Politique de confidentialité

CHARTE RGPD – PROTECTION DES DONNEES PERSONNELLES ARES CONSEIL

Le terme « Réglementation relative à la Protection des Données » désigne l’ensemble de la législation, de la réglementation et des principes applicables en matière de protection et de confidentialité des données, notamment la loi n° 78-17 du 6 janvier 1978 dite « Informatique et Libertés » modifiée par la loi n° 2004-801 du 6 août 2004 et la loi n° 2018-493 du 20 juin 2018, le Règlement Général européen sur la Protection des Données 2016/679 du 27 avril 2016 (RGPD), les avis et délibérations de la CNIL (y compris les dispositions du Pack de conformité Assurance) ou de toute autre Autorité de protection des données personnelles.
‍
Au sens du Règlement Général européen sur la Protection des Données, on entend par « Données à Caractère Personnel » (DCP), toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation.

FINALITES DES TRAITEMENTS

Les finalités des traitements de données
‍
‍ARES CONSEIL s'engage à traiter les DCP uniquement pour les Finalités pour lesquelles elles sont collectées.

En l’occurrence les Finalités sont les suivantes :
‍
Finalité 1 :

Le suivi des souscripteurs, la passation des contrats, la gestion des contrats de la phase précontractuelle à l’exécution des contrats ;
l’exécution des garanties souscrites ;
la gestion des clients et des réclamations et contentieux ;
la lutte contre la fraude,
la lutte contre le blanchiment de capitaux et le financement du terrorisme.

Finalité 2 :

La prospection commerciale.

Les personnes concernées

‍Les catégories de personnes concernées sont les personnes parties, intéressées ou intervenantes au contrat d’assurance, ainsi que les prospects.

Bases juridiques du traitement.

‍La licéité du traitement implique une base légale valide.

S’agissant des finalités relatives au suivi des souscripteurs, à la passation des contrats, la gestion des contrats de la phase précontractuelle à l’exécution, l’exécution des garanties souscrites, la gestion des clients et des réclamations et contentieux, le traitement repose sur la base de l’exécution du contrat ou des mesures précontractuelles entendues entre les parties (article 6, 1°, b) du RGPD).

S’agissant de la lutte contre la fraude et de la lutte contre le blanchiment de capitaux et le financement du terrorisme, le traitement repose sur le respect d’une obligation légale (article 6, 1°, c) du RGPD).
S’agissant de la prospection commerciale, le traitement repose sur la base de l’intérêt légitime de l’organisme d’assurance, en l’espèce le Courtier (article 6, 1°, f) du RGPD) sous réserve d’une information préalable claire et de la possibilité pour les personnes de s’y opposer préalablement et à tout moment. L’intérêt légitime est le développement commercial, le développement de nouvelles offres et de nouveaux services adaptés à la clientèle.

Prohibition

‍Par ailleurs, selon la Réglementation relative à la Protection des Données, dans le cadre des activités du Courtier, il est interdit de traiter des DCP qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale ou de traiter des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

LES DONNEES TRAITEES

Dans le cadre des deux finalités énoncées précédemment, le Courtier responsable de traitement traite les données suivantes uniquement lorsqu’elles sont pertinentes et strictement nécessaires au traitement.

La liste de données traitées pour les finalités 1 et 2, ci-après, est indicative.

Pour la passation, gestion et exécution des contrats d’assurance (Finalité 1)

Les données d'identification	Les données relatives à l'identification des personnes parties, intéressées ou intervenantes au contrat sont notamment les éléments relatifs à : à l'état civil ; aux coordonnées ; à la nationalité.
Les données relatives à la gestion du contrat	Il s'agit des données liées au contrat : le numéro d'identification du client, de l'assuré, du contrat, du dossier sinistre, les créances en cours, les références de l'apporteur, des coassureurs et des réassureurs, la durée, les montants, l'autorisation de prélèvement, les données relatives aux moyens de paiement ou relatives aux transactions.
Les données relatives à la situation familiale	La situation familiale comprend notamment les éléments relatifs : à la situation matrimoniale (mariage, pacs, vie maritale…) ; à la composition du foyer (nombre de personnes composant le foyer, âge…) ; à la capacité et au régime de protection (minorité, tutelle, curatelle…).
Les données relatives à la situation économique, patrimoniale et financière	Les données relatives à la situation économique, financière et patrimoniale sont notamment les éléments relatifs : aux revenus du travail et autres revenus ; au patrimoine mobilier et immobilier ; aux encours et à l'endettement ; aux avoirs financiers ; aux données d'imposition ; aux crédits ; au capital souscrit/remboursé ; à la situation de surendettement ou d'ouvrant droit à avantages assurantiels – bénéficiaires CMU- ACS, RSA… à la composition du foyer fiscal.
Les données nécessaires au paiement de la prime d'assurance	Il s'agit peut s'agir du : du numéro de chèque ; du numéro de carte bancaire, de la date de fin de validité de la carte bancaire dans le cadre de délibération n°2017-222 du 20 juillet 2017 de la CNIL ; des références bancaires (RIB / IBAN).
Les données relatives à la situation professionnelle	Les données relatives à la situation professionnelles sont notamment la catégorie socioprofessionnelle, le domaine d'activité, la profession et selon les catégories de contrat : l'employeur, les catégories de personnels assurés, la branche, la convention collective, le n° SIRET / SIREN, la raison sociale, les revenus ou le chiffre d'affaires, la date prévisionnelle de départ à la retraite, le régime fiscal, les compétences et qualifications professionnelles, les justificatifs de demandeur d'emploi…
Les données nécessaires à l'appréciation du risque	Il s'agit notamment de la situation géographique, des caractéristiques du logement ou du local, des conditions d'occupation, des renseignements sur les biens assurables, le type et les (caractéristiques) du ou des biens. Les informations relatives à la sinistralité et les antécédents de conduite et d'assurance, au permis de conduire, à la validité du permis de conduire et, le cas échéant, si le bien est utilisé sur le lieu de travail et lors de déplacements professionnels, aux éléments entraînant une déchéance de garantie…
Les données relatives à la détermination ou à l'évaluation des préjudices et des prestations	Il s'agit notamment : des données liées au sinistre ; des données liées aux victimes : notamment la nature et l'étendue des préjudices subis, les données issues de pages internet ouvertes au public pour la recherche des bénéficiaires des contrats en déshérence.
Les données de géolocalisation des personnes ou des biens en relation avec les risques assurés ou les services proposés	Ces données sont notamment la position du véhicule assuré lorsque cela entre dans les conditions de mise en oeuvre du contrat d'assurance.
Les données relatives aux habitudes de vie et aux usages des biens en relation avec les risques assurés ou les services proposés	Les données relatives aux habitudes de vie sont les loisirs, activités sportives et de plein air, la pratique de la chasse, de la plaisance, les trajets, les kilométrages parcourus…
Les données visées à l'article 9 du RGPD	Le RGPD n'autorise le traitement des données visées à l'article 9 que dans les conditions listées à l'article 9, 2° du RGPD. Ainsi : 1) L'article 9 point b) du paragraphe 2 du RGPD peut s'appliquer aux Organismes d'assurance aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit de la protection sociale, à condition que le traitement soit autorisé par le droit de l’Union ou le droit français. Il s’agit des contrats relevant de ce périmètre, tels que : les contrats de complémentaire santé ; les contrats de prévoyance complémentaire ; la retraite supplémentaire ; l’assurance des risques statutaires. L’article 9 point a) du paragraphe 2 relatif au consentement peut être utilisé dès lors que le traitement des données de santé est « nécessaire à l’exécution d’un contrat, y compris la fourniture d’un service » si cette exécution est subordonnée au consentement explicite. Cela concerne : l’assurance emprunteur ; la prévoyance individuelle ; l’assistance ; les contrats d’individuelle accident ; la protection juridique ; les garanties de Responsabilité civile ; les contrats obsèques. Le traitement de ces données est également possible : pour la constatation, l’exercice ou la défense d’un droit en justice (ex : action directe en RC) (article 9 (2) (f) du RGPD ; dès lors que la personne concernée est dans l’impossibilité de consentir (ex : assistance) (article 9 (2) (c) du RGPD).
Le NIR	Le NIR peut être utilisé par les organismes d’assurance dans les conditions prévues par le décret du 19 avril 2019.
Les données d’infraction
Les données relatives à la lutte contre la fraude	Les données de localisation et connexion. Les données issues de pages internet ouvertes au public. Les données collectées au titre de la gestion administrative du personnel uniquement dans le cadre de requêtes ponctuelles et indi- viduelles consécutives à la détection d’une fraude. Les données relatives aux anomalies, incohérences et signalements pouvant révéler une fraude. Les données relatives aux investigations, à l’instruction du dossier de fraude et à l’évaluation du périmètre de la fraude. Les données d’identification des personnes intervenant dans la détection et la gestion de la fraude.

Pour la prospection commerciale (Finalité 2)

Les données relatives à l’identification des personnes	Il s’agit notamment : des informations classiques : civilité, nom(s), prénoms, adresse, numéro de téléphone (fixe et/ou mobile), numéro de télécopie, adresses de courrier électronique, date de naissance ; pour l’identification du prospect : le code interne de traitement.
Les données relatives au suivi de la relation commerciale	Il s’agit notamment des demandes de documentation ou de renseignements, des demandes relatives aux produits, services ou abonnements proposés, les montants, la périodicité, les adresses, les données relatives aux produits, les contrats et services, l’origine de la demande, les échanges et commentaires des prospects, les remises consenties ou avantages.
Les données relatives à la situation familiale, économique, patrimoniale et financière	Il s’agit notamment de la vie maritale, du nombre de personnes composant le foyer, le nombre et l’âge du ou des enfant(s) au foyer, la profession, le domaine d’activité, la présence d’animaux domestiques, les loisirs.
Les données relatives aux habitudes de vie en lien avec la relation commerciale
Les données relatives à la situation professionnelle et non professionnelles ayant un lien avec la relation commerciale	Il s’agit notamment de la date de participation, les réponses apportées aux jeux-concours, la photographie ou l’image de la personne, et la nature des lots offerts.
Les données du parcours digital
Les données relatives à la sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, de test produits et services et de promotion
Les données relatives à l’organisation et au traitement des jeux-concours, de loteries et de toute opération promotionnelle
Les données relatives aux contributions des personnes qui déposent des avis sur des produits, services ou contenus	Il s’agit notamment des pseudonymes.

Les DCP ne sont recueillies et traitées que pour un usage déterminé et légitime (principe de minimisation des données).

Elles sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des Finalités pour lesquelles elles sont traitées.

Ces DCP sont traitées de manière licite, loyale et transparente.

RESPONSABLE DE TRAITEMENT OU SOUS-TRAITANT

La qualification de responsable de traitement découle de la répartition des fonctions en matière de traitement de données entre les assureurs et le Courtier.

Le critère discriminant est la formulation des finalités et des moyens du traitement, qui caractérise le responsable de traitement, tandis que le sous-traitant agit pour le compte de ce dernier et ne poursuit pas de finalité propre.