Politique de confidentitalité

1. Définition des termes juridiques

Qu’est-ce qu’une donnée personnelle ?

Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »). Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence d’identification ou à un ou plusieurs facteurs propres à l’identité physique, physiologique, psychique, économique, culturelle ou sociale de cette personne. En d’autres termes, une donnée personnelle est une information qui fournit des renseignements sur vous.

Qu’est-ce qu’une donnée sensible ?

Il s’agit d’une catégorie particulière de données personnelles. Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Qu’est-ce qu’une donnée de santé ?

Il s’agit des données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

Qu’est-ce qu’une Personne Concernée ?

Il s’agit de toute personne physique dont les données à caractère personnel font l’objet d’un traitement dont la finalité et les moyens ont été définis par le responsable du traitement.

Qu’est-ce qu’une Responsable de traitement ?

Il s’agit de la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Pour l’application des textes précités, dispose de la qualité de Responsable du traitement, LUTECEA, Société par Actions Simplifiée au capital de 10000 euros, dont le siège social est situé 10 rue Léon Paulet 13008 Marseille.

Qu’est-ce qu’un Sous-traitant ?

Il s’agit d’une personne physique ou morale, d’une autorité publique, d’un service ou d’un autre organisme traitant des données à caractère personnel pour le compte du responsable de traitement.

Qu’est-ce qu’un Destinataire ?

Il s’agit d’une personne physique ou morale, d’une autorité publique, d’un service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers.

Qu’est-ce qu’un Traitement ?

Il s’agit de toute opération ou ensemble d’opérations effectués ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

2. A qui s’adresse la présente politique de protection des données personnelles ?

Le cadre de nos activités, nous sommes susceptibles de collecter des données directement auprès de vous, que vous soyez un prospect, un souscripteur ou un adhérent. Cette collecte peut se faire au moyen des formulaires de collecte que vous renseignez, lors de votre navigation sur notre site internet, lorsque vous utilisez nos services, etc. Par ailleurs, nous pouvons indirectement collecter des données concernant d’autres personnes. Cette collecte s’effectue dans la mesure où ces personnes ont des liens avec vous. Il peut s’agir des bénéficiaires d’un contrat, des ayants droit, des professionnels de santé, des représentants légaux d’une personne morale, d’un majeur protégé, etc.

3. Quelles sont les données personnelles que nous collectons et traitons ?

Conformément au principe de minimisation, nous ne collectons que les données à caractère personnel strictement nécessaires à l’exécution de nos activités. Nous vous informons en outres que certaines données à caractère personnel sont générées par l’utilisation de nos services (par exemple, les données de connexion ou de navigation lors de votre connexion à notre espace en ligne) ou lors la gestion de vos contrats. Les traitements que nous mettons en œuvre concernent principalement les catégories de données à caractère personnel suivantes :

• Votre identification : il s’agit notamment de données telles que le nom, l’adresse e-mail, le numéro de téléphone, l’adresse postale, la date de naissance, le pays de naissance, la nationalité, le numéro adhérent, certains justificatifs d'identité, etc. ;
• Votre vie professionnelle : données relatives à votre scolarité (nom de votre établissement et son adresse postale), employeur, secteur d’activité, emploi, statut, rémunération, catégorie socioprofessionnelle, convention collective, n° SIRET/SIREN, raison sociale, etc. ;
• Votre situation familiale : situation matrimoniale, composition du foyer, ayants droit, nombre de personnes composant le foyer, âge des ayants droit, capacité et régime de protection, etc. ;
• Les données relatives à vos contrats : date de souscription, types de garanties, montant et ventilation de la cotisation, utilisation des services associés aux contrats (ex : téléconsultation, suivi nutritionnel, etc.), mode de paiement, etc. ;
• Des données d’ordre économique et financier : Relevé d’identité bancaire, salaires, données relatives à l’imposition, etc. ;
• Vos numéro et régime de sécurité sociale, vos habitudes en matière de parcours de soins, vos dépenses de santé (acte, date, bénéficiaire, montant, praticien), une exonération pour ALD (affections liste) et pour une invalidité et au décès (date) ;
• Vos données de localisation et de connexion : cookies, adresse IP, etc.;
• Vos éventuels déplacements.

Les données obligatoires pour une demande de devis et/ou la souscription d’un contrat sont signalées dans les formulaires de collecte par un astérisque. En leur absence, la prestation liée à cette collecte pourrait ne pas être fournie.

4.A quel moment collectons-nous vos données ?

Nous collectons vos données personnelles lors de l’utilisation du Site, lorsque vous complétez des formulaires présents sur le Site pour un devis ou une souscription, lors de votre souscription et durant la période d’exécution du contrat si vous optez pour une souscription.

5. Pour quelles raisons traitons-nous vos données ?

Dans le cadre de nos activités, les données personnelles sont collectées pour des finalités déterminées, explicites et légitimes. Aussi, ces données à caractère personnel ne peuvent être traitées ultérieurement d’une manière incompatible avec ces finalités.

Ces données personnelles sont traitées principalement pour les finalités suivantes :

• La passation, l’exécution et la gestion du contrat d’assurance ;
• L’identification et l’étude des besoins et du profil des adhérents/souscripteurs aux fins de satisfaire à notre devoir de conseil ;
• La gestion commerciale et de la relation client ;
• La réalisation d’enquêtes de satisfaction ;
• La gestion de votre espace personnel ;
• Le traitement de vos demandes ;
• L’examen, l’acceptation, le contrôle et la surveillance du risque ;
• L’élaboration des statistiques et études actuarielles ;
• L’exercice des recours et la gestion des réclamations et contentieux ;
• La mise en place d’actions de prévention ;
• L’exécution des dispositions légales, réglementaires et administratives en vigueur telles que la lutte contre le blanchiment de capitaux et le financement du terrorisme, etc. ;
• La lutte contre la fraude à l’assurance pouvant conduire à l’inscription sur une liste de personnes présentant un risque de fraude ;
• L’organisation de la vie institutionnelle de la Mutuelle ;
• La gestion des exercices de droits « Informatique et Libertés » ;
• L’analyse de la fréquentation et de l’utilisation du Site en vue de réaliser des états statistiques et d’améliorer la pertinence des annonces publicitaires en ligne proposées ;
• La réalisation d’opérations de prospection et d’animation commerciales ;

6. Quels sont les fondements légaux de notre traitement ?

Les traitements que nous mettons en œuvre, reposent sur l’un des fondements juridiques suivants :

• L’exécution du contrat nous liant à vous ou l’exécution des mesures précontractuelles prises à votre demande ;
• Le respect des obligations légales auxquelles nous sommes soumis ;
• La poursuite de nos intérêts légitimes (par exemple, en matière de lutte contre la fraude ou encore pour assurer la sécurité de l’espace en ligne mis à disposition) ;
• Le consentement exprès et préalable, lorsque la loi le requiert, que vous nous accordez pour utiliser vos données (par exemple, au titre de la prospection commerciale par voie électronique).

7. Pendant combien de temps conservons-nous vos données ?

Les données à caractère personnel collectées sont conservées pendant une durée limitée, laquelle est proportionnée à la réalisation des finalités pour lesquelles elles sont traitées.

Les durées de conservation varient en fonction du type de contrat souscrit, de la nature des données, de la finalité des traitements ou des obligations légales ou réglementaires auxquelles est soumis le Responsable de Traitement.

En cas de contractualisation, les données à caractère personnel utilisées dans le cadre de la passation, de la gestion et de l’exécution du contrat sont conservées, le temps de la relation contractuelle ou relation d’affaire, augmentée des délais nécessaires à la liquidation et à la consolidation de vos droits en matière d’assurance, ainsi que des durées de prescription et des délais légaux d’archivage.

En tout état de cause, en cas de contentieux, les données à caractère personnel peuvent être conservées pour des durées plus longues notamment jusqu’à l’épuisement des voies de recours.

8. Quels sont les destinataires de vos données ?

Nous veillons à ce que vos données à caractère personnel ne soient transmises qu’aux seules personnes ayant besoin d’en connaître dans le cadre de leurs missions. Les destinataires de vos données personnelles sont :

• Les services internes de LUTECEA dans la limite de leur habilitation ;
• Les délégataires de gestion, les intermédiaires d’assurance, les partenaires commerciaux ;
• Les prestataires ;
• Les banques intervenant dans les encaissements et les paiements ;
• S’il y a lieu, les co-assureurs et réassureurs ainsi que les organismes professionnels et les fonds de garanties ;
• Les personnes intervenant au contrat tels que les avocats, experts, auxiliaires de justice et officiers ministériels, curateurs, tuteurs, enquêteurs et professionnels de santé, médecins conseils ;
• Les personnes intéressées au contrat telles que les souscripteurs, les assurés, les adhérents et les bénéficiaires des contrats et s’il y a lieu, leurs ayants droit et représentants ;
• Les organismes sociaux lorsque les régimes sociaux interviennent dans le règlement des sinistres ou lorsque les organismes d’assurances offrent des garanties complémentaires à celles des régimes sociaux ;
• Les services chargés du contrôle tels que les commissaires aux comptes et les auditeurs ainsi que les services chargés du contrôle interne ;
• Les ministères concernés, autorités de tutelle et de contrôle et tous organismes publics habilités à les recevoir ;
• S’il y a lieu les juridictions concernées, les médiateurs.

Vos données pourront également être communiquées à toute autorité légalement habilitée à en connaître en particulier en cas de réquisition des autorités judiciaires, policières ou administratives.

9. Vos données sont-elles transférées en dehors de l’UE ?

Dans le cadre de la gestion de vos besoins, vos données peuvent faire l’objet de flux vers des entités hors Union Européenne.

De ce fait, pour la prise en charge de vos demandes et réclamations par téléphone ou courrier électronique, certaines de vos données peuvent être transférées vers un prestataire établi au Maroc, pays n’assurant pas un niveau adéquat de protection des données.

Ces flux sont encadrés par des conventions de flux transfrontières, rédigées conformément à la décision de la Commission Européenne en date du 4 juin 2021, portant sur les Clauses Contractuelles Types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers ne garantissant pas un niveau adéquat de protection des données à caractère personnel.

Ces transferts sont nécessaires à l’exécution de vos contrats avec nos mutuelles partenaires.

10. Comment assurons-nous la sécurité de vos données ?

Soucieux de garantir la sécurité de vos données personnelles, nous mettons en œuvre toutes les mesures techniques et organisationnelles appropriées afin d’assurer leur protection contre les risques inhérents à nos opérations de traitement.

Nous prenons toutes les précautions utiles qu’elles soient physiques, logiques ou administratives, au regard de la nature des données traitées et des risques présentés par le traitement que nous opérons, pour préserver la sécurité de vos données personnelles et, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

Parmi ces mesures figure notamment :

• La gestion des habilitations pour l’accès aux données ;
• Une authentification renforcée de l’accès à l’espace personnel.

En sus, LUTECEA impose contractuellement à ses partenaires, le même niveau de garantie et de protection des données à caractère personnel.

11. Quels sont vos droits ?

Le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») ainsi que la Loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« Loi informatique et Libertés ») vous reconnaissent des droits « Informatique et Libertés » lesquels s’exercent à l’égard des traitements que nous effectuons sur vos données à caractère personnel.

Dans ce cadre, nous vous garantissons la possibilité d’exercer à tout moment, librement et sans frais, ces droits, dans la limite de ce que prévoit la réglementation.

Ces droits sont définis de la façon suivante :

• Un droit d’accès : vous pouvez obtenir confirmation auprès de nous, des traitements effectués à l’égard de vos données personnelles et le cas échéant, obtenir une copie de vos données ;
• Un droit de rectification : vos données personnelles peuvent être rectifiées à votre demande, si elles sont inexactes ou incomplètes ;
• Un droit à l’effacement : vous pouvez obtenir l’effacement de vos données personnelles.
• Un droit à la limitation du traitement : vous avez le droit de geler temporairement l’utilisation de vos données personnelles ;
• Un droit à la portabilité de vos données : vous pouvez demander à ce que les données que vous nous avez confiées, vous soient restituées dans un format structuré, couramment utilisé et lisible par une machine ;
• Un droit à la limitation : vous pouvez demander d’encadrer l’utilisation qui est faite de vos données si vous considérez qu’elles sont inexactes ou alors que vous vous êtes opposé à leur utilisation. L’organisme pourra, le temps de la vérification ou de l’examen de la demande, conserver les données mais ne plus les utiliser ;
• Un droit d’opposition : vous avez le droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement de vos données.

En cas de collecte de vos données à des fins de prospection, vous avez le droit de vous opposer à tout moment au traitement des données à caractère personnel vous concernant, y compris au profilage dans la mesure où il est lié à une telle prospection.

L’exercice de ces droits se fait dans la limite de ce qui est prévu par la réglementation. Toute demande d’exercice de droits sera étudiée attentivement et fera l’objet d’une réponse de notre part.

12. Comment exercer vos droits ?

Pour toute demande relative à l’exercice de vos droits, vous pouvez vous adresser au Service Délégué à la Protection des Données via l’adresse mail dpo@heyme.care.

Pour permettre le traitement de votre demande d’exercice de droits, il conviendra d’indiquer le(s) droit(s) que vous souhaitez exercer et de justifier de votre identité.

Une réponse vous sera apportée dans un délai maximum d’un mois à compter de la réception de votre demande. Toutefois, ce délai pourra être prolongé de deux mois si votre demande présente une certaine complexité ou en raison d’un grand nombre de demandes. Dans ce cas, le DPO vous informera du prolongement du délai initial.

En tout état de cause, si vous ne parvenez pas à exercer vos droits « Informatique et Libertés » auprès de nos services ou si vous souhaitez signaler une atteinte à ceux-ci, vous pouvez saisir la Commission Nationale Informatique et Libertés (CNIL) d’une réclamation. Celle-ci peut être adressée :

• Directement sur son site internet via le formulaire prévu à cet effet : https://www.cnil.fr/fr/plaintes
• Par courrier à l’adresse suivante : CNIL – 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07

Conformément aux dispositions de l’article L 561-45 du code monétaire et financier, la CNIL est compétente pour recevoir vos demandes de droit d’accès indirect concernant les traitements mis en œuvre par notre Mutuelle, dans le cadre de nos obligations relatives à la lutte contre le blanchiment et le financement du terrorisme.

En application des articles L 223-1 et suivants du code de la consommation, nous vous rappelons que si, en dehors de votre relation avec la Mutuelle, vous ne souhaitez pas faire l’objet de prospection commerciale par voie téléphonique, vous pouvez vous inscrire gratuitement sur une liste d’opposition au démarchage téléphonique en adressant un courrier à la société OPPOSETEL, Service Bloctel, 6 rue Nicolas Siret, 10 000 Troyes, ou sur le site www.bloctel.gouv.fr

13. Mise à jour de la politique de confidentialité

La présente politique de confidentialité est susceptible d’être modifiée à tout moment. La version modifiée sera notifiée à chaque utilisateur lors de sa navigation sur le Site.