Vous êtes :
CourtierAssuré
Autorise le groupe SPVIE Assurances à m’envoyer des newsletters :
OuiNon
En complétant ce formulaire, je reconnais donner mon consentement pour recevoir les newsletters SPVIE Assurances
Je reconnais avoir pris connaissance des mentions ci-dessous : Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par SPVIE Assurances pour le recueil de vos besoins, Elles sont conservées pendant les délais légaux en vigueur en assurance et sont destinées au service commercial. Conformément à la loi « informatique et libertés », complétée par le RGPD (Règlement Général de Protection des Données) vous pouvez exercer votre droit d'accès aux données vous concernant, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données; en contactant : dpo-spvie@spvie.com

 

 

POLITIQUE DE GESTION & DE PROTECTION DES DONNEES DU GROUPE SPVIE ASSURANCES

1. Préambule

La protection des données personnelles revêt une grande importance pour notre entreprise, eu égard aux conséquences dommageables pouvant résulter d’une atteinte, d’un détournement, ou plus généralement d’une utilisation frauduleuse de ces dernières pour les personnes auxquelles elles se rattachent.

Pour notre entreprise, soucieuse de protéger les intérêts de ses clients, prospects, mais aussi collaborateurs, il s’agit donc d’un sujet global impliquant le concours de l’ensemble des équipes et nécessitant notamment, pour chaque collaborateur, outre le respect et l’application des process internes dédiés, d’adopter un comportement prudent par rapport aux traitements des données ainsi qu’une approche constructive et pragmatique des process établis afin de pouvoir proposer de les renforcer, de les adapter ou bien encore de les faire évoluer lorsqu’il apparaît que ceux-ci sont (devenus) inadéquats ou insuffisants par rapport aux dispositions légales et réglementaires d’une part, mais également par rapport aux objectifs poursuivis d’autre part.

Le Règlement Général sur la Protection des Données UE 2016/679 du 27 avril 2016 (le « RGPD ») renforçant le dispositif légal national encadrant le traitement et la protection des données personnelles, crée de nouvelles obligations pour toute personne réalisant des traitements, automatisés ou non, de données à caractère personnel, dès lors que ceux-ci sont réalisés dans le cadre des activités d’un établissement situés sur le territoire de l’Union Européenne et/ou dès que les données concernent des ressortissants de l’Union Européenne, que les opérations de traitement aient lieu ou non sur le territoire de cette dernière.

Par conséquent, le RGPD s’applique à tout traitement de données personnelles que celles-ci concernent un prospect, un client, un collaborateur salarié et plus généralement toute personne physique identifiée ou identifiable grâce à ces données (les « Personnes Concernées »).

2. Définitions utiles

Données à caractère personnel :
Toute information se rapportant à une personne physique identifiée ou identifiable.
Personne physique identifiable :
Personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Traitement :
Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction
Pseudonymisation :
Traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable
Fichier : 
Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
Responsable du traitement :
Personne physique ou morale, l’autorité publique, ou tout autre organisme qui, seul ou conjointement avec d’autre(s), détermine les finalités et les moyens du traitement. Lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre
Sous-traitant : 
Personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement
Consentement : 
Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement
Violation de données à caractère personnel : 
Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données
Données concernant la santé : 
Données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

3. Mesures organisationnelles internes

A) Désignation d’interlocutrices(teurs) dédiés(es) à la gestion et à la protection des données personnelles 
En sa qualité de Président Monsieur Jérémy SEBAG agit en qualité de « Représentant du responsable de traitement » de notre entreprise. Il est à ce titre, en matière de protection et de traitement des données, l’interlocuteur privilégié de l’Autorité de contrôle, des tiers et des clients pour toute question relative à la protection des données dans l’entreprise.
Conformément aux dispositions applicables, notre entreprise a désigné une déléguée à la protection des données (DPO) en date du 19/04/2018 laquelle a notamment a pour mission :
• de nous informer et de nous conseiller sur les obligations qui nous incombent en vertu du RGPD et d’autres dispositions en matière de protection de données à caractère personnel ;
• de nous informer des manquements constatés, nous conseiller dans les mesures à prendre pour y remédier et nous soumettre les arbitrages nécessaires ;
• de veiller à la mise en œuvre de mesures appropriées pour nous permettre de démontrer que nos traitements sont effectués conformément au RGPD, et si besoin, réexaminer et actualiser ces mesures ;
• de veiller à la bonne application du principe de protection des données dès la conception et par défaut dans tous nos projets comportant un traitement de données personnelles ;
• d’ auditer et de contrôler, de manière indépendante, le respect du RGPD par notre entreprise, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement et les audits s’y rapportant ;
• de piloter la production et la mise en œuvre de politiques, de lignes directrices, de procédures et de règles de contrôle pour une protection efficace des données personnelles et de la vie privée des personnes concernées ;
• de s’assurer de la bonne gestion des demandes d’exercice de leurs droits formulés par les personnes identifiées ou identifiables par les données que nous traitons, de leurs réclamations et de leurs requêtes, et de s’assurer de leur transmission aux services intéressés en apportant à ces derniers conseils et expertise notamment dans la réponse à fournir aux requérants ;
• être l’interlocuteur privilégié de l’Autorité de contrôle et coopérer avec elle ;
• dispenser ses conseils en ce qui concerne les études d’impact sur la vie privée et en assurer la pertinence ;
• mettre notre entreprise en position de notifier d’éventuelles violations de données auprès de l’Autorité de contrôle et nous porter conseil, notamment concernant les éventuelles communications aux personnes concernées et les mesures à apporter ;
• tenir l’inventaire et documenter nos traitements de données à caractère personnel en tenant compte du risque associé à chacun d’entre eux compte tenu de sa nature, sa portée, du contexte et de sa finalité ;
• nous présenter un bilan annuel de ses activités.

La lettre de mission que nous avons conclue avec notre DPO est disponible sur simple demande adressée au Représentant du responsable de traitement.

Pour toute question liée à la protection des données et/ou à l’application de la PGPD merci de vous rapprocher de notre DPO en le contactant par l’un ou l’autre des moyens suivants :
• par téléphone au 01 85 71 00 52
• par mail au dpo-spvie@spvie.com

B) Mise en place d’un service dédié à la gestion des réclamations liées au traitement des données personnelles 
Afin de permettre aux Personnes Concernées de pouvoir poser toute question relative à la protection de leurs données, d’exercer tout droit qu’elles détiennent sur ces dernières au titre de la réglementation applicable, ou bien encore d’introduire toute réclamation y afférente, notre entreprise a mis en place une personne dédiée à ce type de réclamation, lequel jouit des moyens appropriés à l’exercice de sa mission (le « Sous Service réclamations – Réclamations des données »).
Une réclamation au sens du présent paragraphe s’entend comme toute manifestation d’un mécontentement ou interrogation d’une personne concernée par les données que notre entreprise exploite dans le cadre de son activité relatif à l’exercice de l’un ou l’autre des droits qu’elle détient au titre de la réglementation applicable tels que notamment :
• le droit d’accès ;
• le droit de rectification ;
• le droit d’information ;
• le droit à l’effacement ;
• le droit à la limitation ;
• le droit à la portabilité ;
• le droit à l’opposition ;
• le doit d’introduire une réclamation.

Le Sous Service Réclamations des données est composé de la personne suivante :
• la responsable du service gestion et un référent rattachée à elle

Elle peut être aidée par les autres membres du service gestion du groupe SPVIE Assurances mais reste la seule référente en la matière.

Le Sous Service Réclamations des données peut être contacté par l’un ou l’autre des moyens suivants :
SPVIE Assurances
• Service Réclamations – 11 quai Dion Bouton –
• 92816 PUTEAUX Cedex
• Ou par courrier électronique : réclamations@spvie.com
• Ou par Téléphone : 01 85 08 06 00 (appel non surtaxé)

Conformément à la réglementation, le Sous Service Réclamations des données doit répondre dans les meilleurs délais, et au maximum sous un (1) mois, à toute question ou réclamation posée par une Personne Concernée, après s’être assuré par tous moyens, en cas de doute, que son auteur et la Personne Concernée visée par la demande sont bien la même personne (notamment en lui demandant son adresse, sa date de naissance ou bien encore son deuxième prénom si la Personne Concernée en possède un).

Si le Sous Service Réclamations des données ne donne pas suite à la demande formulée par la Personne Concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un (1) mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès de l’autorité de contrôle (la CNIL) et/ou de former un recours juridictionnel.

Le Sous Service Réclamations des données n’exige aucun paiement supplémentaire pour répondre aux questions qui lui sont posées ou plus généralement pour traiter les réclamations qui lui sont adressées.

Toutefois, lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le Sous Service Réclamations des données peut alors soit :
• exiger le paiement de frais d’un montant maximum correspondant aux frais engagés par SPVIE, lesquels doivent tenir compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées, soit ;
• refuser de donner suite à ces demandes.

En application du principe précité, l’entreprise pourra refuser de répondre ou demander à un client le paiement de frais spécifiques à la gestion d’une nouvelle demande déjà présentée et pour laquelle une réponse valable aura déjà été donnée, dès lors que cette demande sera :
• soit parfaitement injustifiée par rapport à la finalité des traitements pour lesquels la Personne Concernée a donné son consentement ;
• soit manifestement infondée ou de mauvaise foi ;
• soit présentée pour la seconde fois au cours du même mois.

Le Sous Service Réclamations des données tient à jour un tableau de suivi des réclamations relatives aux données, lequel doit être adressé au moins une fois par an au DPO (au plus tard le 31/03 de l’année N+1 pour l’année n-1).
En fonction du nombre de demandes et/ou réclamations, et au minimum 1 fois par an le Sous Service Réclamations des données se réunit avec le DPO en vue de mettre en exergue les difficultés rencontrées au cours de la période écoulée et de proposer, le cas échéant, des mesures et actions correctives. Chacune de ces réunions doit faire l’objet d’un compte rendu précisant les personnes présentes, un résumé du contenu des échanges ainsi que la liste des décisions prises et des délais de mise en œuvre adoptés.

4. Mesures opérationnelle internes

Afin que seuls les collaborateurs dont les fonctions occupées au sein de l’entreprise le justifient, cette dernière met en œuvre une politique de restriction et de contrôle des accès aux données personnelles, ainsi qu’une politique de protection des données.

1. Accès restreint aux données

Chaque personne autorisée accède aux données par le biais d’un login et d’un mot de passe ne devant être communiqués à aucun tiers, salarié ou non de l’entreprise (hormis en cas de réquisition judiciaire).
Chaque mot de passe doit être constitué au minimum d’une suite de 8 caractères minimum combinant chiffres, lettres et caractères spéciaux. Il ne doit comporter ni le nom, prénom ni l’identifiant d’ouverture de la session de travail. Il doit être renouvelé régulièrement (tous les 3 mois).
Conformément à la charte informatique en vigueur dans l’entreprise.

2. Protection des données

Afin de protéger au maximum les droits des personnes concernées par les données personnelles qu’elle exploite, notre entreprise se doit de les protéger, tant au travers de la formation et du comportement de ses collaborateurs par rapport à la réglementation applicable en matière de protection des données qu’au travers des mesures internes de protection qu’elle a adoptées.
Cet objectif de protection repose notamment sur :
• la sécurisation de l’accès au contenant informatique des données personnelles ainsi que le contenant en lui-même par rapport à d’éventuelles tentatives de « hacking » ou de détournement des données initiées par des tiers ;
• la nécessité, en cas de perte consécutive à quelque évènement ou procédé que ce soit de tout ou partie des données, de pouvoir en récupérer une copie et/ou de pouvoir reconstituer les données perdues ou devenues inexploitables afin de pouvoir, quelle que soit la situation à laquelle notre entreprise peut être confrontée, maintenir une protection satisfaisante des données ainsi qu’un traitement conforme ;
• la protection de l’identité des personnes concernées grâce à un ou plusieurs systèmes de cryptage ou de pseudonymisation des données afin que la personne concernée par celles-ci ne puisse être directement identifiée en cas d’utilisation frauduleuse ;
• l’obligation faite à chaque personne travaillant dans l’entreprise de ne pas divulguer son mot de passe à quelque personne que ce soit et de verrouiller son poste de travail dès qu’elle s’en absente, ce quelle que soit la durée prévue de son déplacement.
Dans cette optique, notre entreprise a donc mis en œuvre les moyens de protection suivants :
• une cartographie des risques et un plan d’action
• un plan de continuité de l’activité d’entreprise et un plan de continuité de l’informatique
• un politique de gestion et de protection des données
• un charte interne d’usage des ressources informatique
• un plan de sécurité informatique
• Transfert des données à des tiers

3. Transfert des données à des tiers

Sauf autorisation expressément prévue aux termes d’une convention dument conclue et signée ou dument accordée, le transfert de données personnelles par notre entreprise à des tiers, que ceux-ci soient ou non situés sur le territoire de l’Union Européenne ou bien encore sur le territoire d’un état bénéficiant d’une déclaration d’adéquation est interdit.
Toute demande d’autorisation de transfert tel que visé au paragraphe précédent, pour quelque raison que ce soit et auprès de quelque personne que ce soit devra être adressée au DPO afin que celui-ci puisse en amont étudier la faisabilité de l’opération de transfert et mettre en œuvre les procédures idoines.
Au jour d’édition de la présente politique deux partenaires sont identifiés et habilités par voie de convention : ODITY et CGRM.

Le respect et l’applicabilité de la RGPD est un enjeu majeur pour notre entreprise et constitue un pilier du respect des droits de nos clients et prospects
À ce titre, nous demandons à chaque collaborateur d’être proactif dans la mise en œuvre des mesures pour lesquelles notre entreprise a opté mais également constructif dans son approche afin de proposer, si nécessaire, des points d’amélioration, d’adaptation ou de complétude.

Nous sommes tous concernés.