1. Nos engagements en matière de protection des données

Les données personnelles sont au cœur de notre activité : elles nous permettent de personnaliser la relation avec nos clients, d’améliorer les produits et services proposés et de gagner en efficacité. La protection des données est donc l’une de nos préoccupations principales : le Groupe APICIL met ainsi en œuvre tous les moyens nécessaires pour garantir une utilisation de vos données respectueuse de votre vie privée.

Le traitement des données personnelles, parfois sensibles comme les données de santé, et le respect de la vie privée de nos clients et collaborateurs ont toujours été au coeur de nos métiers et au centre des attentions de notre groupe qui a ainsi pris les engagements suivants :

• les données personnelles collectées ne sont pas commercialisées et sont hébergées dans l’Union Européenne ;
• la confidentialité des données est assurée par la mise en œuvre de moyens et de dispositifs adaptés ;
• seules les données nécessaires aux finalités identifiées sont collectées ;
• le DPO (Délégué à la Protection des Données ou Data Protection Officer) est garant du respect de la réglementation sur la protection des données à caractère personnel par le Groupe APICIL ;
• les collaborateurs du groupe sont régulièrement sensibilisés au respect de la protection des données personnelles ;
• les contrats avec le client, fournisseurs et sous-traitants intègrent les exigences liées à la protection des données à caractère personnel ;
• les données personnelles traitées sont exactes et tenues à jour. Toute donnée inexacte est rectifiée ou effacée dans les meilleurs délais.

La présente politique a pour objectif de vous informer sur la manière dont vos données sont traitées par le Groupe APICIL et sur l’étendue de vos droits.

Elle pourra être amenée à évoluer en fonction du contexte légal et réglementaire applicable.

2. Cadre règlementaire

Le Groupe APICIL respecte les règles en vigueur en matière de protection des données, en particulier la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée (dites « loi Informatique et Libertés ») et le Règlement Général sur la Protection des Données n° 2016-679 du 27 avril 2016 (dit « RGPD »).

L’ensemble des traitements de données personnelles mis en œuvre dans le cadre des services délivrés le sont dans le strict respect de la règlementation :

• les données personnelles sont traitées de manière licite, loyale et transparente (licéité, loyauté, transparence) ;
• elles sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement d’une manière incompatible avec ces finalités (limitation des finalités) ;
• elles sont conservées de manière adéquate, pertinente et sont limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
• elles sont exactes, tenues à jour et toutes les mesures raisonnables sont prises pour que les données inexactes, eu égard aux finalités pour lesquelles elle sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;
• les droits conférés aux personnes concernées ainsi que les durées de conservation des données personnelles sont respectés.

La compréhension des termes ci-dessous est essentielle pour bien appréhender les notions en matière de protection des données personnelles :

• une données à caractère personnel désigne toute information se rapportant à une personne physique identifiée ou identifiable, de manière directe ou indirecte ;
• un traitement désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel ;
• un responsable du traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ;
• un sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

3. Bases légales et finalités des traitements

Le Groupe APICIL met en œuvre différents traitements de données à caractère personnel s’appuyant sur les bases légales suivantes.

Le consentement de la personne concernée, qui peut être retiré à tout moment, comme :

• la mise en œuvre d’opérations de prospection, commerciales ou promotionnelles, et d’amélioration de notre connaissance client, notamment des mesures d’audience de nos sites Internet, y compris par l’analyse de votre navigation en ligne et vos réactions aux e-mails. Ces analyses sont effectuées dans le respect des autorisations consenties par l’utilisateur, notamment en cas d’utilisation de cookies ou autres traceurs.
• la communication au sujet de nos produits et services, la mise à disposition d’information marketing via l’inscription à nos lettres d’information.

L’exécution d’un contrat ou de mesures précontractuelles incluant :

• la souscription du contrat d’assurance de l’assuré (étude de ses besoins spécifiques afin de lui proposer un contrat adapté, analyse du risque à assurer afin d’établir une tarification adaptée et vérifier l’assurabilité) ;
• la gestion du contrat d’assurance de l’assuré, de la phase précontractuelle à la résiliation du contrat (tarification, émission des documents précontractuels, contractuels, comptables, encaissement des primes et cotisations, etc.)
• l’exécution du contrat d’assurance de l’assuré qui englobe les opérations nécessaires à la mise en œuvre des garanties et des prestations.

Le respect d’obligations légales :

• l’exercice du devoir de conseil impliquant le recueil des besoins exprimés par l’assuré ;
• le respect des obligations légales et réglementaires qui s’imposent au Groupe APICIL telles que la lutte contre le blanchiment des capitaux et le financement du terrorisme, les déclarations sociales et fiscales, les obligations comptables ;
• la recherche des assurés et des bénéficiaires de contrats d’assurance vie et/ou décès ;
• l’exercice des recours et la gestion des réclamations et des contentieux liés aux activités du Groupe APICIL nous permettant d’assurer la contestation, l’exercice ou la défense de vos droits en application des garanties souscrites ou l’exercice de nos droits en justice.

Les intérêts légitimes du Groupe APICIL :

• la gestion des enquêtes de satisfaction des assurés sur les produits, services ou contenus proposés par l’organisme assureur ou ses partenaires ;
• l’élaboration de statistiques, y compris commerciales, d’études actuarielles ou autres pour analyser l’adéquation de nos produits et services aux besoins de nos clients et prospects d’amélioration de l’offre ;
• la gestion des opérations techniques de prospection et en particulier l’enrichissement des données vous concernant. Le refus ou l’opposition de votre part à la réception de communications commerciales n’empêchera pas l’étude de votre devis ou l’exécution de votre contrat d’assurance conformément aux dispositions de ce contrat ;
• la proposition à l’assuré de produits, de services et/ou d’outils permettant de réduire la sinistralité ou d’offrir un contrat ou une prestation complémentaire par l’organisme assureur ou tout partenaire de l’organisme assureur, d’améliorer la qualité de nos services et de nos actions de prévention pour mieux vous connaître et vous proposer des contenus et des services personnalisés, adaptés à vos besoins et consommations en santé et prévoyance ;
• le développement des activités du Groupe APICIL, l’amélioration des produits et services, la recherche de nouveaux produits et services, l’administration, la maintenance et l’amélioration de nos sites Internet, la lutte contre la fraude pouvant conduire à une inscription sur une liste de personnes présentant un risque de fraude ;
• la réalisation d’opérations techniques pour les besoins des finalités énoncées ci-dessus, notamment les opérations techniques ou de cybersécurité liées à la détection d’anomalies et à la sécurisation de vos données ainsi que de nos systèmes d’informations à partir desquels vos données sont traitées.

Les organismes d’investissement du Groupe APICIL peuvent être amenés à traiter des données à des fins de gestion de votre épargne.

Enfin, nous pouvons également être amenés à traiter vos données à caractère personnel dans le cadre d’échanges avec la Fédération AGIRC-ARRCO aux fins d’accomplissement de ses missions de gestion de la retraite complémentaire obligatoire.

Les données collectées sont indispensables à ces traitements et sont destinées aux services concernés du Groupe APICIL, ainsi que le cas échéant, à ses délégataires de gestion, partenaires ou réassureurs qui interviennent au titre des services commercialisés par le Groupe APICIL. Nous ne pourrons pas étudier votre devis d’assurance ou votre demande de souscription ou exécuter votre contrat, si vous ne nous communiquez pas les données nécessaires.

4. Données traitées

Dans le cadre de ses activités, le Groupe APICIL est susceptible de collecter auprès de vous les données personnelles suivantes, qu’elles soient issues de formulaires de collecte, d’échanges entre vous et votre conseiller APICIL et ce, quel que soit le support de ces échanges :

• Données d’identification nécessaires à votre identification en qualité de souscripteur : données d’état civil (nom, prénoms, sexe, civilité, données relatives aux pièces d’identité, ex. permis de conduire, justificatifs d’identité, date et lieu de naissance, nom de jeune fille, la nationalité) lors de votre demande de devis ou de souscription d’un contrat.
• Personnes concernées par le contrat : les assurés, les bénéficiaires des contrats, les ayants droit, les tuteurs, les curateurs, etc. ;
• Données de contact : numéros de téléphone, adresse électronique, adresse postale ;
• Données relatives à la vie personnelle : situation familiale, nombre d’enfants, statut marital, régime matrimonial, personnes à charge ;
• Informations d’ordre économique et financier : revenus, situation financière, situation fiscale, coordonnées bancaires ;
• Données de santé : les données médicales sont couvertes par le secret médical. Elles sont uniquement destinées à notre service médical et à toute personne placée sous la responsabilité du médecin conseil ;
• Données de connexion : adresse IP, historique de navigation, parcours de visite, système d’exploitation, informations sur les appareils à partir desquels vous vous rendez sur le site Internet. Dans l’objectif d’améliorer nos services afin de fournir une meilleure expérience utilisateur, nous utilisons des outils d’analyse de comportements et de suivi de la navigation. Ceux-ci nous permettent ainsi d’établir des statistiques de consultations de chaque écran, de suivre les performances des fonctionnalités de nos applications et de vous proposer des services adaptés ;
• Données relatives à l’appréciation du risque et à la lutte contre la fraude, conformément aux textes applicables à ce type de traitement ;
• Données nécessaires à l’application du contrat et à la gestion des sinistres et des prestations. Il s’agit notamment des données liées au contrat (numéro d’identification du client, de l’assuré, du dossier de sinistre, etc.) ou celles liées au sinistre (nature du sinistre, indemnités, garanties souscrites, rapports d’expertise, etc.) ou liées à la victime (taux d’invalidité, modalités de règlement, montants remboursés par la Sécurité sociale pour les complémentaires frais et soins, etc.) ;
• Nous pouvons également dans le cadre strict de ce que les textes nous autorisent, collecter et traiter votre Numéro d’Inscription au Répertoire (NIR) pour les seuls besoins de la gestion des activités d’assurance maladie ou en cas de préjudice corporel ou lors de la conclusion d’un contrat d’assurance complémentaire santé ou de prévoyance ou emprunteur, pour les besoins de la mise en œuvre de ces garanties et des relations avec les professionnels, ou tout organisme devant intervenir à ce titre ;
• Données nécessaires à l’appréciation des préjudices et la détermination des indemnités, y compris les données médicales, lesquelles font l’objet d’un traitement spécifique afin de respecter le secret médical. Nous pouvons en effet devoir recueillir des données de santé vous concernant au moment de la conclusion de contrat d’assurance, ou lors de la gestion des sinistres ;
• Données fournies par des organismes tiers habilités à nous fournir des informations vous concernant ;
• Nous pouvons également être amenés à recueillir certaines informations de votre part à l’occasion d’enquêtes de satisfaction, les réponses à ce type de questionnaire n’ayant aucun caractère contraignant.

Certaines données à caractère personnel peuvent être considérées comme sensibles. En pareil cas, nous nous engageons à ne traiter de telles données qu’après avoir recueilli préalablement votre consentement éclairé, spécifique et exprès.

5. Sécurité des données

Le Groupe APICIL tient à assurer la sécurité et la confidentialité des données collectées en mettant en place des mesures techniques, physiques et organisationnelles appropriées afin de les protégées et empêcher des accès, usages, modifications, destructions, pertes, dommage ou divulgations à des tiers non autorisés.

Nos sous-traitants et prestataires présentent des garanties en termes de qualité, de sécurité, de fiabilité et de ressources pour assurer la mise en œuvre des mesures techniques et organisationnelles permettant de sécuriser les traitements de données. Ils respectent le RGPD et s’engagent à avoir les mêmes niveaux d’exigence en termes de sécurité et confidentialité que le Groupe APICIL.

Ainsi, l’accès à votre espace personnel client est protégé par un identifiant et un mot de passe personnels et l’accès à vos données est limité aux seules personnes habilitées et sensibilisées.

Cependant, les données transmises via internet (site, espace client, mails, etc.) peuvent faire l’objet d’attaques, de piratage ou de détournement malgré toutes les mesures en place du fait même des caractéristiques intrinsèques de l’Internet, ce dont les entités du Groupe APICIL ne sauraient être tenues pour responsables.

En cas de violation de vos données personnelles, le Groupe APICIL a l’obligation conformément à la règlementation applicable de notifier l’autorité de contrôle compétente et de vous informer, dans les meilleurs délais, de toute violation de données personnelles susceptibles d’engendrer un risque pour vos droits et libertés, pour vous permettre de prendre les mesures utiles.

6. Comment mes données personnelles sont-elles protégées ?

Les destinataires des données à caractère personnel sont, dans les limites nécessaires à la poursuite des finalités précisées ci-dessous :

• Les collaborateurs des entités du Groupe APICIL dans la limite de leurs droits et attributions (relation client, gestion et exécution des contrats, réclamations, prospection, services administratifs, services informatiques ainsi que leurs responsables hiérarchiques, etc.) ;
• Nos partenaires, courtiers, délégataires de gestion et intermédiaires d’assurance ;
• Les réassureurs et les coassureurs, ainsi que les organismes professionnels et les organismes complémentaires ;
• Les personnes intervenant au contrat comme les avocats, les auxiliaires de justice, les tuteurs, les curateurs, les médecins conseils, etc. ;
• S’il y a lieu, les personnes intéressées au contrat comme les souscripteurs, les assurés, les ayant droits, les bénéficiaires des contrats, etc. ;
• La Fédération Agirc-Arrco pour les données relatives à la retraite ;
• Les prestataires et sous-traitants du Groupe APICIL, y compris les prestataires informatiques ;
• Les autorités administratives et judiciaires saisies dans le cas d’un litige ou d’un contentieux ;
• Les autorités de tutelle ou de contrôles (ACPR, AMF, CNIL, etc.) habilitées à recevoir de telles données ;
• Les commissaires aux comptes ou contrôleurs fiscaux.

Seuls les destinataires dûment habilités peuvent accéder, dans le cadre de notre politique de sécurité, aux informations nécessaires à leur activité.

7. Durée de conservation des données

Les données vous concernant sont conservées pour une durée limitée, cette durée est déterminée en fonction de la finalité du traitement et de règles issues de recommandations de la CNIL ou déterminées en fonction d’obligations règlementaires.

Ainsi les données utilisées à des fins de prospection et d’information commerciale sont conservées trois ans après le dernier contact à l’initiative du client ou la fin de la relation contractuelle.

Les données collectées et traitées dans le cadre de la conclusion de votre contrat et des services associés sont conservées pendant toute la durée nécessaire à la gestion de votre contrat, augmentée des durées de prescriptions applicables, notamment en matière civile, commerciale, fiscale, et celles résultat du Code des assurances, en particulier 6 ans pour les documents fiscaux et 10 ans pour les documents comptables. À titre d’illustration, dans le cadre de la relation clients, les enregistrements téléphoniques et les conversations par chat sont conservés pour une durée maximum de 6 mois. De même, les résultats des enquêtes de satisfaction sont conservés pendant 18 mois maximum.

En cas d’exercice de leurs droits par les personnes concernées, les données relatives aux pièces d’identité peuvent être conservées pendant les délais de prescription légale applicables, soit pendant une durée maximale de 3 ans.

8. Transfert de données en dehors de l’Union Européenne

En cas de transfert de données à caractère personnel hors de l’Union Européenne, des garanties seraient prises pour encadrer juridiquement ce transfert et mettre en place des mesures techniques et contractuelles, telles que définies par la réglementation, permettant de s’assurer du respect des principes du RGPD et de la sécurité des données concernées. Les personnes concernées sont informées dans ce cas sur le pays dans lequel se situe le destinataire des données transférées, la nature des données transférées, la finalité du transfert et les catégories de destinataires des données transférées et les garanties assurant un niveau de protection adéquate des données.

9. Gestion des cookies

Un cookie est un petit fichier de données, sauvegardé sur votre terminal (ordinateur, tablette, téléphone portable, etc.), qui peut être utilisé pour rendre votre expérience utilisateur plus agréable. Un cookie n’est pas un programme qui peut contenir des programmes nuisibles ou des virus.

Les cookies nous permettent de personnaliser le contenu et les annonces, d’offrir des fonctionnalités relatives aux médias sociaux et d’analyser notre trafic. Nous partageons également des informations sur l’utilisation de notre site avec nos partenaires de médias sociaux, de publicité et d’analyse, qui peuvent combiner celles-ci avec d’autres informations que vous leur avez fournies ou qu’ils ont collectées lors de votre utilisation de leurs services. La loi stipule que nous ne pouvons stocker des cookies sur votre appareil que s’ils sont strictement nécessaires au fonctionnement de ce site. Pour tous les autres types de cookies, nous avons besoin de votre consentement.

Pour plus d’information sur la gestion des cookies, vous pouvez consulter notre Politique de gestion des cookies et autres traceurs.

10. Droit des personnes concernées

Conformément à la réglementation en vigueur sur la protection des données à caractère personnel, vous disposez d’un droit d’accès, de rectification, d’effacement des données vous concernant. Dans le cadre du droit d’accès, le Groupe APICIL pourra exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire que vous demanderez. Vous disposez également d’un droit à la portabilité des données à caractère personnel que vous nous avez fournies et du droit de définir des directives post mortem pour vos données.

Vous pouvez également exercer votre droit de limitation d’un traitement et votre droit d’opposition selon les modalités légales. Lorsque vos données sont traitées à des fins de prospection, vous avez le droit, à tout moment et sans frais, de vous y opposer en utilisant le lien de désabonnement figurant dans le message reçu ou en vous connectant à votre espace client personnel.

En cas de démarchage téléphonique, si vous ne souhaitez pas faire l’objet de prospection commerciale, vous pouvez vous inscrire gratuitement sur la liste d’opposition au démarchage téléphonique BLOCTEL. Pour plus d’informations, vous pouvez consultez le site www.bloctel.gouv.fr.

Vous disposez également du droit de retirer votre consentement à tout moment, pour les traitements fondés sur cette base juridique. Le retrait de votre consentement sera sans incidence sur la licéité du traitement réalisé avant son retrait.

Tous vos droits peuvent être exercés à tout moment :

• en envoyant un e-mail à [email protected];
• en écrivant à Groupe APICIL – Délégué à la protection des données (DPO) – DSI – 51 boulevard Marius Vivier-Merle, 69003 Lyon ;
• en adressant une demande via le formulaire Web : Formulaire d’exercice des droits.

Vous disposez également du droit d’introduire une réclamation auprès de la CNIL ou d’une autorité de protection des données d’un État membre de l’Union européenne.

Concernant les traitements mis en œuvre afin d’assurer une surveillance adaptée aux risques de blanchiment de capitaux et de financement du terrorisme, en application de l’article L.561-45 du Code monétaire et financier, vos demandes d’accès à ces fichiers doivent être adressées à la Commission Nationale Informatique et Libertés (CNIL) – 3 place de Fontenoy, 75007 Paris.

11. Contacter le délégué à la protection des données

Pour contacter le Délégué à la Protection des Données (DPO ou Data Protection Officer), vous pouvez écrire à Groupe APICIL – Délégué à la Protection des Données – DSI – 51 boulevard Marius Vivier-Merle, 69003 Lyon.

12. Profilage

Le Groupe APICIL est susceptible d’utiliser des traitements de profilage fondés sur l’analyse de vos données. Le profilage est un traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels pouvant avoir des impacts sur les caractéristiques de votre contrat.

Ainsi le profilage est nécessaire afin de répondre aux obligations de conseil, de détermination de garanties, de placements ou de prestations et de vous proposer des contrats et services adaptés à vos besoins.

À titre d’exemple, les informations sur le patrimoine, les revenus, la profession ou l’âge peuvent être prises en compte pour déterminer un profil financier et vous orienter vers certains produits bancaires ou d’épargne.

13. Modification de la politique de confidentialité

Le Groupe APICIL se réserve le droit de modifier ou de façon plus générale d’actualiser à tout moment et sans préavis, la présente politique de protection des données. Toute modification substantielle sera signalée sur le site Internet et/ou, le cas échéant, par e-mail. Nous vous invitons à consulter régulièrement cette page afin de vous tenir informée des modifications qui pourraient être apportées.

14. Contacter le Groupe APICIL

Pour toute remarque ou question relative à ce document, vous pouvez nous écrire à :

Groupe APICIL

Délégué à la protection des données (DPO)

DSI

51 boulevard Marius Vivier-Merle, 69003 Lyon

[email protected]

15. Définitions

Données à caractère personnel

Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable. Une « personne physique identifiable » est une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Le responsable de traitement

Vos données à caractère personnel sont collectées et traitées par une personne morale, membre du Groupe APICIL. Cette dernière est dite « responsable de traitement » lorsqu’il s’agit de l’organisme qui détermine les finalités et les moyens du traitement.

Le délégué à la Protection des Données

Le délégué à la protection des données, aussi appelé DPO (Data Protection Officer), est l’interlocuteur privilégié que vous devrez contacter si vous voulez exercer vos droits ou pour toute question relative à la protection des données personnelles au sein du Groupe APICIL.

La Commission Nationale Informatique et Libertés

La CNIL, créée en 1978, est l’autorité administrative chargée de la protection des données personnelles. Elle accompagne les entreprises dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.

Le droit d’accès

Vous pouvez demander à l’organisme concerné de vous communiquer toutes les données qu’il détient sur vous. Ce droit vous permet également de contrôler l’exactitude de vos données et, au besoin, de les faire rectifier ou effacer (cf. droit à la rectification et droit à l’effacement).

Le droit de rectification

Vous pouvez demander la rectification des informations inexactes ou incomplètes vous concernant.

Le droit d’opposition

Vous pouvez vous opposer à l’utilisation de vos données pour certaines activités de traitements. L’exercice de ce droit dépend de la finalité et de la base juridique du traitement et fera l’objet d’une analyse au cas par cas.

Le droit à la portabilité

Vous pouvez demander à récupérer vos données personnelles dans un format ouvert et lisible par machine. Vous pouvez aussi demander à l’organisme traitant vos données personnelles de les transférer à un autre organisme. Ce droit ne s’applique qu’aux traitements fondés sur le consentement ou sur l’exécution d’un contrat.

Le droit d’effacement ou le droit à l’oubli

Vous pouvez demander l’effacement de vos données personnelles. L’exercice de ce droit fera l’objet d’une analyse au cas par cas.

Le droit de limitation de traitement

Vous pouvez demander la suspension temporaire de tout traitement le temps que l’organisme concerné examine votre demande relative à l’un des droits cités précédemment. L’organisme devra alors arrêter d’utiliser vos données mais continuera à les conserver.

Le droit post-mortem

Vous pouvez définir les directives relatives à la conservation, à l’effacement et à la communication de vos données personnelles après votre décès. L’exercice de ce droit fera l’objet d’une analyse au cas par cas.