POLITIQUE DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL DU SERVICE TRANSMMED

OBJECTIFS DE LA POLITIQUE

A l’ère du Digital, les évolutions technologiques rendent plus accessible l’utilisation de la Donnée et nous poussent à innover pour faciliter la vie de nos assurés en leur proposant toujours plus de services performants et personnalisés. Ces défis ne sauraient s’accompagner de gardes fous en matière de protection des données.

Malakoff Humanis a à cœur de s’inscrire dans ces préoccupations et publie la politique de protection des données à caractère personnel du service TransMMed. Le présent document a pour objectif de décrire les règles en vigueur en matière de protection des données, couvertes par les dispositions de la loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée (dite « loi Informatique et Libertés »), et le Règlement Général sur la Protection des Données n°2016-679 du 27 avril 2016, et leur application par les responsables de traitement désignés ci-après dans le cadre du service susvisé. Elle illustre ainsi le comportement loyal et responsable que nous nous engageons à adopter pour les traitements de données à caractère personnel, qu’ils soient automatisés ou non, effectués dans le cadre du service susvisé.

DÉFINITION DU PÉRIMÈTRE

En tant que groupe de protection sociale, Malakoff Humanis est amené à gérer des données personnelles y compris des données dites sensibles telles que les données de santé. Pour rappel :

Constitue une donnée à caractère personnel, toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Par exemple, un nom, un prénom, un numéro de contrat, un numéro de téléphone, des données de localisation, un identifiant en ligne, ou un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Constitue une donnée de santé, toute donnée à caractère personnel relative à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé passé, présent ou futur de cette personne.

LES ACTEURS DE LA PROTECTION DES DONNÉES

  1. Le responsable de traitement
  2. Les organismes assureurs du groupe Malakoff Humanis (Malakoff Humanis Prévoyance (MHP), Malakoff Humanis Mutuelle (MHM), Viamédis, Malakoff Humanis Courtage Institution Nationale de Prévoyance des Représentants (INPR), CAPREVAL, Auxia), ci-après dénommés Malakoff Humanis, est le responsable de traitement au sens de la loi 78-17 du 6 janvier 1978 modifiée, pour les traitements de données à caractère personnel relatives aux Utilisateurs de TransMMed.

  3. Le Délégué à la protection des données (Data Protection Officer « DPO »)
  4. Le Délégué à la protection des données ou « DPO » du groupe Malakoff Humanis est garant du respect de la réglementation sur la protection des données à caractère personnel par le groupe Malakoff Humanis.

    Il met en œuvre la politique de protection des données à caractère personnel et s’assure, notamment, de la documentation des traitements à l’occasion des projets impactant la protection de ces données. Il identifie les risques de non-conformité à la loi Informatique et Libertés et au RGPD et préconise les mesures adéquates à mettre en place. Il a en charge la sensibilisation des acteurs au respect des problématiques de protection des données à caractère personnel.

    Enfin, il prend part à la définition des contrôles de second niveau et à l’élaboration du plan d’audit pour les aspects qui les concernent. Référent des sujets CNIL, il est également le point d’entrée en cas de contrôle réglementaire portant sur les données personnelles.

    Référent des sujets CNIL, il est également le point d’entrée en cas de contrôle de la CNIL portant sur les données personnelles.

LES PRINCIPES FONDAMENTAUX DE LA LOI INFORMATIQUE ET LIBERTÉS

  1. La finalité du traitement
  2. Les traitements sont tous mis en œuvre pour une finalité bien précise qui doit être déterminée (avec un objectif détaillé), explicite (dont l’énoncé est clair pour les personnes concernées) et légitime (au regard des intérêts et/ou de l’activité du responsable de traitements). TransMMed est une plateforme d’échanges sécurisés de données de santé permettant aux Utilisateurs d’échanger, avec leur assureur, des documents contenant des données de santé ou d’accéder à ces documents depuis une application tierce.

    La Plateforme TransMMed permet à tout Utilisateur titulaire d’un compte de messagerie sécurisée :

    • d’émettre des messages contenant ses propres données à caractère personnel ou, s’il s’agit de données de santé, de recevoir un lien renvoyant à ces informations, de consulter un message reçu,
    • de consulter et modifier, le cas échéant, les paramètres de son compte,
    • un accès sécurisé par une authentification forte (carte CPS, utilisation de trois facteurs : identifiant, mot de passe et code à usage unique (OTP « One Time Password » ; « code à usage unique » en français) envoyé par email, et utilisation de certificats client auto-générés)

  3. La pertinence des données
  4. Les données doivent être collectées et traitées de manière loyale et licite. Elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.

    L’Utilisateur reconnaît que l’utilisation des Services proposés à partir de la Plateforme TransMMed nécessite le traitement de ses données de santé à caractère personnel.

    A ce titre, l’attention de l’Utilisateur est attirée sur le fait que les données de santé à caractère personnel sont des données sensibles et confidentielles qui nécessitent une vigilance particulière.

    De manière générale, la plus grande prudence est recommandée aux Utilisateurs sur la nature des informations qu’ils souhaitent partager et des personnes avec lesquelles ils envisagent de partager leurs données notamment par le biais des fonctionnalités d’échanges avec les autres Utilisateurs. L’utilisateur a l’interdiction de partager des informations inappropriées, injurieuses ou de nature à porter atteinte à une personne physique. Il ne doit pas non plus partager des contenus illicites, tels que l’incitation au meurtre, à la haine raciale ou la pédopornographie.

    Aucun email émis ne contient de données de santé, uniquement un lien pour un accès direct vers l’information concernée (après identification et authentification préalables si la session de l’utilisateur concerné n’est pas active).

    Vos données ne permettant pas votre identification pourront être utilisées afin d’évaluer TransMMed et seront transmises à cette fin uniquement aux personnes habilitées à conduire l’évaluation de TransMMed.

  5. La conservation limitée des données
  6. Les données à caractère personnel ne doivent pas être conservées au-delà de la durée nécessaire à la finalité du traitement.

    Les données à caractère personnel traitées dans le cadre du service TransMMed aux fins de la conclusion et la gestion du contrat d’assurance et de l’exécution des obligations légales et réglementaires incombant à l’assureur sont conservées pendant la durée du contrat d’assurance et jusqu’au terme des délais légaux de prescription applicables.

    Lorsque le dossier est refusé ou considéré sans suite, les données personnelles sont supprimées dans un délai de 6 mois à compter de la date de notification de la décision de l’assureur.

  7. La sécurité et les destinataires
  8. Malakoff Humanis s’engage à prendre toutes les précautions nécessaires afin de préserver la sécurité et la confidentialité des données à caractère personnel que vous lui communiquez et notamment empêcher qu’elles ne soient déformées, endommagées ou communiqués à des tiers (sauf accord de votre part). Par conséquent, Malakoff Humanis met en œuvre des mesures d’ordre logique, physique et organisationnel permettant de prévenir toute perte, altération, divulgation de données ou accès à des tiers non autorisés.

    Seuls les destinataires dûment habilités peuvent accéder, dans le cadre d’une politique de gestion des accès, aux informations nécessaires à leur activité.

    Malakoff Humanis a recours à la société INADVANS en sa qualité de prestataire pour les besoins de la mise en œuvre du service de messagerie. La société INADVANS a elle-même recours à la société ATE en sa qualité d’hébergeur certifié le cas échéant agréé de données de santé.

    Malakoff Humanis et ses partenaires mettent en œuvre toutes les mesures nécessaires afin d'assurer un niveau suffisant de sécurité et de confidentialité des données traitées dans le cadre du service TransMMed. Ils s’engagent notamment à ce que ces données à caractère personnel ne soient en aucun cas transmises à des tiers non autorisés.

    A ce titre, l’Utilisateur est informé que l’ensemble de ses données de santé traitées au titre de l’utilisation de TransMMed font l’objet d’un hébergement certifié agréé de données de santé au sens de l’article L. 1111-8 du Code de la santé publique (ATE).

    L’Utilisateur est invité à mettre en œuvre, sous sa responsabilité, l’ensemble des mesures de sécurité utiles et pertinentes pour les besoins de la protection des accès à son ordinateur et à l’ensemble des données accessibles sur la Plateforme TransMMed, en particulier vis-à-vis des tiers.

    En raison de la nature sensible de certaines données contenues au sein de son Compte personnel, l’Utilisateur devra régulièrement s’authentifier de manière forte afin de pouvoir y accéder. Après identification et authentification, ce service génère un lien HTTPS unique et sécurisé, à usage limité dans le temps, permettant de consulter une information de santé telle qu’un fichier ou un échange de messages.

    Le système d’authentification forte de l’Utilisateur repose sur l’utilisation du triplet identifiant (ici, l’adresse mail), mot de passe, code OTP envoyé par email conformément aux recommandations des autorités compétentes.

    L’Utilisateur reçoit sur l’adresse email indiquée un message contenant un lien à usage unique valable soixante-douze heures lui permettant de définir son mot de passe. Le mot de passe est valable pendant cent jours ou quatre-vingt-dix utilisations. Une fois l’une de ces deux conditions atteintes, le mot de passe de l’Utilisateur sera invalidé et il recevra un email lui permettant de saisir un nouveau mot de passe.

    Le code OTP est un mot de passe à usage unique envoyé à l’Utilisateur sur sa boîte mail. Ce code est valable cinq minutes.

    L’Utilisateur est informé et reconnaît que son mot de passe est strictement personnel et confidentiel. A ce titre, l’Utilisateur est entièrement responsable de l’utilisation de son mot de passe et s’engage à prendre toutes mesures utiles pour assurer la parfaite confidentialité de son mot de passe et s’engage à ne pas le communiquer, céder ou mettre à disposition d’un tiers.

    En cas de perte, de vol ou de toute utilisation frauduleuse de son mot de passe, l’Utilisateur devra choisir un nouveau mot de passe :

    En cas d’échec de connexion multiple, l’Utilisateur verra son accès à sa session bloqué de manière temporaire afin de le protéger de toute utilisation frauduleuse du compte.

    • Après cinq tentatives infructueuses en moins de cinq minutes, la session de l’Utilisateur est invalidée pendant quinze minutes et l’écran de connexion est rendu inaccessible,
    • Après quinze tentatives infructueuses en moins de trente minutes, l’adresse IP de l’Utilisateur est blacklistée pendant soixante minutes et un email de notification est envoyé à l’administrateur de la Plateforme

    Une fois connecté, l’Utilisateur dispose d’une session qui expirera de manière automatique après huit heures sans aucune utilisation du clavier ni de la souris. L’expiration de la session de l’Utilisateur entrainera une déconnexion automatique.

  9. L’information
  10. Préalablement à la mise en œuvre de ses traitements, et au plus tard lors de la collecte de données, les organismes responsables de traitements du groupe Malakoff Humanis informent l’Utilisateur :

    • de l'identité et des coordonnées du responsable du traitement ;
    • des coordonnées du DPO ;
    • de la finalité des traitements portant sur leurs données à caractère personnel ainsi que la base juridique appropriée en fonction de la finalité des traitements ;
    • des destinataires des données à caractère personnel ;
    • de la durée de conservation des informations collectées ainsi que des droits dont l’Utilisateur dispose à l’égard de ses données ;
    • le caractère facultatif ou obligatoire des données collectées.

  11. Le consentement et les droits à l’égard des données personnelles
  12. L’Utilisateur peut par ailleurs, à tout moment et de lui-même, modifier les informations personnelles et administratives le concernant qui ont été saisies lors de la création de son compte. L’Utilisateur est informé que l’accès et l’utilisation des Services proposés sur la Plateforme TransMMed sont conditionnés par :

    • son consentement exprès et préalable au traitement et à l’hébergement de ses données personnelles de santé recueillies par le biais d’une case à cocher dans le cadre de l’adhésion au service TransMMed ;
    • son acceptation sans réserve des CGU.

    En application de la Réglementation sur la protection des données à caractère personnel, l’Utilisateur dispose d’un droit d’accès, de rectification et le cas échéant de suppression des données le concernant.

    Dans les limites fixées par la loi, l’Utilisateur dispose également d’un droit à la portabilité des données à caractère personnel qu’il a fournies et du droit de décider du sort de ses données post mortem.

    L’Utilisateur peut également faire valoir son droit à la limitation du traitement et son droit d’opposition dans les limites fixées par la loi.

    Enfin, l’Utilisateur dispose du droit de retirer à tout moment son consentement accordé pour un traitement fondé sur cette base juridique, étant précisé que conformément à la Règlementation applicable en matière de protection des données personnelles, le retrait de son consentement ne remet pas en cause la licéité du traitement des données personnelles de l’Utilisateur effectué avant ce retrait.

    Vous pouvez exercer vos droits, notamment vos droits d’accès à vos données de santé sur simple demande écrite adressée par courrier à l’attention de la direction médicale, Malakoff Humanis, Pôle Informatique et Libertés Assurance, 21, rue Laffitte 75317 Paris Cedex 9 ou directement sur notre site et nos espaces clients via nos formulaires, par email à dpo@malakoffhumanis.com ou par courrier postal à Malakoff Humanis – Pôle Informatique et Libertés – 21 rue Laffitte – 75317 Paris cedex 9.

    En cas de réclamation relative à la protection des données, il vous est possible, le cas échéant, de saisir la CNIL à l’adresse suivante : 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07. En tout état de cause, nous vous encourageons à prendre contact avec nous avant toute saisine de l’Autorité.

  13. Les transferts de données
  14. Aucun transfert hors Union Européenne n’est prévu dans le cadre de ce service. Les datacenters de ce service se trouvent tous localisés sur le territoire français.

LES COOKIES

Lors de vos visites sur la Plateforme TransMMed, des cookies sont susceptibles d'être déposés automatiquement sur votre terminal (l’ordinateur, la tablette ou le smartphone).

  1. La finalité des cookies utilisés sur la Plateforme TransMMed
  2. Un cookie est un petit fichier texte déposé dans votre logiciel de navigation qui permet de faciliter votre navigation sur la plateforme TransMMed. Il permet également de vous proposer des services en relation avec vos centres d'intérêt ou votre localisation et recueille des données de navigation à des fins d'analyses statistiques.


    Les cookies sont déposés par Malakoff Humanis qui sont dédiés à une finalité principale : le bon fonctionnement de la plateforme TransMMed.

    En tout état de cause, les cookies qui suivent vos visites sont conservés pour une durée maximum de 13 mois à compter de leur dépôt sur votre terminal.

    Sont utilisés sur la plateforme TransMMed les cookies de fonctionnement. Il s'agit de cookies nécessaires à l’utilisation du site. Sans ces cookies, vous ne pourrez pas accéder à votre espace personnel, ni suivre normalement les procédures de souscription (en accédant aux formulaires).

  3. La gestion des cookies
  4. Conformément à la réglementation, puisque la plateforme TransMMed n’utilise que des cookies strictement nécessaires à son fonctionnement, aucun bandeau et aucune page de paramétrage ne sont prévus, dans la mesure où la possibilité de s’y opposer aboutirait à ne pas pouvoir accéder à la plateforme. Dans ce cas, vous trouverez toutes les informations relatives à ces cookies dans les présentes conditions générales d’utilisation.

    Vous ne pouvez pas choisir de désactiver ces cookies nécessaires au fonctionnement même de la plateforme pour les raisons mentionnées précédemment.

    Cette politique est susceptible d’être révisée en fonction des évolutions législatives et réglementaires ou d’une modification des conditions du traitement des données personnelles.

    Date de mise à jour : 16/08/2022