Données personnelles - Catnat
Politique sur la protection des données personnelles au sein de CCR
Qui sommes-nous ?
Créée en 1946, la Caisse Centrale de Réassurance (ci-après « CCR ») est une entreprise de réassurance régie par le code des assurances. Société anonyme de droit privé, n capital d’un montant de 60 000 000 euros est détenu à 100% par l’Etat.
Elle présente la particularité de proposer aux entreprises d’assurance, avec la garantie de l’Etat, des couvertures illimitées pour des branches spécifiques au marché français, notamment les catastrophes naturelles et le terrorisme.
CCR exerce une activité de réassurance publique. Elle possède une filiale entièrement dédiée à la réassurance privée en France et à l’Etranger, la société CCR RE, ainsi que deux filiales à prépondérance immobilière.
Elle gère également plusieurs Fonds publics pour le compte de l’Etat en qualité de mandataire légal.
Son siège social est situé :
157, boulevard Haussmann
75008 Paris
France
Tél. : 01 44 34 31 00
CCR et protection des données à caractère personnel
CCR est responsable de traitements de données à caractère personnel (ci-après les « données personnelles ») dont elle a défini les finalités et les moyens, en application du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le « RGPD »)
CCR est très attentive à la protection des données personnelles des personnes physiques (« Les personnes concernées ») figurant dans ces traitements. Cet engagement reflète l’intérêt particulier qu’elle accorde, outre à ses salariés et locataires, aux autres personnes dont ses clients, partenaires et prestataires sont amenés à lui communiquer des données personnelles. Dans son activité de réassurance, les clients de CCR sont notamment les entreprises d’assurance et de réassurance (les « cédantes »). CCR reçoit des primes de la part de ces cédantes en contrepartie de quoi elle leur paie une partie de leurs sinistres. Elle n’a donc aucun rapport direct (contractuel, financier ou autre) avec les assurés et tiers victimes dont ces entreprises peuvent lui communiquer certaines données personnelles.
Pour s’assurer de la meilleure information sur le traitement de ces données, CCR a rédigé la présente Politique de protection de données personnelles (la « Politique »). Elle s’applique à toutes les données personnelles qu’elle collecte, soit directement auprès des personnes concernées, soit indirectement par l’intermédiaire de ses clients, partenaires et prestataires, eux-mêmes soumis au RGPD.
CCR a désigné en 2015 un Correspondant à la protection des données, puis en 2018 un Délégué à la protection des données qui est tenu au secret professionnel et soumis à une obligation de confidentialité dans l’exercice de ses fonctions :
Arnaud VERREY - 157, boulevard Haussmann -75008 Paris (France)
Toute question ou demande liée au traitement de données personnelles par CCR doit être adressée directement au Délégué à la Protection des Données de CCR.
En outre, les personnes concernées doivent exercer leurs droits à l’appui d’une copie d’un titre d’identité, par courrier postal auprès de ce Délégué ou par courriel à l’adresse droit.dacces@ccr.fr.
Sur quels fondements juridiques traitons-nous vos données ?
Les fondements juridiques d’un traitement sont fixés à l’article 6 du RGPD.
Domaines |
Fondements juridiques |
Réassurances publiques |
Traitements nécessaires à l'exécution d'une mission d'intérêt public. Traitements nécessaires à l’exécution d’une obligation légale à laquelle CCR est soumise. Traitements nécessaires aux fins des intérêts légitimes poursuivis par CCR, ses sociétés d’assurance cédantes et leurs assurés, et les tiers-victimes. |
Gestion de fonds publics |
Traitements nécessaires à l'exécution d'une mission d'intérêt public. Traitements nécessaires au respect d'une obligation légale à laquelle CCR est soumise. Traitements nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice. |
Gestion des données des salariés |
Traitements nécessaires à l'exécution du contrat de travail. Traitements nécessaires à l’exécution d’une obligation légale à laquelle CCR est soumise. |
Gestion locative |
Traitements nécessaires à l'exécution du contrat de location. Traitements nécessaires à l’exécution d’une obligation légale à laquelle CCR est soumise. |
Relations de CCR avec ses prestataires de services |
Traitements nécessaires aux fins des intérêts légitimes poursuivis par CCR et ses prestataires. |
Sites extranet |
Traitements nécessaires à l'exécution d'une mission d'intérêt public. Traitements nécessaires aux fins légitimes poursuivis par CCR, ses sociétés d’assurance cédantes et les autres visiteurs du site. |
Site internet |
Traitement nécessaire aux fins des intérêts légitimes poursuivis par CCR. Consentement pour les cookies. |
Comment traitons-nous vos données ?
Vos données personnelles sont collectées pour des finalités déterminées, légitimes et explicites et ne sont pas traitées ultérieurement d’une manière incompatible avec ces finalités. Elles sont par ailleurs adéquates, pertinentes et limitées à ce qui est nécessaire au regard de ces finalités.
CCR accorde en outre une haute importance à la sécurité des données personnelles figurant dans ses traitements et fait ses meilleurs efforts pour assurer des mesures physiques, techniques et organisationnelles de sécurité conformes à l’état de l’art afin de protéger ces données contre la perte, la destruction, la modification accidentelle ou la mauvaise utilisation de celles-ci. Ces mesures protègent également ces données contre un accès non autorisé ou contre leur divulgation. Elles sont réexaminées et actualisées si nécessaire. Une copie des mesures de sécurité mises en place par CCR peut être obtenue auprès du DPO.
Seules les personnes dans la nécessité de traiter ces données dans l’exercice de leurs fonctions peuvent y accéder. Les traitements dans lesquels figurent vos données personnelles sont portés dans un registre des traitements conforme au RGPD qui ne vous est pas accessible.
Ces données sont hébergées en quasi-totalité en France, et subsidiairement dans un Etat de l’Union Européenne, un Etat assurant un niveau de protection adéquat ou un Etat-tiers moyennant des garanties appropriées.
Quelle est la finalité des traitements de vos données ?
Domaines |
Données traitées |
Finalités |
Réassurances publiques |
Etat civil, Identité, données d'identification. Vie professionnelle. Informations d'ordre économique et financier. Information sur les assurés (adresse).
|
Passation, gestion et exécution des traités de réassurance. Examen, acceptation, contrôle et surveillance du risque. Paiement des sinistres Analyse de données, élaboration de statistiques et études actuarielles, techniques et scientifiques pour le compte de CCR ou celui de l’Etat. Actions de recherche et développement. Respect de la réglementation applicable (dont la constitution de provisions réglementaires et autres exigences en matière de capital).
|
Gestion de fonds publics |
FNGRA : Etat civil, Identité, données d'identification. Vie professionnelle. Informations d'ordre économique et financier.
FAPDS ; Etat civil, Identité, données d'identification. Vie professionnelle. Informations d'ordre économique et financier. Données de santé. |
Règlement et suivi de demandes d’indemnisation.
Suivi et gestion de recours, réclamations et contentieux. |
Gestion données salariés |
Etat-civil, Identité, données d'identification. Vie professionnelle. Vie privée. Informations d'ordre économique et financier. |
Documentation en vue d’une éventuelle embauche. Conclusion et exécution du contrat de travail de sa conclusion à son expiration. |
Gestion locative |
Etat civil, Identité, données d'identification. Vie professionnelle. Vie privée. Informations d'ordre économique et financier.
|
Conclusion et exécution du bail de sa conclusion à son expiration. Gestion des relations entre CCR et ses locataires. |
Relations avec ses prestataires de service |
Etat civil, Identité, données d'identification. Vie professionnelle. |
Gestion des contacts entre CCR et ses interlocuteurs au sein de ses prestataires de service, dans tous les domaines d’activité de CCR. |
Sites extranet |
Etat civil, Identité, données d'identification. Vie professionnelle. |
Gestion d’espaces informatiques dédiés aux réassurances publiques. Transmission des comptes des sociétés d’assurance cédantes à CCR. |
Site internet |
Etat civil, Identité, données d'identification. Vie professionnelle. |
Gestion d’un site public sur la gouvernance, la mission et les activités de CCR |
Quelle est la durée de conservation de vos données personnelles ?
Vos données personnelles sont conservées pour une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ou de toutes autres finalités autorisées.
En raison de la spécificité du secteur de l’assurance et de la réassurance, CCR est amenée à conserver certaines données personnelles des assurés et tiers victimes au-delà de la durée du contrat de réassurance augmentée du délai de prescription légale applicable.
De même, CCR est susceptible de conserver plus longtemps vos données, une fois agrégées ou rendues anonymes, lesquelles ne sont alors plus régies par le RGPD.
Quels sont les destinataires de vos données ?
Dans le cadre des finalités énoncées, la liste des destinataires habilités à connaitre vos données personnelles est strictement limitée. Il s’agit des services concernés de CCR et de ses sociétés filiales, et de leurs éventuels prestataires et sous-traitants.
En outre, CCR peut transmettre vos données personnelles à toute juridiction, à tout organisme de régulation ou de contrôle ainsi qu’à toute autorité publique, dans le cas où la transmission de vos données est requise.
Quels sont vos droits sur les données collectées ?
Vous pouvez exercer un certain nombre de droits auprès de CCR, laquelle examinera votre demande et vous répondra dans les délais légaux applicables :
- le droit d’accès (article 15 du RGPD) vous donne l’occasion d’obtenir, auprès de CCR, la communication, sous une forme accessible, des données personnelles vous concernant ainsi que de toute information disponible quant à l’origine de celles-ci.
- le droit d’interrogation (article 15 du RGPD) vous permet d’interroger CCR pour que celle-ci vous fournisse toute information relative à vos données personnelles et à leur traitement.
- le droit de rectification (article 16 du RGPD) vous offre la possibilité d’obtenir la rectification des données personnelles vous concernant, lorsqu’elles sont inexactes.
- le droit à l’effacement (droit à « l’oubli ») (article 17 du RGPD) vous permet d’obtenir l’effacement des données personnelles vous concernant dès lors que :
ü vos données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ;
ü vous retirez votre consentement et il n’existe pas d’autre fondement juridique au traitement ;
ü vous vous opposez au traitement et il n’existe pas de motif légitime et impérieux pour le traitement ;
ü vos données font l’objet d’un traitement illicite ;
ü vos données doivent être effacées pour respecter une obligation légale.
- le droit d’opposition (article 21 du RGPD) vous donne la possibilité de vous opposer, à tout moment, pour des raisons tenant à votre situation particulière, au traitement de données personnelles vous concernant dès lors que le traitement est fondé sur votre consentement ou l’intérêt légitime de CCR ou que vos données personnelles sont traitées à des fins de prospection.
- le droit de limitation du traitement (article 18 du RGPD) vous permet d’obtenir de CCR la limitation d’un traitement dès lors que :
ü vous contestez l’exactitude de vos données personnelles, pendant une durée permettant à CCR de vérifier l’exactitude de ces données ;
ü le traitement de vos données personnelles est illicite et vous vous opposez à leur effacement et exigez à la place la limitation de leur utilisation ;
ü CCR n’a plus besoin de vos données personnelles aux fins du traitement mais celles-ci vous sont encore nécessaires pour la constatation, l’exercice ou la défense de droits en justice ;
ü vous vous opposez au traitement, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivies par CCR prévalent sur votre propre intérêt.
- le droit à la portabilité des données (article 20 du RGPD) vous donne la possibilité de recevoir, dans un format structuré, couramment utilisé et lisible par machine, les données personnelles que vous avez fournies à CCR et le droit de transmettre ces données à un autre responsable de traitement sans que CCR puisse y faire obstacle, lorsque :
ü le traitement est fondé sur votre consentement ou sur un contrat ;
ü le traitement est effectué à l’aide de procédés automatisés.
Lorsque cela est techniquement possible, vous avez le droit d’obtenir que les données soient directement transmises d’un responsable du traitement à un autre.
Le cas échéant, vous disposez d’un droit de réclamation auprès de la CNIL si vous considérez, après avoir exercé vos droits auprès de CCR, que ces droits n’ont pas été respectés :
Commission Nationale Informatique et Libertés (CNIL)
3 Place de Fontenoy
TSA 80715
75334 Paris Cedex 07
Divers
La présente Politique est datée du 2 septembre 2020.
Elle est accessible à partir du site internet de CCR et une copie de cette Politique peut être adressée par CCR sur demande.
Les informations contenues dans la présente Politique sont données à titre informatif. Elles peuvent faire l’objet de modifications, de corrections, de mises à jour ou de suppressions partielles ou totales à tout moment et sans préavis de la part de CCR.