PROCÉDURE DE PROTECTION ET DE TRAITEMENT DES DONNÉES PERSONNELLES

GSELECT ASSURANCES a élaboré une politique de protection des données personnelles afin de se conformer à la réglementation en vigueur, notamment au règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données – RGPD).

Principe de finalité : Les données auxquelles GSELECT ASSURANCES a accès dans l’exercice de ses activités sont susceptibles de relever de la vie privée de leurs clients, telles que les données relatives au patrimoine et à la situation familiale. Le respect par GSELECT ASSURANCES de la réglementation relative à la protection des données à caractère personnel est un facteur de transparence et de confiance à l’égard de ses clients. Conformément à la réglementation applicable, GSELECT ASSURANCES respecte les principes de finalité du traitement, de proportionnalité et de minimisation des données.

Principe de proportionnalité : GSELECT ASSURANCES ne recueille et ne traite que les informations adéquates, pertinentes et nécessaires à la finalité du traitement pouvant faire l’objet d’un traitement de données à caractère personnel. Aucune information sur les membres de la famille ou autres éléments ne seront demandés s’ils ne sont pas nécessaires dans le cadre de la réalisation de la prestation.

Principe de minimisation des données : Le principe de minimisation des données signifie que les données à caractère personnel ne peuvent faire l’objet d’un traitement que si les finalités du traitement ne peuvent être atteintes par le traitement d’informations ne contenant pas de données à caractère personnel. Dans ce cadre, GSELECT ASSURANCES s’engage à :

  • S’interroger sur la nécessité de traiter des données à caractère personnel pour atteindre les finalités recherchées par le traitement.
  • S’interroger sur la question de savoir si le traitement de données à caractère personnel s’avère nécessaire, limiter le traitement des données au minimum nécessaire, en ce qui concerne :
    • Identifier les catégories de données traitées.
    • Identifier le volume ou la quantité de données traitées.
    • S’interroger sur la question de savoir si les données collectées sont plus ou moins nécessaires au traitement.

Durée de conservation limitée des données : GSELECT ASSURANCES ne conserve pas indéfiniment les informations figurant dans un fichier. Il établit une durée de conservation en fonction de la finalité de chaque fichier, comme décrit au sein de la procédure.

Droit à l’oubli : Les personnes dont les données ont été recueillies ont le droit d’obtenir du responsable du traitement l’effacement des données à caractère personnel les concernant (droit à l’oubli). GSELECT ASSURANCES ne mettra pas en œuvre l’effacement irréversible des données avant l’expiration de la durée de prescription de la responsabilité civile professionnelle du CGP. Par ailleurs, le droit à l’oubli ne prévaut pas sur certaines obligations d’archivage de données pendant des périodes déterminées, notamment pour des raisons de conformité aux obligations fiscales.

Principe de sécurité et de confidentialité : Les données contenues dans les fichiers ne peuvent être consultées que par les personnes habilitées à y accéder en raison de leurs fonctions (ex : personnel en charge des activités d’intermédiation). GSELECT ASSURANCES est astreint à une obligation de sécurité et doit prendre toutes les mesures nécessaires pour en garantir la confidentialité et éviter toute divulgation d’information.

GSELECT ASSURANCES veille à ce que chaque personne habilitée à accéder aux informations dispose d’un mot de passe individuel (composé, si l’authentification repose uniquement sur un identifiant et un mot de passe, de 12 caractères minimum et de majuscules, minuscules, chiffres et caractères spéciaux et renouvelé régulièrement). De plus, les droits d’accès doivent être précisément définis en fonction des besoins réels. Les locaux où sont stockés les dossiers et le système d’information numérique doivent être suffisamment sécurisés.

Respect du droit des personnes : GSELECT ASSURANCES communique certaines informations lorsque les données sont collectées auprès de la personne concernée, notamment les coordonnées du responsable du traitement, les finalités du traitement, la base juridique du traitement, les droits des personnes, le droit de retirer son consentement, le droit de réclamation, etc.

Toute personne a le droit de s’opposer, pour un motif légitime, au traitement de ses données personnelles, sauf si le traitement est obligatoire. De plus, toute personne peut demander l’accès, la rectification, l’effacement ou la limitation du traitement de ses données personnelles, ainsi que le droit à la portabilité des données. Si le traitement est basé sur le consentement de la personne, elle a le droit de retirer son consentement à tout moment.

Portabilité des données : Le client concerné peut exiger que ses données personnelles soient transmises à un autre responsable de traitement lorsque cela est techniquement possible. GSELECT ASSURANCES doit faciliter cette transmission.

Analyses d’Impact : Lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, notamment le traitement à grande échelle de catégories particulières de données, le responsable du traitement doit effectuer une analyse d’impact. GSELECT ASSURANCES doit évaluer s’il doit mettre en place une analyse d’impact dans le cadre du traitement des données. Il pourrait avoir à le faire si le traitement est à grande échelle ou répond à certains critères déterminés par la CNIL.

Tenue du registre des activités de traitement : GSELECT ASSURANCES doit tenir un registre des activités de traitement s’il traite de manière non occasionnelle des données à caractère personnel. Le registre doit contenir des informations sur le responsable du traitement, les finalités du traitement, les catégories de données traitées, les destinataires des données, etc.

Violation des données à caractère personnel : GSELECT ASSURANCES doit signaler toute violation de données personnelles à la CNIL et informer les personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés.

Sous-traitance : GSELECT ASSURANCES ne peut faire appel à un sous-traitant qu’après avoir obtenu le consentement écrit du client ou souscripteur. Le sous-traitant doit garantir la sécurité et la confidentialité des données personnelles et ne pas transférer les données en dehors de l’Union européenne sans autorisation expresse du responsable du traitement.

Mise en place d’une délégation à la protection des données : GSELECT ASSURANCES doit nommer un délégué à la protection des données (DPO) si ses activités de traitement de données à caractère personnel le justifient. Le DPO doit être un expert en protection des données et avoir des compétences juridiques.

Politique de mise en conformité RGPD : GSELECT ASSURANCES doit mettre en place une politique de mise en conformité au RGPD, incluant la désignation d’un délégué à la protection des données, la formation du personnel et la mise en place d’une procédure pour gérer les violations de données.

Formation du personnel : Le personnel de GSELECT ASSURANCES doit être formé à la protection des données et être conscient des enjeux liés à la vie privée. Des sessions de formation doivent être organisées régulièrement.

Mise en place d’une procédure pour les violations de données : GSELECT ASSURANCES doit avoir une procédure en place pour gérer les violations de données, y compris la notification aux autorités de régulation et aux personnes concernées.

Mise en place d’une politique de conservation et d’archivage des données : GSELECT ASSURANCES doit établir une politique de conservation et d’archivage des données, déterminant les durées de conservation en fonction des finalités du traitement.

Contrôle interne : GSELECT ASSURANCES doit mettre en place un dispositif de contrôle interne pour s’assurer du respect de la réglementation en matière de protection des données.

Audit et évaluation des risques : GSELECT ASSURANCES doit régulièrement auditer ses pratiques en matière de protection des données et évaluer les risques pour la vie privée.

Fournisseurs et prestataires : GSELECT ASSURANCES doit mettre en place des procédures spécifiques pour garantir que ses fournisseurs et prestataires respectent également les principes de protection des données personnelles du RGPD. Voici les points clés à inclure dans la politique :

  • Le sous-traitant : GSELECT ASSURANCES doit définir clairement ce qu’est un sous-traitant et les types de prestataires ou fournisseurs qui peuvent être considérés comme tels. Le contrat entre GSELECT ASSURANCES et le sous-traitant doit être détaillé et inclure les éléments suivants :

    • L’objet du contrat.
    • La durée du contrat.
    • La nature des données traitées.
    • La finalité du traitement.
    • Le type de données à caractère personnel.
    • Les catégories de personnes concernées.
    • Les droits et obligations du responsable de traitement.
    • Les mesures de sécurité mises en œuvre pour le traitement des données à caractère personnel.
    • La possibilité de ne traiter les données que sur instruction documentée du responsable du traitement.
    • L’obligation de confidentialité des données.
    • Les modalités d’exercice des droits des personnes concernées.
    • L’aide fournie par le sous-traitant au responsable de traitement pour répondre aux demandes des personnes concernées.
    • L’aide fournie pour garantir le respect des obligations du responsable de traitement en fonction de la nature du traitement.
    • La suppression des données à la fin du traitement ou leur renvoi au responsable de traitement, conformément à la législation.
    • La mise à disposition des informations nécessaires pour démontrer le respect des obligations en matière de protection des données.
    • La possibilité pour le sous-traitant de recourir à un sous-traitant ultérieur, avec l’autorisation écrite du responsable de traitement.

    De plus, GSELECT ASSURANCES doit s’assurer que ses sous-traitants respectent les exigences du RGPD et mettre en place un processus d’audit pour vérifier leur conformité. Si des lacunes sont identifiées, elles doivent être comblées par le biais d’avenants au contrat.

  • Politique de traitement des données sur le site internet : GSELECT ASSURANCES doit tenir un registre des activités de traitement liées à son site internet, en incluant les informations telles que l’identité et les coordonnées du responsable de traitement, les finalités du traitement, les catégories de personnes concernées, les catégories de données à caractère personnel, les destinataires, les transferts vers des pays tiers ou des organisations internationales, et les délais prévus pour l’effacement. Ce registre doit être régulièrement mis à jour.

  • Politique de sécurité des données : GSELECT ASSURANCES doit mettre en place des mesures générales de sécurité pour protéger les données personnelles, notamment en limitant l’accès aux locaux, en évitant de stocker des données personnelles dans des endroits accessibles à tous, en installant des alarmes, etc. Des mesures de sécurité informatiques doivent également être en place, telles que l’authentification des utilisateurs, la gestion des permissions d’accès, la sécurisation de l’informatique mobile et la sauvegarde régulière des données.

  • Procédure en cas de violation des données : GSELECT ASSURANCES doit mettre en place une procédure pour gérer les violations de données à caractère personnel. Une violation de données est définie comme une violation de la sécurité entraînant la divulgation non autorisée de données personnelles. GSELECT ASSURANCES doit notifier la CNIL dans les meilleurs délais, généralement dans les 72 heures, après avoir pris connaissance de la violation, sauf si la violation n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Les personnes concernées doivent également être informées de la violation, sauf dans certains cas.

Conclusion : GSELECT ASSURANCES s’engage à respecter la réglementation en matière de protection des données à caractère personnel et à mettre en place les procédures nécessaires pour garantir la sécurité et la confidentialité de ces données. La protection de la vie privée des clients est une préoccupation majeure pour GSELECT ASSURANCES, et toutes les mesures nécessaires seront prises pour s’assurer que les données à caractère personnel sont traitées de manière légale, loyale et transparente.