Politique de protection des données personnelles

Introduction

CGPA, dont le siège social est situé 46 Rue Cardinet – 75017 Paris, FRANCE (ci-après « CGPA »), est responsable du contenu de la présente Politique de Protection des Données Personnelles (ci- après « la Politique ») qui a pour objectif d’informer l’ensemble des personnes concernées de la manière dont CGPA utilise et protège les données personnelles qu’elle collecte, directement ou indirectement, dans le cadre de ses activités.

La Politique s’applique également à la société SERVICE ASSISTANCE DES PROFESSIONNELS DE L’ASSURANCE, Société par Actions Simplifiée au capital de 40.000€ dont le siège social est situé 125 Rue de la Faisanderie – 75116 Paris, France et inscrite au RCS de PARIS sous le numéro SIRET 328 286 257 00030 (ci-après « SAPA »).

SAPA est une filiale détenue intégralement par CGPA dont elle partage l’ensemble des moyens matériels et humains. SAPA est immatriculée auprès de l’ORIAS en qualité de courtier sous le numéro 07 000011 (www.orias.fr).

CGPA met à la disposition de SAPA certaines des données personnelles qu’elle collecte directement ou indirectement pour lui permettre de réaliser ses activités de distribution d’assurances, SAPA intervenant uniquement auprès des sociétaires de CGPA.

La Politique est accessible et consultable par tous depuis le site Internet de CGPA (www.cgpa.fr) ou depuis le site Internet de SAPA (www.sapa-assurance.fr).

Elle est régulièrement mise à jour pour prendre en compte les évolutions législatives et réglementaires en matière de protection des données personnelles, et tout changement dans l’organisation de CGPA, de SAPA, ou indifféremment dans les offres et services qu’elles proposent.

La Politique tient notamment compte de l’entrée en vigueur, le 25 mai 2018, du Règlement (UE) 2016/679 du 27 avril 2016 sur la protection des données personnelles (ci-après le «Règlement RGPD »).

Dans le cadre de la collecte et du traitement des données personnelles nécessaires à leurs activités, CGPA et SAPA sont toutes les deux représentées par Monsieur Sylvain RIVET et agissent toutes deux en qualité de responsable de traitement (SAPA pouvant également intervenir pour certains traitements en qualité de co-responsable avec la société d’assurance auprès de laquelle elle place les risques et pour laquelle elle intervient dans le cadre d’une convention d’externalisation) .

CGPA, SAPA et leurs clients sont chacun responsables des manquements aux obligations qui leur incombent pour ce qui les concerne. En aucun cas ils ne pourront être tenus responsables d’un manquement commis par l’autre partie, toute solidarité étant exclue.

CGPA et SAPA, pour les cas où elles interviennent en qualité de sous-traitants, ne pourront être tenues responsables de tout dommage causé par le traitement de données à caractère personnel qu’à la condition de n’avoir pas respecté leurs obligations légales ou d’avoir agi en dehors ou contrairement aux instructions écrites du responsable de traitement.

Définition d’une donnée personnelle

Le terme « donnée personnelle » désigne toute information permettant d’identifier une personne physique, directement ou indirectement (par référence notamment à un nom, un numéro d’identification, un identifiant en ligne).

1. Quand et comment sont collectées les données personnelles ?

Dans le cadre de ses activités de distribution d’assurances, CGPA collecte des données personnelles tout au long de la relation contractuelle ou commerciale via différents documents, notamment :

  • dans le cadre des mesures de souscription et de gestion d’un contrat d’assurance ;
  • dans le cadre des mesures d’ouverture et de gestion d’un sinistre ;
  • lors de l’inscription à un événement organisé par CGPA ;
  • lors d’une demande de contact, de la formulation d’une réclamation ou de l’initiation d’un contentieux ;
  • lors de la consultation du site Internet de CGPA (www.cgpa.fr) ou du site Internet de SAPA (www.sapa-assurance.fr) – voir ci-dessous la rubrique sur la gestion des cookies ;
  • le cas échéant, lors de la consultation d’une interface client en ligne.

Information sur la gestion des cookies

L’ensemble des informations relatives à la gestion des cookies figure dans la politique dédiée qui peut être librement consultée à l’adresse suivante.

2. Pour quelles finalités les données personnelles sont-elles collectées ?

Les données personnelles sont collectées pour des objectifs précis, légitimes et déterminés en fonction des activités exercées. Elles ne peuvent être utilisées ultérieurement de manière incompatible avec ces finalités.

Ces finalités sont les suivantes :

La passation et la gestion des contrats d’assurance

CGPA collecte des données personnelles qui lui sont nécessaires dans le cadre de la souscription et de la gestion des contrats d’assurance qu’elle distribue.

L’inexactitude de ces données peut donner lieu à la mise en œuvre des dispositions des articles L.113-8 et L.113-9 du Code des Assurances.

Ces données sont utilisées de la phase précontractuelle (étude et analyse des risques susceptibles d’être pris en couverture, fourniture des informations et des conseils les plus adaptés au regard des besoins et des exigences exprimés) jusqu’à la résiliation des contrats.

Cela permet également la tarification de la couverture des risques et l’émission de l’ensemble des documents contractuels, ainsi que la gestion des programmes de réassurance de ces risques.

CGPA met ces données personnelles à la disposition de SAPA pour son activité de distribution d’assurances au titre de laquelle SAPA n’intervient qu’auprès des sociétaires CGPA (SAPA peut intervenir en son nom mais également en exécution de conventions d’externalisation données par les sociétés d’assurance avec lesquelles SAPA travaille).

La mise en oeuvre des garanties

La mise en œuvre des garanties prévues au contrat nécessite que CGPA procède auprès de ses assurés :

  • à la collecte directe de données personnelles les concernant ;
  • à la collecte indirecte de données personnelles concernant les tiers réclamants lorsque ces derniers n’interviennent pas directement auprès d’elle.

ATTENTION : lorsque vous transmettez à CGPA les données personnelles de personnes tierces, vous devez vous assurer au préalable que vous êtes autorisés à le faire et que les personnes concernées en ont été informées.

CGPA met ces données personnelles à la disposition de SAPA dans le cadre des sinistres qui sont déclarés au titre des contrats Responsabilité Civile 2ème ligne pour lesquels SAPA bénéficie d’une délégation de gestion de la part d’AXA.

En tout état de cause, l’ensemble de ces données sont exclusivement transmises aux fins de traitement aux personnes en charge de la gestion des garanties, lesquelles sont soumises dans ce cadre à la plus stricte confidentialité.

La gestion administrative et comptable

CGPA collecte des données personnelle afin d’assurer la gestion administrative (comme par exemple pour permettre l’exercice du droit de vote de ses sociétaires lors de l’Assemblée Générale annuelle) et comptable des contrats (incluant les éventuelles procédures de recouvrement).

A ce titre, CGPA sera susceptible de demander la mise à jour, si nécessaire, des informations collectées.

Cette collecte permettra à CGPA de respecter ses obligations relatives à la connaissance client lors de la souscription et/ou de la mise à jour des données clients.

CGPA met ces données personnelles à la disposition de SAPA pour son activité de distribution d’assurances au titre de laquelle SAPA n’intervient qu’auprès des sociétaires CGPA (SAPA peut intervenir en son nom mais également en exécution de conventions d’externalisation données par les sociétés d’assurance avec lesquelles SAPA travaille).

La prospection commerciale

Les données collectées permettent à CGPA d’adresser, à ses sociétaires ou à d’autres personnes, des offres commerciales concernant des prestations qu’elle propose, en lien avec les activités professionnelles exercées par les destinataires, notamment dans le cadre de l’organisation d’évènements.

Compte tenu de la communauté d’intérêts entre CGPA et SAPA, la prospection commerciale de SAPA est prise en charge par CGPA.

Vous pouvez à tout moment vous y opposer à l ́aide du lien de désinscription présent sur chaque communication, ou en utilisant la rubrique dédiée de notre formulaire de contact (http://www.cgpa.fr/contact), ou par courrier postal à l’adresse figurant à l’article 10 « Contact ».

L’envoi de parutions périodiques (notamment les newsletters de CGPA)

Ce service proposé par CGPA a pour objectif de tenir ses sociétaires régulièrement informés de son actualité.

Compte tenu de de la communauté d’intérêts entre CGPA et SAPA, ce service peut également concerner l’actualité de SAPA.

Vous pouvez à tout moment vous y opposer à l ́aide du lien de désinscription présent le cas échéant sur chaque communication, ou en tout état de cause en utilisant la rubrique dédiée de notre formulaire de contact (http://www.cgpa.fr/contact), ou par courrier postal à l’adresse figurant à l’article 10 « Contact ».

La réponse aux demandes de contact

Lorsque l’une des rubriques du formulaire de contact accessible depuis les sites Internet de CGPA ou de SAPA est renseignée, seules les données personnelles qui sont nécessaires pour répondre à la demande sont collectées et utilisées uniquement à cette fin.

L’élaboration d’études et de statistiques

Les données collectées peuvent permettre la mise en œuvre de traitement visant à améliorer la qualité des prestations et des services fournis, ou bien encore à personnaliser les relations entretenues avec les sociétaires et les clients notamment afin de les faire profiter de nouveaux services.

Ce sera le cas notamment lorsque certaines conversations téléphoniques sont enregistrées, avec l’accord préalable de l’interlocuteur, afin de permettre de s’assurer de la bonne exécution des prestations.

Elles peuvent également permettre de réduire la sinistralité grâce à la mise en place d’actions de prévention.

La lutte contre le blanchiment de capitaux et le financement du terrorisme

CGPA et SAPA collectent les données personnelles qui sont nécessaires pour répondre à leurs obligations légales en matière de lutte contre le blanchiment et le financement du terrorisme au terme desquelles elles peuvent être amenées à rédiger une déclaration de soupçon ou à mettre en œuvre une mesure de gel des avoirs.

La gestion des réclamations et des contentieux

CGPA et SAPA peuvent être amenées à collecter des données dans le cadre des éventuelles réclamations qui leur sont formulées ou des contentieux initiés à leur encontre.

Le cas échéant, elles ne collecteront que les éventuelles données complémentaires nécessaires au traitement de la réclamation ou à l’instruction du contentieux et n’utiliseront ces données qu’à ces fins.

3. Quelles sont les données personnelles collectées ?

Les catégories de données personnelles collectées sont :

  • les données relatives à l’identification et à la situation professionnelle des souscripteurs et des assurés ;
  • les données d’identification des bénéficiaires effectifs des souscripteurs personnes morales ;
  • des informations relatives à la situation familiale ;
  • des informations économiques, financières et patrimoniales ;
  • les données nécessaires à l’appréciation du risque ;
  • les données nécessaires à la passation et à l’application du contrat ;
  • les données liées aux sinistres (par exemple nature et circonstances du sinistre, pièces justificatives, rapports d’expertise et d’enquête incluant des informations relatives à d’éventuelles infractions) ;
  • des données sensibles peuvent être traitées, telles que des données relatives à des condamnations pénales ou infractions, ou des données concernant la santé ;
  • les données relatives à des échanges et interactions, c’est-à-dire les informations collectées lors de correspondances (par exemple courriers électroniques, courriers postaux ou retranscriptions d’échanges téléphoniques, données générées lors de la navigation sur l’un de nos sites Internet).

4. Quelle est la source des données personnelles traitées

CGPA peut collecter directement ou indirectement des données personnelles :

  • auprès de ses assurés ;
  • auprès des personnes intéressées au contrat (notamment le souscripteur du contrat, son représentant légal ou son personnel);
  • auprès des personnes intervenant dans le cadre d’un sinistre (notamment le tiers réclamant, les avocats, les experts).

SAPA ne collecte ses données qu’auprès de CGPA ou de ses clients.

5. Sur quels fondements les données personnelles sont-elles traitées?

Les traitements de données personnelles sont réalisés conformément aux dispositions prévues par l’article 6 du Règlement RGPD, telles que précisées dans le tableau ci-après :

Finalité de traitement Fondement/justification du traitement
Passation et gestion des contrats
d’assurance
Exécution des mesures précontractuelles et du
contrat d’assuranceObligations légales et réglementaires
Mise en œuvre des garanties Exécution du contrat d’assurance

Intérêt légitime à mettre en œuvre les mesures d’ouverture et de gestion des sinistres en représentation des intérêts de ses sociétaires/clients

Gestion administrative et comptable Exécution du contrat d’assurance

Intérêt légitime à assurer un suivi administratif de ses sociétaires/clients

Prospection commerciale Intérêt légitime à prospecter ses sociétaires/clients (professionnels) par courrier électronique pour leur proposer des produits et services analogues ou complémentaires
Envoi de parutions périodiques Intérêt légitime à maintenir informé ses sociétaires/client de l’actualité
Réponses aux demande de contacts Exécution des mesures précontractuelles et du contrat d’assurance
Réponses aux demandes de contact Consentement des utilisateurs du site
Elaboration d’études et de statistiques Intérêt légitime à améliorer la qualité des services et des prestations fournies
Lutte contre le blanchiment de capitaux et le financement du terrorisme Obligations légales et réglementaires

Intérêt légitime à pouvoir se prémunir contre la
fraude

Gestion des réclamations et des contentieux Exécution du contrat d’assurance

Intérêt légitime à recueillir tout élément nécessaire
à la défense de ses intérêts

6. Quels sont les destinataires à qui les données personnelles peuvent être communiquées ?

CGPA et SAPA s’engagent à transmettre les données personnelles qu’elle collecte à des tiers uniquement lorsque cela s’avère indispensable aux traitements, et à ne jamais commercialiser ces données.

Comme précédemment indiqué, l’ensemble des données collectées par CGPA est mis à la disposition de SAPA pour les besoins de son activité de distribution d’assurances Responsabilité.

Les données d’identification sont également transmises à SAPA aux fins de prospection commerciale pour son activité de formation (sous l’appellation commerciale de CGPA Campus) à laquelle est dédiée une politique de protection des données personnelles distincte accessible et consultable par tous depuis le site Internet de CGPA CAMPUS (https://www.cgpacampus.fr/politique-de-confidentialite/).

Peuvent avoir accès aux données personnelles collectées :

  • les prestataires de service et les sous-traitants avec lesquels CGPA a conclu une convention d’externalisation et qui sont contractuellement tenus de ne pas communiquer les données personnelles confiées en fonction des services rendus ou d’y accéder ;
  • les réassureurs avec lesquels CGPA a conclu un traité de réassurance ;
  • l’assureur portant les contrats d’assurance distribués par SAPA ;
  • les tierces personnes intéressées à l’exécution du contrat ;
  • les tiers autorisés (juridictions, autorités de contrôle, services chargés du contrôle tels que les commissaires aux comptes et les auditeurs externes).

Les données personnelles sont traitées et conservées sur le territoire de l’Union Européenne.

L’éventuel transfert des données personnelles vers des pays hors de l’Union Européenne ne sera effectué que s’il est strictement nécessaire, notamment s’agissant de la gestion d’un sinistre, et uniquement dans les conditions suivantes :

  • vers des pays tiers ou vers des organisations internationales que la Commission Européenne considère comme ayant mis en place un niveau adéquat de protection des données personnelles (comme c’est le cas du « Privacy Shield » entre l’Union Européenne et les Etats-Unis d’Amérique) ;
  • si le destinataire des données :
    • a obtenu une certification appropriée ou a adhéré à un code de conduite déterminé garantissant que le traitement des données personnelles est réalisé avec des garanties appropriées et équivalentes à celles prévues en vertu du droit de l’Union Européenne ;
    • ou bien s’il a mis en place des garanties appropriées pour protéger les données personnelles, en concluant des contrats incluant des clauses types telles qu’établies par la Commission Européenne ou par l’autorité nationale compétente de protection des données et approuvées par le Commission Européenne, ou en adoptant des règles d’entreprise contraignantes.

Lorsque c’est le cas, la personne concernée bénéficie d’une information spécifique lors de la collecte et CGPA met en œuvre des mesures pour s’assurer que la législation européenne est respectée afin d’assurer un niveau de sécurité plus important.

7. Confidentialité et sécurité des données personnelles

CGPA et SAPA partagent dans le cadre de leurs activités respectives le même système d’information.

CGPA s’engage à assurer la sécurité des données qu’elle collecte et qu’elle met à la disposition de SAPA en mettant en place une protection renforcée par l’utilisation de moyens de sécurisation physiques et logiques, notamment au travers :

  • d’engagements de confidentialité pris par ses collaborateurs (qu’elle partage avec SAPA) ;
  • d’une politique informatique et de sécurité des systèmes d’information par le biais de ses fournisseurs informatiques ;
  • de mesures de protection physique et organisationnelle visant à limiter les risques d’accès inadaptés à ces données personnelles.

Conformément aux dispositions du Règlement RGPD, CGPA et SAPA demandent à tous leurs sous- traitants un niveau de protection des données personnelles équivalent à celui exprimé dans la présente Politique.

8. Quelle est la durée de conservation des données personnelles ?

Lorsque la collecte de données personnelles ne donne pas lieu à l’établissement d’un contrat, elles sont conservées 3 ans à compter de la date de leur collecte initiale (par exemple lors de l’établissement d’un questionnaire proposition, d’une demande de documentation ou d’une demande de contact).

Lorsque les données sont collectées dans le cadre d’un enregistrement téléphonique, elles sont conservées pour une durée ne pouvant excéder 6 mois.

Lorsque la collecte de données personnelles donne lieu à l’établissement d’un contrat, elles sont conservées pendant une durée limitée qui n’excède pas la durée nécessaire aux finalités de la collecte telles que décrites dans la Politique.

La durée de conservation est déterminée eu égard à la finalité du traitement, aux personnes concernées par la collecte et conformément aux obligations légales, réglementaires (notamment en matière de prescription) et/ou reconnues par la profession en accord avec les recommandations de la CNIL.

Cette durée n’excède pas ce qui est strictement nécessaire à la bonne exécution des traitements, sans pouvoir en tout état de cause excéder 30 ans pour tenir compte des différents types de sinistre dont CGPA et SAPA doivent assurer la gestion dans le cadre de la mise en œuvre des garanties qu’elles distribuent.

9. Quels sont les droits attachés aux données personnelles collectées ?

Dans les conditions prévues par la règlementation applicable en matière de protection des données personnelles, les personnes concernées disposent sur les données personnelles collectées par CGPA des droits suivants :

Droit d’accès

Cela signifie que toute personne peut savoir si des données personnelles la concernant sont traitées, d’en connaitre notamment la nature, les finalités de traitement, les éventuels destinataires, la durée durant laquelle elles seront conservées, les droits qui y sont attachés (tels que décrits ci-après), la provenance dans l’hypothèse où elles n’auraient pas été directement collectées et d’en obtenir la communication dans un format compréhensible.

En cas d’enregistrement téléphonique, il est possible d’obtenir une copie de l’enregistrement ou une retranscription des termes de l’entretien en adressant une demande aux coordonnées figurant à l’article 10 « Contact ».

Droit de rectification

Cela signifie que toute personne peut demander la rectification de données personnelles la concernant si elles apparaissent inexactes ou périmées. Il est également possible de demander à ce que ces données soient complétées si elles paraissent incomplètes.

Droit d’effacement

Cela signifie que toute personne peut demander selon les modalités légales la suppression dans les meilleurs délais des données personnelles la concernant, notamment lorsque ces données ne sont plus nécessaires aux finalités pour lesquelles elles avaient été collectées.

Certaines raisons légitimes pourront toutefois justifier que ces données personnelles soient conservées, notamment lorsque leur traitement demeure nécessaire pour le respect d’une obligation ou pour la constatation, l’exercice ou la défense d’un droit en justice.

Droit à la limitation du traitement

Cela signifie que toute personne peut demander que le traitement de ses données personnelles soit limité, notamment lorsque l’exactitude en est contestée.

Les données personnelles ne pourront alors être traitées qu’à la condition de l’obtention du consentement préalable, à l’exception de leur conservation ou de leur utilisation pour la constatation, l’exercice ou la défense d’un droit en justice.

Droit à la portabilité

Cela signifie que, selon les modalités légales, toute personne peut demander que les données personnelles la concernant lui soient transmises pour qu’elle puisse les transmettre à un autre responsable de traitement, voire qu’elles soient adressées directement à cet autre responsable de traitement lorsque cela est techniquement possible.

Droit d’opposition au traitement

Cela signifie que toute personne peut s’opposer, selon les modalités légales, à certains types de traitement de ses données personnelles.

L’exercice de ce droit n’est en revanche jamais possible lorsque les traitements ont pour finalité la constatation, l’exercice ou la défense d’un droit en justice.

Droit de définir des directives quant au traitement post mortem

Cela signifie que toute personne peut donner des directives relatives à la conservation, à l’effacement et à la communication de ses données personnelles après son décès. Ces directives sont générales ou particulières. Les directives générales sont enregistrées auprès d’un tiers de confiance. Les directives particulières le sont auprès du responsable de traitement.

Droit de retrait du consentement

Cela signifie que toute personne peut à tout moment retirer son consentement concernant un traitement de ses données personnelles. Ce retrait ne vaudra que pour l’avenir et ne remettra pas en cause la licéité des traitements précédemment effectués.

L’exercice de l’un de ces droits peut être demandé, à tout moment, en adressant une demande aux coordonnées figurant à l’article 10 « Contact » accompagné d’une pièce justifiant de l’identité du demandeur pour qu’une suite puisse y être donnée dans les délais prévus.

Pour mieux connaitre l’ensemble de ces droits, il est possible de consulter la rubrique dédiée du site Internet de la CNIL accessible à l’adresse suivante : https://www.cnil.fr/fr/les-droits-pour-maitriser- vos-donnees-personnelles.

10. Contact

Vous pouvez contacter CGPA ou SAPA à tout moment :

  • soit par courrier postal, accompagné d’une photocopie d’une pièce d’identité, à l’adresse suivante :CGPA (à l’attention de Monsieur Olivier THIBERVILLE)125, rue de la Faisanderie75116 ParisSAPA (à l’attention de Monsieur Olivier THIBERVILLE)125, rue de la Faisanderie75116 Paris
  • soit en utilisant le formulaire de contact présent sur le site Internet (http://www.cgpa.fr/contact ou http://www.sapa-assurance.fr/contact)
  • soit en envoyant un email à l’adresse suivante : dpo@cgpa.fr ou dpo@sapa-assurance.fr

Si vous estimez que CGPA ne respecte pas les modalités précisées dans sa politique de confidentialité dans le cadre du traitement des données vous concernant, vous avez la possibilité de vous adresser directement à la CNIL pour toute réclamation que vous souhaiteriez adresser à ce titre :