Voir les témoignages Voir les témoignages Rédiger un message Rédiger un message




Mentions légales

Éditeur du site internet

COMM Santé
32 rue Eugène Olibet 33400 Talence
Téléphone : 05 57 97 19 19
Capital social : 10 000 € – RCS Bordeaux B 410 221 402

Hébergeur

OVH SAS est une filiale de la société OVH Groupe SA, société immatriculée au RCS de Lille sous le numéro 537 407 926 sise 2, rue Kellermann, 59100 Roubaix.

Conception du site internet

Tonton Barbu - Bureau de création digitale
132 Bd Jules Simon 33100 Bordeaux

Protection des biens et des personnes

Gestion des données personnelles

En France, les données personnelles sont notamment protégées par la loi n° 78-87 du 6 janvier 1978, la loi n° 2004-801 du 6 août 2004, l’article L. 226-13 du Code pénal et la Directive Européenne du 24 octobre 1995.

Sur le site www.comm-sante.com, le propriétaire du site ne collecte des informations personnelles relatives à l’utilisateur que pour le besoin de certains services proposés par le site. L’utilisateur fournit ces informations en toute connaissance de cause, notamment lorsqu’il procède par lui-même à leur saisie. Il est alors précisé à l’utilisateur du site www.comm-sante.com l’obligation ou non de fournir ces informations.

Conformément aux dispositions des articles 38 et suivants de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, tout utilisateur dispose d’un droit d’accès, de rectification, de suppression et d’opposition aux données personnelles le concernant. Pour l’exercer, adressez votre demande à www.comm-sante.com par courrier électronique ou en effectuant une demande écrite et signée, accompagnée d’une copie du titre d’identité avec signature du titulaire de la pièce, en précisant l’adresse à laquelle la réponse doit être envoyée.

Aucune information personnelle de l’utilisateur du site www.comm-sante.com n’est publiée à l’insu de l’utilisateur, échangée, transférée, cédée ou vendue sur un support quelconque à des tiers.

Seule l’hypothèse du rachat du site www.comm-sante.com au propriétaire du site et de ses droits permettrait la transmission des dites informations à l’éventuel acquéreur qui serait à son tour tenu de la même obligation de conservation et de modification des données vis-à-vis de l’utilisateur du site www.comm-sante.com.

Les bases de données sont protégées par les dispositions de la loi du 1er juillet 1998 transposant la directive 96/9 du 11 mars 1996 relative à la protection juridique des bases de données.

Ce site respecte le droit d’auteur. Tous les droits des auteurs des œuvres protégées reproduites et communiquées sur ce site, sont réservés. Sauf autorisation, toute utilisation des œuvres autres que la reproduction et la consultation individuelles et privées est interdite.

Le site Internet COMM Santé a fait l’objet d’une déclaration CNIL sous le numéro suivant : 1287266

Crédit photos : Kev Tex & Unsplash

Notice RGPD

Pour commencer, COMM SANTE a élaboré une politique en matière de protection des données à caractère personnel. Ceci, afin de se conformer à la réglementation applicable. Et notamment au règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques, à l’égard du traitement des données à caractère personnel et à la libre circulation des données.

Responsable du traitement

SARL COMM SANTE
32 rue Eugène Olibet 33400 TALENCE
dpo@comm-sante.org

1. Périmètre

1.1 Objet

Les données auxquelles COMM SANTE accède dans l’exercice de ses activités peuvent relever de la vie privée de leurs clients. Par exemple : données relatives au patrimoine, situation familiale, etc.

Le respect par COMM SANTE de la réglementation relative à la protection des données à caractère personnel est un facteur de transparence et de confiance à l’égard de ses clients.

1.2 Glossaire

Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable. Est une « personne physique identifiable » une personne physique identifiable directement ou indirectement, notamment par référence à un identifiant (nom, numéro d’identification, données de localisation, identifiant en ligne) ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Destinataire : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers.

Responsable du traitement : la personne morale (COMM SANTE), l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel (collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication, diffusion, mise à disposition, rapprochement, interconnexion, limitation, effacement, destruction).

Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

G29 : Groupe des « CNIL » européennes.

2. Principes généraux applicables

COMM SANTE applique les principes suivants :

2.1 Principe de finalité

COMM SANTE recueille et traite les données à caractère personnel pour une finalité déterminée, explicite et légitime, correspondant aux objectifs poursuivis (exemples : gestion de la clientèle : passation et gestion des contrats, suivi clientèle, traitement des réclamations, exécution d’obligations légales ; gestion du personnel : recrutement, formation, mise à disposition d’outils informatiques, etc.).

2.2 Principe de proportionnalité

COMM SANTE ne recueille et ne traite que les seules informations adéquates, pertinentes et nécessaires à la finalité du traitement. Par exemple, il n’est pas utile d’enregistrer des informations sur l’entourage familial d’une personne lorsque, au regard des finalités d’un traitement et de la nature de la prestation, seuls sont nécessaires des éléments relatifs à la composition de son patrimoine.

2.3 Principe de minimisation des données

En application des principes issus du RGPD, COMM SANTE se conforme au principe de minimisation des données, selon lequel des données à caractère personnel ne peuvent faire l’objet d’un traitement que si les finalités du traitement ne peuvent être atteintes autrement.

Dans ce cadre, COMM SANTE s’engage à :

  • S’interroger sur la nécessité de traiter des données à caractère personnel pour atteindre les finalités recherchées par le traitement ;
  • S’interroger sur le caractère nécessaire du traitement de données à caractère personnel ;
  • Limiter le traitement des données au minimum, en ce qui concerne :
    • les catégories de données traitées ;
    • le volume ou la quantité de données traitées ;
    • la nécessité des données collectées au regard du traitement.

2.4 Durée de conservation limitée des données

COMM SANTE ne conserve pas indéfiniment les informations figurant dans un fichier. Une durée de conservation est établie en fonction de la finalité de chaque fichier et de la législation en vigueur.

2.5 Droit à l’oubli

L’article 17 du RGPD prévoit le droit à l’effacement ou droit à l’oubli. Les personnes concernées ont le droit d’obtenir du responsable du traitement, dans les meilleurs délais, l’effacement des données à caractère personnel les concernant.

COMM SANTE ne mettra pas en œuvre l’effacement irréversible des données avant l’expiration de la durée de prescription de la responsabilité civile professionnelle d’intermédiaire en assurance et du CGP. Par ailleurs, le droit à l’oubli ne prévaut pas sur certaines obligations d’archivage pendant des périodes déterminées, notamment pour des raisons de conformité aux obligations fiscales.

2.6 Principes de sécurité et de confidentialité

Les données ne peuvent être consultées que par les personnes habilitées à y accéder en raison de leurs fonctions (exemple : personnel en charge des activités d’intermédiation).

COMM SANTE s’astreint à une obligation de sécurité et prend toutes les mesures nécessaires pour garantir la confidentialité et éviter toute divulgation d’information.

COMM SANTE veille à ce que chaque personne habilitée à accéder aux informations dispose d’un mot de passe individuel (8 caractères minimum, majuscules, minuscules, chiffres et caractères spéciaux), renouvelé régulièrement, et que les droits d’accès soient précisément définis.

2.7 Respect du droit des personnes

En application de l’article 13 du RGPD, COMM SANTE communique les informations suivantes lorsque les données sont collectées auprès de la personne concernée :

  • Les coordonnées du responsable du traitement ;
  • Les finalités du traitement ;
  • La base juridique du traitement ;
  • Les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers lorsque ces intérêts légitimes sont la condition de licéité du traitement ;
  • Le cas échéant, l’intention d’effectuer un transfert de données vers un pays tiers et, le cas échéant, l’existence d’une décision d’adéquation, les garanties appropriées ou adaptées et les moyens d’en obtenir une copie ;
  • La durée de conservation des données ou, lorsque ce n’est pas possible, les critères utilisés pour la déterminer ;
  • Les droits d’accès, de rectification, d’effacement, de limitation, d’opposition et de portabilité ;
  • Lorsque le traitement est fondé sur le consentement, le droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement effectué avant le retrait ;
  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • Du caractère réglementaire ou contractuel de la fourniture des données, si elle conditionne la conclusion d’un contrat, si la personne est tenue de fournir les données et les conséquences d’un refus ;
  • L’existence d’une prise de décision automatisée, y compris le profilage, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement.

Toute personne a le droit de s’opposer, pour un motif légitime, à un traitement, sauf s’il présente un caractère obligatoire.

Toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel notamment pour :

  • Savoir si des données la concernant y figurent ou non ;
  • Obtenir la communication des données la concernant sous une forme compréhensible et toutes les informations disponibles quant à leur origine ;
  • Obtenir des informations sur la finalité du traitement, les données collectées et les destinataires.

2.8 Portabilité des données

COMM SANTE se conforme au droit à la portabilité des données, qui permet aux personnes concernées d’exiger la transmission de leurs données à caractère personnel à un autre responsable de traitement, sans que le responsable initial ne puisse s’y opposer.

Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable, y compris lorsque la transmission est effectuée directement entre responsables lorsque cela est techniquement possible.

Ce droit s’applique lorsque :

  • Le client a exprimé son consentement au traitement de ses données, ou le traitement est nécessaire à l’exécution d’un contrat auquel le client est partie ou à l’exécution de mesures précontractuelles prises à la demande du client ;
  • Et le traitement est effectué à l’aide de procédés automatisés.

Selon le G29, le droit à la portabilité des données s’applique uniquement si le traitement est effectué à l’aide de procédés automatisés et ne couvre donc pas la plupart des dossiers papier.

2.9 Capacité à suivre les destinataires de données à caractère personnel

COMM SANTE doit être en mesure de suivre et d’identifier les destinataires des données à caractère personnel qu’il traite.

3. Traitement des données personnelles et gestion des clients et prospects

3.1 Principes généraux

Dans le cadre de ses activités, les données à caractère personnel relatives à la clientèle correspondent à toutes les données nécessaires à la constitution du dossier du client, à la prestation de conseil et/ou d’intermédiation, puis à son suivi dans la durée.

Ces données peuvent concerner la vie personnelle et/ou professionnelle (situation patrimoniale, financière, professionnelle, connaissances et expériences, tolérance au risque, capacité à supporter les pertes, objectifs, besoins…).

COMM SANTE ne traite pas d’informations sensibles relatives aux condamnations pénales, infractions, mesures de sûreté connexes, origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques aux fins d’identification unique, données concernant la santé, la vie sexuelle ou l’orientation sexuelle, dans le cadre de ces activités.

Conformément à l’article 9, al. 1, du RGPD (interdiction de principe) et à l’article 5 du RGPD (minimisation), COMM SANTE ne collecte que des données adéquates, pertinentes et strictement nécessaires à la finalité du traitement.

3.2 Dispositif de traitement des données

Information des clients

Les clients et prospects de COMM SANTE disposent de l’information :

  • De l’identité et des coordonnées du responsable de traitement (COMM SANTE) ;
  • De l’objectif poursuivi (gestion et suivi des dossiers de ses clients) ;
  • De la base juridique du traitement (exécution contractuelle ou précontractuelle à la demande du client) ;
  • De l’intérêt légitime s’il s’agit de la base légale du traitement ;
  • Des destinataires des données (sous-traitants, huissiers, etc.) ;
  • De la durée de conservation ;
  • Des droits dont ils disposent ;
  • Des conditions d’exercice de ces droits ;
  • Du droit de retirer son consentement s’il s’agit de la base légale du traitement ;
  • Du droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • Du caractère réglementaire ou contractuel du traitement lorsqu’il s’agit de la base légale du traitement.

Ces informations peuvent figurer au sein du DER ou des documents contractuels. Elles peuvent également faire l’objet d’une communication par courriel ou par document distinct, notamment pour régulariser la situation auprès des clients qui ne sont pas correctement informés.

Conservation des données

Les données à caractère personnel sont conservées le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte.

Les données relatives aux clients peuvent être conservées le temps de la relation contractuelle entre COMM Santé et son client. Elles ne doivent pas être conservées au-delà d’un an à l’issue de la relation contractuelle au sein des dossiers courants.

Au-delà, les données sont archivées pour la période où la responsabilité de COMM SANTE pourrait être mise en cause, afin de respecter les dispositions relatives à la lutte anti-blanchiment et le financement du terrorisme, avant suppression définitive :

  • Tous dossiers clients ayant souscrit à un investissement : durée de l’investissement/prêt : 5 ans ;
  • Dossiers clients conseillés mais n’ayant pas souscrit à un investissement : 5 ans à compter de la fin de la relation contractuelle ;
  • Dossiers clients ayant souscrit à un contrat d’assurance de bien et/ou de personne : 10 ans à compter de la fin de la relation contractuelle.

En particulier, et dans le cadre de la lutte anti-blanchiment, COMM SANTE conserve les documents et informations relatifs à l’identité des clients habituels ou occasionnels pendant cinq ans à compter de la cessation des relations (art. L. 561-12 CMF).

Les données à caractère personnel relatives à un prospect non client peuvent être conservées pendant trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (ex. : demande de documentation ou clic sur un lien hypertexte contenu dans un courriel). L’ouverture d’un courriel ne correspond pas à un contact.

Le choix du mode d’archivage appartient à COMM SANTE. Les données peuvent être archivées :

  • Dans une base d’archive spécifique, distincte de la base active, avec des accès restreints aux seules personnes ayant un intérêt à en connaître (mot de passe, habilitation, etc.) ;
  • Dans la base active, à condition d’isoler les données archivées par une séparation logique, afin de les rendre inaccessibles aux personnes n’ayant plus d’intérêt à les traiter.
Sécurité des données

L’accès aux locaux où COMM SANTE stocke les dossiers est suffisamment sécurisé, de même que la sécurité du système d’information stockant les dossiers sous format numérique.

4. Fournisseurs et prestataires

4.1 Notion de sous-traitant

Le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ». Il peut s’agir notamment d’un comptable, d’un éditeur de logiciel, d’un hébergeur, etc.

4.2 Obligations en matière de traitement des données personnelles

Le contrat liant COMM SANTE au sous-traitant doit comporter :

  • L’objet ;
  • La durée ;
  • La nature ;
  • La finalité ;
  • Le type de données à caractère personnel ;
  • Les catégories de personnes concernées ;
  • Les droits et obligations du responsable de traitement ;
  • Les mesures de sécurité mises en œuvre ;
  • La possibilité de ne traiter les données que sur instruction documentée du responsable du traitement, y compris pour les flux transfrontières ;
  • La confidentialité des données ;
  • L’exercice des droits des personnes concernées ;
  • L’aide qu’il doit fournir au responsable de traitement pour donner suite aux demandes des personnes concernées ;
  • L’aide fournie au responsable de traitement afin de garantir le respect de ses obligations, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant ;
  • La suppression des données à l’issue du traitement, leur renvoi au responsable de traitement ou leur conservation lorsqu’imposée par une disposition nationale ou européenne ;
  • La mise à disposition du responsable du traitement de toutes les informations nécessaires pour démontrer le respect de ces obligations et permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur mandaté ;
  • L’éventuel recours à un sous-traitant ultérieur, soumis à l’autorisation préalable écrite du responsable de traitement et formalisé par un contrat reprenant l’ensemble des obligations ci-dessus.
Obligations

COMM SANTE a l’obligation de ne recourir qu’à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée.

COMM SANTE doit interroger ses sous-traitants sur les garanties mises en place. En cas de lacunes, un avenant au contrat devra être conclu afin de les combler.

5. Politique de sécurité des données

5.1 Mesures générales

COMM SANTE met en place des mesures générales de sécurité des données personnelles :

  • Limiter l’accès aux locaux ;
  • Ne pas stocker ou archiver les données personnelles dans des locaux accessibles à tous ;
  • Alarmes ;
  • Climatisation des lieux de stockage.

5.2 Mesures de sécurité informatiques

COMM SANTE met en place des mesures de sécurité informatiques des données personnelles :

  • Authentifier les utilisateurs avec un mot de passe de minimum 8 caractères contenant une majuscule, une minuscule, un chiffre et un caractère spécial ;
  • Déterminer les personnes habilitées à accéder aux données à caractère personnel ;
  • Supprimer les permissions d’accès obsolètes ;
  • Sécuriser l’informatique mobile ;
  • Mettre en place des sauvegardes régulières et stocker les supports de sauvegarde dans un endroit sûr, etc.

Procédure en cas de violation des données

La violation de données à caractère personnel est une violation de la sécurité pouvant entraîner, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, COMM SANTE la notifie à la CNIL, dans les meilleurs délais et, si possible, au plus tard dans les 72 heures après en avoir pris connaissance.

Si COMM SANTE a un sous-traitant, celui-ci doit notifier au responsable de traitement toute violation de données à caractère personnel, dans les meilleurs délais après en avoir pris connaissance.

COMM SANTE informe directement la personne concernée de la violation, sauf lorsque celle-ci n’engendre pas un risque élevé pour les droits et libertés d’une personne physique.

Ressources
Les structures spécialisées douleur chronique SDC Ministère du Travail, de la Santé, des Solidarités, des Familles, de l'Autonomie et des Personnes handicapées SFETD