Politique de confidentialité - La Sécurité sociale des Expatriés

Dans le cadre des relations établies avec nos adhérents et personnes susceptibles d’adhérer, nous sommes en situation de collecter, traiter et communiquer vos données à caractère personnel pour vous proposer nos offres et exécuter les contrats que vous avez bien voulu nous confier. Nous avons bien conscience de l’importance de ces données pour vous et nous y apportons toute l’attention requise.

Ce document reprend nos principales pratiques en matière de recueil, d’utilisation et de partage de données, et décrit également les droits des adhérents et des personnes susceptibles d’adhérer et ce, au vu de la réglementation applicable :

– le Règlement général sur la protection des données (RGPD – Règlement (UE) 2016/679),

– la loi Informatique et Libertés modifiée (loi nᵒ 78-17 du 6 janvier 1978),

– les référentiels édictés par la CNIL

– et la jurisprudence nationale et européenne en matière de protection des données personnelles.

Cette politique s’adresse aux :

– adhérents à la CFE et leurs ayants droit ;

– personnes susceptibles d’adhérer à la CFE.

Nous nous réservons le droit de modifier cette politique, de la réviser ou de la compléter afin d’en adapter les règles à l’apparition de nouvelles pratiques et/ou lors de l’évolution de la réglementation ou encore dans le but d’en renforcer l’efficacité.

Elle s’applique à l’ensemble des traitements de données personnelles réalisés par la CFE, quel que soit le support ou le système utilisé.

Recueil de vos données à caractère personnel

Dans le cadre des finalités de traitement décrites dans le présent document, nous sommes susceptibles de collecter certaines données à caractère personnel soit directement auprès de vous, soit par l’intermédiaire de votre employeur et de nos partenaires.

Ceci concerne essentiellement les données suivantes :

– Vos données d’identification et de contact (nom, prénom, date de naissance et de décès, nationalité, situation familiale, coordonnées, adresse email, numéro de téléphone, sexe…) et celles de vos ayants-droit ;

– Vos données professionnelles le cas échéant (coordonnées employeur, revenus, bulletins de salaires ou de pensions, contrat de travail…)

– Des informations relevant de votre statut d’expatrié ;

– Des informations bancaires, aux fins de paiement de vos cotisations et de remboursement de vos prestations ;

– Des informations économiques et financières le cas échéant (patrimoine, avis d’imposition sur le revenu…)

– Vos données de connexion (par exemple adresse IP, navigateur) ;

– Votre numéro d’identification national (NIR) ;

– Les données de santé que vous nous communiquez, celles reçues d’un professionnel de santé et celles éventuellement présentes dans les documents qui sont adressés à la CFE.

Conformément au principe de minimisation, la CFE n’utilise que les données strictement nécessaires à ses missions.

L'utilisation de vos données

Nous collectons vos données à caractère personnel en vue de répondre à vos demandes d'informations, d'envoi de devis et de sollicitations, d'analyser vos besoins, mais également dans le cadre de la prise en compte de votre adhésion à une offre santé, retraite ou risques professionnels, ainsi que pour le traitement de votre dossier.

Avant adhésion, les données collectées sont utilisées pour vous proposer les assurances les plus adaptées à votre situation.
Si vous décidez d'adhérer, elles seront utilisées aux fins d’exécution de l’adhésion, ce qui inclut notamment :
• L’émission de votre carte Vitale, le cas échéant
• La gestion de vos droits
• Le suivi du paiement de vos cotisations
• Le remboursement des prestations, y compris vers les professionnels de santé
• En cas de tiers payant, le suivi des décomptes
• La gestion de votre espace personnel via notre site internet ou notre application mobile.

Par ailleurs, nombre de traitements reposent également sur la législation en vigueur :
• La gestion des remboursements de soins aux adhérents ou tiers ;
• La gestion des dossiers médicaux ;
• La gestion de l’action sanitaire et sociale et de la prévention.

En outre, au regard de la législation en vigueur, il est de notre intérêt légitime de :
• Assurer le traitement des demandes clients ;
• Mener des actions de lutte contre la fraude ;
• Gérer tous les dossiers relevant du contentieux
• Compléter nos conseils au regard de l’évolution de votre situation.
 

Les destinataires de vos données

Dans le strict respect des finalités énoncées, vos données à caractère personnel sont traitées en premier lieu par nos services dans le cadre de l’exercice de leurs missions habituelles et dans le respect du secret professionnel. Elles sont également susceptibles d’être échangées avec :

– Nos partenaires : assureurs complémentaires, assisteurs, autres régimes dont CNAV, CPAM et MSA;
– Nos sous-traitants et prestataires (informatiques, gestion administrative, logistique, RH…) ;
– Les professionnels de santé ;
– Les professionnels réglementés : avocats, médecins chargés d’expertise, comptables, commissaires aux comptes… ;
– Les organismes publics : ministères, France Travail, organismes sociaux et fiscaux, aux autorités administratives ou judiciaires ;
– Les représentants des Français à l’étranger (consulats, ambassades, administrateurs …) ;
– Les entreprises ayant souscrit une offre CFE pour le compte de leurs salariés ;
– Les banques.

Nous exigeons de l’ensemble de ces tiers qu’ils appliquent a minima les règles de sécurité élémentaires définies par la CNIL sur les aspects tant administratifsque techniques et organisationnels afin de protéger vos données partagées contre toute divulgation, utilisation, modification et destruction illicite.

Nous nous interdisons de céder les données à caractère personnel que vous nous confiez à des tiers pour des utilisations qui leur seraient propres.

Par ailleurs, conformément à l’article 47 du Règlement général, la CFE s’engage à mettre en place un corpus de règles d’entreprise contraignantes avec ses partenaires dans les pays non adéquats.

Les durées de conservation de vos données à caractère personnel

Vos données sont conservées pendant la durée nécessaire à la réalisation des finalités décrites dans le présent document et ceci dans le respect de la législation en vigueur. Elles sont ensuite archivées conformément à la politique d’archivage de la CFE permettant de garantir la justification de vos droits.
Les informations relatives aux paiements sont conservées 27 mois pour les frais de santé.

Sécurité

Des mesures de sécurité physiques, logiques et organisationnelles appropriées ont été prévues par la CFE pour garantir la confidentialité des données, et notamment éviter tout accès non autorisé ; et ce sur l’ensemble de nos traitements, offres de services, sites Internet et applications mobiles.
Vos données personnelles sont maintenues sur des réseaux sécurisés et accessibles par un nombre limité de collaborateurs et de tiers ayant des droits d’accès spécifiques sur de tels systèmes.
Nous veillons également à ce que nos sous-traitants présentent des garanties appropriées pour assurer la sécurité et la confidentialité de vos données personnelles.
Les sous-traitants de données de santé sont certifiés HDS (hébergeurs de données de santé). 
La CFE se doit de notifier aux autorités de contrôle, dans les meilleurs délais, et si possible, dans les 72 heures après en avoir pris connaissance, toute destruction, perte, altération, divulgation ou accès non autorisé des données personnelles, accidentels ou illicites, si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
Cette notification doit également vous être faite individuellement sauf si :
– La violation des données personnelles n’est pas susceptible d’engendrer un risque élevé pour vos droits et libertés.
– Des mesures appropriées de protection techniques et organisationnelles étaient en place au moment de l’incident.
– Des mesures appropriées de protection techniques et organisationnelles ont été mises en place postérieurement à l’incident, garantissant ainsi que le risque élevé n’est plus susceptible de se matérialiser.
– Cette communication impliquerait des efforts disproportionnés.
 

Vos droits

1. Droit à l’information

A cet effet, la CFE communique par la présente sa politique de protection des données laquelle contient les éléments d’informations requis par les articles 13 et 14 du RGPD (identité et coordonnées du responsable du traitement et du délégué à la protection des données, finalité du traitement, les intérêts légitimes poursuivis par le responsable du traitement, catégorie de données traitées, destinataires, durée de conservation des données personnelles, droits, information relative à la source des données, existence de prise de décision automatisée).
En cas de collecte des données par des tiers, la CFE s’engage à faire cette communication dans un délai ne devant pas dépasser un mois, hormis dans les cas précisés dans l’article 14 paragraphe 5 du RGPD.

2. Droit d’accès
À tout moment, vous pouvez avoir accès à l’ensemble de vos données à caractère personnel que nous détenons à votre sujet et vérifier que nous les traitons conformément à la loi.

3. Droit de rectification
Vous pouvez demander la rectification de vos données si elles sont inexactes ou les compléter selon les finalités de chaque traitement.

4. Droit à l’effacement (droit à l’oubli)
Il s’agit du droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel concernant la personne. Le droit à l’effacement trouve à s’appliquer dans 6 cas :
-    Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles sont collectées ou traitées
-    La personne a retiré son consentement au traitement de ses données
-    La personne a exercé son droit d’opposition et il n’existe pas de motif légitime impérieux pour le traitement
-    Le traitement est illicite
-    L’effacement correspond au respect d’une obligation légale
-    Les données de personnes mineures ont été collectées dans le cadre de l’offre de services de la société de l’information.

Cependant, ce droit ne s’applique pas, notamment lorsque le traitement est nécessaire : 
-    à l'exercice du droit à la liberté d'expression et d’information ; 
-    pour respecter une obligation légale qui requiert le traitement et auquel le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
-    pour des motifs d'intérêt public dans le domaine de la santé publique ;
-    à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins 
-    à la constatation, à l'exercice ou à la défense de droits en justice.

5. Droit à la limitation du traitement
Il s’agit du droit de demander la limitation du traitement, ce qui implique que, dans certains cas, la personne peut demander de suspendre momentanément le traitement des données ou de les conserver au-delà du temps nécessaire.
Ce droit ne peut s’exercer que dans le respect des obligations liées à nos missions de service public.

6. Droit à la portabilité des données
Il s’agit du droit d’obtenir, voire de réutiliser, des données personnelles pour des besoins personnels. Les données sont fournies dans un format structuré, communément utilisé et lisible par une machine. De plus, il est possible d’obtenir du responsable de traitement qu’il transmette les données personnelles directement à un autre responsable de traitement.  
Ce droit à la portabilité ne peut s’exercer que sur les données personnelles fournies personnellement et qui sont traitées par des moyens automatisés (absence de registres papier). Ce droit ne concerne que les traitements reposant sur un consentement ou lorsque les données sont traitées aux fins d’exécution d’un contrat de mise en œuvre ou de mesures précontractuelles. Enfin, ce droit ne doit pas porter atteinte aux droits et liberté de tiers.
Ce droit ne peut s’exercer que dans le respect des obligations liées à nos missions de service public.

7.    Droit d’opposition
Il s’agit du droit de s’opposer à tout moment à un traitement des données personnelles à moins que le responsable du traitement ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
Ce droit ne peut s’exercer que dans le respect des obligations liées à nos missions de service public.

Transfert hors Union Européenne (UE)

Dans le cadre de ses activités, la CFE peut avoir recours à des prestataires se situant hors de l’UE.
Dans ce cas, la CFE s’assure de l’existence de garanties appropriées, conformément à la règlementation applicable et notamment :
•    Clauses contractuelles types
•    Décision d’adéquation
•    Règles internes d’entreprise (BCR)

Votre contact privilégié

Le responsable des traitements est Éric Pavy, Directeur Général de la CFE. La CFE a désigné un délégué à la protection des données (DPO) : Christine Gogniat.

Pour toute information ou exercice de vos droits, il vous suffit de contacter le délégué à la protection des données via l'adresse mail: contactdpo@cfe.fr.

Le DPO veille au respect de la réglementation et à la bonne application de nos engagements en matière de confidentialité. Il conseille l’organisme, sensibilise les équipes et s’assure que vos données sont traitées de manière responsable. Il est également votre interlocuteur privilégié pour toute question relative à la protection de vos données personnelles. Son rôle est d’être un garant in dépendant, au service de vos droits et de la transparence.
Pour autant, les demandes adressées auprès du Délégué à la protection des données ne concernent que des questions relatives à la loi informatique et libertés et/ou au RGPD ; toute autre demande ne sera pas traitée et restera sans réponse.

Si après saisine du DPO de la CFE, vous estimez que vos droits en matière de protection des données ne sont pas respectés, vous conservez le droit de déposer une réclamation pour atteinte à la protection de vos données, auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) selon les modalités précisées sur leur site internet.

Annexe

Pour consulter les annexes, vous pouvez télécharger la politique de confidentialité des données intégrale.