RGPD : Politique de protection des données à caractère personnel

En sa qualité de courtier en assurance et de responsable de traitement, le Cabinet MIDI ASSUR SOLUTIONS apporte une attention toute particulière aux données à caractère personnel qui sont collectées par elle. A toutes fins utiles, il est précisé que MIDI ASSUR SOLUTIONS est un groupement de courtiers et qu’à ce titre MIDI ASSUR SOLUTIONS ne collecte jamais des données relatives aux prospects et/ou aux assurés souhaitant souscrire un contrat d’assurance.

1. Responsable de traitement

Dénomination sociale :	MIDI ASSUR SOLUTIONS
Forme de la société :	SAS au capital de 1.500 € immatriculée au RCS de AVIGNON sous le n°830852208
Siège social :	440 avenue du 8 mai 1945 - 84120 PERTUIS
Tél. / Email :	+33 (0) 06 62 53 24 88 - solutions@midi-assur.com
ORIAS :	Immatriculé à ce registre sous le n°17005985 (vérifiable ici : www.orias.fr) en qualité de courtier en assurance
Assurances :	Responsabilité Civile Professionnelle conformes aux articles L 512-6 et L 512-7 du Code des Assurances
Site :	https://www.midiassur.fr/

2. Les données collectées

2.1. Personnes concernées par les traitements :

MIDI ASSUR SOLUTIONS, en qualité de responsable du traitement ou en qualité de sous-traitant, ultérieur ou non, est susceptible d’effectuer des traitements sur les DACP des catégories de personnes physiques suivantes :

• Intermédiaires d’assurance souhaitant devenir membre du Groupement MIDI ASSUR SOLUTIONS.
• Employés et/ou dirigeants des intermédiaires d’assurances précités ;
• Employés et/ou dirigeants des partenaires du Groupement MIDI ASSUR SOLUTIONS ;
• Employés et/ou dirigeants des compagnies d’assurance ou des courtiers grossistes auprès desquels MIDI ASSUR SOLUTIONS s’est fait ouvrir un code ;
• Collaborateurs de MIDI ASSUR SOLUTIONS
• Les candidats à l’embauche.

2.2. Finalités de traitement

Dans le cadre de son activité, les données à caractère personnel collectées par MIDI ASSUR SOLUTIONS vont servir à un ou plusieurs finalités suivantes et sur la base des fondements listés ci-dessous :

Finalités	Fondements
Souscription des supports contractuels avec les intermédiaires d’assurance souhaitant devenir membre de MIDI ASSUR SOLUTIONS Souscription des supports contractuels avec les partenaires de MIDI ASSUR SOLUTIONS Gestion du support contractuel et des avenants éventuels	Ces traitements sont réalisés sur la base d’un contrat auquel l’intermédiaire d’assurance ou le partenaire est partie.
Assurer la sécurité de connexion à l’espace personnel et sécurisé du site web de MIDI ASSUR SOLUTIONS	Ces traitements sont réalisés sur la base d’un intérêt légitime poursuivi par MIDI ASSUR SOLUTIONS
Piloter l’activité de MIDI ASSUR SOLUTIONS Réaliser des actions marketing (animation sur LINKEDIN, organisation de réunions régulières de ses membres et des partenaires) et d’enquête de satisfaction Réalisation de lettres d’information (newsletter)	Ces traitements sont réalisés sur la base d’un intérêt légitime poursuivi par MIDI ASSUR SOLUTIONS
Répondre aux demandes des différentes autorités administratives (ACPR, AMF, AFA, CNIL) et judiciaires Répondre à ses obligations réglementaires issues du Code des Assurance et du Code Monétaire et Financier notamment	Ces traitements sont réalisés sur la base d’une obligation légale ou réglementaire à laquelle est tenue MIDI ASSUR SOLUTIONS

Les finalités ci-dessus présentées sont nécessaires à l’accomplissement des activités et des services proposés par MIDI ASSUR SOLUTIONS. Elles sont basées sur l’exécution du contrat souscrit par le client ou par le collaborateur ou sur le consentement donné préalablement.

2.3. Données collectées

Les données à caractère personnel qui sont collectées dépendent de la nature du contrat d’assurance souscrit mais peuvent être regroupées dans les catégories suivantes :

• Des données d’identification portant tant sur le membre du Groupement MIDI ASSUR SOLUTIONS que sur les partenaires : identité et coordonnées (nom, prénom, fonction, adresse postale, email, coordonnées téléphoniques)
• Des données nécessaires au suivi des contrats d’assurance souscrits auprès des partenaires (assureurs, courtiers grossistes) de MIDI ASSUR SOLUTIONS :
  • identité et coordonnées (nom, prénom, fonction, adresse postale, email, coordonnées téléphoniques) du ou des assurés (personnes physiques, personnes morales),
  • type de contrat d’assurance souscrit, avec adresse exacte du risque
• Des données de connexion : date et heure de connexion de chaque personne autorisée à l’extranet de MIDI ASSUR SOLUTIONS

Généralement, les données à caractère personnel collectées servent à :

• Analyser les besoins du client au regard de ce qu’il a exprimé pour lui recommander la souscription d’un ou de plusieurs contrats d’assurance donnant lieu à l’émission d’un devis ;
• Pour une souscription et la gestion d’un contrat d’assurance, sont obligatoirement collectés des informations et documents exigés par l’assureur. Sans ces éléments, la souscription du contrat d’assurance ne pourrait être finalisée ou, à défaut, risquerait d’être annulé postérieurement à sa souscription. Les données à caractère personnel sont transmises au partenaire concerné (assureur, courtier grossiste, ...).
• A des fins de mise à jour réglementaire et d’actualisation de la situation tout au long de la vie du contrat d’assurance, le courtier à l’obligation de mettre régulièrement à jour la connaissance du client (KYC) et demande à ce titre à son client d’actualiser ses informations.
• Pour, le cas échéant, créer son compte personnel sur le site internet du cabinet de courtage et ainsi accéder à l’extranet, des informations relatives à l’horodatage de la connexion, à l’adresse IP de connexion sont également conservées temporairement pour des raisons de sécurité

Le registre de traitement détaille pour chaque finalité les données collectées.

2.4. Bases légales

Ces traitements ont pour bases légales :

• L’intérêt légitime du Cabinet MIDI ASSUR SOLUTIONS, en qualité de Responsable de Traitement, pour les finalités de prospection commerciale, de gestion de ses membres, de gestion de leurs demande de souscription de contrats d’assurance auprès des partenaires,
• Et votre contrat pour les autres finalités citées.

Lorsque la base légale est le contrat, le refus de fournir vos données entraîne l’impossibilité de conclure celui-ci.
En effet, les informations présentées comme obligatoires (contractuelles et réglementaires) sont nécessaires à la souscription et à la bonne exécution de votre contrat d’assurance. Le caractère obligatoire ou facultatif des données personnelles est indiqué sur les formulaires, ainsi que les éventuelles conséquences à l’encontre de l’assuré en cas de défaut de réponse ou en cas de réponse en tout ou partie erronée. L’absence des informations obligatoires pourrait entrainer l’impossibilité de souscrire le contrat, la nullité du contrat ou la réduction des indemnités versées en vertu des dispositions prévues par le Code des Assurances notamment.

Les destinataires des données

Au cas par cas des traitements décrits à l’article « L’utilisation des données » ci-dessus, MIDI ASSUR SOLUTIONS détermine les destinataires des données en fonction de leurs missions et de leurs habilitations à recevoir les données dans le respect des finalités déterminées.

Selon le cas, ces destinataires peuvent être :

• Les collaborateurs de MIDI ASSUR SOLUTIONS, en fonction de leurs habilitations respectives,
• Les compagnies d’assurance (quel que soit leur statut) ou les courtiers grossistes auprès desquels MIDI ASSUR SOLUTIONS a ouvert un code,
• Les autres partenaires référencés par MIDI ASSUR SOLUTIONS,

La durée de conservation & Archivage des données

Les données collectées sont conservées sous une forme permettant l’identification des personnes physiques pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles ces données sont collectées et traitées.

4.1. Durée de conservation

Les données à caractère personnel ne peuvent être conservées que pour une durée limitée, cette durée est déterminée en fonction :

• De la finalité du traitement
• Et de règles issues de recommandations de la CNIL,
• Ou encore en fonction d’obligations règlementaires, notamment en matières civile, fiscale, commerciale et pénale.

Ainsi les données utilisées à des fins de prospection et d’information commerciale sont conservées trois (3) ans après le dernier contact à l’initiative du client ou la fin de la relation contractuelle.

Les données nécessaires à la souscription et à la gestion du contrat d’assurance d’un client sont conservées :

• Pendant toute la durée dudit contrat
• Et jusqu’à l’expiration des délais de prescription applicables ou conformément aux règles de conservation des documents comptables.

Conformément au Code du Commerce, les pièces comptables sont conservées pendant une durée de dix ans suivant le dernier contact ou la fin de la relation.
Le délai de prescription en matière de droit commun et matière civile et commerciale est de cinq années.

Certains contrats d’épargne imposent une durée de conservation des données de trente ans. Le délai varie de deux à dix ans pour les contrats de santé et de prévoyance.

Les délais relevant de législations spécifiques tels que la lutte contre le blanchiment ou le financement du terrorisme sont de cinq ans.

Les données à caractère personnel collectées pour plusieurs finalités sont conservées jusqu’à épuisement du délai de conservation ou d’archivage le plus long.

En tout état de cause, données à caractère personnel ne sont pas conservées au-delà de la durée nécessaire à la gestion de ces missions et des litiges susceptibles d’en résulter conformément aux règles de prescription applicables ou aux règles de conservation des documents comptables.

Dans le secteur assurantiel, la durée de conservation des documents archivés est de cinq (5) ans à compter de la date de résiliation du contrat d’assurance. Toutefois, la durée et/ou le point de départ peuvent différer, notamment au regard des règles imposées par chaque assureur.

La conservation des données à des fins probatoires donne lieu à un archivage intermédiaire dont l’accès est strictement limité. A l’issue du délai de prescription correspondant, les données seront prioritairement détruites ou, le cas échéant, pourront faire l’objet d’une anonymisation irréversible afin que les personnes concernées ne soient plus identifiables par quelque moyen que ce soit.

Au terme de la durée ainsi fixée, et suivant le cas, les données à caractère personnel font l’objet dans le respect de la Règlementation applicable de l’une de ces mesures :

• Suppression,
• Anonymisation irréversible,
• Archivage.

4.2. Archivage des données

Les présentes dispositions s’appliquent tant aux données à caractère personnel conservées sous format numérique que sous format papier.

Les données personnelles collectées sont conservées selon trois statuts distincts :

Type d’archivage	Explications	Traduction opérationnelle
Base active	En fonction de la durée de conservation liée aux données personnelles collectées pour réaliser une ou plusieurs finalités de traitement, lesdites données sont accessibles dans l’environnement de travail des utilisateurs autorisés en fonction de leurs habilitations respectives	Les collaborateurs du Cabinet ont accès aux données à caractère personnel en fonction de leurs habilitations respectives Accès au logiciel métier Accès au(x) répertoire(s) partagé(s) Accès à sa boite de messagerie
Archivage intermédiaire	Si elles ne sont plus utilisées pour atteindre l’objectif fixé (« dossiers clos »), les données personnelles présentent encore un intérêt administratif pour l'organisme (ex : gestion d’un éventuel contentieux, etc.) ou doivent être conservées pour répondre à une obligation légale. Les données peuvent alors être consultées de manière ponctuelle et motivée par des personnes en nombre plus limité et spécifiquement habilitées.	Seul le dirigeant du Cabinet et la personne en charge de la conformité peuvent avoir accès aux données à caractère personnel archivées. Tout collaborateur qui souhaite y accéder doit en formuler la demande expresse
Suppression	En raison de leur « valeur » et intérêt, certaines informations sont archivées de manière définitive et pérenne après les avoir anonymisées. Pour toutes les autres données, elles seront supprimées définitivement par une personne habilitée après l’expiration du délai de conservation.	Par principe, à l’issue du délai de conservation, les données à caractère personnel sont supprimées définitivement. Par exception, pour des raisons notamment de statistiques, le dirigeant peut éventuellement prendre la décision d’anonymiser les données concernées. A défaut, elles sont supprimées.

En tant que de besoin, le Cabinet de Courtage respectera également les éventuelles directives, données par les assureurs et courtiers grossistes avec lesquels il travaille, en matière d’archivage des données à caractère personnel.

5. La sécurité

MIDI ASSUR SOLUTIONS s’engage, en sa qualité de responsable du traitement, à garantir la sécurité des traitements opérés sur les DACP afin d’éviter toute violation de celles-ci.

La sécurité des données porte sur les mesures prises afin de protéger les données des faits suivants :

• La destruction,
• La perte,
• L’altération,
• La divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées,
• L’accès non autorisé à de telles données, de manière accidentelle ou illicite

Afin de garantir la sécurité des données à caractère personnel, MIDI ASSUR SOLUTIONS et ses sous-traitants mettent en œuvre les mesures techniques et organisationnelles appropriées compte tenu de l'état des connaissances, des coûts, de la nature, de la portée, du contexte et des finalités des traitements afin de garantir un niveau de sécurité adapté aux risques.
Dans ce cadre, MIDI ASSUR SOLUTIONS s’engage à assurer la sécurité, la disponibilité, l’intégrité, l’authenticité et la confidentialité des DACP. MIDI ASSUR SOLUTIONS garantit notamment que ses collaborateurs et ceux de ses importateurs de données sont soumis à une stricte obligation de confidentialité.

En particulier et chaque fois que nécessaire, les mesures suivantes ont été prises :

• Le déploiement de moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des traitements ;
• Le déploiement de moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
• La mise en œuvre d’une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité des traitements.

Ainsi, MIDI ASSUR SOLUTIONS et ses sous-traitants se sont dotés de dispositifs adaptés et conformes aux règles de l’art et aux normes imposées, pour garantir la protection de vos données personnelles.

Dans ce contexte, une charte sécurité interne à MIDI ASSUR SOLUTIONS rappelle aux collaborateurs les règles à appliquer.

Malgré tout le soin apporté, MIDI ASSUR SOLUTIONS ne peut garantir la sécurité absolue de la protection mise en œuvre en raison de l’évolution des techniques d’intrusion et des risques inévitables pouvant survenir lors de la transmission de DACP ou encore lors de leur stockage.

6. Les droits sur les donénes

Chaque personne concernée (salarié, candidat à l’embauche, ancien salarié, prospect commercial, client, ancien client, …) dispose des droits suivants :

• D’accéder à ses données (droit d’accès) : la personne concernée peut demander directement à […] si il/elle détient des informations sur elle, et demander à ce que lui soit communiqué la liste des données,
• De demander leur rectification (droit de rectification) : la personne concernée peut demander la rectification des informations inexactes la concernant. Le droit de rectification complète le droit d’accès
• De demander l’effacement de ses données (droit à l’oubli): la personne concernée peut demander l’effacement des informations la concernant, pour un motif prévu par la Règlementation.
• De demander la limitation du traitement de ses données (droit à la limitation) : la personne concernée peut obtenir la limitation du traitement de ses données, pour un motif prévu par la Règlementation.
• De demander la portabilité de ses données (droit à la portabilité): la personne concernée peut demander à recevoir les données qu’elle a fourni à […], ou demander à […] qu’elles soient transmises à un autre responsable de traitement pour un motif prévu par la Règlementation,
• De définir des directives anticipées relatives au sort de ses données après son décès.

Pour plus d’informations sur la signification des droits ; la CNIL a créé une rubrique dédiée à la compréhension des droits : https://www.cnil.fr/fr/comprendre-vos-droits

7. Les réclamations

Une procédure écrite de traitement des demandes de droits d’accès et/ou de suppression détaille plus précisément le mode opératoire des principes généraux rappelés ci-après.

7.1. Auprès de MIDI ASSUR SOLUTIONS

Pour exercer les droits, la personne concernée peut contacter n’importe quel collaborateur du Cabinet.
Dans cette hypothèse, la demande est immédiatement transférée au délégué à la protection des données (DPO) lorsqu’il en a été désigné un au sein du Cabinet. A défaut, la demande est transférée au dirigeant du Cabinet.

7.2. Auprès du Délégué à la Protection des Données :

Pour exercer les droits, la personne concernée peut contacter, directement ou indirectement, le délégué à la protection des données de MIDI ASSUR SOLUTIONS.

Pour faciliter les démarches, MIDI ASSUR SOLUTIONS invite chaque personne concernée, lors de l’envoi d’une demande d’exercice des droits, à :

• Indiquer quel(s) droit(s) elle souhaite exercer,
• Mentionner clairement ses noms / prénoms / coordonnées auxquels elle souhaite recevoir les réponses,
• Joindre une copie d’une pièce d’identité,
• Joindre une copie du document justifiant de la représentation légale du mineur qu’elle représente, le cas échéant.

7.3. Auprès de la CNIL

Chaque personne concernée dispose du droit d’introduire une réclamation auprès d’une autorité de contrôle de protection des données.

En France, cette autorité est la CNIL, dont les coordonnées :
- Site internet : https://www.cnil.fr/
- Téléphone : 01 53 73 22 22
- Adresse postale : 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07

8. Les transferts de données hors UE

Aucune donnée n’est conservée ni sauvegardée en dehors de l’Union Européenne tant par MIDI ASSUR SOLUTIONS que par ses éventuels sous-traitants.
Si tout ou partie des données personnelles devaient éventuellement être transférées dans un pays se situant en dehors de l’Union Européenne ou dans un pays dont la réglementation en matière de protection des données personnelles n’a pas été jugée équivalente à la réglementation européenne, MIDI ASSUR SOLUTIONS s’assurerait alors que ledit transfert soit effectué conformément à la Règlementation européenne relative à la protection des données. A ce titre, MIDI ASSUR SOLUTIONS mettrait en place des mesures afin de s’assurer que les données bénéficient d’une protection équivalente, et plus particulièrement en mettant en place des dispositions contractuelles adaptées comme les clauses contractuelles types approuvées par la commission de l’UE.