Politique de confidentialité

POLITIQUE DE CONFIDENTIALITÉ

POLITIQUE DE CONFIDENTIALITÉ


Version en date du 11/04/2019.

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018 et vient enrichir la législation en matière de protection des données à caractère personnel.

Pour votre information, constitue :

 une donnée à caractère personnel, toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres (nom, prénom, adresse, mail, téléphone, numéro de contrat, numéro CB, ...).
 une donnée de santé, toute donnée à caractère personnel relative à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.
 une donnée médicale, toute donnée à caractère personnel « recueillie ou produite à l’occasion des activités de prévention, de diagnostic de soins ou de suivi social et médico-social » (article L.1111-8 code de la santé publique) et appartenant aux données de santé.
 un traitement de données à caractère personnel, toute opération sur ce type de données (collecte, stockage, transmission, suppression, …), que cela soit sur papier ou informatique. Le responsable de traitement est la personne qui détermine ces finalités de chaque traitement et les moyens pour atteindre ces finalités.

Pour le Groupe CRC, la protection de vos données personnelles est une priorité. Dans un souci de transparence, cette présente Politique de Confidentialité a pour objectif de vous expliquer notamment pourquoi le Groupe CRC a besoin de collecter vos données personnelles, en sa qualité de responsable de traitement, comment celles-ci sont traitées, quels sont les droits dont vous disposez sur vos données et comment les exercer.

Le Groupe CRC se réserve le droit de modifier à tout moment la présente Politique de Confidentialité. Toute modification prendra effet immédiatement. Nous vous invitons, par conséquent, à consulter régulièrement notre Politique, accessible depuis toutes les pages du Site et à vérifier la date indiquée sur la présente Politique afin de connaître la date de la dernière mise à jour. Pour les changements que nous estimons les plus significatifs, une notification sera faite sur le Site.

Sommaire

1. Pourquoi le Groupe CRC collecte vos données ?
2. Quel fondement juridique autorise le Groupe CRC à traiter mes données ?
3. Quel type de données personnelles est collecté par le Groupe CRC ?
4. Comment sont traitées mes données de santé ?
5. Combien de temps le Groupe CRC conserve-t-il vos données ?
6. Avec qui le Groupe CRC partage-t-il vos données ?
7. Vos données sont-elles transférées hors UE ?
8. Comment sont sécurisées vos données ?
9. Comment le Groupe CRC vous informe-t-il des traitements réalisés sur vos données ?
10. Quels sont vos droits sur vos données et comment les exercer ?
10.1. Vos droits
10.2. L’exercice de vos droits


1. Pourquoi le Groupe CRC collecte vos données ?

Dans le cadre de ses activités, le Groupe CRC est amené à utiliser un certain nombre de données vous concernant afin de répondre à des finalités déterminées (avec un but précisément défini), explicites (énoncé dans des termes clairs) et légitimes (au regard des intérêts et/ou des activités du Groupe CRC).

En pratique, vos données peuvent être traitées par le Groupe CRC pour des finalités classiques en matière d’assurance :
 La passation des contrats (notamment, étude des besoins spécifiques de chaque demandeur afin de proposer des contrats adaptés) ;
 La gestion et l’exécution des contrats d’assurance,
 L’utilisation du NIR de l’adhérent/assuré pour les besoins de la passation, la gestion et l’exécution des contrats de complémentaire santé, contrat d’assurance prévoyance, et gestion des rentes ;
▪ L’élaboration de statistiques et d’études actuarielles ;
▪ L’exercice des recours et la gestion des réclamations et contentieux ;
▪ La gestion commerciale des clients et prospects, et notamment : la mise en œuvre d’opérations de prospection, commerciales ou promotionnelles, et d’actions de fidélisation à destination de l’assuré, la gestion des avis de l’assuré sur les produits, services ou contenus proposés, l’organisation de jeux concours ;
▪ L’exécution des dispositions légales, règlementaires et administratives en vigueur ;
▪ La lutte contre la fraude ;
▪ La lutte contre le blanchiment de capitaux et le financement du terrorisme ;

Le Groupe CRC peut également être amené à traiter vos données personnelles :
 dans le cadre de l’action sociale proposée aux retraités, actifs cotisants, à ses assurés,
 dans le cadre de la gestion de la retraite complémentaire, y compris l’utilisation du NIR du participant ou de l’allocataire. A ce titre, vos données pourront être notamment utilisées pour :
 Assurer la gestion du régime auquel la CRR adhère, vis-à-vis des entreprises adhérentes et des participants ;
 Recevoir les adhésions des entreprises et les affiliations des salariés ;
 Encaisser les cotisations ;
 Suivre les comptes de points des salariés ;
 Calculer et verser les retraites.

 dans le cadre de la gestion des candidatures.

Enfin, vos données sont traitées par le Groupe CRC à l’occasion de services proposés en ligne, sur le site internet (gestion des formulaires de contact/demande de devis, l’inscription au blog, publication de commentaire sur le blog, l’accès à un compte personnel, la gestion des cookies (cf. Politique Cookies) ou à travers les applications mises à disposition de ses assurés/adhérents.

De façon générale, le Groupe CRC ne traite aucune de vos données personnelles à d’autres fins que celles pour lesquelles elles ont été initialement collectées, sauf accord préalable de votre part.


2. Quel fondement juridique autorise le Groupe CRC à traiter mes données ?

Le Groupe CRC ne peut collecter et traiter vos données que si un fondement juridique l’y autorise, à savoir : votre consentement, un contrat qui vous lie au Groupe CRC, une obligation légale à laquelle est tenu le Groupe CRC ou bien encore son intérêt légitime.

Le respect d’une obligation légale. Certaines de vos données sont traitées par le Groupe CRC pour répondre à ses obligations légales, notamment, en matière de lutte contre le blanchiment ou encore pour respecter ses obligations légales, règlementaires et administratives. De même, la CRR, en tant qu’adhérente à la fédération Agirc-Arrco, est amenée à traiter vos données dans le cadre de la gestion de la retraite.

L’exécution des relations contractuelles avec le Groupe CRC. A l’occasion d’une demande d’affiliation ou lors de l’exécution ou la gestion du contrat qui vous lie au Groupe CRC, le Groupe CRC est légitimement en droit d’utiliser vos données personnelles. De même, le Groupe CRC utilisera vos données dans le cadre de la fourniture d’espaces personnels sur internet ou mobile ou de la gestion des clients (actions de fidélisation à destination de l’assuré, gestion des avis de l’assuré sur les produits, services ou contenus proposés).
De même, l’utilisation du NIR dans le cadre de la passation, la gestion et l’exécution des contrats d’assurance sera justifié par l’existence de cette relation précontractuelle ou contractuelle qui vous lie au Groupe CRC.

Votre consentement. L’envoi d’offres commerciales par le Groupe CRC ou le dépôt de cookies ne pourront être autorisés que si le Groupe CRC a préalablement recueilli le consentement de la personne concernée.

Les intérêts légitimes poursuivis par le Groupe CRC. Le Groupe CRC pourra traiter vos données personnelles pour répondre à un intérêt légitime, comme la lutte contre la fraude, l’établissement d’études statistiques et actuarielles, l’élaboration de statistiques commerciales, l’organisation de jeux-concours ou bien encore la vérification des compétences professionnelles du candidat au regard du poste à pourvoir ou des postes susceptibles d’être pourvus, en matière de recrutement.

3. Quel type de données personnelles est collecté par le Groupe CRC ?

Le Groupe CRC s’engage à ne traiter que des données pertinentes et strictement nécessaires à la finalité poursuivie (cf. point 1 de la présente politique).

Dans le respect des obligations précitées, le Groupe CRC est amené à collecter et à utiliser différents types de données : celles que vous communiquez directement au Groupe CRC (lors de la souscription à un contrat, lorsque vous participez à un jeu concours, lorsque vous remplissez une demande de devis, lorsque vous candidatez à une offre d’emploi ou vous nous adressez votre candidature spontanée, lorsque vous constituez votre dossier de demande de retraite …) ; celles que des tiers peuvent lui transmettre dans le cadre de ses activités (par exemple, professionnels de santé, prestataires, employeurs, …) et enfin, celles que le Groupe CRC collecte automatiquement lorsque vous visitez son site (cf. Politique cookies) .

4. Comment sont traitées mes données de santé ?

Le Groupe CRC peut être amené, dans le strict respect de l’objet de ses activités, à traiter de données concernant votre santé et, a fortiori, vos données médicales, données considérées comme sensibles au sens du RGPD. Dans ce cadre, le Groupe CRC apporte une attention particulière aux modalités de leur collecte et à la mise en œuvre de mesures de sécurité renforcées.
Le traitement des données concernant votre santé est soumis à votre consentement écrit et préalable. Toutefois, en pratique, la conclusion du contrat d’assurance vaut recueil du consentement pour le traitement des données de santé à des fins de gestion du contrat. En revanche, un consentement spécifique est recueilli pour tout autre service impliquant le traitement de ce type de données.
Vos données médicales sont couvertes par le secret médical et sont uniquement destinées au personnel habilité du Groupe CRC.

5. Combien de temps le Groupe CRC conserve-t-il vos données ?

L’ensemble des données collectées et traitées par le Groupe CRC sont conservées pendant le temps strictement nécessaire à la réalisation d’une ou des finalités visée(s) au point 1 de la présente politique, majoré des délais légaux de prescription.

En matière de passation, gestion et exécution des contrats d’assurance, vos données sont conservées pendant la durée nécessaire à l’exécution du contrat, puis, archivées conformément aux règles applicables en matière de prescription.

En matière de gestion des clients et prospects, les données des clients seront conservées pendant la durée strictement nécessaire à la gestion de la relation commerciale, sauf si celles-ci sont utiles à l’établissement de la preuve d’un droit ou d’un contrat, ou conservées au titre du respect d’une obligation légale à laquelle est soumis le Groupe CRC.

En matière de prospection commerciale, vos données peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale, dans le cas où vous êtes client du Groupe CRC ; trois ans à compter de leur collecte par le Groupe CRC ou du dernier contact émanant de vous (par exemple, à l’occasion d’une demande de documentation, de renseignements), si vous n’êtes pas client.

En matière de retraite complémentaire, les durées de conservation des données à caractère personnel traitées dans le cadre de la gestion de votre dossier de retraite complémentaire sont conformes aux durées fixées par la Fédération AGIRC-ARRCO.

En matière d’action sociale, les données collectées et traitées pour les besoins du suivi social ne seront pas conservées dans la base active au-delà de deux ans à compter du dernier contact avec la personne ayant fait l’objet de ce suivi, sauf dispositions législatives ou réglementaires contraires ou en cas de contentieux.

En matière de recrutement
Sauf avis contraire de la part du candidat, le Groupe CRC conservera son dossier pendant deux ans afin de reprendre contact avec lui si son profil correspond à l’une des recherches futures du Groupe CRC. A l’issue de ce délai de deux ans, ses données seront automatiquement détruites, sauf accord formel de sa part.

6. Avec qui le Groupe CRC partage-t-il vos données ?

Dans le cadre de son activité, le Groupe CRC peut être amené à transmettre vos données à différents destinataires, lorsque cela est rendu nécessaire pour répondre à la finalité poursuivie, et dans la limite de leurs attributions respectives : les entités du Groupe CRC, le personnel du Groupe CRC habilité dans le cadre de l’exercice de leurs fonctions, la Fédération AGIRC-ARRCO, et le cas échéant, ses sous-traitants et partenaires, et les tiers légalement autorisés. Seuls les destinataires dûment habilités peuvent accéder, dans le cadre de notre politique d’accès logique, aux informations nécessaires à leur activité.

7. Vos données sont-elles transférées hors UE ?

Vos données sont hébergées sur des serveurs sécurisés et situés en France. Si vos données venaient à être transférées hors UE, par le biais de nos sous-traitants notamment, nous apporterions une attention toute particulière à ce que ces derniers traitent vos données dans le plus strict respect de la règlementation en vigueur en matière de protection des données personnelles.

8. Comment sont sécurisées vos données ?

Le Groupe CRC prend toutes les précautions nécessaires compte tenu de l’évolution des technologies, des coûts de mise en œuvre et de la nature des données à protéger ainsi que de la probabilité de chaque risque afin de garantir la sécurité et la confidentialité des données personnelles collectées et traitées et notamment empêcher qu’elles ne soient déformées, endommagées ou communiqués à des tiers (sauf accord de votre part).
Par conséquent, le Groupe CRC met en œuvre toutes les mesures techniques, d’ordre logique, physique, et organisationnel permettant de garantir un niveau de sécurité adapté au risque et de prévenir toute perte, altération, divulgation de données ou accès à des tiers non autorisés.
Toutefois, au regard des caractéristiques intrinsèques d’internet, les données transmises via le site et/ou l’Espace Client font l’objet de mesures qui ne peuvent prémunir de tous les risques de détournement et/ou de piratage, pour lesquels le Groupe CRC ne saurait être tenu pour responsable. En cas de violation de données et conformément à la règlementation en vigueur, le Groupe CRC s’engage à les notifier à la CNIL.
Dans le cas où le Groupe CRC envisage de confier une partie des activités de traitement à des sous-traitants, le Groupe CRC s’engage à vérifier au préalable que ces derniers présentent des garanties suffisantes pour assurer la protection des données personnelles qui leur sont confiées, notamment en termes de fiabilité et de mesures de sécurité et à leur faire signer des clauses conformes à l’article 28 du RGPD.


9. Comment le Groupe CRC vous informe-t-il des traitements réalisés sur vos données ?

Préalablement à la mise en œuvre des traitements et au plus tard, lors de la collecte de vos données, le Groupe CRC s’engage à vous délivrer une information claire et précise, portant sur les éléments suivants :
• l’identité et les coordonnées du responsable de traitement ;
• les coordonnées du DPO ;
• la finalité des traitements portant sur vos données ;
• la base juridique du traitement (consentement, exécution du contrat, respect d’obligations légales, sauvegarde de vos intérêts vitaux, intérêt légitime) ;
• le caractère obligatoire ou facultatif des données collectées et des conséquences en cas de défaut de réponse ;
• les destinataires de vos données ;
• la durée de conservation de vos données au regard du traitement mis en œuvre ;
• vos droits et comment les exercer ;
• les éventuels transferts de données vers des pays hors UE et des modalités de ce transfert ;
• le cas échéant, l’existence d’une prise de décision automatisée, y compris un profilage, et ses conditions, et, a minima, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

Cette information figurera sur tous les supports du Groupe CRC destinés à ses clients et prospects, qui le nécessitent (contrat, formulaire, site internet, …), de façon complète pour certains, de façon plus allégée pour d’autres, et dans ce dernier cas, le Groupe CRC vous indiquera le document de référence à consulter afin de vous permettre de disposer d’une information complète sur les traitements opérés.

10. quels sont vos droits sur vos données et comment les exercer ?
10.1. Vos droits

Droit d’accès. Vous pouvez obtenir du Groupe CRC la confirmation que vos données sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès à l’ensemble des données et informations détenu par le Groupe CRC.

Droit de rectification. Vous pouvez obtenir du Groupe CRC, dans les meilleurs délais, la rectification des données vous concernant qui seraient inexactes ou erronées. Vous pouvez également demander à ce que vos données soient complétées, le cas échéant.

Droit à l’effacement. Sauf exceptions légales, vous pouvez demander au Groupe CRC l’effacement, dans les meilleurs délais, de vos données, si notamment, vous estimez que le traitement réalisé par le Groupe CRC sur vos données n’est plus nécessaire au regard des finalités pour lesquelles elles ont été collectées.

Droit à la portabilité. Vous avez la possibilité de récupérer une partie de vos données, dans un format ouvert et lisible par une machine, ou de demander au Groupe CRC de les transmettre à un autre organisme. Les seules données concernées par ce droit sont celles que vous avez fournies activement et consciemment au Groupe CRC (par exemple, les données que vous avez renseignées sur un formulaire en ligne) et les données générées lors de l’utilisation d’un service ou d’un dispositif dans le cadre de la conclusion ou de la gestion de votre contrat, et qui sont traitées de manière automatisée, sur la base du consentement ou de l’exécution d’un contrat.

Droit d’opposition. Vous pouvez vous opposer à ce que vos données soient utilisées pour un objectif précis. Vous devez alors mettre en avant des raisons tenant à votre situation particulière, sauf en cas de prospection commerciale, à laquelle vous pouvez vous opposer sans motif. En cas de traitement de vos données à des fins de prospection commerciale, vous pouvez vous y opposer, à tout moment, tout comme vous pouvez vous opposer à tout moment au dépôt de cookies.
Dès lors que vous avez accepté de recevoir des offres commerciales de la part du Groupe CRC, vous pouvez, à tout moment, revenir sur votre choix via votre espace client, en vous rapprochant de votre conseiller ou en cliquant sur le lien « Préférences email », intégré dans chacune des communications. Si vous avez accepté de recevoir des newsletters de la part du Groupe CRC, vous pourrez à tout moment, manifester votre souhait de ne plus en être destinataire, grâce au lien de désinscription présent dans chacune des lettres d’information.

Droit à la limitation du traitement de vos données. Vous pouvez demander au Groupe CRC de conserver vos données sans pouvoir les utiliser, dans l’un des cas suivants : vous contestez l’exactitude des données utilisées par le Groupe CRC, vous vous opposez à ce que vos données soient traitées, en cas d’usage illicite mais vous vous opposez à leur effacement, vous en avez besoin pour la constatation, l’exercice ou la défense de droits en justice.

Droit de retirer votre consentement. Lorsque le traitement de vos données personnelles est fondé sur votre consentement (envoi de nos offres commerciales électroniques, par exemple – voir point 2 de la présente politique), vous avez la possibilité de retirer, à tout moment, votre consentement.
De même, pour retirer votre consentement aux cookies, vous pourrez le faire selon les modalités mentionnées dans la Politique Cookies.

Droit de donner des directives post mortem. Vous avez la possibilité de définir des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès. Ces directives définissent la manière dont vous souhaitez que soient exercés, après votre décès, vos droits sur vos données. Vous pouvez nous transmettre ces directives en nous adressant un courrier, mentionnant en objet « Directives post mortem », en contactant le DPO du Groupe CRC (cf. point 10.2 de la présente politique). Vous pouvez, à tout moment, modifier ou révoquer vos directives.

Droit d’introduire une réclamation auprès de la CNIL. Si après avoir contacté le Groupe CRC, vous estimez que vos droits ne sont pas respectés ou que la protection de vos données n’est pas assurée conformément au RGPD, vous pouvez, à tout moment, introduire une réclamation auprès de la CNIL, directement sur son Site internet ou par voie postale à : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07.

10.2. L’exercice de vos droits

Pour exercer l’un de vos droits, vous pouvez adresser votre demande à :
-  Groupe CRC, DPO, 2 bis ruelle Pavée - BP 31071 – 97482 Saint Denis Cedex
Ou
-  dpo.crc@groupecrc.com.

Toute demande doit préciser, en objet, le motif de cette demande (exercice du droit d’accès, d’opposition, …), être accompagnée d’un justificatif d’identité et préciser l’adresse à laquelle doit parvenir la réponse. Le Groupe CRC vous adressera sa réponse dans un délai maximum d’un (1) mois, à compter de la date de réception de votre demande. Ce délai peut toutefois être prolongé de deux (2) mois en raison de la complexité et du nombre de demandes. Si vous estimez, après avoir contacté le Groupe CRC, que vos droits Informatique et Libertés ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.

De manière générale, pour toute question relative à la présente politique de protection des données ou pour toute demande relative à la gestion de vos données personnelles par le Groupe CRC, vous pouvez adresser votre demande au DPO du Groupe CRC.