cybercriminalité

Navigation par catégorie

 

Comment Adélie gère et protège vos données personnelles 

La protection des données personnelles est un souci majeur pour Adélie, qui déploie tous ses efforts pour vous assurer un maximum de sérénité. Cet article a pour but de vous informer sur ces données que nous collectons, comment nous les utilisons et les sécurisons, ainsi que sur vos droits par rapport à ces données qui vous sont propres.

D’une manière générale, lorsque vous vous trouvez sur le site internet d’Adélie Assurances, vous pouvez naviguer en toute confidentialité. La présence de cookie, fichier texte enregistré sur votre ordinateur ou smartphone de manière ponctuelle ou définitive, nous permet d’améliorer la performance de notre site et de vous proposer un contenu adapté pour une meilleure expérience utilisateur.

(pour plus d’information sur les cookies et comment les gérer : https://www.cnil.fr/fr/cookies-les-outils-pour-les-maitriser)

De plus, lorsque vous remplissez des formulaires colletant vos données personnelles, un dispositif spécifique de sécurité renforcé vous assure une protection accrue.

  • Pourquoi collecter les données personnelles de nos clients ?

En tant que courtier en assurance, nous requerrons vos données dans le but de remplir nos dispositions légales et administratives, mais également pour éxecuter nos relations contractuelles et commerciales.

Notre but premier étant de vous obtenir le type de contrat le plus approprié et avec les meilleures garanties, la collecte de vos informations personnelles nous permet de mieux vous connaître, et d’apprécier votre situation avec pertinence. Ensuite, nous partageons les renseignements les plus utiles avec nos collaborateurs et partenaires pour vous trouver le contrat idéal. Enfin, dans le but d’améliorer nos services, vous pouvez être le destinataire d’une enquête de satisfaction.

Les données que vous nous fournissez sont conservées le temps nécessaire à leur traitement. En cas de non-souscription, elles sont immédiatement supprimées de notre base de données. En cas de souscription, elles sont conservées de manière sécurisée pendant toute la durée de votre contrat. Une fois celui-ci arrivé à son terme ou résilié, un délai de prescription s’ajoute, faisant varier la durée de conservation entre 3 et 10 ans selon le type et la sensibilité des données.

Bien sûr, vos données vous appartiennent et vous disposez de nombreux droits dessus : droit d’accès et de rectification, droit d’opposition, droit à la limitation des traitements ainsi que le droit à réclamer l’effacement.

De plus, en vertu de la portabilité des données, vous êtes en droit de réclamer une copie des informations collectées par nos soins avec votre consentement. Notez que ce même consentement peut être retiré à tout moment. (voir notre article sur « La RGPD du côté des utilisateurs »)

D’une manière générale, les responsables d’Adélie assurances s’engagent quotidiennement pour la protection de vos données.

 

Pour exercer vos droits ou contacter le responsable des données personnelles en vue d’obtenir toute information complémentaire, contactez-nous par mail à adelie-assurances@yahoo.fr ou par voie postale à l’adresse suivante : Adélie Assurances – 81 rue ville pépin 35400 Saint-Malo

 

La RGPD du côté des utilisateurs, ça donne quoi ?

Le 25 mai 2018, le règlement général pour la protection des données (RGPD) entrera en application pour permettre aux entreprises européennes d’harmoniser le traitement des données à caractère personnel de leurs clients. Par ce règlement, l’Union Européenne vise à élargir les droits des utilisateurs en leur donnant davantage de contrôle sur leurs données personnelles. Parmi ces droits, on trouve :

 

– la transparence des données collectées

L’utilisateur doit pouvoir demander les données à caractère personnel qui ont été collectées sur lui. La restitution doit être faite dans les meilleurs délais (maximum 1 mois à compter de la date de la demande ; ou exceptionnellement avec une prolongation de 2 mois lorsque la demande est complexe) et d‘une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant.

la rectification et l’effacement des données («droit à l’oubli»)

La personne concernée a le droit de retirer son consentement à tout moment. Il est aussi simple de le retirer que de le donner. L’utilisateur a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données la concernant, lorsque ces données ne sont plus nécessaires, ou bien lorsque la personne retire son consentement, ou lorsque le traitement s’avère illicite. En cas de rectification ou d’effacement, l’utilisateur doit se le voire notifier.

– la limitation du traitement :

Dès son entrée sur un site ou sur une application, l’utilisateur doit pouvoir limiter le traitement de ses données par des voies explicites. Il peut par exemple s’opposer à tout traitement automatiques de ses données dans le cadre d’un profilage publicitaire.

NB : concernant les cookies (hors cookies techniques nécessaires au fonctionnement du site), ils devront être bloqués par défaut, avant que l’utilisateur ne fournisse son consentement pour une ou plusieurs fonctionnalités spécifiques.

la portabilité des données

C’est-à-dire le droit de récupérer ses données sous le format le plus pratique et le plus pertinent, et de les transmettre à un autre fournisseur.

– l’information

Comme les droits des personnes ont évolués, les sites internet ou les applications se doivent d’adapter leurs parcours utilisateur vers une meilleure informations. Voici une liste d’éléments que vous devriez voir s’afficher en tant qu’utilisateur :

  • l’identité et les coordonnées du responsable du traitement ou du DPO (délégué à la protection des données)
  • les finalités ainsi que la base juridique du traitement

  • les destinataires des données à caractère personnel

  • le cas échéant, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale

  • la durée de conservation des données à caractère personnel

  • le droit de demander au responsable du traitement l’accès, la rectification ou l’effacement des données

  • la possibilité de retirer son consentement, de rédiger une réclamation auprès d’une autorité de contrôle

  • l’existence d’une prise de décision automatisée, ou la logistique sous-jacente de la collecte des données.

 

En résumé, le RGPD a pour but de redonner visibilité et contrôle aux utilisateurs ressortissant de l’Union Européenne quant à leurs données personnelles et à l’utilisation qu’en font les entreprises.

 

Le RGPD : qu’est-ce que c’est et comment ça marche ?

Le nouveau règlement européen sur la protection des données personnelles, autrement appelé règlement général sur la protection des données (RGPD) ou en anglais General Data Protection Regulation, entrera en application le 25 mai 2018 et permettra à l’Europe de s’adapter aux nouveaux enjeux du numérique.

 

Il a un double objectif :

– plus de transparence et contrôle pour les personnes dont les données sont manipulées par les entreprises, y compris pour les entreprises situées hors UE.

– offrir une meilleure confidentialité et protection pour les données, notamment par une harmonisation dans l’ensemble de l’UE de la gestion des données des résidents UE.

 

Qui est concerné : les entreprises (toute taille/tous secteurs), organismes publiques, associations, entreprises dont siège est hors UE mais dont l’activité concerne l’UE et ses résidents ;

en bref, toute organisation traitant des données personnelles ; ou systématiquement lorsqu’un résident européen est visé par un traitement de donnée.

 

Quelles données sont concernées :

Toute donnée dite « personnelle », c’est-à-dire toute donnée permettant d’identifier, même de manière indirecte, une personne physique. ex : nom prénom coordonnées adresses mail, santé, immatriculation VHL, n° contrat ou n° client

NB : les données « sensibles » regroupent à la fois les renseignements sur les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, les données relatives à la santé, à l’orientation sexuelle, les données génétiques ou biométriques ou bien enfin les historiques d’infractions ou de condamnations pénales.

 

Les principes et exigences des nouvelles normes ?

1- La responsabilisation (accountability en anglais) : c’est à l’entreprise et à ses sous-traitants de se mettre en conformité avec la réglementation. De plus, tous doivent être en mesure de démontrer que les démarches pour se mettre en conformité ont été entreprises.

2- La sécurité dès la conception (privacy by design) : c’est-à-dire que les services et produits issus de l’activité des organismes régis par la nouvelle réglementation se doivent d’assurer la protection des données personnelles collectées. Ce principe concerne également les systèmes d’information d’une nouvelle base de données mise en place ou encore le système de protection d’une application dès sa conception.

3- La protection en cas de compromission (security by default) : le système d’information doit posséder différents niveaux de sécurité. Il doit être capable de détecter toute anomalie ou intrusion, et apporter des solutions pour y remédier.

4- La désignation d’un DPO (Data Protection Officer) dont le rôle consiste à s’assurer de la conformité au RGPD, mais également d’être l’interlocuteur avec les autorité de la CNIL.

NB : Pour les TPE et PME, il est possible de désigner un DPO qui œuvre pour plusieurs entreprises à la fois.

5- La réalisation d’étude d’impact : Préalablement à la mise en œuvre d’un système de traitement de données susceptible faire l’objet d’atteintes, un document doit résumer les différents risques auxquels ce système s’expose et dresser un panel de mesures pour réduire l’impact d’une faille potentielle.

 

L’idée majeure : renforcer le droit des individus :

Transparence : l’information mise à disposition à qui de droit se doit d’être accessible, intelligible et claire. Les clients ou utilisateurs qui mettent à disposition leurs données personnelles doivent être informés de l’usage qui en est fait et ils doivent fournir leur consentement explicite.

Droit d’accès : les utilisateurs peuvent demander à tous moments l’accès aux données qui les concernent.

Droit à la portabilité : redonner aux clients la maîtrise de leurs données. Leur permettre de les récupérer sous format ouvert et lisible afin de les stocker ou de les réutiliser.

Droit à l’oubli : un utilisateur peut demander l’effacement des données à caractère personnel qui le concerne.

Droit de réparation des dommages matériels ou moraux : toute personne ayant subi un préjudice du fait d’une violation des RGPD peut demander réparation au responsable ou au sous-traitant du traitement des données.

 

Des responsabilités partagées entre Représentant légal de l’organisme, le Data Protection Officer, et les sous-traitants, qui eux aussi, se doivent de respecter les grands principes, mais également de fournir des conseils auprès du responsable pour le traitement des données. En cas de problème, le responsable de traitement ainsi que le sous-traitant pourront être sanctionnés.

 

Quelles sanctions : il convient de bien se protéger car les sanctions sont de taille : la somme la plus importante sera retenu entre 20 millions d’euros d’amende ou 4 % CA annuel en cas de violation des principes de base ou en cas de non-respect du droit d’accès des personnes physiques. De plus, des dommages et intérêts pour préjudice subi suite à un non respect des RGPD sera également à prévoir, toujours à la charge des entreprises.

Toutefois, la sanction peut se  cantonner à 10 millions d’euros d’amende ou 2 % CA annuel s’il s’agit de faute telle que la non tenue du registre de traitement des données, de non réalisation d’étude d’impact, ou bien faute de mesure de sécurité appropriée  mise en place par les responsables de traitement et/ou les sous-traitants, 

 

Voici les étapes indispensables pour se mettre en conformité avec le RGPD.

  • Générer des mention d’information*1 : informer qui est derrière la collecte, combien de temps ces données seront conservées, à quelles fins et comment exercer ses droits.
  • Créer un formulaire de contact par lequel vos clients peuvent demander d’accéder aux données qui les concernent
  • Demander l’accord aux personnes et leur permettre de le retirer
  • Adopter un système de sécurité adapté*2
  • Analyse du système d’information, des fichiers, de tous les documents contenant des données personnelles
  • Créer un registre de traitement des données*3
  • Prévoir des clauses de protection des données avec les sous-traitants*4
  • Notifier à la CNIL les violations de données sous 72h
  • Si les données sont jugées sensibles, une étude d’impact doit être réalisée*5

 

Quelques liens utiles :

Se préparer à la RGPD en six étapes

Modèles de mention d’information*1

Guide de la securite des donnees personnelles*2

Cartographier vos traitements de donnees personnelles*3

Sous-traitance, exemple de clause*4

outil CNIL – telechargez et installez le logiciel de simulation*5