Politique de protection des données

Verspieren, société anonyme à conseil d’administration de droit français, enregistrée au registre du commerce et des sociétés de Lille Métropole sous le numéro 321 502 049 et immatriculée auprès de l’ORIAS sous le numéro 07 001 542 – (www.orias.fr), siégeant au 1, avenue François Mitterrand – 59290 Wasquehal, France, procède, dans le cadre de son activité, au traitements de données à caractère personnel, tant pour son compte que pour celui d’autres entités.

Par conséquent, en qualité de responsable du traitement, Verspieren a mis en place la présente politique de protection des données à caractère personnel, ci-après dénommée la « Politique ».

Champ d’application de la Politique

La présente Politique énonce les principes et lignes directrices pour la protection des données à caractère personnel, ci-après dénommées « DACP », et pour la sauvegarde des droits des personnes concernées par les traitements réalisés par Verspieren.

La Politique est susceptible d’être complétée ou remplacée par tout document contractuel ayant le même objet conclu par Verspieren à l’égard d’une ou plusieurs personnes concernées.

Les DACP s’entendent de la définition retenue par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ci-après dénommé le « RGPD » : est une DACP toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, en particulier par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres, ci-après dénommée « personne concernée ».

La Politique s’applique à toutes les DACP traitées par Verspieren, quel que soit leur mode de collecte ou de traitement.

Verspieren intervient en qualité de responsable du traitement de DACP mais également en qualité de sous-traitant, au sens du RGPD, pour le compte d’autres responsables du traitement avec lesquels Verspieren s’est engagé contractuellement. Dans le cadre de leurs relations avec le responsable du traitement, les personnes concernées sont informées par ce dernier lorsque Verspieren intervient en qualité de sous-traitant ou pour le compte d’un sous-traitant, adoptant dès lors la qualité dite de « sous-traitant ultérieur ».

A ce titre, la Politique trouve à s’appliquer même lorsque Verspieren intervient comme sous-traitant ou sous-traitant ultérieur.

Personnes concernées par les traitements

Verspieren, en qualité de responsable du traitement ou en qualité de sous-traitant, ultérieur ou non, est susceptible d’effectuer des traitements sur les DACP des catégories de personnes physiques suivantes :

  • visiteurs des sites internet et extranet (consultation) ;
  • utilisateurs des sites internet et extranet (saisie de données) ;
  • clients potentiels personnes physiques ;
  • employés et dirigeants des clients potentiels personnes morales ;
  • clients personnes physiques ;
  • employés et dirigeants des clients personnes morales ;
  • ayants-droits personnes physiques des clients personnes physiques ou morales ;
  • partenaires commerciaux personnes physiques ;
  • employés et dirigeants des partenaires commerciaux personnes morales ;
  • fournisseurs et sous-traitants personnes physiques ;
  • employés et dirigeants des fournisseurs et sous-traitants personnes physiques ;
  • employés et dirigeants personnes physiques de Verspieren ou de l’une de ses filiales ;
  • tout tiers identifié au moyen d’un document au format réglementé dont Verspieren est le destinataire.

Catégories particulières de personnes concernées

Dès lors que le consentement d’un enfant mineur de moins de 16 ans est rendu nécessaire pour une finalité en lien avec l’offre directe de services proposés par Verspieren, le consentement de celui-ci sera obtenu auprès de son représentant légal détenteur de l’autorité parentale. Dans le même sens, Verspieren demandera le consentement du représentant légal du majeur protégé.

Conformément à la réglementation, Verspieren informe les mineurs de plus de 15 ans de leur droit de s’opposer à ce que les titulaires de l’autorité parentale puissent exercer pour leur compte les droits relatifs aux traitements des DACP.

Données à caractère personnel traitées

La liste ci-après détermine les types de DACP des personnes concernées qui peuvent notamment être traitées dans le cadre des activités de Verspieren :

  • aptitudes des qualifications des personnes concernées : études, certifications, profession, fonction, branche d’activité, affiliations professionnelles ;
  • caractéristiques des personnes concernées : condamnations ou infractions pénales, données démographiques, données financières, coordonnées bancaires, dossier médical, données de santé, nationalité et citoyenneté ;
  • habitudes et activités des personnes concernées : comportement, habitudes de consommation, activités pratiquées, heures de travail, arrêts de travail, congés ;
  • identité des personnes concernées : documents d’identité, numéros d’identification, nom et prénom, adresse IP et/ou Mac, numéro de téléphone fixe et/ou mobile, numéro de Sécurité sociale (NIR), liens de parenté ;
  • localisation des personnes concernées : adresse postale, entrées d’agenda, lieux de villégiature.

 

Verspieren s’engage à limiter la collecte de ces données à leur strict nécessaire. Il est rappelé que celles-ci sont collectées à l’initiative de la société Verspieren et, le cas échéant, des autres responsables du traitement dont elle dépendrait. La collecte des DACP peut également l’être à l’initiative des personnes concernées.

Catégories particulières de données à caractère personnel traitées

Verspieren attire l’attention des personnes concernées que le traitement des DACP peut révéler l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale des personnes concernées. Par ailleurs, Verspieren traite des données concernant la santé.

Le traitement de ces catégories particulières de DACP fait l’objet d’un consentement exprès des personnes concernées à moins que le traitement ne soit nécessaire aux fins de l’exécution d’obligations et de l’exercice de droits propres à Verspieren ou à la personne concernée. En tout état de cause, Verspieren veille à ce que ce traitement soit autorisé par la réglementation en vigueur.

Finalités des traitements et bases juridiques applicables

Verspieren traitera vos données selon les finalités déterminées ci-après.

Verspieren se réserve le droit d’inclure des finalités spécifiques qui seront communiquées aux personnes concernées sur des supports contractuels spécifiques complétant ou dérogeant à la présente Politique.

Conformément au RGPD, le consentement exprès des personnes concernées n’est pas requis dès lors que le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celui-ci.

Dans les mêmes conditions, le traitement ne nécessite aucun consentement afin de respecter une obligation légale à laquelle le responsable du traitement est soumis ou encore lorsque le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que les droits ou intérêts de la personne concernée ne prévalent. Les intérêts légitimes poursuivis par Verspieren sont la défense de ses intérêts au plan administratif et judiciaire, la poursuite de l’objet social de la société et de ses filiales.

Conformément au RGPD, les traitements portant sur des catégories particulières de DACP, notamment les données concernant la santé, sont justifiés et autorisés par la réglementation pour l’exécution de ses obligations par le responsable du traitement en matière de sécurité sociale et de protection sociale. Le cas échéant, lorsque d’autres finalités seront recherchées, Verspieren s’attachera à obtenir le consentement des personnes concernées.

Finalités des traitements basés sur le consentement

  • démarchage, prospection à des fins commerciales portant sur des produits d’assurance ;
  • établissement de statistiques liées au trafic sur les sites internet de Verspieren ;
  • établissements de fichiers à des fins de statistiques commerciales ;
  • établissement de statistiques liées aux contrats d’assurance ;
  • participation à des opérations de promotion commerciale ;
  • amélioration de l’expérience client ;
  • réalisation d’enquêtes de satisfaction.

 

Les finalités suivantes ne nécessitent pas le consentement exprès des personnes concernées. Elles sont basées sur l’exécution d’un ou plusieurs contrats ou pour l’exécution de mesures précontractuelles, afin de respecter la réglementation en vigueur ou afin de permettre à Verspieren de protéger ses intérêts légitimes :

 

  • analyse de risques et détermination des besoins du client ou du client potentiel ;
  • exercice du devoir de conseil de Verspieren ;
  • établissement des devis d’assurance ;
  • aide à la souscription des contrats d’assurance ;
  • gestion des contrats d’assurance ;
  • gestion des sinistres ;
  • gestion des primes ou cotisations afférent aux contrats d’assurance ;
  • gestion du tiers-payant et des réseaux de soins ;
  • exécution d’un contrat de travail ;
  • amélioration de l’expérience client ;
  • réalisation d’enquêtes de satisfaction ;
  • participation à des opérations de promotion commerciale ;
  • exercice du devoir de conseil de Verspieren ;
  • recueil et conservation aux fins de lutte contre le blanchiment et le financement du terrorisme ;
  • exécution de toutes obligations d’ordre public ;
  • conservation à des fins probatoires ;
  • établissements de fichiers à des fins statistiques.

Toute autre finalité du traitement qui ne serait pas présente dans la présente Politique fera l’objet d’un accord écrit entre Verspieren et la personne concernée.

Durées de conservation

Les données des personnes concernées sont conservées dans le cadre des finalités indiquées précédemment, en respect des prescriptions légales en vigueur, notamment en matières civile, fiscale, commerciale et pénale.

La conservation des données à des fins probatoires donne lieu à un archivage intermédiaire dont l’accès est strictement limité. A l’issue du délai de prescription correspondant, les données seront détruites ou feront l’objet d’une anonymisation irréversible afin que les personnes concernées ne soient plus identifiables par quelque moyen que ce soit.

Finalité Données concernées Durée
Gestion du recrutement Les données collectées dans le cadre du processus de recrutement 2 ans après le dernier contact
Passation, gestion et exécution des contrats Les données communiquées lors de la souscription et pendant l’exécution d’un contrat d’assurance Pendant la durée nécessaire à l’exécution du contrat

Archivage à des fins probatoires pour une durée prévue par les dispositions légales applicables en la matière

RIB des assurés Durée nécessaire à l’exécution du contrat
Données de la carte bancaire 15 mois à des fins probatoires en application des dispositions légales applicables
Le NIR et les données RNIPP Durée du contrat

Archivage à des fins probatoires en application des dispositions légales

Document comptables et pièces justificatives 10 ans – article L.123-22 du code de Commerce
Documents sur lesquels peuvent s’exercer les droits de communication, d’enquête et de contrôle des autorités fiscales 6 ans (article L.102 B du Livre des procédures fiscales) dans certains cas 10 ans
Documents et informations relatifs aux clients et aux opérations faites par ceux-ci dans le cadre de la lutte contre le blanchiment et le financement du terrorisme 5 ans (article L.561-12 du code monétaire et financier)
Délai de prescriptions légales en matière de prestations d’assurance :
Toute prestation 2 ans
Incapacité / invalidité 5 ans / 10 ans si règlement au Trésor public
Prestation décès 30 ans
Répétition de l’indu 5 ans
Appel de prime ou de cotisation 10 ans
En l’absence de conclusion d’un contrat et dans le cadre des devis et/ou demande de renseignements Les données de santé 2 ans en archive courante

3 ans en archive intermédiaire à des fins probatoires

Les autres données telles que les devis / bulletins individuels d’adhésion / notice d’information 1 an en cas d’absence de contractualisation
Gestion des clients Données collectées dans le cadre des relations commerciales avec Verspieren 3 ans à compter de la fin de la relation commerciale si vous avez souscrit un contrat d’assurance par l’intermédiaire de Verspieren
Gestion des prospects Données collectées dans le cadre des relations commerciales avec Verspieren 3 ans à compter de leur collecte par Verspieren ou du dernier contact à votre initiative en l’absence de toute souscription de contrat
Traitement des données relatives aux infractions, condamnations ou mesures de sûreté dans le cadre de la souscription des contrats et de la gestion du contentieux Données relatives aux infractions, condamnations pénales ou mesures de suretés Durée des relations contractuelles ;

Archivage conformément aux durées prévues par les dispositions des articles L.114-1 et suivants du code des Assurances, de l’article L.932-13 du code de la Sécurité sociale et des dispositions du Code civil relatives à la prescription

Gestion des droits Justificatif d’identité En cas d’exercice du droit d’accès, de rectification, de portabilité, les données relatives aux pièces d’identité éventuellement collectées peuvent être conservées pendant 1 an

En cas d’exercice du droit d’opposition, ces données peuvent être archivées pendant 3 ans à compter de l’exercice du droit d’opposition

Lutte contre la fraude à l’assurance Données des alertes « non pertinentes »

et/ou

Données des alertes n’ayant reçu aucune qualification

6 mois à compter de l’émission de l’alerte
Données des alertes pertinentes 5 ans à compter de la clôture du dossier de fraude
Données dans le cadre des procédures judiciaires engagées suite à une alerte Jusqu’au terme de la procédure judiciaire ;

Archivage pour la durée de prescription applicable

Données reportées dans la liste de fraudeurs présumés 5 ans à compter de la date d’inscription sur cette liste
Données et documents relatifs à l’identité des assurés habituels ou occasionnels et le cas échéant, des bénéficiaires effectifs 5 ans à compter de la clôture du compte ou de la cessation de la relation
Lutte contre le blanchiment et le financement du terrorisme Documents et informations relatifs aux clients et aux opérations faites par ceux-ci dans le cadre de la lutte contre le blanchiment et le financement du terrorisme (documents consignant les caractéristiques des opérations mentionnées à l’article L 561-10-2 du code monétaire et financier) 5 ans à compter de leur exécution
Cookies traceurs Le dépôt de cookies sur votre terminal 13 mois à compter du dépôt
Ecoutes et enregistrements téléphoniques Dispositif d’écoute et/ou d’enregistrement ponctuel des conversations téléphoniques pour :

–  former ses salariés (par exemple réutiliser des enregistrements comme support afin d’illustrer son propos lors de formations),

–  les évaluer,

–  améliorer la qualité du service (par exemple en étudiant le type de réponse apporté au client),

–  exercice et gestion des réclamations et des contentieux

6 mois au maximum
–  Des documents d’analyse (comptes rendus ou grilles d’analyse) peuvent être rédigés sur la base des écoutes et enregistrements dès lors qu’ils s’inscrivent dans ces objectifs Les documents d’analyse peuvent être conservés jusqu’à un an

 

 

Destinataires des données et sous-traitants

Verspieren s’engage à ne transmettre de données à ses filiales ou à des tiers « importateurs de données » que lorsque cela s’avère strictement nécessaire (exemples : établissement de devis d’assurance auprès d’une entreprise d’assurance, hébergement de services par un tiers prestataire). Dans ce cas, Verspieren s’assurera que l’importateur de données présente au moins le même niveau de sécurité dans son traitement des données. Conformément au RGPD, la sous-traitance des données fera l’objet d’un accord écrit entre Verspieren et le sous-traitant, engageant ce dernier à n’opérer aucun transfert de données sans l’autorisation de Verspieren.

Si un transfert de données en dehors de l’Espace économique européen (ci-après « EEE ») doit être opéré, Verspieren s’engage à n’y procéder que dans ces conditions :

  • l’importateur de données se trouve dans un Etat considéré par la Commission européenne comme assurant un niveau de protection adéquat ;
  • lorsque le réceptionnaire ne se trouve pas dans un Etat considéré par la Commission européenne comme assurant un niveau de protection adéquat, Verspieren fera en sorte que l’importateur de données soit engagé en vertu des Clauses Contractuelles Types de la Commission européenne ;
  • tout sous-traitant ultérieur situé hors EEE devra répondre au moins à l’une des conditions énoncées précédemment.

Droits relatifs aux traitements des données

Conformément à la réglementation, les personnes concernées disposent de certains droits sur les DACP les concernant :

  • droit d’accès ;
  • droit à la rectification ;
  • droit à la limitation ;
  • droit de demander la suppression / droit à l’oubli ;
  • droit de demander la communication des données ;
  • droit d’opposition concernant un traitement spécifique pour lequel un consentement exprès a été nécessaire ;
  • droit à la portabilité des données.

Vous pouvez exercer vos droits, accompagnés d’un justificatif d’identité, soit par l’envoi d’un mail à dpo@verspieren.com soit par courrier à :

Verspieren
Délégué à la protection des données
1, avenue François Mitterrand

59290 Wasquehal, France

Verspieren se réserve le droit de demander au demandeur des pièces complémentaires afin notamment de justifier de son identité.

Verspieren informe les personnes concernées qu’en conformité aux règles d’ordre public en vigueur, certaines données ou certaines finalités ne pourront faire l’objet d’une réponse favorable aux demandes : lutte contre le blanchiment et le financement du terrorisme, fiscalité…

Si vous estimez ne pas avoir pu exercer vos droits conformément au RGPD ou à toute disposition légale en vigueur en matière de protection des données, vous pouvez formuler une réclamation auprès de la CNIL : Commission nationale de l’informatique et des libertés, 3 place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07.

Sécurité des traitements

Verspieren reconnait pleinement sa qualité de responsable du traitement et s’attache à garantir une sécurité des traitements opérés sur les DACP afin d’éviter toute violation de celles-ci. Constitue une violation des DACP au sens du RGPD une violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou non autorisée de DACP transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

A cette fin, Verspieren prend des mesures techniques et organisationnelles afin de garantir un niveau de sécurité adapté aux risques liés aux traitements. Verspieren garantit notamment que ses collaborateurs et ceux de ses importateurs de données sont soumis à une stricte obligation de confidentialité.

Malgré tout le soin apporté, Verspieren ne peut garantir la sécurité absolue de la protection mise en œuvre en raison de l’évolution des techniques d’intrusion et des risques inévitables pouvant survenir lors de la transmission de DACP.

Verspieren a défini et mis en place un dispositif de détection des intrusions et une procédure de gestion des incidents.

Verspieren attire l’attention des utilisateurs de ses services en ligne quant à leur implication dans la protection de leurs propres données. Verspieren invite les personnes concernées à veiller à la confidentialité de leurs moyens d’accès aux services en ligne et à leur contenu.

Utilisation des cookies

Les visiteurs et utilisateurs des sites internet de Verspieren peuvent se référer aux mentions légales de ses sites ou à la page cookies afin de prendre connaissance des conditions d’utilisation des cookies par Verspieren.

Délégué à la protection des données / data protection officer

Du fait de la nature, de la portée et des finalités des opérations de traitement par Verspieren, un délégué à la protection des données a été désigné.

Vous pouvez adresser un courrier électronique au délégué à la protection des données pour toute question concernant la présente Politique ou pour toute demande concernant vos DACP et l’exercice de vos droits y afférant.

Contact : dpo@verspieren.com

Adresse postale :
Verspieren
Délégué à la protection des données
1, avenue François Mitterrand

59290 Wasquehal, France

Evolution et modifications de la politique de protection des données à caractère personnel

La présente Politique peut évoluer à tout moment avec entrée en vigueur immédiate. Afin de vous en tenir informés, nous indiquons la date de sa dernière mise à jour.

La dernière mise à jour de la présente Politique a été effectuée le : 29/06/2018

Calculez le montant
de votre prime