Politique de protection des données à caractère personnel IRP AUTO

Dans le cadre de ses valeurs et de ses missions au service des employeurs et des salariés des services de l’automobile et des activités connexes, IRP AUTO s’engage pour répondre à leurs attentes et leurs préoccupations en matière de protection de leurs données à caractère personnel.

Ainsi, IRP AUTO a mis en place une politique de protection des données à destination de ses clients et prospects.

Cette politique a pour objectif de décrire les règles en vigueur en matière de protection des données, couvertes notamment par les dispositions de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée (dite « Loi Informatique et Libertés ») et du règlement général sur la protection des données n°2016-679 du 27 avril 2016, et leur application au sein d’IRP AUTO. 

En tant que groupe de protection sociale intervenant notamment en prévention, santé, prévoyance, retraite complémentaire, action sociale, IRP AUTO est amené à collecter et gérer des données personnelles, y compris des données dites sensibles telles que les données de santé.

• Une donnée à caractère personnel correspond à toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un prénom, un numéro de contrat IRP AUTO, un numéro de téléphone, des données de localisation, un identifiant en ligne, une photographie, ou encore à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
• Une donnée sensible peut faire apparaître directement ou indirectement des informations susceptibles d’entrainer une quelconque discrimination pour les personnes concernées. Les données sensibles peuvent par exemple être relatives aux opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale, aux origines ou aux orientations sexuelles.
• Une donnée concernant la santé émane d’actions de diagnostic, de prévention ou de soin. Elle correspond à toute donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique telle que le rythme cardiaque, le poids ou les cycles de sommeils. Ces données de santé révèlent des informations sur l’état de santé passé, présent ou futur de cette personne.
• La donnée médicale peut révéler des informations relatives à la santé d’un individu. Il peut s’agir d’analyses médicales, de taux de glycémie ou de traitements pris. Elle est « recueillie ou produite à l’occasion des activités de prévention, de diagnostic de soins ou de suivi social et médico-social » (article L. 1111-8 du Code de la santé publique) fait partie des données concernant la santé.

IRP AUTO apporte une attention particulière aux modalités de collecte et aux mesures de sécurité encadrant les traitements des données à caractère personnel et particulièrement, la collecte et la conservation des données concernant la santé, et a fortiori des données médicales. Les données médicales ne sont traitées que par le Médecin Conseil désigné par le Groupe et par les salariés d’IRP AUTO dûment formés et habilités.

3.1 Les responsables de traitement

Dans le cadre des activités :

• de gestion de la retraite complémentaire : Alliance professionnelle Retraite AGIRC-ARRCO.
• de souscription et de gestion de contrats autre que retraite complémentaire incluant des prestations de services et de l’action sociale : les entités d’IRP AUTO et notamment IRP AUTO Prévoyance-Santé, IRP AUTO‑Iéna Prévoyance, IRP AUTO MPA, IRP AUTO Épargne salariale, IRP AUTO APASCA, IRP AUTO Solidarité Prévention, IRP AUTO Conseil en assurance et service.

3.2 Le délégué à la protection des données

IRP AUTO, pour l’ensemble de ses entités, a désigné un délégué à la protection des données à caractère personnel (ou « DPD »). Le délégué à la protection des données est garant du respect de la réglementation sur la protection des données à caractère personnel par IRP AUTO.

Il s’assure de la documentation des traitements à caractère personnel, notamment à l’occasion des projets impactant la protection des données. Il identifie les risques de non-conformité à la loi Informatique et libertés et au règlement général sur la protection des données et préconise les mesures adéquates à mettre en place. Il a en charge la sensibilisation des acteurs au respect des problématiques de protection des données à caractère personnel.

Il prend part à la définition des contrôles de second niveau pour les aspects qui le concernent. Référent des sujets CNIL, il est également le point d’entrée en cas de contrôle réglementaire portant sur les données personnelles. 

4.1 La finalité du traitement

IRP AUTO collecte les données à caractère personnel pour des finalités déterminées, explicitées et légitimes au regard des intérêts et/ou des activités d’IRP AUTO.

Les données à caractère personnel ne sont pas traitées ultérieurement à leur collecte d’une manière incompatible avec ces finalités.

En pratique, IRP AUTO est amené à traiter des données à caractère personnel pour réaliser les missions qui lui sont confiées :

• La souscription, la gestion et l’exécution de contrats, l’utilisation du numéro d’inscription au répertoire de l’adhérent/assuré pour la gestion de ses risques d’assurance complémentaire santé, et de gestion des rentes (conformément à l’autorisation unique de la CNIL du 23 janvier 2014 - pack conformité assurance) ;
• La mise en œuvre d’opérations de prospection, commerciales ou promotionnelles, et de fidélisation, à destination de l’assuré ;
• L’exercice des recours, de la gestion des réclamations, médiations et contentieux ; 
• L’exercice du devoir de conseil impliquant le recueil des besoins exprimés par l’assuré ;
• L’élaboration de statistiques, d’études actuarielles ou autres analyses de recherche et de développement ;
• La proposition à l’assuré de produits, de service et/ou d’outils permettant de réduire la sinistralité ou d’offrir un contrat ou une prestation complémentaire par l’organisme assureur ou tout partenaire de l’organisme assureur ;
• La lutte contre la fraude, pouvant conduire à une inscription sur une liste de personnes présentant un risque de fraude et à la lutte contre le blanchiment des capitaux et le financement du terrorisme ;
• L’exécution des dispositions légales, réglementaires, fiscales et administratives en vigueur.

IRP AUTO construit son offre de produits et de services dans le respect de la réglementation en matière de protection des données. Les informations personnelles des clients permettent notamment de mettre en œuvre les garanties souscrites et d’améliorer la qualité des services délivrés. Elles servent aussi à mieux connaître les assurés pour leur proposer des contenus et des services personnalisés, adaptés à leurs besoins. 

4.2 La pertinence des données

IRP AUTO collecte et traite les données de manière loyale et licite. Cette politique s’inscrit dans cette démarche de transparence.

Les données collectées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.

La collecte et le traitement des données à caractère personnel sont nécessaires à la gestion, à l’exécution des contrats par les entités d’IRP AUTO, et à la bonne relation clients.

Pour offrir un service toujours plus performant et personnel, les applications, proposées sur smartphone ou tablette peuvent avoir recours notamment aux fonctionnalités suivantes :

• la géolocalisation, pour calculer la position géographique de l’utilisateur afin d’indiquer notamment la possibilité de services à proximité ;
• l’appel téléphonique pour assurer une bonne relation client ;
• l’enregistrement audio, pour utiliser l’outil de recherche audio sur notamment les questions les plus fréquentes ;
• l’appareil photographique, pour permettre la prise de photographies des devis ou factures pour la gestion des frais de santé ;
• l’analyse de la navigation de l’utilisateur dans l’objectif d’améliorer les services et de proposer des services adaptés.

Ces fonctionnalités collectent et traitent des données à caractère personnel qui peuvent être considérées, pour certaines, comme sensibles. En pareil cas, IRP AUTO s’engage à ne traiter de telles données qu’après avoir recueilli préalablement le consentement de la personne concernée. 

IRP AUTO s’engage à ne traiter que des données exactes et tenues à jour. Toute donnée inexacte est rectifiée ou effacée dans les meilleurs délais. 

4.3 La conservation limitée des données

IRP AUTO ne conserve pas les données à caractère personnel au-delà de la durée nécessaire à la finalité du traitement.

Les durées de conservation des données à caractère personnel traitées dans le cadre de la gestion des contrats et de la relation clients varient en fonction des finalités prévues et sont conformes aux durées prévues par la réglementation. À cet égard, dans le cadre de la relation clients, les enregistrements téléphoniques sont conservés pour une durée maximale de six mois. De même, les résultats des enquêtes de satisfaction sont conservés pendant dix-huit mois. 

4.4 La sécurité

IRP AUTO prend les précautions nécessaires compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que de la probabilité de chaque risque afin de préserver la sécurité et la confidentialité des données à caractère personnel qui lui sont communiquées et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

Par conséquent, IRP AUTO met en œuvre toutes les mesures techniques, physique et organisationnel permettant de garantir un niveau de sécurité adapté au risque et de prévenir toute perte, altération, divulgation de données ou accès à des tiers non autorisés.

Toutefois, compte tenu des caractéristiques intrinsèques de l’Internet, les données transmises au moyen des sites et/ou de l’espace client font l’objet de mesures qui ne peuvent prémunir de tous les risques de détournement et/ou de piratage, ce dont IRP AUTO ne saurait être tenu pour responsable. En cas de violation de données à caractère personnel et conformément à la réglementation, IRP AUTO s’engage à les notifier à la CNIL.

Dans le cas où cette violation présenterait un risque élevé pour les droits et libertés des personnes physiques, IRP AUTO les informerait dans les délais et les conditions prévues par la réglementation sur la protection des données à caractère personnel.

4.5 Les destinataires des données

Les destinataires des données sont, dans la limite de leurs attributions respectives et suivant les finalités : les institutions et autres organismes d’IRP AUTO, le personnel du Groupe, la fédération AGIRC-ARRCO, et le cas échéant, ses sous-traitants et partenaires. Seuls les destinataires dûment habilités peuvent accéder, dans le cadre de la politique de sécurité aux informations nécessaires à leur activité.

Les données médicales de l’assuré sont traitées dans des conditions de sécurité renforcées, et sont ainsi uniquement destinées au Médecin Conseil.

4.6 L’information des personnes

Préalablement à la mise en œuvre de ses traitements, et au plus tard lors de la collecte de données, IRP AUTO informe les personnes concernées :

• Que le Groupe collecte et traite les données,
• Des coordonnées du délégué à la protection des données,
• De la finalité des traitements portant sur leurs données à caractère personnel,
• Des destinataires de ces traitements,
• De la durée de conservation des informations collectées,
• Des droits des personnes,
• De la base juridique du traitement, notamment le consentement, l’exécution du contrat, le respect d’obligations légales et la sauvegarde des intérêts vitaux,
• Le cas échéant, des intérêts légitimes poursuivis par IRP AUTO dans le cadre du traitement des données,
• Du caractère facultatif ou obligatoire des données collectées.

4.7 Les droits des personnes

En application de la réglementation sur la protection des données à caractère personnel, la personne concernée dispose d’un droit d’accès, de décider du sort de ses données, de rectification et le cas échéant de suppression des données la concernant. En effet, les données peuvent être rectifiées, complétées, mises à jour, verrouillées ou effacés lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou lorsque leur collecte, utilisation, communication ou conservation est interdite. Dans la limite des modalités légales, l’assuré dispose d’un droit à la portabilité des données à caractère personnel fournies.

La personne concernée peut également s’opposer à leur traitement selon les modalités légales.

Ces droits peuvent être exercés, en justifiant l’identité du demandeur, sur simple courrier adressé à l’adresse suivante :

IRP AUTO
M. le délégué à la protection des données
39 avenue d’Iéna
CS 21687
75502 PARIS Cedex 16

IRP AUTO dispose d’un délai d’un mois à compter de la réception de la demande pour répondre aux sollicitations.

Si la demande est imprécise ou ne comporte pas tous les éléments permettant de procéder aux opérations qui lui sont demandées, IRP AUTO peut être amené à demander des éléments complémentaires.

En outre, l’assuré dispose également du droit de s’inscrire sur la liste d’opposition au démarchage téléphonique gérée par la société Opposetel. Pour plus d’informations, le groupe IRP AUTO invite toute personne concernée à se rendre sur le site www.bloctel.gouv.fr. 

4.8 Les cookies

Lorsque l’assuré se rend sur les sites Internet d’IRP AUTO, des cookies sont susceptibles d'être déposés sur son terminal (l’ordinateur, la tablette ou le smartphone).

Un cookie est un petit fichier texte déposé dans le logiciel de navigation Internet qui permet de faciliter la navigation à travers les différents sites Internet. Il permet également de proposer des services en relation avec les centres d'intérêt ou la localisation et recueille des données de navigation à des fins d'analyses statistiques.