intérêts légitimes poursuivis par IRP AUTO dans le cadre du traitement des données.
• Du caractère facultatif ou obligatoire des données collectées. 

4.8 Les cookies

Lorsque l’assuré se rend sur les sites Internet d’IRP AUTO ou sur l’application mobile, des cookies sont susceptibles d’être déposés sur son terminal (l’ordinateur, la tablette ou le smartphone).

Un cookie est un fichier texte déposé sous réserve de son accord exprès ou tacite dans le logiciel de navigation Internet permettant de faciliter la navigation à travers les différents sites Internet. Il permet également de proposer des services en relation avec les centres d’intérêt ou la localisation et recueille des données de navigation à des fins d’analyses statistiques. IRP AUTO met à disposition de ses assurés un système de gestion de leur consentement pour donner ou retirer simplement celui-là.
 

Conformément à la loi informatique et libertés n° 78-17 du 6 janvier 1978 modifiée et au règlement général sur la protection des données n° 2016-679 du 27 avril 2016, les personnes concernées disposent d’un droit d’accès, de rectification, d’effacement ou de portabilité de leurs données à caractère personnel. Elles peuvent définir des directives post-mortem. Pour motifs légitimes, elles disposent d’un droit d’opposition et de limitation au traitement de vos données. Elles peuvent enfin s’opposer, à tout moment et sans frais, à la prospection commerciale.

Ces droits peuvent être exercés, en justifiant l’identité du demandeur, sur simple courrier adressé à l’adresse suivante :

IRP AUTO
Le délégué à la protection des données
39, avenue d’Iéna
CS 21687
75202 Paris cedex 16

ou par courriel : dpd@irpauto.fr

IRP AUTO dispose d’un délai d’un mois à compter de la réception de la demande pour répondre aux sollicitations.

Si la demande est imprécise ou ne comporte pas tous les éléments permettant de procéder aux opérations qui lui sont demandées, IRP AUTO peut être amené à demander des éléments complémentaires.

Les personnes concernées disposent du droit d’introduire une réclamation auprès de la CNIL (www.cnil.fr) si elles estiment que leurs droits ne sont pas respectés.

En outre, l’assuré dispose d’un droit à s’opposer au démarchage téléphonique en s’inscrivant gratuitement sur la liste Bloctel (www.bloctel.gouv.fr).