Politique externe de protection des données personnelles du groupe Relyens
1) Objet de la présente politique
Le groupe Relyens (composé de Sham, ses succursales étrangères et ses filiales), implanté dans plusieurs pays de l’Union Européenne, attache une grande importance à la protection des données à caractère personnel (ci-après dénommées « DCP »), en particulier des données de santé dont le caractère sensible implique un niveau de protection renforcé.
La présent politique résume les engagements pris par les sociétés du groupe Relyens pour assurer la sécurité et la confidentialité des DCP traitées, dans le respect des lois et règlements en vigueur dans chacun des pays d’implantation et notamment :
- Le Règlement Général Européen sur la Protection des Données (RGPD) N° 2016/679 du 27 avril 2016 ;
- En France : la loi N°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés;
- En Italie : il “Decreto Legislativo del 30 giugno 2003, n.196 e successive modifiche ed integrazioni” ;
- En Espagne : la “Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales“ ;
- En Allemagne : Das “Bundesdatenschutzgesetz vom 30. Juni 2017 (BGBl. I S. 2097)“.
A ce titre, les sociétés du groupe Relyens suivent les lignes directrices du Comité Européen de Protection des Données et sont attentives aux consignes et recommandations dispensées par les Autorités de contrôle territorialement compétentes :
- Pour la France ; la “Commission Nationale de l’Informatique et des Libertés“ ;
- Pour l’Italie : il “Garante per la protezione dei dati personali“;
- Pour l’Espagne ; la “Agencia Española de Protección de Datos“ ;
- Pour l’Allemagne : Der “Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen“.
2) Gouvernance des données à caractère personnel
La gouvernance des DCP du groupe Relyens s’appuie sur un ensemble de procédures, dont :
- La politique de gouvernance des DCP au sein des sociétés du groupe Relyens ;
- La politique interne de protection des DCP à destination des collaborateurs ;
- La charte informatique Utilisateurs qui encadre l’utilisation des outils numériques et la sécurisation des données.
En outre, Relyens a désigné un Délégué à la protection des données Groupe (DPO Groupe) qui est chargé de s’assurer en continu du respect par les sociétés du Groupe de la règlementation relative à la protection des données à caractère personnel.
La gouvernance du groupe Relyens s'appuie également sur des Délégués à la protection des données (DPO) désignés par chaque Responsable de traitement :
Pour la France :
Sham / Sham Vie / Sham Conseil : 18 rue E. Rochet – 69372 Lyon cedex 08
Sofaxis / QualNet : Route du Creton – 18110 Vasselay
Pour l’Italie :
Sham – Rappresentanza Generale per l’Italia : Via Carlo Imbonati,18 - 20159 Milano
Pour l’Espagne :
Sham España : Paseo de la Castellana 110 – 28046 Madrid
Pour l’Allemagne :
Sham Niederlassung Deutschland : Königswall 22 – 44137 Dortmund
Chaque DPO veille sur son périmètre à sensibiliser régulièrement l’ensemble des équipes traitant des DCP.
3) Principes applicables aux traitements des données à caractère personnel
3.1) Finalités et licéité des traitements
Les DCP collectées par les sociétés du groupe Relyens répondent à des objectifs précis (finalités) qui sont systématiquement portés à la connaissance des personnes concernées.
Les DCP collectées ont pour finalités principales :
- La souscription et la gestion des contrats d’assurance (y compris la réalisation des mesures précontractuelles) ;
- La gestion des sinistres (y/c l’exercice des recours et la gestion des réclamations) ;
- La prestation de services en management des risques ;
- La réalisation d’actions de communication et de prospection commerciale ;
- Le respect des dispositions légales, réglementaires et administratives en vigueur.
Les sociétés du groupe Relyens vérifient que chaque traitement de DCP est licite.
Cette licéité peut reposer sur :
- L’exécution de mesures précontractuelles ou contractuelles (Art. 6.1.b RGPD) ;
- Le consentement de la personne concernée (Art. 6.1.a RGPD) ;
- L’intérêt légitime poursuivi par une société du groupe Relyens ou par un tiers (Art. 6.1.f RGPD) ;
- Une obligation légale ou réglementaire (Art. 6.1.c RGPD).
3.2) Données à caractère personnel collectées
Les principales catégories de DCP collectées par les sociétés du groupe Relyens sont :
- Les données d’identification (nom, adresse …) ;
- Les données nécessaires à la souscription, la gestion des contrats et des sinistres (*) ;
- Les informations nécessaires à l’évaluation et à l’indemnisation du préjudice (*) ;
- Les données nécessaires à la délivrance des prestations de services en management des risques (*).
(*) y compris les données relatives à la santé.
Aucune collecte de DCP n’est effectuée sans que les personnes concernées n’en soient informées.
3.3) Conservation des données à caractère personnel
Les sociétés du groupe Relyens s’attachent à fixer des durées de conservation de DCP les plus courtes possibles au regard de la finalité concernée, en tenant compte des délais de prescription légaux éventuellement applicables.
3.4) Communication des données à caractère personnel
Au regard et en fonction des finalités poursuivies, les DCP sont susceptibles d’être communiquées aux sociétés du groupe Relyens, mais également pour les données qui les concernent : aux partenaires, aux sous-traitants, aux prestataires, aux intermédiaires d’assurances, aux réassureurs, aux organismes professionnels, aux organismes d’assurance ou aux organismes sociaux, aux personnes intéressées au contrat ainsi qu’aux Autorités et tiers dûment autorisés.
4) Sécurité et confidentialité des données à caractère personnel
Des mesures techniques et organisationnelles appropriées (telles que la gestion des droits et habilitations ou la pseudonymisation) sont mises en œuvre au sein du groupe Relyens pour assurer la sécurité et la confidentialité des DCP.
Toutes les sociétés du groupe Relyens étant situées dans l’Union Européenne, il n’y a aucun transfert massif et/ou régulier de données personnelles en dehors de l’Union Européenne.
Toutefois, si un transfert de données personnelles en dehors de l’Union Européenne s'avère nécessaire, ce transfert ne se fait qu’avec des pays possédant un niveau de protection adéquat. A défaut, le transfert de données personnelles fait l’objet d’un encadrement approprié et après consultation préalable du DPO du groupe Relyens.
5) Information et gestion des droits des personnes
Conformément à la législation en vigueur, toute personne dispose sur ses DCP d’un droit d’accès, de rectification, d’effacement et de limitation du traitement.
Sauf exceptions particulières liées à la nature du traitement, toute personne dispose également du droit de s’opposer au traitement (sans aucune condition pour la prospection commerciale) et/ou du droit à la portabilité de ses DCP.
Pour les traitements de données personnelles reposant sur le consentement, la personne concernée peut retirer ce dernier à tout moment, sans que cela ne remette en cause la licéité du traitement mis en œuvre préalablement à ce retrait.
Pour exercer ces droits, les personnes concernées peuvent contacter le Délégué à la protection des données (DPO) de la société concernée :
Pour la France :
- Sham / Sham Vie / Sham Conseil : par mail à privacy.sham.fr@relyens.eu ou par courrier adressé à son attention au : 18 rue E. Rochet - 69372 Lyon cedex 08 – France ;
- Sofaxis : par mail à privacy.sofaxis@relyens.eu ou par courrier adressé à son attention à : Route du Creton - 18110 Vasselay ;
- QualNet : par mail à privacy.qualnet@relyens.eu ou par courrier adressé à son attention à : Route du Creton - 18110 Vasselay.
Pour l’Italie :
- Sham - Rappresentanza Generale per l’Italia – par mail à privacy.sham.it@relyens.eu ou par courrier adressé à son attention : Via Carlo Imbonati,18 - 20159 Milano
Pour l’Espagne :
- Sham España : par mail à privacy.sham.es@relyens.eu ou par courrier adressé à son attention : Paseo de la Castellana 110 - 28046 Madrid
Pour l’Allemagne :
- Sham Niederlassung Deutschland : par mail à privacy.sham.de@relyens.eu ou par courrier adressé à son attention : Königswall 22 - 44137 Dortmund
Si la réponse apportée par la société du groupe Relyens ne la satisfait pas, la personne concernée peut saisir l’Autorité de contrôle compétente telle qu’indiquée dans la partie 1) « Objet de la Politique ».
Echanger avec un expert logiciel QHSE
Nous vous proposons un RDV de découverte gratuit avec notre équipe pour échanger sur votre projet