1. PRAECO et la Protection des Donnees Personnelles

La confidentialité et la sécurité des données à caractère personnel sont des conditions essentielles de la relation de confiance que PRAECO souhaite établir avec toutes les personnes physiques qui lui confient leurs données.

La présente politique de protection des données à caractère personnel témoigne des engagements mis en œuvre par PRAECO afin que la sécurité soit optimale et que les personnes concernées soient pleinement et clairement informées.

Ce document a pour objet de présenter la façon dont PRAECO utilise et protège les données à caractère personnel dans le cadre de ses activités, ainsi que les droits dont toute Personne concernée peut disposer. Tous les employés de PRAECO sont tenus de se conformer, sans aucune condition, aux exigences de toutes les lois, réglementations, règles professionnelles, procédures et systèmes de conformité applicables.

Cette politique définit la position de PRAECO en matière de protection des données personnelles :

• PRAECO traite les données personnelles de manière loyale, licite et transparente ;
• PRAECO ne traite les données personnelles qu’à des fins spécifiées, explicites et légitimes,
• PRAECO ne conserve pas les données personnelles plus longtemps que nécessaire à l’atteinte des

objectifs pour lesquels elles ont été collectées ;

• PRAECO prend des mesures de sécurité techniques et organisationnelles adéquates pour protéger les données à caractère personnel contre tout accès non autorisé, perte, vol ou dommage.

Les lois européennes et nationales ont introduit des critères de référence élevés pour la protection des données. Il est donc important que dans le cadre de ses traitements, PRAECO protège les données personnelles qui lui sont confiées, des risques associés aux violations de la confidentialité des données.

Cette politique de protection des données personnelles est révisée une fois par an ou lorsque des modifications importantes ont lieu au sein du groupe d’appartenance de PRAECO.

2. Perimetre de la Politique

Cette politique s’applique aux traitements de toutes les données à caractère personnel effectués au sein de PRAECO.

1. 1. Definitions

 « Responsable du Traitement »

Désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. PRAECO, dont le siège social est situé au 6 rue Paul Morel 70 000 à Vesoul, agit en qualité de Responsable du traitement pour les traitements décrits dans la présente politique.

 « Sous-traitant »

Désigne la personne physique ou morale, l’autorité publique, ou tout autre organisme qui traite les données à caractère personnel pour le compte du Responsable du Traitement.

 « Personne concernée »

Désigne toute personne physique identifiée ou identifiable à laquelle se rapportent des données à caractère personnel..

 « Donnée personnelle »

Désigne toute information relative à une personne physique identifiée ou identifiable (« Personne concernée ») ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, en particulier par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques physiques, physiologiques, identité génétique, mentale, économique, culturelle ou sociale de cette personne physique, telle qu’une adresse électronique, une adresse IP, etc.

 « Traitement »

Désigne toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel par des moyens automatisés tels que collecte, enregistrement, organisation, structuration, stockage, adaptation ou altération, récupération, consultation, utilisation, divulgation par transmission, diffusion ou autrement mise à disposition, alignement ou combinaison, restriction, effacement ou destruction.

 « Délégué à la protection des données »

Désigne la personne chargée d’informer et de conseiller le responsable du traitement ou le sous-traitant ainsi que leurs employés sur leurs obligations, de contrôler le respect du RGPD et des règles internes, de conseiller sur l’analyse d’impact relative à la protection des données (AIPD), de coopérer avec l’autorité de contrôle et de faire office de point de contact.

 « Consentement »

Désigne toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ; il peut être retiré à tout moment.

 « Catégories particulières de données à caractère personnel »

Désigne des données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance à un syndicat ; données concernant la santé ou la vie sexuelle et l’orientation sexuelle ; données génétiques ou données biométriques.

 « Autorité de contrôle »

Une autorité de contrôle est un organisme public indépendant établi par un État membre, telle que l’autorité chargée de la protection des données, ou une agence en charge de l’audit. La CNIL est l’autorité de contrôle en France.

 « Violation de données »

En vertu du RGPD, une violation de données à caractère personnel correspond à une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

2. 2. Roles et Responsabilite

En fonction de l’activité couverte, PRAECO peut agir aussi bien en tant que :

• Responsable de traitement,
• Co-responsable de traitement
• Sous-traitant.

PRAECO agit en tant que responsable du traitement lorsqu’elle détermine seule les finalités et moyens, notamment pour ses activités internes et mutualistes : gestion de l’adhésion et de la relation adhérent, affiliation des bénéficiaires, gestion des garanties et des prestations, gestion des cotisations et de la facturation, lutte contre la fraude, conformité et obligations légales, comptabilité, reporting, sécurité du système d’information, ressources humaines, achats et logistique, communication et prospection dans le respect des règles applicables.

PRAECO agit en tant que responsable conjoint du traitement lorsque les finalités et les moyens essentiels sont déterminés avec un partenaire (par exemple un co-porteur de contrat, un autre courtier distributeur, une plateforme conjointe de services).

PRAECO agit en tant que sous-traitant lorsqu’elle traite des données pour le compte et sur instructions documentées d’un autre responsable du traitement, par exemple en tant que gestionnaire délégué de contrats pour une entreprise souscriptrice, pour un assureur/mutuelle/une institution de prévoyance/un autre courtier grossiste, ou en tant que tiers-administrateur de prestations et de tiers payant.

3. Délégué à la protection des données

1. 1. Designation du delegue a la protection des donnees

PRAECO a désigné deux délégués, titulaire et suppléant, à la protection des données. Les délégués à la protection des données surveilleront la conformité aux dispositions de confidentialité des données et conseilleront PRAECO sur toutes les questions relatives au traitement des données personnelles.

Dans le cadre de ses activités, le délégué à la protection des données est chargé d’effectuer les tâches suivantes :

Information et conseil :

• Informer et conseiller sur les obligations du Règlement Général sur la Protection des Données (RGPD) et

d’autres dispositions en matière de protection de données à caractère personnel ;

• En cas de manquements constatés, informer et conseiller sur les mesures à prendre pour y remédier et soumettre les arbitrages nécessaires.

Sensibilisation :

• Former les équipes aux bonnes pratiques en matière de protection des données.
• Promouvoir une culture de la conformité au sein de l’organisation.

Conception et mise en œuvre de la conformité :

• Piloter la production et la mise en œuvre de politiques, de lignes directrices, de procédures et de règles de contrôle, pour une protection efficace des données personnelles et de la vie privée des personnes concernées
• Documenter les traitements de données à caractère personnel qui lui sont confiés dans un registre, en tenant compte du risque associé à chacun d’entre eux compte tenu de sa nature, sa portée, son contexte et sa finalité
• Veiller à la mise en œuvre de mesures appropriées pour permettre de démontrer que ces traitements

sont effectués conformément au RGPD, et si besoin, réexaminer et actualiser ces mesures

• Veiller à la bonne application du principe de protection des données dès la conception et par défaut dans tous les projets comportant un traitement de données personnelles.

Analyses d’impacts (AIPD) :

• Identifier, conseiller et assurer la mise en œuvre des analyses d’impact sur la protection des données

Audit :

• Auditer et contrôler, de manière indépendante et à la demande de PRAECO, le respect du RGPD, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement et les audits s’y rapportant.

Gestion des droits des personnes et relations avec la CNIL :

• S’assurer de la bonne gestion des demandes d’exercice de droits, de réclamations et de requêtes formulées par des personnes concernées par les traitements de PRAECO, et s’assurer de leur transmission aux services intéressés et apporter à ces derniers un conseil dans la réponse à fournir aux requérants ;

▪S’assurer quePRAECO est en position de notifier d’éventuelles violations de données auprès de l’Autorité de contrôle et par conséquent conseiller PRAECO sur les communications aux personnes concernées et les mesures à apporter ;

• Être  l’interlocuteur  privilégié  de  l’Autorité  de  contrôle  et  coopérer  avec  elle. Une procédure précise les modalités applicables aux différents types de contrôles opérés par la CNIL et apporte une aide pratique destinée à leur anticipation.

Pour permettre de mener à bien les différentes activités de sa mission, la Direction de PRAECO s’est

engagée auprès du délégué à la protection des données à :

• L’associer, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection

des données ;

• L’aider à exercer sa mission en :
  • fournissant les ressources et moyens qui lui sont nécessaires ;
  • fournissant l’accès aux données et aux opérations de traitement ;
• Veiller à ce qu’il ne reçoive aucune instruction en ce qui concerne l’exercice de sa mission qui pourrait

être contraire aux respects des réglementations

• Lui permettre de faire directement rapport au niveau le plus élevé de la direction ;
• Donner une importance prépondérante à ses analyses en matière de protection des données personnelles et, dans le cas où les recommandations ne seraient pas retenues, à en documenter les raisons ;
• S’assurer de son avis avant la mise en production de tout nouveau traitement comportant des données

personnelles.

3. 2. Joindre le delegue a la protection des donnees

Le délégué à protection des données est joignable des manières suivantes :

1. Par mail : dpo.rgpd@praeco.fr
2. Par adresse postale à :

PRAECONIS – Délégué à la Protection des Données 6 rue Paul Morel

70 000 Vesoul

4. La collecte des données a caractère personnel

PRAECO, dans le cadre de la gestion des dossiers confiés, peut être amené à collecter des données à caractère personnel. Dans ce cas, PRAECO s’engage à respecter les dispositions ci-dessous.

PRAECO est également amené à recevoir des données à caractère personnel collectées par les autres organismes. Dans ce cas, PRAECO s’engage à les informer du respect des dispositions ci-dessous.

1. 1. 4.1.Minimisationetpertinencedesdonnees

PRAECO s’assure que les données à caractère personnel collectées directement ou indirectement par le biais de ses sous-traitants ou partenaires sont adéquates, pertinentes et limitées à celles nécessaires aux fins du traitement.

L’ensemble des points de collecte de données personnelles est régulièrement vérifié par PRAECO afin de

s’assurer que ce principe soit constamment appliqué.

Toutes les mesures raisonnables sont prises par PRAECO pour garantir que les données à caractère personnel qui s’avèreraient inexactes, compte tenu des finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées.

4. 2. 4.2.Consentementala collecte

La Personne concernée doit donner son consentement libre, spécifique, éclairé et univoque pour la collecte de ses données, ce qui signifie qu’il doit être donné de plein gré, pour une finalité déterminée et que les informations obligatoires sur le traitement envisagé ont été délivrées. Les Personnes concernée doivent également avoir la possibilité de retirer facilement leur consentement.

Ce consentement n’est pas requis dans le cas de collecte de données pour certains traitements ayant un

fondement légitime tel que contractuel ou légal.

PRAECO met en œuvre les mesures adéquates afin de recueillir et conserver le consentement lorsque celui- ci est nécessaire. L’information et les explications fournies aux Personnes concernées ont été revues pour être complètes, claires et facilement compréhensibles. En outre, les coordonnées du délégué à la protection des données ou celles d’un autre représentant légitime de PRAECO sont systématiquement fournies afin d’apporter des compléments d’information.

5. Les traitements sur les données personnelles

1. 1. 5.1.Registredes traitements

L’ensemble des traitements sur les données à caractère personnel effectués par PRAECO sont recensés et décrits dans un registre de traitements. Ce registre contient entre autres les informations suivantes : la description du traitement, les services responsables et impliqués, les finalités du traitement, les mesures de sécurité, les catégories de données personnelles concernées, les données sensibles, les durées de conservation, les catégories de Personnes concernées et les destinataires des données.

Ce registre est tenu à jour par le Délégué à la protection des données avec le concours de référents et de correspondants Informatique et liberté répartis dans les différentes directions métiers et à la direction du SIMA (GIE Informatique).

5. 2. BASES LEGALES

Chaque traitement de données personnelles doit reposer sur une base légale déterminée, explicite et documentée avant sa mise en œuvre. Conformément aux articles 5, 6 et 30 du RGPD et aux recommandations de la CNIL, une finalité donnée ne peut être associée qu’à la ou les bases légales appropriées, et celles-ci doivent être communiquées de manière transparente aux personnes concernées (articles 12 à 14). Tout changement de finalité implique une vérification de la compatibilité ou la détermination d’une nouvelle base légale.

Dans le cadre de ses activités, PRAECO peut mobiliser les bases légales suivantes selon les finalités :

• Consentement
  • pour la communication, l’information et la promotion externes de ses produits et services ;
  • pour la gestion des cookies nécessitant un consentement ;
  • pour la réalisation d’enquêtes et de sondages.
• Exécution d’un contrat ou de mesures précontractuelles
  • la réalisation des opérations nécessaires liées aux produits ou services souscrits par la Personne concernée ;
  • l’analyse des données, notamment afin de personnaliser les produits proposés en fonction du profil

de la Personne concernée ;

• • la gestion de la relation commerciale de PRAECO avec la Personne concernée.
• Obligation légale et réglementaire
  • l’établissement de la preuve des transactions effectuées ;
  • le respect du devoir d’information et de conseil ;
  • la tenue de la comptabilité générale de X ;
  • la gestion des garanties d’assurance ;
  • la mise en œuvre de la lutte contre le blanchiment de capitaux et le financement du terrorisme ;
  • la prévention et la lutte contre la fraude ;
  • la gestion des demandes officielles des autorités de contrôle habilitées ;
  • la vérification de la nature du service fourni et du contenu des informations communiquées,

notamment via l’enregistrement des appels téléphoniques ;

• • la communication d’informations et de documents à caractère réglementaire.
  • ▪ Intérêt légitime les réponses aux demandes de contact que adressées à PRAECO ;
  • la formation des collaborateurs au moyen de l’enregistrement des appels téléphoniques ;
  • la gestion des cookies non soumis à consentement.

5.3.Lestraitementsdecategoriesparticulieresdedonnees

Les catégories particulières de données à caractère personnel ne peuvent être traitées que si la loi l’exige ou si la Personne concernée a donné son consentement libre, spécifique, éclairé et univoque.

Chaque fois que le consentement est lié à des catégories particulières de données personnelles, le consentement mentionne explicitement les données sensibles respectives et la finalité du traitement.

PRAECO est amenée à traiter des données sensibles et hautement personnelles. Des études d’impact sur la vie privée sont menées sur ces traitements afin de prendre toutes les mesures techniques et organisationnelles adéquates pour assurer leur protection.

5. 4. 5.4.Analysed’impactsurlaprotectiondes donnees

PRAECO effectue une analyse d’impact sur la vie privée pour tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Pour déterminer si un traitement est concerné, PRAECO analyse le traitement en prenant en compte les neufs critères ci-dessous.

• Évaluation/scoring (y compris le profilage) ,
• Décision automatique avec effet légal ou similaire,
• Surveillance systématique,
• Données sensibles ou hautement personnelles (santé, géolocalisation, etc.),
• Collecte à large échelle,
• Croisement de données,
• Personnes vulnérables (patients, personnes âgées, enfants, etc.),
• Usage innovant (utilisation d’une nouvelle technologie),
• Exclusion du bénéfice d’un droit/contrat,

Dès lors qu’un seul critère est rempli, le Délégué à la protection des données est consulté pour juger de la pertinence de l’analyse d’impact. Dès lors que deux critères sont réunis, l’analyse d’impact est obligatoire, sauf si le traitement envisagé figure sur la liste des exceptions adoptée par la CNIL après consultation du CEPD (Comité européen de protection des données)

L’analyse d’impact est effectuée en ayant recours à l’outil « DPIA » disponible sur la plateforme ProDPO.

6. La Gestion des données personnelles

1. Duree de conservation et effacement de donnees

Les données personnelles sont conservées en fonction des différentes finalités pour lesquelles elles sont traitées et notamment pendant toute la durée de la relation contractuelle. Les durées de conservation peuvent également résulter d’obligations prévues par la loi.

Ainsi PRAECO conserve, dans le cadre de son activité d’assureur, même après la fin des contrats souscrits, les données que les adhérents lui ont transmises :

• pour les traitements liés à la gestion de ces contrats, pendant les durées légales de prescription des actions,

PRAECO conserve également les données communiquées à des fins de prospection commerciale en vue de la réalisation de propositions d’assurance, pendant 13 mois à compter du dernier contact avec la personne concernée sur ce sujet.

6. 2. Destinataires des donnees des traitements
      1. Destinataires internes

PRAECO porte une attention particulière à la confidentialité des données personnelles collectées et traitées.

Les données personnelles des personnes collectées directement ou indirectement par PRAECO sont traitées en interne par trois familles d’acteurs :

1. Les acteurs (Prestations, Instruction, GRC, etc.) qui gèrent de manière directe les données personnelles des adhérents et personnes protégées dans le cadre des activités de distribution et de gestion des contrats d’assurance confiés à PRAECO,

2. Les acteurs (Système d’information, Comptabilité, etc.) qui gèrent de manière indirecte les données personnelles des adhérents et personnes protégées dans le cadre des activités de gestion d’assurance confiées à PRAECO.
3. Les acteurs (Business Brokers.) qui gèrent de manière directe les données personnelles des distributeurs appartenant au réseau de PRAECO dans le cadre de ses activités de prospection.

3. 1. 2. Destinataires externes

Des destinataires externes peuvent également recevoir des données, dans la stricte mesure nécessaire aux finalités poursuivies et conformément au RGPD :

1. Des prestataires et sous-traitants agissant sur instruction de PRAECO (hébergement, infogérance, éditeurs, centres de relation client, imprimeurs–routeurs, messagerie/SMS, archivage et destruction sécurisée), soumis à des obligations contractuelles conformes à l’article 28 ;
2. Des partenaires et intervenants du risque assurantiel (coassureurs, réassureurs, délégataires de gestion, gestionnaires de tiers payant, réseaux de soins, professionnels et établissements de santé, médecins-conseils, dans le respect du secret professionnel) ;
3. Des intermédiaires et distributeurs (courtiers, mandataires, entreprises souscriptrices pour les contrats collectifs et leurs représentants habilités) ;

4.Desétablissementsbancairesetprestatairesdepaiementpourl’encaissementdescotisationsetle

versement des prestations ;

5. des organismes et autorités légalement habilités (organismes de Sécurité sociale, autorités de contrôle

telles que l’ACPR et la CNIL, autorités judiciaires ou administratives, TRACFIN le cas échéant) ;

6. Des auditeurs, commissaires aux comptes, avocats, auxiliaires de justice, experts et sociétés de

recouvrement, lorsque nécessaire à la gestion des litiges et au respect d’obligations légales.

Seules les personnes dûment habilitées accèdent aux données pertinentes selon le principe de moindre privilège ; des mesures de confidentialité et de sécurité appropriées sont mises en œuvre, et tout transfert éventuel hors UE n’intervient qu’avec des garanties adéquates.

6. 3. Securite des donnees personnelles

PRAECO met en place des mesures techniques et organisationnelles pour préserver la sécurité des données des Personnes concernées notamment, pour empêcher toute suppression ou modification non-désirée, altération, ou accès illégitime.

Les données sensibles et hautement personnelles, et en particulier les données de santé, font l’objet de mesures de sécurité spécifiques. Pour renforcer la sécurité et la confidentialité des données, PRAECO a mis en place des dispositifs d’accès restreint aux données. Ainsi, les données « sensibles » sont uniquement accessibles par un personnel habilité et sensibilisé aux questions de protection des données personnelles.

Si malgré tout une violation de données représentant un risque limité, important ou maximal devait survenir, PRAECO en notifiera la CNIL et/ou en informera les adhérents.

1. 1. 1. La charte informatique

La charte informatique définit les règles de sécurité et d’utilisation applicables aux ressources numériques

pour un usage responsable et optimal.

Elle contribue ainsi à la prévention des risques numériques en précisant les mesures à respecter par chaque

utilisateur, la sécurité des moyens informatiques étant l’affaire de tous.

La charte informatique précise à cet égard les droits et devoirs de chacun ; elle est ainsi opposable à chaque

personne accédant au système d’information, indépendamment de son statut.

6. 4. Localisation des donnees personnelles

PRAECO privilégie des moyens situés en France ou en Union Européenne pour le traitement des données à caractère personnel.

Si un transfert de données à caractère personnel en dehors de l’Union Européenne est effectué, PRAECO s’engage à en informer les Personnes concernées et à le réaliser conformément à la réglementation applicable ; le cas échéant, à l’encadrer de garanties appropriées pour assurer un niveau de protection adéquat.

PRAECO a mis en place une procédure formalisée encadrant les transferts de données hors de l’UE/EEE, prévoyant la qualification du transfert, la vérification d’une décision d’adéquation ou, à défaut, la mise en œuvre de garanties appropriées (clauses contractuelles types, BCR) ainsi que l’évaluation du pays tiers et des mesures complémentaires, conformément aux articles 44 à 49 du RGPD et aux recommandations de la CNIL.

7.Droitsdelapersonneconcerneeparletraitementdesdonnees

PRAECO est très attentive à la prise en compte des demandes d’exercice de droits des Personnes concernées. Ces demandes d’exercice de droits sont prises en charge, dans les délais règlementaires, par le Délégué à la protection des données avec le concours du GIE SIMA (Système d’information) et des Directions métier si nécessaire.

Une demande d’exercice de droit peut s’effectuer à travers l’email suivant : dpo.rgpd@praeco.fr, ou par courrier : PRAECO – Délégué à la Protection des Données 6 rue Paul Morel, 70 000 à Vesoul.

1. 1. Obligation d’information

Le principe de transparence exige que toute information adressée à la Personne concernée soit concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Par conséquent, PRAECO utilise un langage clair et simple dans les communications auprès des personnes concernées :

Les informations suivantes sont fournies à la Personne concernée lors de la collecte des données

personnelles ou lorsqu’elle le souhaite :

• L’identité et les coordonnées du Responsable du traitement et les coordonnées du responsable de la protection des données ;
• La ou les finalité(s)pour laquelle/lesquelles les données personnelles seront traitées ;
• Les destinataires ou catégories de destinataires éventuels des Données Personnelles ;
• La période pour laquelle les données personnelles seront stockées ;
• L’existence de droits de la Personne concernée, y compris le droit d’accès, de rectification,

d’effacement (le « droit à l’oubli »), de restreindre le traitement, de s’opposer au traitement et de

transférer les données ;

• Le cas échéant, le droit de retirer le consentement ;
• Les coordonnées du Délégué à la protection des données (DPO)
• Le droit de porter plainte auprès des autorités de surveillance ;
• Les conséquences de ne pas fournir les données nécessaires pour conclure un contrat.

PRAECO a mis en place une procédure formalisée d’information des personnes, conforme aux articles 12 à 14 du RGPD, garantissant une information transparente, concise et accessible fournie au moment de la collecte (ou dans le délai requis en cas de collecte indirecte), précisant notamment les finalités, bases légales, destinataires, durées de conservation, droits et modalités d’exercice, ainsi que les transferts éventuels hors UE.

7. 2. Droit d’acces de la personne concernee par le traitement

Le droit d’accès de la Personne concernée implique le droit d’obtenir la confirmation par PRAECO que des données personnelles concernant la Personne concernée soient traitées. PRAECO fournit à la Personne concernée qui en fait la demande une copie de ses données personnelles sous une forme électronique d’usage courant, après vérification de l’identité.

7.3.DROITDE RECTIFICATION

La Personne concernée a le droit de demander la rectification des données personnelles inexactes la concernant auprès de PRAECO. Cette demande est mise en œuvre dans les meilleurs délais. En outre, la Personne concernée a le droit de compléter les données si elles sont incomplètes.

7. 4. Droit a L’effacement

La Personne concernée a le droit de demander l’effacement de ses données personnelles dans les cas suivants:

• Lorsque les données à caractère personnel ne sont plus nécessaires par rapport aux finalités pour lesquelles elles ont été collectées ou traitées,
• Lorsque la Personne concernée retire son consentement et lorsqu’il n’existe aucun autre motif légal pour le traitement,
• Lorsque la Personne concernée s’oppose au traitement et qu’il n’existe aucun motif légitime impérieux justifiant le traitement,
• Lorsque les données personnelles ont été traitées illégalement,
• Lorsque l’effacement est nécessaire pour le respect d’une obligation légale.

7. 5. Limitation de traitement des donnees

La Personne concernée peut obtenir de PRAECO la limitation du traitement de ses Données à caractère personnel. La limitation consiste à marquer les données conservées afin d’en suspendre temporairement toute opération de traitement (autre que la conservation), au moyen de mesures telles que le marquage, l’isolement/archivage séparé ou le masquage. Pendant cette période, les données ne peuvent être traitées qu’avec le consentement de la Personne concernée, pour la constatation, l’exercice ou la défense de droits en justice, pour la protection des droits d’une autre personne, ou pour des motifs importants d’intérêt public.

La limitation s’applique notamment lorsque l’exactitude des données est contestée, lorsque le traitement est illicite mais que l’effacement est refusé, lorsque les données ne sont plus nécessaires à PRAECO mais nécessaires à la Personne concernée pour des droits en justice, ou pendant la vérification des motifs légitimes à la suite d’une opposition. La demande et l’état de limitation sont tracés et portés à la connaissance des services concernés, et la Personne concernée est informée avant la levée de la limitation.

7. 6. Droit a la portabilite

La Personne concernée peut obtenir, pour les données qu’elle a fournies à PRAECO (données déclarées et observées), lorsque le traitement est automatisé, fondé sur le consentement, ou sur un contrat, leur remise dans un format structuré, couramment utilisé et lisible par machine, et/ou leur transmission directe à un autre responsable, lorsque techniquement possible. Ce droit n’inclut pas les données déduites ou inférées par PRAECO et s’exerce sans porter atteinte aux droits et libertés de tiers.

7. 7. Droit d’opposition

La Personne concernée a le droit de s’opposer, à tout moment en raison de sa situation particulière, au traitement de ses données personnelles lorsque le traitement est fondé sur les intérêts légitimes de PRAECO ou d’un tiers.

La charge de la preuve incombe au Responsable du traitement, qui doit démontrer qu’il a des motifs impérieux de poursuivre le traitement ou que le traitement est nécessaire en relation avec ses droits légaux. Si PRAECO ne peut pas démontrer que l’activité de traitement concernée relève de l’un de ces deux motifs, l’activité de traitement doit être stoppée.

7. 8. Procedure de gestion des demandes d’exercice des droits

PRAECO a mis en place une procédure formalisée pour faciliter l’exercice des droits des personnes

concernées, conformément aux articles 12 à 22 du RGPD et aux recommandations de la CNIL.

8. La protection de la vie privee des la conception de l’offre

Les réglementations sur la protection des données personnelles exigent des entreprises adhérentes de mettre en œuvre les mesures techniques et organisationnelles appropriées au moment de la détermination des moyens de traitement et au moment du traitement lui-même afin de garantir que les principes de protection soient pris en compte. Cela signifie que les entreprises adhérentes doivent se conformer à tous les principes de traitement des données dans la phase de conception et de développement des nouvelles initiatives.

En outre, PRAECO met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel nécessaires à chaque finalité spécifique du traitement soient traitées. Cette obligation s’applique à la quantité de données personnelles collectées, à l’extension du traitement de ces données, à la durée de leur stockage et à leur accessibilité.

De plus, PRAECO s’engage à sensibiliser et former régulièrement l’ensemble de son personnel à la protection des données personnelles et à la sécurité informatique. Différents niveaux de formation et sensibilisation sont dispensés afin de s’adapter à chaque collaborateur.

9. Notification d’une violation de données

Une violation de données à caractère personnel signifie une violation de sécurité conduisant à la destruction accidentelle ou illégale, la perte, la modification, la divulgation non autorisée ou l’accès illégitime à des données à caractère personnel transmises, stockées ou autrement traitées. Souvent, une violation de données entraînera certains risques comme la perte d’image ou des amendes administratives. Par conséquent, les violations de données peuvent entraîner des dommages sérieux pour PRAECO.

PRAECO a mis en place une procédure de notification en cas de violation des données ou de suspicion de violation.

Dans cette procédure de notification, il est prévu l’ensemble des mesures, processus et actions afin que la notification à la CNIL ait lieu sans retard injustifié, au plus tard 72 heures après que PRAECO en a eu connaissance.

Cette procédure comporte 4 volets :

• L’analyse de la violation des données

En cas de violation ou suspicion, PRAECO analyse l’ensemble des causes et conséquences de la violation et

notamment :

• La nature de la violation : perte de confidentialité, intégrité ou de la disponibilité,
• L’origine de l’incident,
• La (es) cause(s) de la violation,
• La nature des données concernées par la violation, et notamment s’il s’agit de données sensibles,

✓La volumétrie concernée par la violation (nombre d’enregistrements ou nombres de Personnes concernées),

• La ou les catégorie(s) de personnes concernées par la violation,
• Les mesures de sécurité préalables à la violation.

• La notification à la CNIL

La notification aura lieu sans retard injustifié, au plus tard 72 heures après que PRAECO en a eu connaissance. La notification s’effectuera sur le site de la CNIL et selon les modes opératoires définis dans la procédure.

• La notification des Personnes concernées

Si la violation est susceptible d’entraîner une discrimination, un vol d’identité ou une fraude, une perte financière, une atteinte à la réputation ou d’autres désavantages économiques ou sociaux importants pour les personnes concernées, PRAECO notifiera la violation aux personnes concernées selon les modes opératoires définis dans la procédure.

• La mise en place des actions de remédiation

PRAECO détermine les conséquences et définit les actions à entreprendre pour remédier à la violation. PRAECO détermine notamment :

• Les impacts sur les données,
• Les préjudices potentiels pour les personnes concernées,
• Les mesures techniques et organisationnelles appliquées au traitement suite à la violation.

Enfin PRAECO conserve une documentation complète de toutes les violations de données personnelles, y compris les faits relatifs à la violation des données personnelles, ses effets et les mesures correctives prises.

10. Encadrement des situations de sous-traitance

PRAECO a recours uniquement à des Sous-traitants offrant des garanties suffisantes pour mettre en œuvre

les mesures techniques et organisationnelles appropriées de manière que le traitement effectué respecte :

• les législations européennes en matière de protection des données personnelles,
• les législations nationales en matière de protection des données personnelles,
• cette politique de protection des données personnelles.

Les relations sont régies par des clauses contractuelles sur la protection des données entre PRAECO et le Sous-traitant.

Ces clauses réglementent :

• L’objet et la durée du traitement,
• La nature et le but du traitement,
• Le type de données personnelles et les catégories de personnes concernées,
• Les obligations et les droits du Responsable du traitement,
• La correction, l’effacement et le blocage des données,
• Tout droit d’émettre des contrats de sous-traitance,
• Les droits de contrôle du Responsable du traitement et les obligations correspondantes du Sous- traitant de tolérer et de coopérer,
• Les procédures de notification en cas de violation commise par le Sous-traitant ou les personnes employées par le Sous-traitant,
• L’étendue du pouvoir du Responsable du Traitement de donner des instructions au Sous-traitant,
• Le retour du support de stockage de données et l’effacement des données stockées par le Sous- traitant après la fin de la commande.

En outre, elles doivent stipuler que le Sous-traitant :

• s’assure que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée ;
• prend toutes les mesures techniques et organisationnelles requises en vertu de l’article 32 du RGPD ;
• au choix du Responsable du traitement, supprime les données personnelles après la fin de la fourniture des services ;

PRAECO a mis en place une procédure formalisée encadrant le recours aux sous-traitants, couvrant la sélection, la contractualisation conforme à l’article 28 du RGPD (clauses, instructions documentées, confidentialité, sécurité), et le suivi de conformité selon les recommandations de la CNIL.

11. Revue periodique et versionnage de la politique

La présente politique est revue au minimum tous les 12 mois afin de garantir son adéquation avec les activités de PRAECO, l’état de l’art et le cadre juridique applicable. Elle peut intervenir de manière anticipée en cas d’évolution significative des traitements (finalités, bases légales, catégories de données ou de destinataires, transferts internationaux), du système d’information, des prestataires, du cadre réglementaire/sectoriel, des recommandations de la CNIL, ou à la suite d’un incident de sécurité ou d’une analyse d’impact (AIPD).

Chaque mise à jour fait l’objet d’un versionnage formel. Les versions sont numérotées, datées et

approuvées par la Direction, sur proposition du DPO et du Directeur Risques & Conformité.

Toute modification substantielle (par exemple un changement de finalité, de base légale ou d’ampleur du traitement) entraîne, le cas échéant, la mise à jour des mentions d’information (articles 13 et 14), du registre des traitements (article 30), des contrats et procédures internes, et peut nécessiter un nouveau recueil du consentement, une nouvelle mise en balance d’intérêt légitime ou une AIPD. Les personnes concernées et les parties prenantes internes sont informées de manière claire et appropriée des changements ayant un impact sur leurs droits.

Le DPO coordonne la revue, propose les mises à jour et veille à la cohérence entre la politique, le registre des traitements, les analyses de risques et les mesures de sécurité (article 32). La politique mise à jour est diffusée et accessible aux collaborateurs et, le cas échéant, aux personnes concernées.