Politique de protection des données à caractère personnel

Préambule

Le groupe MGP est plus que jamais mobilisé pour assurer la protection des données à caractère personnel de ses
adhérents et prospects.
La présente politique vise à vous fournir toute l’information nécessaire sur le traitement de vos données à
caractère personnel et sur les mesures mises en oeuvre pour assurer la protection et la sécurité de celles-ci.
Le groupe MGP traite vos données à caractère personnel dans le respect des lois en vigueur. Il garantit un niveau
de sécurité optimal des données ainsi qu’un certain nombre de droits pour les personnes concernées.
La présente politique s’applique à l’ensemble des entités du groupe MGP.

Définitions

Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Catégories particulières de données à caractère personnel : tout traitement de données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. 

Traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Consentement de la personne concernée : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Violation de données à caractère personnel : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

1. Les données à caractère personnel

Dans le cadre de ses activités, le groupe MGP collecte des informations vous concernant. 
Celles-ci peuvent être collectées lorsque vous souscrivez un contrat, lorsque vous visitez notre site internet ou encore lors d’échanges (par mail, par téléphone...). 

Les catégories de données à caractère personnel récoltées sont différentes en fonction des finalités. À titre d’exemple, nous récoltons les catégories de données suivantes :

-    les données relatives à l’identification (nom, prénom, état civil, date de naissance…),
-    les données de contact (adresse postale ou électronique, téléphone …),
-    les données relatives à la situation économique, patrimoniale et financière comme vos revenus, 
-    les données relatives à la situation familiale,
-    les données relatives à la situation professionnelle,
-    les données particulières ou sensibles dans le cadre de certains traitements (données de santé),
-    les données de connexion et de traçabilité (cookies…).

2. Finalités et bases légales

Les données à caractère personnel sont recueillies pour des finalités déterminées, explicites et légitimes.

Les traitements de ces données par le groupe MGP s’appuient tous sur une base légale, conformément au Règlement européen sur la protection des données (RGPD).

Le groupe MGP traite ainsi les données récoltées selon les bases légales et pour les finalités décrites ci-après.

Pour permettre l’exécution des contrats ou de mesures précontractuelles dans le cadre de :
-    la passation, la gestion et l’exécution des contrats dont notamment la signature électronique,
-    le suivi de la relation commerciale.
Les données à caractère personnel collectées sont nécessaires à la mise en œuvre du contrat. À défaut, le contrat ne pourra pas être exécuté. 

Pour respecter le consentement de l'adhérent/prospect dans le cadre de :
-    la prospection commerciale.
Le consentement donné par l'adhérent/prospect peut être retiré à tout moment.

Pour respecter les obligations légales et réglementaires dans le cadre de :
-    la lutte contre le blanchiment des capitaux et le financement du terrorisme. À ce titre, un traitement de surveillance des contrats est mis en œuvre, et peut aboutir, le cas échéant, à la rédaction d’une déclaration de soupçon ou à une mesure de gel des avoirs,
-    la consultation du répertoire national d’identification des personnes physiques (RNIPP),
-    l’exécution des règles comptables, fiscales et sociales.

Pour poursuivre les intérêts légitimes du groupe MGP dans le cadre de :
-    l’information ou la communication non commerciale : ce traitement permet de vous informer, le cas échéant, de l’activité du groupe MGP et des modifications liées à votre adhésion à la mutuelle et aux garanties souscrites, 
-    la gestion du contentieux : ce traitement permet de garantir et défendre les intérêts du groupe MGP,
-    les actions de prévention et de promotion de la santé : ce traitement permet de vous sensibiliser et de vous aider à préserver votre capital santé,
-    la sécurité de ses services : ce traitement permet de garantir aux utilisateurs d’exercer leur mission sur des outils sécurisés et à jour ainsi que de veiller à la sécurisation des données traitées,
-    la lutte contre la fraude à l’assurance : ce traitement permet de déceler les opérations frauduleuses ou les profils à risques qui peuvent mettre en péril l’activité du groupe. Ce traitement peut aboutir, le cas échéant, à une inscription sur une liste de personnes présentant un risque de fraude,
-    la gestion de la relation commerciale : sont comprises dans ce traitement notamment la réalisation d’enquêtes de satisfaction et de sondages, la prospection commerciale sur des produits et services analogues. Ce traitement permet de développer les ventes et les services,
-    l’écoute et l’enregistrement des conversations téléphoniques : ce traitement permet l’amélioration de la qualité de service, l’évaluation et la formation des collaborateurs. Nous n’enregistrons qu’un pourcentage des conversations téléphoniques.

3. Pertinence et limitation des données collectées eu égard à ce qui est nécessaire

3.1. Dans le cadre d’une relation contractuelle
Seules les données à caractère personnel strictement nécessaires à la relation contractuelle qui vous lie avec une ou plusieurs entités du groupe MGP peuvent être collectées et traitées (principe de minimisation). Le groupe MGP ne collecte pas plus de données que ce dont il a vraiment besoin et accorde une attention particulière au caractère sensible de certaines données telles que les données de santé. Leur traitement n’intervient que dans les cas strictement prévus par la législation en vigueur.

 
3.2. Dans le cadre d’opérations de prospection
Le groupe MGP mène des opérations de prospection afin de se faire connaître et de vous faire découvrir ses offres. Vous pouvez ainsi être invités à nous transmettre des données à caractère personnel vous concernant lors d’opérations de prospection ou par le biais de formulaires à remplir sur notre site internet. Ces informations nous permettront de vous proposer des offres correspondant à vos besoins. Elles sont conservées pour la durée nécessaire à l'instruction de la demande de souscription puis sont supprimées. Vous disposez d’un droit de retirer votre consentement à tout moment en vous adressant au service juridique du groupe MGP ou sur mgp.fr, rubrique « Écrivez-nous ». 

4. Durée de conservation des données à caractère personnel 

Le groupe MGP ne conserve les données que pendant le temps nécessaire aux opérations pour lesquelles elles ont été collectées et dans le respect de la réglementation en vigueur. 

La durée de conservation des données est variable et dépend de leur nature, de leur finalité et des aspects légaux et réglementaires auxquelles elles sont soumises. 

Ainsi, à titre d’exemple, les données à caractère personnel collectées pourront être conservées : 
-    10 ou 30 ans à compter de la fin de la relation commerciale dans le cadre de la passation, la gestion et l’exécution du contrat (en fonction de la nature du contrat);
-    3 ans à compter de la fin de la relation commerciale dans le cadre de la prospection commerciale pour les adhérents-prospects ;
-    3 ans à compter de leur collecte ou du dernier contact émanant du prospect dans le cadre de la prospection commerciale pour les prospects non adhérents ;
-    Pendant la durée nécessaire à l’action de communication dans le cadre de l’information et de la communication non commerciale ;
-    Jusqu’à épuisement de toutes les voies de recours dans le cadre de la gestion du contentieux ;
-    5 ans à compter de la date d’inscription sur la liste de personnes présentant un risque de fraude dans le cadre de la lutte contre la fraude à l’assurance ;
-    5 ans à compter de la clôture du compte ou de la cessation de la relation commerciale dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme ;
-    10 ans à compter de la fin de l’exercice social concernant la gestion de la comptabilité générale,
-    6 mois à compter de la conversation téléphonique dans le cadre de l’écoute et l’enregistrement des conversations téléphoniques.

5. Destinataires des données à caractère personnel

Les données recueillies par le groupe MGP sont destinées aux entités du groupe MGP, à leurs éventuels prestataires, partenaires, organismes gestionnaires du régime obligatoire et à toutes personnes intéressées et celles intervenant au contrat tels que les avocats, le personnel habilité, les tiers autorisés ainsi que toute entité et personne désignée par la réglementation (administrations, commissaires aux comptes, autorités de contrôle…).

6. Sécurité et confidentialité des données à caractère personnel

Le groupe MGP met tout en œuvre pour garantir la sécurité et la confidentialité de vos données.

Sa politique de sécurité du système d’information (PSSI) définit le cadre et le périmètre de son action en la matière. 

Elle s’appuie sur les Normes et Standards de Sécurité et d’Exploitation (NSSE), qui traduisent de manière opérationnelle les mesures techniques à appliquer au quotidien. 

Un comité de sécurité trimestriel vérifie l’efficacité de son application.  

Des audits de sécurité et des tests d’intrusion sont réalisés annuellement, sur la base des exigences de la norme ISO 27002.

Un plan de continuité informatique (PCI) permet d’assurer une continuité du système d’information en cas d’incident majeur, sans délai de mise en œuvre.

Une charte informatique est remise à l’ensemble des utilisateurs du système d’information. Elle régit l’utilisation qu’ils doivent faire des moyens informatiques mis à leur disposition. Des campagnes de sensibilisation sont réalisées régulièrement. Des revues d’habilitations ont lieu une fois par an.

7. Registre des traitements

Dans le cadre du respect de ses engagements, le groupe MGP tient une documentation interne complète sur les traitements de données à caractère personnel auxquels il procède et s’assure que ces traitements respectent bien les obligations légales. Ce registre est mis à jour à chaque évolution de traitement.

8. Traitement du risque en amont

Le groupe MGP s’assure de prendre en compte les droits et intérêts des individus le plus en amont possible, à savoir, dès la conception du produit ou du service impliquant un traitement de données à caractère personnel et dans le cadre des paramétrages par défaut de l’outil. Ainsi, le groupe MGP adopte des mesures consistant à limiter par défaut le traitement de données à ce qui est strictement nécessaire à la finalité définie.

9. Sensibilisation et formation des collaborateurs

Le groupe MGP veille depuis toujours à ce que ses collaborateurs soient au fait de la législation relative à la protection des données à caractère personnel en vigueur. Ainsi, les collaborateurs sont sensibilisés par des sessions de formations. L’objectif est que chacun soit informé des enjeux de la réglementation et applique, à son niveau, les bonnes pratiques diffusées par le groupe MGP.

La présente politique de confidentialité contribue à garantir l’effectivité de l’engagement du groupe MGP en matière de protection des droits des personnes sur leurs données à caractère personnel.

10. Traitement d’incidents

Pour garantir un haut niveau de protection des données à caractère personnel en permanence, le groupe MGP a mis en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement. Tout incident impliquant des données à caractère personnel sera traité avec la plus grande attention. En cas de faille impliquant un risque pour les droits et libertés des personnes, le groupe MGP la notifiera à la CNIL dans les meilleurs délais. En cas de risque élevé pour les droits et libertés des personnes concernées, celles-ci en seront également informées.

11. Délégué à la protection des données (DPO)

Le groupe MGP a désigné un délégué à la protection des données (DPO) qui exerce une mission d’information et de conseil auprès de celui-ci sur la conformité des traitements de données à caractère personnel vis-à-vis du RGPD et de toute législation et règles internes applicables en la matière. Le DPO contrôle leur application pratique en tenant compte des risques pour les personnes et s’assure du maintien en conformité dans le temps. Vous pouvez le contacter en écrivant à 2c382708252f38662e3a.

12. Cookies

Un cookie est un fichier texte déposé sur votre ordinateur lors de votre visite sur le site. Le cookie ne nous permet pas de vous identifier mais il a pour but de collecter des informations relatives à votre navigation afin de vous offrir une meilleure expérience de navigation sécurisée et personnalisée.

La durée de conservation des cookies est de 13 mois maximum.

Pour plus d’informations concernant les cookies émis sur le site internet de la MGP, rendez-vous sur l’onglet « cookies ».

13. Vos droits

Vous disposez, selon les cas, des droits cités ci-dessous, que vous pouvez exercer en vous adressant au service juridique du groupe MGP ou sur mgp.fr, rubrique « Nous contacter » :

-Droit d’accès à vos données 
-Droit de vous opposer pour des motifs légitimes au traitement de vos données
-Droit de demander la rectification de vos données en cas d’erreur 
-Droit de demander l’effacement de vos données
-Droit de demander la limitation des traitements de vos données vous concernant 
-Droit de définir des directives relatives au sort de vos données après votre décès 
-Droit de demander la portabilité de vos données
- Le cas échéant, le droit de demander le retrait à tout moment du consentement au traitement des données (lorsque la base légale du traitement est le consentement de la personne)

Nous prenons la protection de vos données à caractère personnel très au sérieux et nous nous engageons à traiter vos demandes conformément à la réglementation française et européenne.

Pour exercer ces droits, vous pouvez adresser votre demande :
-    soit sur mgp.fr, rubrique « Nous contacter » 
-    soit par courrier : MGP, service juridique, 8 rue Thomas Edison - CS 90059 - 94027 CRETEIL CEDEX 

Vous pouvez également contacter le délégué à la protection des données personnelles (DPO) du groupe MGP :
-    soit par mail : 2c382708252f38662e3a
-    soit par courrier : MGP, DPO, service juridique, 8 rue Thomas Edison - CS 90059 - 94027 CRETEIL CEDEX


N.B S’il n’est pas fait droit à vos demandes, vous avez la possibilité d'introduire une réclamation auprès de la CNIL :
- sur le site internet de la CNIL (www.cnil.fr)
- par voie postale : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX