Politique de protection des données à caractère personnel

Verspieren, société anonyme à conseil d’administration de droit français, enregistrée au registre du commerce et des sociétés de Lille Métropole sous le numéro 321 502 049 et immatriculée auprès de l’ORIAS sous le numéro 07 001 542 – (www.orias.fr), siégeant au 1, avenue François Mitterrand – 59290 Wasquehal, France, procède, dans le cadre de son activité, au traitements de données à caractère personnel, tant pour son compte que pour celui d’autres entités.

Par conséquent, en qualité de responsable du traitement, Verspieren a mis en place la présente politique de protection des données à caractère personnel, ci-après dénommée la « Politique ».

Champ d’application de la Politique

La présente Politique énonce les principes et lignes directrices pour la protection des données à caractère personnel, ci-après dénommées « DACP », et pour la sauvegarde des droits des personnes concernées par les traitements réalisés par Verspieren.

La Politique est susceptible d’être complétée ou remplacée par tout document contractuel ayant le même objet conclu par Verspieren à l’égard d’une ou plusieurs personnes concernées.

Les DACP s’entendent de la définition retenue par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ci-après dénommé le « RGPD » : est une DACP toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, en particulier par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres, ci-après dénommée « personne concernée ».

La Politique s’applique à toutes les DACP traitées par Verspieren, quel que soit leur mode de collecte ou de traitement.

Verspieren intervient en qualité de responsable du traitement de DACP mais également en qualité de sous-traitant, au sens du RGPD, pour le compte d’autres responsables du traitement avec lesquels Verspieren s’est engagé contractuellement. Dans le cadre de leurs relations avec le responsable du traitement, les personnes concernées sont informées par ce dernier lorsque Verspieren intervient en qualité de sous-traitant ou pour le compte d’un sous-traitant, adoptant dès lors la qualité dite de « sous-traitant ultérieur ».

A ce titre, la Politique trouve à s’appliquer même lorsque Verspieren intervient comme sous-traitant ou sous-traitant ultérieur.

Personnes concernées par les traitements

Verspieren, en qualité de responsable du traitement ou en qualité de sous-traitant, ultérieur ou non, est susceptible d’effectuer des traitements sur les DACP des catégories de personnes physiques suivantes :

  • visiteurs des sites internet et extranet (consultation) ;
  • utilisateurs des sites internet et extranet (saisie de données) ;
  • clients potentiels personnes physiques ;
  • employés et dirigeants des clients potentiels personnes morales ;
  • clients personnes physiques ;
  • employés et dirigeants des clients personnes morales ;
  • ayants-droits personnes physiques des clients personnes physiques ou morales ;
  • partenaires commerciaux personnes physiques ;
  • employés et dirigeants des partenaires commerciaux personnes morales ;
  • fournisseurs et sous-traitants personnes physiques ;
  • employés et dirigeants des fournisseurs et sous-traitants personnes physiques ;
  • employés et dirigeants personnes physiques de Verspieren ou de l’une de ses filiales ;
  • tout tiers identifié au moyen d’un document au format réglementé dont Verspieren est le destinataire.

Catégories particulières de personnes concernées

Dès lors que le consentement d’un enfant mineur de moins de 16 ans est rendu nécessaire pour une finalité en lien avec l’offre directe de services proposés par Verspieren, le consentement de celui-ci sera obtenu auprès de son représentant légal détenteur de l’autorité parentale. Dans le même sens, Verspieren demandera le consentement du représentant légal du majeur protégé.

Conformément à la réglementation, Verspieren informe les mineurs de plus de 15 ans de leur droit de s’opposer à ce que les titulaires de l’autorité parentale puissent exercer pour leur compte les droits relatifs aux traitements des DACP.

Données à caractère personnel traitées

La liste ci-après détermine les types de DACP des personnes concernées qui peuvent notamment être traitées dans le cadre des activités de Verspieren :

  • aptitudes des qualifications des personnes concernées : études, certifications, profession, fonction, branche d’activité, affiliations professionnelles ;
  • caractéristiques des personnes concernées : condamnations ou infractions pénales, données démographiques, données financières, coordonnées bancaires, dossier médical, données de santé, nationalité et citoyenneté ;
  • habitudes et activités des personnes concernées : comportement, habitudes de consommation, activités pratiquées, heures de travail, arrêts de travail, congés ;
  • identité des personnes concernées : documents d’identité, numéros d’identification, nom et prénom, adresse IP et/ou Mac, numéro de téléphone fixe et/ou mobile, numéro de Sécurité sociale (NIR), liens de parenté ;
  • localisation des personnes concernées : adresse postale, entrées d’agenda, lieux de villégiature.

 

Verspieren s’engage à limiter la collecte de ces données à leur strict nécessaire. Il est rappelé que celles-ci sont collectées à l’initiative de la société Verspieren et, le cas échéant, des autres responsables du traitement dont elle dépendrait. La collecte des DACP peut également l’être à l’initiative des personnes concernées.

Catégories particulières de données à caractère personnel traitées

Verspieren attire l’attention des personnes concernées que le traitement des DACP peut révéler l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale des personnes concernées. Par ailleurs, Verspieren traite des données concernant la santé.

Le traitement de ces catégories particulières de DACP fait l’objet d’un consentement exprès des personnes concernées à moins que le traitement ne soit nécessaire aux fins de l’exécution d’obligations et de l’exercice de droits propres à Verspieren ou à la personne concernée. En tout état de cause, Verspieren veille à ce que ce traitement soit autorisé par la réglementation en vigueur.

Finalités des traitements et bases juridiques applicables

Verspieren traitera vos données selon les finalités déterminées ci-après.

Verspieren se réserve le droit d’inclure des finalités spécifiques qui seront communiquées aux personnes concernées sur des supports contractuels spécifiques complétant ou dérogeant à la présente Politique.

Conformément au RGPD, le consentement exprès des personnes concernées n’est pas requis dès lors que le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celui-ci.

Dans les mêmes conditions, le traitement ne nécessite aucun consentement afin de respecter une obligation légale à laquelle le responsable du traitement est soumis ou encore lorsque le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que les droits ou intérêts de la personne concernée ne prévalent. Les intérêts légitimes poursuivis par Verspieren sont la défense de ses intérêts au plan administratif et judiciaire, la poursuite de l’objet social de la société et de ses filiales.

Conformément au RGPD, les traitements portant sur des catégories particulières de DACP, notamment les données concernant la santé, sont justifiés et autorisés par la réglementation pour l’exécution de ses obligations par le responsable du traitement en matière de sécurité sociale et de protection sociale. Le cas échéant, lorsque d’autres finalités seront recherchées, Verspieren s’attachera à obtenir le consentement des personnes concernées.

Finalités des traitements basés sur le consentement

  • démarchage, prospection à des fins commerciales portant sur des produits d’assurance ;
  • établissement de statistiques liées au trafic sur les sites internet de Verspieren ;
  • établissements de fichiers à des fins de statistiques commerciales ;
  • établissement de statistiques liées aux contrats d’assurance ;
  • participation à des opérations de promotion commerciale ;
  • amélioration de l’expérience client ;
  • réalisation d’enquêtes de satisfaction.

 

Les finalités suivantes ne nécessitent pas le consentement exprès des personnes concernées. Elles sont basées sur l’exécution d’un ou plusieurs contrats ou pour l’exécution de mesures précontractuelles, afin de respecter la réglementation en vigueur ou afin de permettre à Verspieren de protéger ses intérêts légitimes :

 

  • analyse de risques et détermination des besoins du client ou du client potentiel ;
  • exercice du devoir de conseil de Verspieren ;
  • établissement des devis d’assurance ;
  • aide à la souscription des contrats d’assurance ;
  • gestion des contrats d’assurance ;
  • gestion des sinistres ;
  • gestion des primes ou cotisations afférent aux contrats d’assurance ;
  • gestion du tiers-payant et des réseaux de soins ;
  • exécution d’un contrat de travail ;
  • amélioration de l’expérience client ;
  • réalisation d’enquêtes de satisfaction ;
  • participation à des opérations de promotion commerciale ;
  • exercice du devoir de conseil de Verspieren ;
  • recueil et conservation aux fins de lutte contre le blanchiment et le financement du terrorisme ;
  • exécution de toutes obligations d’ordre public ;
  • conservation à des fins probatoires ;
  • établissements de fichiers à des fins statistiques.

Toute autre finalité du traitement qui ne serait pas présente dans la présente Politique fera l’objet d’un accord écrit entre Verspieren et la personne concernée.

Durées de conservation

Les données des personnes concernées sont conservées dans le cadre des finalités indiquées précédemment, en respect des prescriptions légales en vigueur, notamment en matières civile, fiscale, commerciale et pénale.

Les données conservées ayant pour finalité la prospection ou le démarchage commercial sont conservées pendant trois (3) ans à compter de leur réception ou du dernier contact émanant d’un client prospect.

Les devis réalisés pour nos prospects et clients font l’objet d’une conservation pendant trois (3) ans.

Le délai indiqué n’empêche pas l’acceptation par écrit d’un client potentiel d’un délai plus long dont la durée est justifiée le cas échéant.

La conservation des données à des fins probatoires donne lieu à un archivage intermédiaire dont l’accès est strictement limité. A l’issue du délai de prescription correspondant, les données seront détruites ou feront l’objet d’une anonymisation irréversible afin que les personnes concernées ne soient plus identifiables par quelque moyen que ce soit.

Délais de conservation courants en matière de prestations d’assurance, à compter de leur dernier versement :

  • toute prestation : deux (2) ans ;
  • incapacité / invalidité : cinq (5) ans, si règlement au Trésor Public : dix (10) ans ;
  • prestation Décès : trente (30) ans ;
  • répétition de l’indu : cinq (5) ans ;
  • appel de prime ou de cotisation : dix (10) ans.

Destinataires des données et sous-traitants

Verspieren s’engage à ne transmettre de données à ses filiales ou à des tiers « importateurs de données » que lorsque cela s’avère strictement nécessaire (exemples : établissement de devis d’assurance auprès d’une entreprise d’assurance, hébergement de services par un tiers prestataire). Dans ce cas, Verspieren s’assurera que l’importateur de données présente au moins le même niveau de sécurité dans son traitement des données. Conformément au RGPD, la sous-traitance des données fera l’objet d’un accord écrit entre Verspieren et le sous-traitant, engageant ce dernier à n’opérer aucun transfert de données sans l’autorisation de Verspieren.

Si un transfert de données en dehors de l’Espace économique européen (ci-après « EEE ») doit être opéré, Verspieren s’engage à n’y procéder que dans ces conditions :

  • l’importateur de données se trouve dans un Etat considéré par la Commission européenne comme assurant un niveau de protection adéquat ;
  • lorsque le réceptionnaire ne se trouve pas dans un Etat considéré par la Commission européenne comme assurant un niveau de protection adéquat, Verspieren fera en sorte que l’importateur de données soit engagé en vertu des Clauses Contractuelles Types de la Commission européenne ;
  • tout sous-traitant ultérieur situé hors EEE devra répondre au moins à l’une des conditions énoncées précédemment.

Droits relatifs aux traitements des données

Conformément à la réglementation, les personnes concernées disposent de certains droits sur les DACP les concernant :

  • droit d’accès ;
  • droit à la rectification ;
  • droit à la limitation ;
  • droit de demander la suppression / droit à l’oubli ;
  • droit de demander la communication des données ;
  • droit d’opposition concernant un traitement spécifique pour lequel un consentement exprès a été nécessaire ;
  • droit à la portabilité des données.

Vous pouvez exercer vos droits, accompagnés d’un justificatif d’identité, soit par l’envoi d’un mail à dpo@verspieren.com soit par courrier à :

Verspieren
Délégué à la protection des données
1, avenue François Mitterrand

59290 Wasquehal, France

Verspieren se réserve le droit de demander au demandeur des pièces complémentaires afin notamment de justifier de son identité.

Verspieren informe les personnes concernées qu’en conformité aux règles d’ordre public en vigueur, certaines données ou certaines finalités ne pourront faire l’objet d’une réponse favorable aux demandes : lutte contre le blanchiment et le financement du terrorisme, fiscalité…

Si vous estimez ne pas avoir pu exercer vos droits conformément au RGPD ou à toute disposition légale en vigueur en matière de protection des données, vous pouvez formuler une réclamation auprès de la CNIL : Commission nationale de l’informatique et des libertés, 3 place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07.

Sécurité des traitements

Verspieren reconnait pleinement sa qualité de responsable du traitement et s’attache à garantir une sécurité des traitements opérés sur les DACP afin d’éviter toute violation de celles-ci. Constitue une violation des DACP au sens du RGPD une violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou non autorisée de DACP transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

A cette fin, Verspieren prend des mesures techniques et organisationnelles afin de garantir un niveau de sécurité adapté aux risques liés aux traitements. Verspieren garantit notamment que ses collaborateurs et ceux de ses importateurs de données sont soumis à une stricte obligation de confidentialité.

Malgré tout le soin apporté, Verspieren ne peut garantir la sécurité absolue de la protection mise en œuvre en raison de l’évolution des techniques d’intrusion et des risques inévitables pouvant survenir lors de la transmission de DACP.

Verspieren a défini et mis en place un dispositif de détection des intrusions et une procédure de gestion des incidents.

Verspieren attire l’attention des utilisateurs de ses services en ligne quant à leur implication dans la protection de leurs propres données. Verspieren invite les personnes concernées à veiller à la confidentialité de leurs moyens d’accès aux services en ligne et à leur contenu.

Utilisation des cookies

Les visiteurs et utilisateurs des sites internet de Verspieren peuvent se référer aux mentions légales de ses sites ou à la page cookies afin de prendre connaissance des conditions d’utilisation des cookies par Verspieren.

Délégué à la protection des données / data protection officer

Du fait de la nature, de la portée et des finalités des opérations de traitement par Verspieren, un délégué à la protection des données a été désigné.

Vous pouvez adresser un courrier électronique au délégué à la protection des données pour toute question concernant la présente Politique ou pour toute demande concernant vos DACP et l’exercice de vos droits y afférant.

Contact : dpo@verspieren.com

Adresse postale :
Verspieren
Délégué à la protection des données
1, avenue François Mitterrand

59290 Wasquehal, France

Evolution et modifications de la politique de protection des données à caractère personnel

La présente Politique peut évoluer à tout moment avec entrée en vigueur immédiate. Afin de vous en tenir informés, nous indiquons la date de sa dernière mise à jour.

La dernière mise à jour de la présente Politique a été effectuée le : 29/06/2018