Politique de confidentialité

Version en date du 15/04/2023

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018 et vient enrichir la législation en matière de protection des données à caractère personnel.
Pour votre information constitue :

• Une donnée à caractère personnel  : toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres (nom, prénom, adresse, mail, téléphone, numéro de contrat, numéro CB, ...) ;
• Une donnée de santé, toute donnée à caractère personnel relative à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne ;
• Une donnée médicale, toute donnée à caractère personnel « recueillie ou produite à l’occasion des activités de prévention, de diagnostic de soins ou de suivi social et médico-social » (article L.1111-8 code de la santé publique) et appartenant aux données de santé ;
• Un traitement de données à caractère personnel, toute opération sur ce type de données (collecte, stockage, transmission, suppression, …), que cela soit sur papier ou informatique. Le responsable de traitement est la personne qui détermine ces finalités de chaque traitement et les moyens pour atteindre ces finalités.
  Pour le Groupe CRC, la protection des données personnelles est une priorité. Dans un souci de transparence, cette présente Politique de Confidentialité a pour objectif de vous expliquer pourquoi le Groupe CRC a besoin de collecter les données personnelles, en sa qualité de responsable de traitement, comment celles-ci sont traitées, quels sont les droits dont vous disposez sur vos données et comment les exercer.

Le Groupe CRC se réserve le droit de modifier à tout moment la présente Politique de Confidentialité. Toute modification prendra effet immédiatement. Nous vous invitons, par conséquent, à consulter régulièrement notre Politique, accessible depuis toutes les pages du Site, et à vérifier la date indiquée sur la présente Politique afin de connaître la date de la dernière mise à jour. Pour les changements que nous estimons les plus significatifs, une notification sera faite sur le Site.

Sommaire

1. Responsables de traitement
2. Pourquoi le Groupe CRC collecte vos données ?
3. Quel fondement juridique autorise le Groupe CRC à traiter mes données ?
4. Quel type de données personnelles est collecté par le Groupe CRC ?
5. Comment sont traitées mes données de santé ?
6. Combien de temps le Groupe CRC conserve-t-il vos données ?
7. Avec qui le Groupe CRC partage-t-il vos données ?
8. Vos données sont-elles transférées hors EEE ?
9. Comment sont sécurisées vos données ?
10. Comment le Groupe CRC vous informe-t-il des traitements réalisés sur leurs données ?
11. Quels sont vos droits sur vos données et comment les exercer ?
11.1 Vos droits
11.2 L’exercice des droits
 
1. Responsables de traitement

Dans le cadre des activités :

• De souscription et de gestion de contrats d’assurances (collectif et/ou individuel), de relation avec le client, les responsables de traitement sont la Caisse Réunionnaise de Prévoyance (CRP) ou Groupe CRC Courtage ;
• De gestion de la retraite complémentaire, les responsables de traitement sont les Institutions de Retraite Complémentaire (IRC), dont la Caisse Réunionnaise de Retraites complémentaires (la CRR) en partenariat avec la Fédération AGIRC-ARRCO, qui collectent et traitent de manière conjointe vos données personnelles ;
• D’action sociale, celui-ci sera amené à collecter et à traiter conjointement avec la CRP ou la CRR des données personnelles ;
• De marketing et communication externe, de services proposés aux clients et prospects, celui-ci sera amené à collecter et à traiter, seul ou conjointement avec la CRP, Groupe CRC Courtage ou la CRR, des données personnelles ;
• De lutte contre la fraude, le blanchiment de capitaux et le financement du terrorisme, celui-ci agira en qualité de seul responsable de traitement ou en tant que responsable conjoint aux côtés des autres entités, la CRP, Groupe CRC Courtage et/ou la CRR.

Afin de faciliter la lecture et la compréhension de la présente Politique, seul sera cité le Groupe CRC dans la suite du document ; étant précisé, que sur l’ensemble des supports une information RGPD sera présente et la ou les entités responsables de traitement seront clairement identifiées, conformément à l’obligation légale de transparence.

2. Pourquoi le Groupe CRC collecte vos données ?

Dans le cadre de ses activités, le Groupe CRC est amené à utiliser un certain nombre de données vous concernant afin de répondre à des finalités déterminées (avec un but précisément défini), explicites (énoncé dans des termes clairs) et légitimes (au regard des intérêts et/ou des activités du Groupe CRC).

Les données que le Groupe CRC collecte sont nécessaires pour lui permettre de répondre aux finalités suivantes :

Sur le périmètre assurantiel :

• La passation des contrats (notamment, l’étude des besoins spécifiques de chaque demandeur afin de proposer des contrats adaptés et l’examen, l’acceptation, le contrôle et la surveillance du risque) ;
• La gestion des contrats d’assurance (notamment, la tarification, l’émission des documents pré contractuels, contractuels et comptables, l’encaissement des cotisations, …) et leur exécution,
• L’utilisation du NIR de l’adhérent/assuré pour les besoins de la passation, la gestion et l’exécution des contrats de complémentaire santé, contrat d’assurance prévoyance, et gestion des rentes ;
  ▪ L’élaboration de statistiques et d’études actuarielles ;
  ▪ L’exercice des recours et la gestion des réclamations et contentieux ;
  ▪ L’exécution des dispositions légales, règlementaires et administratives en vigueur, y compris la mise en œuvre de contrôles et d’audits internes ;
  ▪ L’élaboration de reportings dans le cadre de la mise en œuvre de dispositions légales (Loi Eckert, Agira, LCBFT/ACPR) ;
  ▪ La recherche de bénéficiaires pour lutter contre la déshérence des contrats d’assurance vie ;
  ▪ La lutte contre la fraude ;
  ▪ La lutte contre le blanchiment de capitaux et le financement du terrorisme ;
  ▪ La gestion commerciale des clients et prospects, et notamment : la mise en œuvre d’opérations de prospection, commerciales ou promotionnelles, la personnalisation de ces communications sur la base d’un profilage analytique, la réalisation d’actions de fidélisation à destination de l’assuré, la gestion des avis sur les produits, services ou contenus proposés, l’organisation de jeux concours, d’enquêtes de satisfaction ou encore de sondages ;

Sur le périmètre « du Numérique » :

• La gestion des applications internet et mobile mises à disposition des assurés/adhérents. (Pour plus d’information, reportez-vous aux Politiques de Confidentialité applicables accessibles directement depuis ces espaces.) ;
• La gestion des demandes reçues par le biais des formulaires présents sur le Site (demandes d’informations, de devis, de rendez-vous téléphoniques, …) ;
• La gestion des inscriptions au blog et des publications de commentaire sur le blog ;
• La gestion des pages du Groupe CRC sur les Réseaux Sociaux (Pour en savoir plus sur les traitements de données personnelles réalisés par le Groupe CRC, en qualité de seul responsable de traitement ou de responsable de traitement conjoint aux côtés de Facebook le cas échéant, lors de vos interactions avec ses pages sur les Réseaux Sociaux, VEUILLEZ CONSULTER NOTRE POLITIQUE DE CONFIDENTIALITÉ APPLICABLE AUX RÉSEAUX SOCIAUX) ;
• La gestion des cookies installés sur le Site (Pour plus d’information, VEUILLEZ CONSULTER NOTRE POLITIQUE COOKIES) ;

Sur le périmètre de la retraite complémentaire :

• Les opérations de gestion de la retraite complémentaire pour les entreprises et les individus actifs et retraités (calcul des droits à la retraite complémentaire, gestion des pensions, recouvrement des cotisations, versement des retraites, etc.) ;
• L’interlocution avec les entreprises et les individus actifs et retraités ;
• Les prélèvements fiscaux et sociaux ;
• La lutte contre la fraude ;
• La gestion des contentieux ;
• La gestion des réclamations ;
• L’action sociale ;
• Les campagnes d’information sur la retraite ;
• Les enquêtes de satisfaction ;
• La gestion des événements institutionnels.

Enfin,

• La gestion des demandes d’exercice des droits reconnus aux personnes concernées au titre de la règlementation applicable au traitement des données personnelles.
  De façon générale, le Groupe CRC ne traite aucune de vos données personnelles à d’autres fins que celles pour lesquelles elles ont été initialement collectées, sauf accord préalable de votre part.

3. Quel fondement juridique autorise le Groupe CRC à traiter mes données ?

Le Groupe CRC ne peut collecter et traiter vos données que si un fondement juridique l’y autorise, à savoir : votre consentement, un contrat qui vous lie au Groupe CRC, une obligation légale à laquelle est tenu le Groupe CRC ou bien encore son intérêt légitime.

Le respect d’une obligation légale. Certaines de vos données sont traitées par le Groupe CRC pour répondre à ses obligations légales, notamment en matière de prélèvement à la source de l’impôt sur le revenu, de lutte contre le blanchiment, d’examen, d’acceptation, de contrôle et de surveillance du risque, et en particulier certaines de ses obligations règlementaires et administratives (obligations comptables et fiscales, obligations issues de la règlementation applicable au traitement des données personnelles, …).
Dans le périmètre de la retraite complémentaire, vos données sont traitées pour assurer le respect des obligations légales et réglementaires telles que définies par la législation en vigueur, dans le cadre des opérations de gestion de la retraite complémentaire pour les entreprises et les individus actifs et retraités, l’interlocution avec les entreprises et les individus actifs et retraités ainsi que les prélèvements fiscaux et sociaux.

L’exécution de mesures précontractuelles ou d’un contrat conclu avec le Groupe CRC. Lorsque votre demande concerne spécifiquement nos produits et services, à l’occasion d’une demande de devis, de rendez-vous téléphonique, d’affiliation ou lors de l’exécution et de la gestion du contrat qui vous lie au Groupe CRC ou encore dans le cadre de la gestion des réclamations et des recours liés audit contrat, le Groupe CRC est légitimement en droit d’utiliser vos données personnelles sur la base de ce fondement juridique.
De même, l’utilisation du NIR dans le cadre de la passation, de la gestion et de l’exécution des contrats d’assurance sera justifiée par l’existence de cette relation précontractuelle ou contractuelle qui vous lie au Groupe CRC.

Votre consentement. L’inscription au blog du groupe CRC, l’envoi d’offres commerciales à des particuliers et le dépôt de cookies ne pourront être autorisés que si le Groupe CRC a préalablement recueilli le consentement des personnes concernées. Notez qu’à tout moment vous pourrez retirer votre consentement en suivant la procédure détaillée au point 11 de la présente Politique de Confidentialité.

Les intérêts légitimes poursuivis par le Groupe CRC. Le Groupe CRC pourra traiter vos données personnelles pour répondre à un intérêt légitime. Tel sera le cas dans le cadre de la lutte contre la fraude, l’établissement d’études statistiques et actuarielles, l’élaboration de statistiques commerciales, ou encore la gestion des réclamations et des contentieux en vue d’assurer la constatation, l’exercice ou la défense des droits du Groupe CRC en justice ou la défense des personnes concernées. Cette même base juridique pourra être invoquée dans le cadre du traitement de certaines réclamations conformément aux procédures de médiation, à l’occasion de l’envoi d’offres commerciales à des professionnels, lors de l’organisation de jeux-concours, sondages, campagnes d’information et enquêtes de satisfaction ou lors du téléchargement de guides ou plaquettes présents sur le Site, du traitement des demandes d’ordre général, et enfin de la gestion des avis sur ses produits, services et contenus.

Profilage. Soucieux de ne vous adresser que des contenus pertinents, le Groupe CRC est susceptible de personnaliser ses communications commerciales sur la base des données que vous lui communiquez directement : secteur d’activité, secteur géographique, profession, etc. Le Groupe CRC est également amené à traiter certaines des données que vous lui communiquez, telles que vos besoins et leur niveau de priorité, afin de vous proposer des services adaptés à vos besoins dans le domaine de la santé et de la prévoyance. En application du RGPD, ces traitements constituent une opération de profilage analytique et sont réalisés, sauf opposition de votre part, sur la base de l’intérêt légitime d’amélioration continue des communications et des relations clients du Groupe CRC.
Que vous soyez un particulier ou un professionnel, notez qu’à tout moment vous pouvez vous opposer à la réception de toute communication de nature commerciale, et au profilage analytique associé, en suivant la procédure détaillée au point 11 de la présente Politique de Confidentialité.

Le Groupe CRC, afin de répondre à ses obligations légales en matière de lutte contre le blanchiment et le financement du terrorisme, exerce, à cette fin, une vigilance constante lors de l’entrée en relation d’affaires et au cours de celle-ci. Cette vigilance s’appuie sur les données communiquées par la personne concernée, des données contextuelles (issues du comportement de la personne concernée et des opérations envisagées) ainsi que celles issues de l’outil Dow Jones et qui sont analysées sur la base des axes suivants :

• un axe client portant sur le secteur d’activité, l’adresse fiscale, le domicile, l’attribution du statut de personne politiquement exposée et le gel des avoirs ;
• un axe produit ;
• un axe distribution portant sur le caractère de la vente (à distance ou en face à face) ;
• un axe opération portant sur le motif de l’opération et son montant, le résultat de la consultation de la base de données Dow Jones et le mode de paiement ;
• un axe géographique portant sur l’adresse fiscale, le domicile et les opérations effectuées en dehors de l’Union Européenne).
  En application du RGPD, ce traitement constitue une opération de profilage analytique qui permettra de qualifier le risque attaché à cette relation d’affaire et pouvant aboutir à une exclusion ou une suspension du contrat et/ou une déclaration Tracfin.

4.Quel type de données personnelles est collecté par le Groupe CRC ?

Le Groupe CRC s’engage à ne traiter que les données pertinentes et strictement nécessaires à la réalisation de la finalité poursuivie (cf. point 2 de la présente politique).

Dans le respect des obligations précitées, le Groupe CRC est amené à collecter et à utiliser différents types de données :

• celles que vous communiquez directement au Groupe CRC (lorsque vous nous adressez une demande, lors de vos prises de contact directes avec l’un de nos services, comme ceux des experts retraite et des gestionnaire assurances, lorsque vous renseignez un formulaire de contact, pendant les rendez-vous avec les conseillers ou gestionnaires, lors de la souscription à un contrat, lors de la création d’un compte personnel en ligne, lorsque vous participez à un jeu concours, à un sondage, lorsque vous vous inscrivez au blog du Groupe CRC ou que vous commentez un article, etc. ;
• celles que des tiers peuvent lui transmettre dans le cadre de ses activités (par exemple, professionnels de santé, prestataires, employeurs, partenaires du Groupe CRC intervenant dans l’exécution de votre contrat et dans le périmètre de la retraite complémentaire : votre employeur et les organismes partenaires de la sphère sociale et fiscale : CNAV, CNAM, Pôle Emploi, DGFIP, ACOSS…)
• celles qu’il crée (N° d’adhérent, statistiques, profils analytiques, etc.)
• et enfin, celles qu’il collecte automatiquement lorsque vous visitez son site (CF. POLITIQUE COOKIES).

5. Comment sont traitées mes données de santé ?

Le Groupe CRC peut être amené, dans les strictes limites de l’objet de ses activités, à traiter de données concernant votre santé et, a fortiori, vos données médicales, données considérées comme sensibles au sens du RGPD. Dans ce cadre, le Groupe CRC apporte une attention particulière aux modalités de leur collecte et à la mise en œuvre de mesures de sécurité renforcées.

Par principe, le traitement des données concernant votre santé est soumis à votre consentement écrit et préalable, à l’exception du traitement nécessaire aux fins de l’exécution des obligations et de l’exercice des droits en matière de protection sociale.

Vos données médicales sont couvertes par le secret médical et sont uniquement destinées au personnel habilité du Groupe CRC ; et les traitements sont alors réalisés dans le respect du code de bonne conduite annexé à la convention AERAS.

6. Combien de temps le Groupe CRC conserve-t-il vos données ?

L’ensemble des données collectées et traitées par le Groupe CRC sont conservées pendant le temps strictement nécessaire à la réalisation d’une ou des finalités visée(s) au point 2 de la présente politique, majoré des durées de conservation imposées et/ou des délais légaux de prescription applicables.

A titre d’exemple :

En matière de passation, gestion et exécution des contrats d’assurance, vos données sont conservées le temps nécessaire à l’exécution du contrat, puis, archivées conformément aux règles applicables en matière de prescription.

En matière de gestion des clients et prospects, en l’absence de conclusion d’un contrat, les données seront conservées 3 ans à compter de leur collecte ou du dernier contact émanant du prospect (demande de renseignements ou de documentation, par exemple) ou de la dernière soumission d’un formulaire en ligne (demande de téléchargement, rendez-vous, contact ou devis). Les données de santé relatives à un prospect seront conservées pendant une durée maximale de 5 ans afin de pouvoir répondre aux demandes formulées par un assuré relatives à une décision de révision de son contrat ou à des demandes de médiation. Les données des clients seront quant à elles conservées pendant la durée strictement nécessaire à la gestion de la relation contractuelle, sauf si celles-ci sont utiles à l’établissement de la preuve d’un droit ou d’un contrat, ou conservées au titre du respect d’une obligation légale à laquelle est soumis le Groupe CRC.

Dans le cadre de l’organisation d’un jeu concours, les données collectées seront conservées pour toute la durée du jeu concours jusqu’à l’attribution des lots gagnés. Pour plus d’information, veuillez-vous reporter au règlement de chaque jeu.

En matière d’enquête, sondage, étude, test produit, vos données seront conservées le temps de la réalisation de l’enquête, sondage, étude, test produit.

En matière de prospection commerciale ou d’inscription au blog, vos données peuvent être conservées pour une durée de trois ans à compter de leur collecte ou de votre dernier contact (par exemple, si vous êtes client, la date d’échéance d’un contrat ou, si vous êtes prospect, un clic sur un lien hypertexte contenu dans un courrier électronique ou la date du dernier échange téléphonique) ou à compter de la dernière soumission d’un formulaire, dans le cas où votre consentement a été recueilli en ligne (via l’un des formulaires présents sur le site internet du Groupe CRC). Au terme de ce délai de trois ans, le Groupe CRC pourra reprendre contact avec vous afin de savoir si vous souhaitez continuer à recevoir des sollicitations. En cas d’opposition ou en l’absence de réponse positive et explicite, vos coordonnées seront supprimées, à l’exception des données permettant de garantir l’effectivité de votre droit d’opposition qui seront conservées pour une durée minimale de 3 ans dans ce seul but.

Pour la publication des commentaires sur le blog, les commentaires sont conservés jusqu’ à la demande de suppression par son auteur et au plus tard, 1 an après sa publication.

En matière de retraite complémentaire, vos données personnelles sont conservées le temps nécessaire à l’accomplissement des finalités mentionnées ci-dessus ou pour permettre à l’Agirc-Arrco et aux IRC, dont la CRR, de répondre à leurs obligations légales et/ou réglementaires.

En matière d’action sociale, les données collectées et traitées pour les besoins du suivi social ne seront pas conservées dans la base active au-delà de deux ans à compter du dernier contact avec la personne ayant fait l’objet de ce suivi, sauf dispositions législatives ou réglementaires contraires ou en cas de contentieux.

En matière de gestion des demandes d’exercices des droits reconnus aux personnes concernées au titre de la règlementation applicable au traitement des données personnelles : en cas d’exercice du droit d’accès ou de rectification, les données relatives aux pièces d’identité peuvent être conservées pendant un délai d’un (1) an.

7. Avec qui le Groupe CRC partage-t-il vos données ?

Dans le cadre de son activité, le Groupe CRC peut être amené à transmettre vos données à différents destinataires agissant en qualité de sous-traitants, responsables conjoints de traitement ou responsables de traitement distincts, lorsque cela est rendu nécessaire pour répondre à la finalité poursuivie, et dans la limite de leurs attributions respectives, à savoir, notamment : les personnels des entités du Groupe CRC habilité dans le cadre de l’exercice de leurs fonctions, et le cas échéant, les prestataires (agence marketing, hébergeurs et éditeurs des solutions logicielles cloud hébergeant vos données, prestataires impliqués dans la maintenance de ces solutions, dans la gestion des jeux concours …), les partenaires (délégataires de gestion, intermédiaires d’assurance, coassureurs et réassureurs), ainsi que les personnes intervenant au contrat tels que les avocats, experts, auxiliaires de justice et officiers ministériels, curateurs, tuteurs, enquêteurs et professionnels de santé, médecins conseils, les tiers autorisés, le DPO des entités du Groupe CRC, et les organismes publics habilités à les recevoir.
Sur le périmètre de la retraite complémentaire, vos données personnelles peuvent être communiquées à des tiers (sous-traitants, partenaires de la protection sociale…) pour les besoins de la gestion de la retraite complémentaire ou conformément à une obligation légale et/ou réglementaire.

Seuls les destinataires dûment habilités peuvent accéder, dans le cadre de notre politique d’accès logique, aux informations nécessaires à leur activité.

8. Vos données sont-elles transférées hors EEE ?

Les données traitées par le Groupe CRC sont hébergées sur des serveurs sécurisés et situés en France. Si vos données venaient à être transférées hors de l’Espace Economique Européen (EEE), par le biais de nos sous-traitants notamment, nous apporterions une attention toute particulière à ce que ces derniers traitent vos données dans le plus strict respect de la règlementation en vigueur au sein de l’EEE en matière de protection des données personnelles. Par ailleurs nous nous engageons à vous informer au préalable de l’existence d’un tel transfert et des garanties que nous avons mises en œuvre pour l’encadrer.

9. Comment sont sécurisées vos données ?

Le Groupe CRC prend toutes les précautions nécessaires compte tenu de l’évolution des technologies, des coûts de mise en œuvre et de la nature des données à protéger ainsi que de la probabilité de chaque risque afin de garantir la sécurité et la confidentialité des données personnelles collectées et traitées et notamment empêcher qu’elles ne soient déformées, endommagées ou communiqués à des tiers (sauf accord de votre part).

Par conséquent, le Groupe CRC met en œuvre toutes les mesures techniques, d’ordre logique, physique, et organisationnel permettant de garantir un niveau de sécurité adapté au risque et de prévenir toute perte, altération, divulgation de données ou accès à des tiers non autorisés.

Les infrastructures du Groupe CRC sont protégées contre les logiciels malveillants (virus, spyware, …). L’accès physique et distant aux serveurs hébergeant les données et l’accès aux locaux techniques sont contrôlés et soumis à autorisation préalable. Un dispositif de sauvegarde assure la continuité d’activité en cas de perte ou de sinistre. Une charte informatique définit le cadre des usages sécurisés de son système d’information. En cas de sinistre, le Groupe CRC dispose d’un Plan de continuité d’activité, révisé et testé chaque année, qui permet de déployer les mesures adéquates au maintien constant de l’activité.

Toutefois, au regard des caractéristiques intrinsèques d’internet, les données transmises via le site et/ou l’Espace Client font l’objet de mesures qui ne peuvent prémunir de tous les risques de détournement et/ou de piratage, pour lesquels le Groupe CRC ne saurait être tenu pour responsable. En cas de violation de données et conformément à la règlementation en vigueur, le Groupe CRC s’engage à les notifier à la CNIL.

Dans le cas où le Groupe CRC envisage de confier une partie des activités de traitement à des sous-traitants, le Groupe CRC s’engage à vérifier au préalable que ces derniers présentent des garanties suffisantes pour assurer la protection des données personnelles qui leur sont confiées, notamment en termes de fiabilité et de mesures de sécurité et à leur faire signer des clauses conformes à l’article 28 du RGPD.

10. Comment le Groupe CRC vous informe-t-il des traitements réalisés sur leurs données ?

Préalablement à la mise en œuvre des traitements et au plus tard, lors de la collecte de vos données, le Groupe CRC s’engage à délivrer une information claire et précise, portant sur les éléments suivants :

• L’identité et les coordonnées du responsable de traitement ;
• Les coordonnées du DPO ;
• La finalité des traitements portant sur vos données ;
• La base juridique du traitement (consentement, exécution du contrat, respect d’obligations légales, sauvegarde de vos intérêts vitaux, intérêt légitime) ;
• Le caractère obligatoire ou facultatif des données collectées et des conséquences en cas de défaut de réponse ;
• Les destinataires de vos données ;
• La durée de conservation des données au regard du traitement mis en œuvre ;
• Vos droits et comment les exercer ;
• Les éventuels transferts de données vers des pays hors UE et des modalités de ce transfert ;
• Le cas échéant, l’existence d’une prise de décision automatisée, y compris un profilage, et ses conditions, et, a minima, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

Cette information figurera sur tous les supports du Groupe CRC destinés à ses clients et prospects, qui le nécessitent (contrat, formulaire, site internet, …), de façon complète pour certains, de façon plus allégée pour d’autres, et dans ce dernier cas, le Groupe CRC vous indiquera le document de référence à consulter afin de vous permettre de disposer d’une information complète sur les traitements opérés.

11. Quels sont vos droits sur vos données et comment les exercer ?

11.1 Vos droits
Droit d’accès. Vous pouvez obtenir du Groupe CRC la confirmation que vos données sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès à l’ensemble des données et informations détenu par le Groupe CRC.

Droit de rectification. Vous pouvez obtenir du Groupe CRC, dans les meilleurs délais, la rectification de vos données vous concernant qui seraient inexactes ou erronées. Vous pouvez également demander que vos données soient complétées, le cas échéant.

Droit à l’effacement. Sauf exceptions légales, vous pouvez demander au Groupe CRC l’effacement, dans les meilleurs délais, de vos données, si notamment, vous estimez que le traitement réalisé par le Groupe CRC sur vos données n’est plus nécessaire au regard des finalités pour lesquelles elles ont été collectées.

Droit à la portabilité. Vous avez la possibilité de récupérer une partie de vos données, dans un format ouvert et lisible par une machine, ou de demander au Groupe CRC de les transmettre à un autre organisme. Les seules données concernées par ce droit sont celles que vous avez fournies activement et consciemment au Groupe CRC (par exemple, les données que vous avez renseignées sur un formulaire en ligne) et les données générées lors de l’utilisation d’un service ou d’un dispositif dans le cadre de la conclusion ou de la gestion de votre contrat, et qui sont traitées de manière automatisée, sur la base du consentement ou de l’exécution d’un contrat.

Droit d’opposition. Vous pouvez vous opposer au traitement de vos données pour des raisons tenant à votre situation particulière et s’il n’existe pas pour le Groupe CRC de motifs légitimes et impérieux à poursuivre le traitement, sauf en cas de prospection commerciale, à laquelle vous pouvez vous opposez sans motif. En cas de traitement de vos données à des fins de prospection commerciale et de profilage analytique associé, vous pouvez vous y opposer, à tout moment, tout comme vous pouvez vous opposer à tout moment au dépôt de cookies.
Dès lors que vous ne vous n’êtes pas opposé à la réception d’offres commerciales si vous êtes un professionnel, vous pouvez, à tout moment, revenir sur votre choix via votre espace client, en vous rapprochant de votre conseiller, en envoyant STOP à un numéro non surtaxé ou en cliquant sur le lien « Préférences email », intégré dans chacune des communications électroniques.

Attention : ce droit ne peut pas être exercé notamment lorsque le traitement est fondé sur une obligation légale ou sur un contrat.
A ce titre, pour l’essentiel des traitements relatifs à la retraite complémentaire, parce qu’ils reposent sur une obligation légale, les droits à l’effacement et d’opposition notamment ne pourront pas être appliqués.

Droit à la limitation du traitement de leurs données. Vous pouvez demander au Groupe CRC de conserver vos données sans pouvoir les utiliser, c’est-à-dire d’en « geler » l’utilisation, dans l’un des cas suivants :

• vous contestez l’exactitude des données utilisées par le Groupe CRC,
• vous faites le choix de la limitation au lieu de l’effacement des données pour un traitement reconnu comme illicite,
• vous en avez besoin pour la constatation, l’exercice ou la défense de droits en justice,
• vous vous opposez à ce que vos données soient traitées pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le Groupe CRC prévalent sur les vôtres.

Droit de retirer votre consentement. Lorsque le traitement de vos données personnelles est fondé sur votre consentement (envoi de d’offres commerciales électroniques à destination de particuliers, par exemple – voir point 3 de la présente politique), vous avez la possibilité de retirer, à tout moment, votre consentement.
De même, pour retirer votre consentement aux cookies, vous pouvez le faire selon les modalités mentionnées dans la POLITIQUE COOKIES .

Droit de donner des directives post mortem. Vous avez la possibilité de définir des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès. Ces directives définissent la manière dont vous souhaitez que soient exercés, après votre décès, vos droits sur vos données. Vous pouvez nous transmettre ces directives en nous adressant un courrier, mentionnant en objet « Directives post mortem », en contactant le DPO du Groupe CRC (cf. point 11.2 de la présente politique). Vous pouvez à tout moment, modifier ou révoquer vos directives.

Droit d’introduire une réclamation auprès de la CNIL. Si après avoir contacté le Groupe CRC, vous estimez que vos droits ne sont pas respectés ou que la protection de vos données n’est pas assurée conformément au RGPD, vous pouvez, à tout moment, introduire une réclamation auprès de la CNIL, directement sur son Site internet ou par voie postale à : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07.

11.2 L’exercice des droits
Pour exercer l’un de vos droits, vous pouvez adresser votre demande à :

• Groupe CRC, DPO, 2 bis ruelle Pavée - BP 31071 – 97482 Saint Denis Cedex
  Ou
• dpo.crc@groupecrc.com

Toute demande doit préciser, en objet, le motif de cette demande (exercice du droit d’accès, d’opposition, …), l’adresse à laquelle doit parvenir la réponse et être accompagnée de tout élément permettant de justifier de votre identité (n° adhérent, n° allocataire, par exemple) et préciser. Dans le cas où ces informations ne permettent pas de vous identifier clairement, le Groupe CRC, se réserve le droit, en cas de doute légitime sur l’identité du demandeur, de vous demander la transmission d’une pièce d’identité.
Le Groupe CRC adressera sa réponse dans un délai maximum d’un (1) mois, à compter de la date de réception de la demande. Ce délai peut toutefois être prolongé de deux (2) mois supplémentaires en raison de la complexité et du nombre de demandes. Si vous estimez, après avoir contacté le Groupe CRC, que vos droits Informatique et Libertés ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.

De manière générale, pour toute question relative à la présente politique de protection des données ou pour toute demande relative à la gestion de vos données personnelles par le Groupe CRC, vous pouvez adresser votre demande au DPO du Groupe CRC.