pack de conformité assurance complet

cnilfrEacutedition juillet 2014

ASSURANCE

PACK DE CONFORMITEacute

cnilfrEacutedition novembre 2014

SOMMAIRE

LA DEacuteMARCHE ADOPTEacuteE

LE SECTEUR DE LrsquoASSURANCE

RAPPEL SUR LA LOI INFORMATIQUE ET LIBERTEacuteS

LEXIQUE

TEXTES APPLICABLES

FICHES PRATIQUES FICHE Ndeg1 LA PASSATION LA GESTION ET Lrsquo EXECUTION DES CONTRATS DrsquoASSURANCE (NS 16)

FICHE Ndeg2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

FICHE Ndeg3 LA COLLECTE DU NIR ET LA CONSULTATION DU RNIPP (AU 31)

FICHE Ndeg4 LA COLLECTE DES DONNEacuteES DrsquoINFRACTIONS DE CONDAMNATIONS OU DES MESURES DE SUcircRETEacute (AU 32)

FICHE Ndeg5 LA LUTTE CONTRE LA FRAUDE (AU 39)

FORMALITEacuteS PREacuteALABLES

CONCLUSION GEacuteNEacuteRALE SUR LE PACK ASSURANCE

Pack de conformiteacute - Assurance 1

7

2

6

2

88

14

20

25

28

36

36

6


ASSURANCEPACK DE CONFORMITEacute

LA DEacuteMARCHE

Le pack de conformiteacute est un nouvel ou-til de reacutegulation de lrsquoutilisation des donneacutees personnelles qui recouvre tout agrave la fois

une meacutethode de travail il srsquoagit pour la Cnil drsquoassocier pleinement les acteurs drsquoun secteur drsquoactiviteacute (professionnels agrave titre principal mais aussi le cas eacutecheacuteant les autoriteacutes publiques et usagers concerneacutes) afin de faire remonter les bonnes ou mau-vaises pratiques les problegravemes rencontreacutes les demandes des usagers les speacutecificiteacutes du secteur concerneacute et plus geacuteneacuteralement les questions qui se posent sur le terrain

un nouveau mode de reacutegulation pour la Cnil Il srsquoagit de bacirctir des reacutefeacuterentiels sectoriels mettant agrave plat les traitements de donneacutees personnelles du secteur pour deacuteboucher sur

bull un ensemble de regravegles et de bonnes pratiques deacuteclineacutees au moyen des vecteurs

juridiques existants tels que normes sim-plifieacutees autorisations uniques recomman-dations reconnaissance de la conformiteacute des regravegles professionnelles mais aussi des fiches pratiques eacutelaboreacutees pour clarifier et donner des exemples concrets

bull des modes opeacuteratoires et processus organisationnels lieacutes agrave la mise en place de correspondants informatique et liberteacutes de regravegles internes drsquoentreprises (appeleacutes BCR) de labelshellip

Ce reacutefeacuterentiel a un double objectif seacutecuriser juridiquement les profession-

nels en donnant des indications concregravetes sur la faccedilon de respecter les textes et des modes opeacuteratoires preacutecis

simplifier les formaliteacutes autant que la loi actuelle le permet en utilisant les dis-penses normes simplifieacutees et autorisations uniques


Depuis quelques anneacutees on assiste agrave une monteacutee en puissance du secteur de lrsquoassu-rance dans une socieacuteteacute ougrave le vieillissement des populations la mondialisation des eacuteco-nomies ou encore le droit europeacuteen de lrsquoassu-rance connaissent drsquoimportantes mutations Ces derniegraveres ont pour conseacutequences directes une course agrave la compeacutetitiviteacute et une multi-plication des produits Dans ce contexte de transformation du marcheacute les assureurs re-cherchent de plus en plus une offre de services globale pour mettre sur pied des applications immeacutediates au service de leur strateacutegie et de leurs performances

Pour faire face agrave la demande de nouveaux produits de nouveaux modes de distribution et des eacutevolutions leacutegislatives la Cnil et les pro-fessionnels de lrsquoassurance ont souhaiteacute se reacuteu-

nir pour examiner lrsquoensemble des traitements neacutecessitant la collecte de donneacutees person-nelles La Cnil a ainsi souhaiteacute accompagner les professionnels de lrsquoassurance - repreacutesenteacutes par les organisations professionnelles FFSA GEMA FNMF CTIP et CSCA - dans la deacute-marche de simplification des formaliteacutes et de seacutecurisation juridique en donnant des indica-tions concregravetes sur la faccedilon de respecter la loi informatique et liberteacutes et en proposant des modes opeacuteratoires deacutetailleacutes

Le groupe de travail constitueacute pourle laquo pack assurance raquo

La Cnil a convieacute lrsquoensemble des acteurs de la place du secteur de lrsquoassurance agrave participer aux travaux neacutecessaires pour mener ensemble lrsquoeacutelaboration du pack de conformiteacute Des reacute-


PACK DE CONFORMITEacuteASSURANCE


unions trimestrielles ont eacuteteacute organiseacutees avec les organisations professionnelles du secteur (FFSA GEMA FNMF CTIP et CSCA) De leur cocircteacute les organisations ont eacutegalement reacuteuni

leurs membres pour organiser des reacuteunions de travail et proceacuteder aux relectures des textes et participer de faccedilon effective agrave la construc-tion du pack

Groupe de travail Membres Missions et principes directeurs

FFSA Feacutedeacuteration Franccedilaise des Socieacuteteacutes drsquoAssurances

234 entreprises1

Repreacutesenter les inteacuterecircts de la profession aupregraves de ses interlocuteurs publics et priveacutes nationaux et internationaux

Ecirctre un outil de concertation avec ses diffeacuterents partenaires tant externes2 qursquointernes3

Eacutetudier en commun les problegravemes techniques financiers et juridiques La FFSA eacutetablit des statistiques reacutetrospectives et prospectives de lrsquoassurance

Informer le public

Le GEMA est le syndicat professionnel des mutuelles drsquoassuranceIl deacutefend une vision mutualiste des questions drsquoassurance aupregraves des pouvoirs publics nationaux et europeacuteens et des organismes professionnelsLes mutuelles drsquoassurance constituent une famille agrave part entiegravere qui se distingue des autres socieacuteteacutes drsquoassurance par certaines caracteacuteristiques essentielles - Les mutuelles drsquoassurance sont des socieacuteteacutes de personnes qui nrsquoont pas de

capital social donc pas drsquoactionnaires agrave reacutemuneacuterer- Les socieacutetaires entre eux sont agrave la fois assureacutes et assureurs- Les mutuelles drsquoassurance sont agrave but non lucratif- Les mutuelles drsquoassurance sont geacutereacutees par des administrateurs beacuteneacutevoles

eacutelus par des deacuteleacutegueacutes eux-mecircmes eacutelus par les socieacutetairesLes valeurs fondatrices de solidariteacute de deacutemocratie de liberteacute et de transparence sur lesquelles srsquoappuient les mutuelles drsquoassurance sont les garants de leur indeacutependance du maintien du lien direct avec leurs socieacutetaires et du controcircle du fonctionnement et de la gestion

GEMA Groupement des entreprises Mutuelles drsquoAssurance

45 socieacuteteacutes adheacuterentes

FNMF Mutualiteacute Franccedilaise

95 des mutuelles

38 M personnes

La mission drsquoune mutuelle est simple garantir agrave tous lrsquoaccegraves agrave des soins de qualiteacute - Limiter les deacutepassements drsquohonoraires - Geacuteneacuteraliser le tiers payant - Maintenir une action sociale - Solidariteacute deacutemocratie et transparence- Les mutuelles font vivre un systegraveme de solidariteacute drsquoentraide et de

preacutevoyance Il permet lrsquoaccegraves agrave des soins de qualiteacute agrave tous les adheacuterents- Les mutuelles combattent lrsquoexclusion et la discrimination

Elles ne seacutelectionnent pas leurs adheacuterents

CTIP Centre technique des institutions de preacutevoyance (IP)

47 IP

13 M salarieacutes2 M entreprises

Repreacutesenter les IP aupregraves des pouvoirs publics nationaux et europeacuteens

Favoriser le deacuteveloppement des IP en preacuteservant leur vocation sociale et la speacutecificiteacute de leur gestion paritaire

(1) Soit 90 du marcheacute franccedilais de lrsquoassurance et pregraves de 100 de lrsquoactiviteacute internationale des entreprises de ce marcheacute (2)consommateurs meacutedias universitaires autres secteurs drsquoactiviteacutehellip (3) organisations drsquointermeacutediaires syndicats de salarieacutes (neacutegociations des conventions et accords collectifs)




CSCA Chambre Syndicale des Courtiers drsquoAssurances

Plus de 1 000 adheacuterents4

Porter la repreacutesentativiteacute des syndicats adheacuterents aupregraves des pouvoirs publics des organisations patronales salariales professionnelles

Deacutefendre et promouvoir les inteacuterecircts moraux et mateacuteriels des syndicats adheacuterents et de leurs membres

Veiller au respect par ses membres des regravegles deacuteontologiques professionnelles et de solvabiliteacute

Eacutetudier les questions professionnelles eacuteconomiques juridiques et sociales relatives agrave lrsquoactiviteacute de courtage drsquoassurances etou de reacuteassurances

Repreacutesenter en justice la profession de courtier drsquoassurances et de reacuteassurances et assurer la deacutefense et la protection des inteacuterecircts de la profession etc

Le pack de conformiteacute eacutelaboreacute est un reacute-feacuterentiel qui srsquoadresse aux responsables de traitements ayant la qualiteacute laquo drsquoorganismes drsquoassurance raquo Cette notion regroupe les en-treprises drsquoassurance (socieacuteteacutes anonymes drsquoas-surance les socieacuteteacutes drsquoassurance mutuelle les mutuelles relevant du Code de la mutualiteacute et les institutions de preacutevoyance) de capita-lisation de reacuteassurance drsquoassistance et les intermeacutediaires drsquoassurance (les agents geacuteneacute-raux drsquoassurance et les courtiers drsquoassurance)

Dans le cadre des autorisations uniques re-latives au numeacutero de seacutecuriteacute sociale laquo NIR raquo (AU ndeg31) et aux donneacutees drsquoinfractions de condamnations et mesures de sucircreteacutes (AU ndeg32) lrsquoAGIRA5 est eacutegalement responsable de traitement

Pour lrsquoAU ndeg31 cela srsquoexplique par la re-prise de lrsquoAU ndeg18 dans son peacuterimegravetre En effet le responsable de traitement viseacute par lrsquoautorisation relative aux assureacutes et beacuteneacutefi-ciaires de contrats drsquoassurance sur la vie deacute-ceacutedeacutes est lrsquoAGIRA

Srsquoagissant de lrsquoAU ndeg32 lrsquoAGIRA est res-ponsable de traitement au titre de son activiteacute laquo TransPV raquo6

Le deacuteroulement des travaux

1 Adoption de deux normes simplifieacutees La Cnil dispose drsquoun pouvoir reacuteglementaire

qui lui permet drsquoeacutedicter des normes destineacutees agrave simplifier lrsquoobligation de deacuteclaration pour les cateacutegories les plus courantes de traitements Lrsquoanneacutee 2013 a eacuteteacute lrsquooccasion de mettre agrave jour la norme simplifieacutee ndeg16 relative agrave la passation agrave la gestion et agrave lrsquoexeacutecution des contrats drsquoassurance et drsquoadopter une norme simplifieacutee ndeg56 pour la gestion commerciale des clients et prospects Deacutesormais les orga-nismes drsquoassurance pourront proceacuteder agrave un engagement de conformiteacute aupregraves de la Cnil pour les traitements concernant la gestion des contrats drsquoassurance la gestion commerciale des clients les opeacuterations de prospection ou encore lrsquoeacutelaboration de statistiques commer-ciales etc

Lien sur les deacutelibeacuterations

2 Adoption de trois autorisations uniques Comme pour les normes simplifieacutees la Cnil

peut autoriser par une deacutecision unique une ca-teacutegorie de traitements reacutepondant aux mecircmes

(4) En 2010(5) Association pour la Gestion des Informations sur le Risque en Assurance (6) LrsquoAGIRA fait partie de la liste des organismes que le procureur de la Reacutepublique peut autoriser agrave se faire deacutelivrer une copie des piegraveces de proceacutedure judiciaire en cours

Organismes communs FFSAGEMA AGIRA (partenaire CTIP) lrsquoAFLA ARGOShellip




finaliteacutes portant sur des cateacutegories de don-neacutees identiques et ayant les mecircmes cateacutegories de destinataires Trois autorisations uniques ont eacuteteacute adopteacutees en 20147 lrsquoAU ndeg31 pour la collecte des donneacutees comportant le numeacutero de seacutecuriteacute sociale laquo NIR raquo lrsquoAU ndeg32 relative aux donneacutees drsquoinfractions de condamnations et mesures de sucircreteacutes et lrsquoAU ndeg39 relative agrave la lutte contre la fraude en assurance8

Lrsquoautorisation unique relative au laquo NIR raquo vise deux finaliteacutes la collecte et le traitement du numeacutero de seacutecuriteacute social et lrsquoaccegraves au reacute-pertoire national drsquoidentification des personnes physiques (RNIPP) tel qursquoil eacutetait preacutevu dans le cadre de lrsquoAU ndeg18

Quant aux donneacutees drsquoinfractions de condamnations ou mesures de sucircreteacute elles peuvent srsquoaveacuterer neacutecessaires lors de la pas-sation de la gestion et de lrsquoexeacutecution des contrats drsquoassurance En effet les donneacutees relatives aux infractions et condamnations font partie des anteacuteceacutedents du contrat drsquoas-surance de lrsquoassureacute et permettent notamment agrave lrsquoassureur drsquoeacutevaluer les risques De mecircme lors de lrsquoexeacutecution du contrat les donneacutees drsquoin-fractions peuvent ecirctre utiliseacutees pour prouver

que les conditions de garantie sont remplies et que le risque nrsquoa pas eacuteteacute aggraveacute

Enfin le peacuterimegravetre retenu dans le cadre de la lutte contre la fraude est tregraves large puisqursquoil concerne la fraude interne et ex-terne en matiegravere drsquoassurance dommage et de personnes Sont viseacutes toutes les phases de gestion de la fraude (preacutevention deacutetection et gestion des cas suspecteacutes et aveacutereacutes) pour les organismes drsquoassurances identifieacutes dans la norme simplifieacutee ndeg16 et dans le cadre de la passation la gestion et lrsquoexeacutecution du contrat drsquoassurance


3 Adoption de fiches pratiques Afin de faciliter la lecture de ces normes et

ne pas alourdir le contenu des deacutelibeacuterations des fiches pratiques explicatives ont eacuteteacute reacutedi-geacutees Elles ont vocation agrave aider les assureurs agrave mettre en œuvre concregravetement les disposi-tions des normes et autorisations mais aussi agrave permettre aux assureacutes de mieux comprendre certaines notions techniques

Lien sur les fiches pratiquesNS 56 NS 16 AU 31 AU 32 AU 39

(7) Le 23 janvier 2014(8) Le 17 juillet 2014

RAPPELLa Loi Informatique et Liberteacutes

La loi informatique et liberteacutes du 6 janvier 1978 modifieacutee srsquoapplique degraves lors qursquoil est pro-ceacutedeacute agrave un traitement de donneacutees agrave caractegravere personnel

bull Constitue un traitement de donneacutees per-sonnelles toute opeacuteration (collecte enregistre-ment conservation modification extraction consultation utilisation communication in-terconnexion destructionhellip) portant sur des donneacutees personnelles

bull Constitue une donneacutee agrave caractegravere personnel toute information relative agrave une personne physique identifieacutee ou qui peut ecirctre identifieacutee directement ou indirecte-ment Ainsi sont des donneacutees personnelles toutes les donneacutees qui seules ou combi-neacutees entre elles peuvent ecirctre rattacheacutees agrave un assureacute un client ou prospect (numeacutero

de carte bancaire reacutefeacuterences bancaires vie maritale nombre de personnes composant le foyer numeacutero drsquoacte de deacutecegraves donneacutees relatives aux investigationshellip) Les donneacutees personnelles ne sont donc pas uniquement les donneacutees nominatives (nom et preacutenom)

La mise en place drsquoun traitement de donneacutees personnelles doit respecter la loi informatique et liberteacutes En effet toute personne qui souhaite traiter des donneacutees personnelles est soumise agrave un certain nombre drsquoobligations leacutegales (information des personnes quant au traitement mis en place voire recueil du consentement mise en place de modaliteacutes drsquoexercice du droit drsquoaccegraves et de suppression des donneacutees me-sures de seacutecuriteacute formaliteacutes preacutealables agrave effectuer aupregraves de la CNILhellip)




LEXIQUE

Adheacuterent Personne qui adhegravere de maniegravere obligatoire ou facultative au contrat collectif drsquoassurance souscrit par une personne morale au profit des membres

Assureacute Deacutesigne une personne dont la vie les actes ou les biens sont garantis par un contrat drsquoassurance

- Dans le domaine de lrsquoassurance automobile lrsquoassureacute est le proprieacutetaire du veacutehicule Lrsquoas-sureacute est aussi laquo toute personne raquo qui avec lrsquoautorisation dudit proprieacutetaire possegravede la garde ou conduit du veacutehicule

- En matiegravere drsquoassurances de bien lrsquoassureacute est le preneur drsquoassureur mais aussi son conjoint ses enfants mineurs etou majeurs ceacutelibataires qui vivent sous le mecircme toit agrave lrsquoadresse figurant sur le contrat drsquoassurance Certains assureurs admettent aussi que toute autre personne reacutesidant en permanence sous le mecircme toit agrave lrsquoadresse indiqueacutee sur les conditions particuliegraveres peut eacutegalement ecirctre consideacutereacutee comme assureacute

- En assurances de personne lrsquoassureacute est geacuteneacuteralement le souscripteur du contrat sur lequel repose le risque (deacutecegraves maladie invaliditeacute)

Ayant droit Personne qui deacutetient un droit en raison de sa situation juridique fiscale financiegravere ou drsquoun lien familial avec le beacuteneacuteficiaire direct de ce droit

Beacuteneacuteficiaire Tierce personne physique ou morale au profit de laquelle une assurance a eacuteteacute contracteacutee Elle peut ecirctre nommeacutement deacutesigneacutee aux conditions particuliegraveres du contrat ou bien apparaicirctre dans les conditions geacuteneacuterales sous les termes de conjoint survivant drsquoayant droit ou drsquoheacuteritier neacute ou agrave naicirctre Le beacuteneacuteficiaire recevra lrsquoindemniteacute due par lrsquoassureur en cas de reacutealisation du risque assureacute

Le souscripteur Personne qui conclut signe et regravegle les cotisations ou primes drsquoassurance Il peut ecirctre diffeacuterent de lrsquoassureacute ou du beacuteneacuteficiaire Le souscripteur peut ecirctre une personne physique (contrat individuel) ou une personne morale (contrat collectif)

Tiers victime Le tiers est geacuteneacuteralement deacutefini comme une personne nrsquoayant pas la qualiteacute drsquoassureacute et nrsquoeacutetant pas exclu du beacuteneacutefice du contrat Cette notion est utiliseacutee dans le cadre des contrats drsquoassurances de responsabiliteacute civile Lrsquoobjet du contrat drsquoassurance de responsabiliteacute civile est de garantir les conseacutequences peacutecuniaires de la responsabiliteacute civile pouvant incomber agrave lrsquoassureacute en cas de dommages causeacutes au tiers




TEXTES APPLICABLES

Loi ndeg 78-17 du 6 janvier 1978 modifieacutee relative agrave lrsquoinformatique aux fichiers et aux liberteacutes

Code des assurances code civil code geacute-neacuteral des impocircts code moneacutetaire et financier code de la mutualiteacute code peacutenal code des postes et des communications eacutelectroniques code rural code de la santeacute publique code de la seacutecuriteacute sociale code du travail code de la consommation

Loi ndeg 2004-575 du 21 juin 2004 pour la confiance dans lrsquoeacuteconomie numeacuterique

Ordonnance ndeg2011-1012 du 24 aoucirct 2011 relative aux communications eacutelectro-niques



FICHE Ndeg1 LA PASSATION LA GESTION ET LrsquoEXECUTION DES CONTRATS DrsquoASSURANCE (NS 16)

La mise en place drsquoun traitement de don-neacutees personnelles doit respecter la loi IampL En effet toute personne qui souhaite traiter des donneacutees personnelles est soumise agrave un certain nombre drsquoobligations leacutegales

Finaliteacutes poursuivies par le traitement Finaliteacute 1 passation et la gestion des

contrats1 bull La passation des contrats Il srsquoagit

de laquo lrsquoeacutetude des besoins speacutecifiques de chaque demandeur afin de proposer des contrats adapteacutes raquo notamment dans le cadre du respect de lrsquoobligation de conseil (art L5201 et L132-27-1 du Code des assurances) Cette obligation neacutecessite de preacuteciser les exigences et besoins du sous-cripteur eacuteventuel et les raisons justifiant le conseil donneacute pour un produit drsquoassu-rance deacutetermineacute

Cela concerne aussi laquo lrsquoexamen lrsquoaccep-tation le controcircle et la surveillance du risque raquo On parle couramment de laquo lrsquoap-preacuteciation des risques raquo Elle comprend lrsquoexamen et lrsquoeacutevaluation des caracteacuteris-tiques du risque pour en deacuteterminer en particulier la freacutequence son coucirct moyen le coucirct du sinistre maximum possible afin drsquoeacutetablir une tarification et de veacuterifier lrsquoassurabiliteacute du risque2

bull La gestion des contrats La gestion des contrats couvre la phase preacute contractuelle jusqursquoagrave la reacutesiliation du contrat Il srsquoagit notamment de la tarification de lrsquoeacutemis-sion des documents preacute contractuels contractuels et comptables de lrsquoencais-sement des primes ou cotisations de leur reacutepartition eacuteventuelle entre les coassu-

reurs et les reacuteassureurs du commission-nement de la surveillance des risques et des autres opeacuterations techniques neacute-cessaires

Aucune deacutecision refusant un contrat agrave une personne ne pourra avoir pour seul fondement un traitement automatiseacute de donneacutees agrave ca-ractegravere personnel les personnes concerneacutees devront ecirctre mises en mesure de preacutesenter leurs observations

Finaliteacute 2 lrsquoexeacutecution des contrats3 Il srsquoagit des opeacuterations techniques neacutecessaires agrave la mise en œuvre des garanties et des pres-tations Dans ce cadre les donneacutees collecteacutees sont relatives agrave la gestion des prestations agrave la gestion des sinistres Dans certains cas il est possible que lrsquoapeacuteriteur4 procegravede agrave la collecte de ces informations aupregraves des coassureurs et des reacuteassureurs au moment de la souscription du contrat drsquoassurance ou lors de lrsquoexeacutecution des dispositions contractuelles

Finaliteacute 3 lrsquoeacutelaboration des statistiques et eacutetudes actuarielles

Finaliteacute 4 lrsquoexercice des recours et la gestion des reacuteclamations et des contentieux

Finaliteacute 5 lrsquoexeacutecution des dispositions leacutegales reacuteglementaires et administratives en vigueur agrave lrsquoexception de celles qui relegravevent drsquoune formaliteacute particuliegravere preacutevue par la loi IampL Il peut srsquoagir de traitements relatifs agrave lrsquoexeacutecution des regravegles fiscales sociales ou encore agrave la collecte de contributions pour dif-feacuterents fonds (ex fonds de garantie des assu-rances obligatoires fonds de preacutevention des risques naturels majeurs)

Les dispositions qui relegravevent drsquoun reacutegime particulier sont par exemple celles dont les donneacutees sont soumises agrave un reacutegime drsquoauto-

(1) Le terme contrat fait reacutefeacuterence aux contrats drsquoassurance de capitalisation de reacuteassurance et drsquoassistance(2) Lrsquoassureur a lrsquoobligation de respecter des regravegles prudentielles qui le conduisent agrave deacutefinir une politique drsquoacceptation des risques et refuser les risques qursquoil ne peut assurer selon cette politique (article R336-1-2deg du code des assurances et article 41 de la directive 2009138) (3) Le terme contrat fait reacutefeacuterence aux contrats drsquoassurance de capitalisation de reacuteassurance et drsquoassistance(4) En matiegravere drsquoassurance couverte par plusieurs assureurs celui drsquoentre eux qui drsquoune maniegravere geacuteneacuterale repreacutesente le groupe drsquoassureurs

LES TRAITEMENTS DE DONNEacuteES PERSONNELLES AU REGARD DE LA LOI INFORMATIQUE ET LIBERTEacuteS



FICHE Ndeg1LA PASSATION LA GESTION ET LrsquoEXECUTION DES CONTRATS DrsquoASSURANCE (NS 16)

risation (ex NIR donneacutees drsquoinfractionhellip) ou encore celles relevant de la reacuteglementation speacutecifique agrave un secteur (ex lutte anti-blan-chimenthellip)

Cateacutegories de donneacutees Une fois les personnes informeacutees de la mise

en œuvre du traitement les donneacutees qui les concernent doivent ecirctre pertinentes et propor-tionneacutees au regard de la finaliteacute

Les donneacutees relatives agrave lrsquoidentification Il srsquoagit laquo des donneacutees relatives agrave lrsquoidentifica-tion des personnes parties inteacuteresseacutees ou in-tervenantes au contrat eacutetat civil ainsi que les piegraveces justifiant lrsquoidentiteacute les coordonneacutees et la nationaliteacute raquo

bull Les personnes parties et inteacuteresseacutees au contrat sont notamment les assureacutes les beacuteneacuteficiaires les ayants droits les tiers les teacutemoins les souscripteurs les heacuteritiers les tuteurs les curateurs les payeurs de prime les conducteurs les cautionshellip

bull Les personnes intervenantes au contrat sont notamment les intermeacutediaires en assurance les gestionnaires les presta-taires (ex les reacuteparateurs automobiles les agents de recherche priveacute les experts les avocats les meacutedecins les enquecircteurs les professionnels de santeacute les reacuteseaux de soins les officiers ministeacuteriels no-taires huissiershellip)

Les documents drsquoidentification pouvant ecirctre collecteacutes sont relatifs agrave

bull Lrsquoeacutetat civil il srsquoagit notamment des noms preacutenoms sexe civiliteacute donneacutees relatives aux piegraveces drsquoidentiteacute (permis de conduire carte identiteacute livret de famille carte de seacutejour passeporthellip) date de deacutecegraves nom jeune fille date et lieu de naissancehellip

bull Aux coordonneacutees il srsquoagit notamment des adresses numeacuteros de teacuteleacutephone (fixe et mobile) numeacutero de teacuteleacutecopie et adresses eacutelectroniques code interne de traitement permettant lrsquoidentification du clienthellip

bull Agrave la nationaliteacute connaicirctre la nationa-liteacute exacte des personnes parties ou in-

teacuteresseacutees au contrat permet agrave lrsquoassureur de savoir srsquoil peut proposer un contrat drsquoassurance agrave une personne ne reacutesidant pas dans lrsquoUnion Europeacuteenne ou la leacutegis-lation applicable au contrat drsquoassurance si cette personne reacuteside dans lrsquoUE5 La nationaliteacute est lrsquoune des informations qui permet de deacuteterminer quelles sont les eacuteventuelles obligations (ex fiscales agrave lrsquoeacutegard de lrsquoEacutetat dont le souscripteur est un ressortissant)

Les donneacutees relatives agrave la situation fami-liale eacuteconomique patrimoniale et financiegravere Il srsquoagit laquo des donneacutees relatives agrave la situation familiale eacuteconomique patrimoniale et finan-ciegravere raquo des personnes parties ou inteacuteresseacutees au contrat et neacutecessaires agrave son application

bull Les donneacutees relatives agrave la situation eacuteconomique et financiegravere sont les eacuteleacute-ments relatifs aux revenus du travail et autres revenus aux valeurs mobiliegraveres au patrimoine immobilier aux encours et agrave lrsquoendettement aux titres deacutetenus aux releveacutes de comptes titres aux donneacutees drsquoimposition aux creacutedits aux revenus imposables au numeacutero de chegraveque au numeacutero de carte bancaire agrave la date de fin de validiteacute de la carte bancaire aux frais geacuteneacuteraux au capital souscritrembourseacute aux reacutefeacuterences bancaires (RIB IBAN BIC releveacute postal) agrave la situation de suren-dettement ou drsquoouvrant droit agrave avantages assurantiels - beacuteneacuteficiaires CMU RSAhellip

bull La situation patrimoniale concerne les biens du patrimoine (notamment les biens immobiliers)

bull La situation familiale concerne la situa-tion matrimoniale (mariage pacs concu-

(5) Regraveglement ndeg5932008 du 17 juin 2008 relatif agrave la loi applicable aux obligations contractuelles -Rome I

ATTENTION

Conclure un contrat drsquoassurance avec une personne eacutetrangegravere a pour conseacutequence le res-pect de la leacutegislation de son pays notamment en matiegravere fiscale (reacuteglementation FATCA ou convention fiscale applicable)




binagehellip) la composition du foyer le nombre de personnes composant le foyer le nombre et lrsquoacircge du ou des enfant(s)

Les donneacutees relatives agrave la situation pro-fessionnelle Il srsquoagit laquo des donneacutees relatives agrave la situation professionnelle raquo des personnes parties ou inteacuteresseacutees au contrat (souscrip-teurs assureacutes adheacuterents) et neacutecessaires agrave son application

Sont concerneacutes la cateacutegorie socioprofes-sionnelle le domaine drsquoactiviteacute la profes-sion et selon les cateacutegories de contrat lrsquoem-ployeur les cateacutegories de personnels assureacutes la branche la convention collective le ndeg SI-RET SIREN la raison sociale les revenus ou le chiffre drsquoaffaires la date preacutevisionnelle de deacutepart agrave la retraite le reacutegime fiscal les com-peacutetences et qualifications professionnelles les justificatifs de demandeur drsquoemploihellip

Les donneacutees neacutecessaires agrave lrsquoappreacutecia-tion du risque la situation geacuteographique les caracteacuteristiques du logement ou du local les conditions drsquooccupation les renseignements sur les biens assurables le type et les carac-teacuteristiques du ou des biens assureacutes les infor-mations relatives agrave la sinistraliteacute et les anteacute-ceacutedents le permis de conduire et sa validiteacute et le cas eacutecheacuteant si le bien est utiliseacute sur le lieu de travail et lors de deacuteplacements profes-sionnels eacuteleacutements entraicircnant une deacutecheacuteance de garantie

Les donneacutees neacutecessaires agrave la passation lrsquoapplication du contrat et agrave la gestion des si-nistres et des prestations Il srsquoagit des donneacutees

bull lieacutees au contrat le numeacutero drsquoidentifi-cation du client de lrsquoassureacute du contrat du dossier sinistre le mode de paiement les primes les cotisations et accessoires les commissions les taxes les creacuteances en cours les reacutefeacuterences de lrsquoapporteur des coassureurs et des reacuteassureurs la dureacutee les garanties les montants les exclusions lrsquoautorisation de preacutelegraveve-ment les donneacutees relatives aux moyens de paiement ou relatives aux transactions telles que le numeacutero de la transaction le deacutetail de lrsquoopeacuteration relative au produit ou service souscrit les impayeacutes le re-couvrementhellip

bull lieacutees au sinistre la nature du sinistre les indemniteacutes la valeur assureacutee et les

garanties souscrites la description des at-teintes aux biens les rapports drsquoexpertise les rapports drsquoenquecirctehellip

bull lieacutees agrave la victime le taux invaliditeacutein-capaciteacute les rentes le capital deacutecegraves les montants des prestations la fiscaliteacute les modaliteacutes de regraveglement la reacuteversion les indemniteacutes chocircmage les montants rem-bourseacutes par la seacutecuriteacute sociale pour les compleacutementaires frais de soins (maladie materniteacutehellip)hellip

Les informations relatives agrave la deacutetermi-nation ou agrave lrsquoeacutevaluation des preacutejudices

Les donneacutees relatives agrave la localisation des personnes ou des biens Ces donneacutees sont des informations essentielles dans le cadre des garanties drsquoassistance et drsquoassu-rance (recherches des veacutehicules perdus ou voleacutes eacuteco-conduite assistance aux personnes malades ou en difficulteacuteshellip)

Les donneacutees relatives agrave la vie person-nelle et aux habitudes de vie Il srsquoagit laquo des donneacutees relatives agrave la situation personnelle et aux habitudes de vie en relation avec les risques assureacutes raquo et neacutecessaires agrave lrsquoapplication du contrat

bull Les donneacutees relatives agrave la situation per-sonnelle sont la situation de famille le reacutegime juridique particulier applicable agrave la situation de famille le nombre drsquoenfants les descendants les ascendants et per-sonnes agrave charge les eacutetudes et la forma-tion la capaciteacute et le reacutegime de protection (minoriteacute tutelle curatelle) et invaliditeacutehellip

bull Les donneacutees relatives aux habitudes de vie sont les loisirs activiteacutes sportives et de plein air la pratique de la chasse de la plaisance les trajets les kilomeacutetrages parcourus Les donneacutees relatives agrave la santeacute Au

moment de la conclusion drsquoun contrat il faut obtenir lrsquoaccord de lrsquointeacuteresseacute pour le recueil de ses donneacutees de santeacute Crsquoest aussi le cas au moment de la gestion du sinistre sauf impos-sibiliteacute (ex personne en incapaciteacute physique ou intellectuelle de consentir du fait de ses preacutejudices corporels)

Cette obligation nrsquoexiste pas non plus en matiegravere de gestion des sinistres automobile puisque lrsquoassureur a une obligation leacutegale de recueillir des donneacutees meacutedicales6 (descriptions




des atteintes copies des certificats meacutedicaux et autres piegraveces justificatives numeacutero de seacutecu-riteacute sociale) pour proposer une indemnisation aux victimes

Dans certains cas et lorsque la sauvegarde de la vie de la personne et lrsquourgence des situa-tions preacutevalent il nrsquoest pas toujours possible de recueillir le consentement de la victime au moment de sa prise en charge

Dureacutees de conservation Des donneacutees lors de la conclusion drsquoun

contrat Les dureacutees de conservation doivent permettre de respecter les deacutelais de prescrip-tions qui reacutesultent notamment du code des as-surances7 et du code civil8 En outre lrsquoassureur a une obligation9 de conserver les donneacutees du releveacute drsquoinformation deacutetaillant les anteacuteceacutedents drsquoune personne en tant qursquoassureacutee auto ou moto au cours des 5 derniegraveres anneacutees

Des donneacutees en lrsquoabsence de conclu-sion drsquoun contrat Les donneacutees peuvent ecirctre conserveacutees pendant un deacutelai de 3 ans agrave compter de leur collecte par le responsable de traitement ou du dernier contact eacutemanant du prospect (demande de renseignements ou de documentation par exemple)

Des donneacutees relatives agrave la carte ban-caire

bull Ces donneacutees doivent ecirctre supprimeacutees lorsque la transaction est reacutealiseacutee soit au moment de son paiement effectif Dans le cas drsquoun paiement par carte bancaire elles peuvent ecirctre conserveacutees pour une finaliteacute de preuve pendant 13 mois sui-vant la date de deacutebit10 en cas drsquoeacuteventuelle contestation de la transaction Ce deacutelai peut ecirctre eacutetendu agrave 15 mois pour tenir compte des cartes de paiement agrave deacutebit diffeacutereacute

bull Enfin il est possible de conserver plus longtemps les donneacutees de la CB avec le consentement expregraves du client (ex case agrave cocher En revanche cet accord ne peut pas reacutesulter de lrsquoacceptation de conditions geacuteneacuterales)

bull Les donneacutees du cryptogramme visuel ne doivent pas ecirctre stockeacutees

bull Lorsque la date drsquoexpiration de la carte bancaire est atteinte les donneacutees rela-tives agrave celles-ci doivent ecirctre supprimeacutees

Des donneacutees de santeacute bull Si le contrat nrsquoa pas eacuteteacute conclu le res-

ponsable de traitement peut conserver les donneacutees de santeacute pendant une dureacutee maximale de 5 ans11 (2 anneacutees en ar-chivage courant et 3 ans en archivage intermeacutediaire) Cette dureacutee se justifie par le fait que le responsable de traitement doit pouvoir reacutepondre aux demandes for-muleacutees par un assureacute pour des deacutecisions de reacutevision de son contrat ou agrave des de-mandes de meacutediation

Destinataires Les destinataires ayant accegraves aux donneacutees

agrave caractegravere personnel sont les personnes ha-biliteacutees et agissant dans le cadre de leurs at-tributions

Dans le cadre des missions habituelles bull les personnels chargeacutes de la passation la

gestion et lrsquoexeacutecution des contrats bull les deacuteleacutegataires de gestion les intermeacute-

diaires drsquoassurance les partenairesbull les prestatairesbull les sous traitants ou les entiteacutes du groupe

drsquoassurance auquel appartient le respon-sable de traitement dans le cadre de lrsquoexercice de leurs missions

bull srsquoil y a lieu les organismes drsquoassurance des personnes impliqueacutees ou offrant des prestations compleacutementaires

bull srsquoil y a lieu les coassureurs et reacuteassureurs ainsi que les organismes professionnels et les fonds de garanties

bull les personnes intervenant au contrat tels que les avocats experts auxiliaires de jus-tice et officiers ministeacuteriels curateurs tu-teurs enquecircteurs et professionnels de santeacute meacutedecins-conseils et le personnel habiliteacute

bull Les organismes sociaux lorsque les reacute-gimes sociaux interviennent dans le regravegle-

(6) Article R211-37 du code des assurances(7) Articles L 114-1 et L 114-2 du code des assurances(8) Les articles 2224 agrave 2227(9) Article A121-1 et 12 du code des assurances(10) Article L 133-24 du code moneacutetaire et financier(11) Crsquoest aussi le deacutelai de prescription des actions civiles (article 2224 du code civil)




ment des sinistres ou lorsque les orga-nismes drsquoassurances offrent des garanties compleacutementaires agrave celles des reacutegimes sociaux En qualiteacute de personnes inteacuteresseacutees au

contrat bull Les souscripteurs les assureacutes les adheacute-

rents et les beacuteneacuteficiaires des contrats et srsquoil y a lieu leurs ayants droit et repreacutesentants

bull Srsquoil y a lieu les beacuteneacuteficiaires drsquoune cession ou drsquoune subrogation des droits relatifs au contrat

bull Srsquoil y a lieu le responsable les victimes et leurs mandataires les teacutemoins les tiers inteacuteresseacutes agrave lrsquoexeacutecution du contrat En qualiteacute de personnes habiliteacutees au

titre des tiers autoriseacutes bull Srsquoil y a lieu les juridictions concerneacutees

les arbitres les meacutediateurs bull Les ministegraveres concerneacutes autoriteacutes de

tutelle et de controcircle et tous organismes publics habiliteacutes agrave les recevoir

bull Les services chargeacutes du controcircle tels que les commissaires aux comptes et les au-diteurs ainsi que les services chargeacutes du controcircle interne

Information et droits des personnes La personne doit ecirctre informeacutee preacuteala-

blement agrave la mise en œuvre du traitement de lrsquoidentiteacute du responsable de traitement de la finaliteacute du traitement des destinataires des donneacutees du transfert eacuteventuel de ses donneacutees hors UE ainsi que des droits dont elle dispose au titre de la loi IampL

Agrave ce titre elle dispose drsquoun droit drsquoaccegraves de rectification et drsquoopposition

Lrsquoinformation des personnes sur le site internet Les donneacutees de connexion (date heure adresse Internet protocole de lrsquoordina-teur du visiteur page consulteacutee) pourront ecirctre exploiteacutees agrave des fins de mesure drsquoaudience et drsquoassistance technique Dans ce cas le consentement preacutealable des personnes nrsquoest pas neacutecessaire agrave condition qursquoils disposent drsquoune information claire et complegravete deacutelivreacutee par lrsquoeacutediteur du site internet drsquoun droit drsquoop-position drsquoun droit drsquoaccegraves aux donneacutees col-lecteacutees et qursquoelles ne soient pas recoupeacutees avec drsquoautres traitements tels que les fichiers clients

bull Cette information peut par exemple figurer dans les courriers eacutelectroniques sur la page drsquoaccueil du site ou dans les conditions geacuteneacuterales drsquoutilisation

bull Le droit drsquoopposition agrave lrsquoanalyse de sa na-vigation lrsquooutil permettant de deacutesactiver la traccedilabiliteacute mise en œuvre par lrsquooutil drsquoanalyse de freacutequentation doit remplir les conditions suivantes

- Un accegraves et une installation aiseacutes pour tous les internautes sur lrsquoensemble des terminaux des systegravemes drsquoexploitation et des navigateurs internet

- Aucune information relative aux inter-nautes ayant deacutecideacute drsquoexercer leur droit drsquoopposition ne doit ecirctre transmise agrave lrsquoeacutediteur de lrsquooutil drsquoanalyse de freacutequen-tation

bull Tout abonneacute ou utilisateur drsquoun service de communications eacutelectroniques doit ecirctre informeacute de maniegravere claire et complegravete sauf srsquoil lrsquoa deacutejagrave eacuteteacute au preacutealable de la fi-naliteacute de toute action tendant agrave acceacuteder agrave des informations deacutejagrave stockeacutees dans son eacutequipement terminal de communications eacutelectroniques ou agrave inscrire des informa-tions dans cet eacutequipement et des moyens dont il dispose pour srsquoy opposer

- Ces accegraves ou inscriptions ne peuvent avoir lieu qursquoagrave condition que lrsquoabonneacute ou la personne utilisatrice ait exprimeacute apregraves avoir reccedilu cette information son accord

- Ces dispositions ne sont pas applicables si lrsquoaccegraves ou lrsquoinscription aux informa-tions stockeacutees a pour finaliteacute exclusive de permettre ou faciliter la communication par voie eacutelectronique ou est strictement neacutecessaire agrave la fourniture drsquoun service de communication en ligne agrave la demande expresse de lrsquoutilisateur

Mesures de seacutecuriteacute Les mesures de seacutecuriteacute laquo classiques raquo

bull Le responsable du traitement prend toutes preacutecautions utiles pour preacuteserver la seacutecuriteacute et la confidentialiteacute des don-neacutees traiteacutees

bull Il deacutefinit une politique de seacutecuriteacute adapteacutee aux risques preacutesenteacutes par les traitements et agrave la taille de lrsquoorganisme drsquoassurance Cette politique devra deacutecrire les objectifs




de seacutecuriteacute et les mesures de seacutecuriteacute physique logique et organisationnelle permettant de les atteindre

bull Les accegraves aux traitements de donneacutees neacutecessitent une authentification des personnes acceacutedant aux donneacutees au moyen drsquoun identifiant et drsquoun mot de passe individuels suffisamment robustes et reacuteguliegraverement renouveleacutes ou par tout autre moyen drsquoauthentification de mecircme fiabiliteacute

bull Les conditions drsquoadministration du sys-tegraveme drsquoinformation preacutevoient lrsquoexistence de systegravemes automatiques de traccedilabiliteacute (journaux auditshellip)

Les mesures de seacutecuriteacute pour le site in-ternet

bull Le responsable de traitement prend les mesures neacutecessaires pour se preacutemunir contre toute atteinte agrave la confidentialiteacute des donneacutees traiteacutees Les donneacutees tran-sitant sur des canaux de communication non seacutecuriseacutes doivent notamment faire lrsquoobjet de mesures techniques visant agrave les rendre incompreacutehensibles agrave toute personne non autoriseacutee agrave y avoir accegraves Les mesures de seacutecuriteacute pour les don-

neacutees de santeacute bull Le responsable de traitement srsquoengage

agrave respecter les dispositions preacutevues par le code de bonne conduite annexeacute agrave la convention AERAS12 concernant la col-lecte et lrsquoutilisation de donneacutees relatives agrave lrsquoeacutetat de santeacute en vue de la souscription ou de lrsquoexeacutecution drsquoun contrat drsquoassurance

Transferts de donneacutees hors UE Certains transferts de donneacutees agrave carac-

tegravere personnel peuvent ecirctre reacutealiseacutes vers des pays tiers agrave lrsquoUE et nrsquoassurant pas un niveau de protection adeacutequat lorsque

bull Il existe un niveau suffisant de protection de la vie priveacutee ainsi que des droits et liberteacutes des personnes ou que ces trans-ferts sont juridiquement encadreacutes (ex CCT ou BCR)

bull Le responsable de traitement a clairement informeacute les personnes de lrsquoexistence drsquoun transfert de donneacutees vers des pays tiers ou srsquoengage sur simple demande de la personne concerneacutee agrave apporter une information complegravete sur la finaliteacute les donneacutees les destinataires et les moyens mis en œuvre pour encadrer ce transfert

bull Les transferts sont reacutealiseacutes dans le cadre de lrsquoexeacutecution des contrats ou de la sau-vegarde de la vie humaine pour la mise en œuvre des garanties drsquoassistance

bull Les transferts sont reacutealiseacutes lors de la gestion des actions ou contentieux lieacutes agrave lrsquoactiviteacute de lrsquoentreprise (ex constatation exercice ou deacutefense de ses droits en jus-tice ou pour les besoins de deacutefense des personnes concerneacutees)

Les transferts reacutepeacutetitifs massifs ou struc-turels de donneacutees personnelles doivent faire lrsquoobjet drsquoun encadrement juridique speacutecifique (niveau de protection adeacutequat safe Harbor CCT BCRhellip) Ces transferts drsquoinformations dans le cadre de la passation la gestion et lrsquoexeacutecution des contrats ayant eacuteteacute expresseacute-ment preacutevue par la NS16 aucune autorisation de la CNIL nrsquoest neacutecessaire agrave condition que ces transferts restent impeacuterativement dans le champ de la NS Agrave deacutefaut ils doivent faire lrsquoobjet de formaliteacutes preacutealables aupregraves de la CNIL dans les conditions preacutevues par ladite loi

Le responsable de traitement srsquoengage sur simple demande de la personne concer-neacutee agrave apporter une information complegravete sur la finaliteacute les donneacutees les destinataires et les moyens mis en œuvre pour encadrer ce transfert

(12) Un code de bonne conduite sur lrsquoutilisation des donneacutees relatives agrave lrsquoeacutetat de santeacute a eacuteteacute eacutetabli dans le cadre de la convention AERAS (1er feacutevrier 2011) Il concerne la collecte et lrsquoutilisation des donneacutees relatives agrave lrsquoeacutetat de santeacute en vue de la souscription ou lrsquoexeacutecution drsquoun contrat drsquoassurance Ce code preacutecise les conditions de stricte confidentialiteacute dans lesquelles les donneacutees relatives agrave lrsquoeacutetat de santeacute des assureacutes doivent ecirctre traiteacutees




LES TRAITEMENTS DE DONNEacuteES PERSONNELLES AU REGARD DE LA LOI IampL

Finaliteacutes poursuivies par le traitement

Finaliteacute 1 les opeacuterations relatives agrave la gestion des clients concernant

bull un programme de fideacuteliteacute au sein drsquoune entiteacute ou plusieurs entiteacutes juridiques

bull le suivi de la relation client tel que la reacutealisation drsquoenquecirctes de satisfaction ou le regroupement des contrats pour un mecircme client au sein de lrsquoentreprise ou du groupe auquel appartient lrsquoentreprise

La norme srsquoapplique expresseacutement au groupe dont fait partie lrsquoorganisme deacuteclarant

Finaliteacute 2 les opeacuterations relatives agrave la prospection

bull la gestion drsquoopeacuterations techniques de prospection (ce qui inclut notamment les opeacuterations techniques comme la nor-malisation lrsquoenrichissement et la deacutedu-plication)

bull la seacutelection de personnes pour reacutealiser des actions de fideacutelisation de prospec-tion de sondage de test produit ou ser-vices et de promotion

- Ces opeacuterations ne doivent pas conduire agrave lrsquoeacutetablissement de profils susceptibles de faire apparaicirctre des donneacutees sensibles

- Il srsquoagit de cerner les attentes des clients ou le niveau de qualiteacute de services perccedilus

- les programmes de fideacuteliteacute peuvent ecirctre des avantages tarifaires deacuteveloppeacutes par les socieacuteteacutes drsquoassurance des opeacuterations de parrainagehellip

- les assureurs peuvent ecirctre ameneacutes agrave tester un nouveau produit drsquoassurance ou

un service associeacute aupregraves drsquoun panel de clients ou de prospects (par exemple test drsquoun nouveau produit drsquoassurance aupregraves de reacutesidents drsquoun deacutepartement test drsquoun contrat laquo chien-chat raquo aupregraves drsquoassocia-tions de protection des animaux)

- Des jeux concours peuvent ecirctre eacutega-lement mis agrave disposition des clients et des prospects (par exemple permettre de gagner un deacutetecteur de fumeacutee des objets publicitaires une invitation agrave un eacuteveacutenement organiseacute par lrsquoorganismehellip)

bull la reacutealisation drsquoopeacuterations de sollicitations Finaliteacute 3 lrsquoeacutelaboration de statistiques

commerciales Finaliteacute 4 la cession la location ou

lrsquoeacutechange des donneacutees relatives agrave lrsquoidentifi-cation des clients ou prospects pour ameacute-liorer le service au client en proposant des produits ou services permettant de reacuteduire la sinistraliteacute ou drsquooffrir un contrat ou une prestation compleacutementaire Les assureurs sont agrave lrsquoimage drsquoautres professionnels des ac-teurs eacuteconomiques qui peuvent ceacuteder ou louer leurs fichiers clients ou prospects dans le strict respect des dispositions de la loi IampL portant notamment sur lrsquoinformation preacutealable des per-sonnes (client ou prospect) et leur droit drsquoop-position Par exemple et dans un objectif de preacutevention les assureurs peuvent ecirctre ameneacutes agrave ceacuteder des fichiers de clients victimes de vol agrave des partenaires speacutecialiseacutes en teacuteleacutesurveillance

Finaliteacute 5 lrsquoorganisation de jeux-concours de loteries ou de toute opeacutera-tion promotionnelle agrave lrsquoexclusion des jeux drsquoargent et de hasard en ligne soumis agrave lrsquoagreacutement de lrsquoAutoriteacute de reacutegulation des jeux en ligne (ARJEL)

Finaliteacute 6 la gestion des demandes de droit drsquoaccegraves de rectification et drsquoopposition



FICHE Ndeg2LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

Finaliteacute 7 la gestion des avis des per-sonnes sur des produits services ou conte-nus

Cateacutegories de donneacutees

Une fois les personnes informeacutees de la mise en œuvre du traitement les donneacutees qui les concernent doivent ecirctre pertinentes et proportionneacutees au regard de la finaliteacute

Les donneacutees de santeacute sont strictement exclues du peacuterimegravetre de la norme

Les donneacutees relatives agrave lrsquoidentification des personnes

bull Les informations classiques la civiliteacute au(x) nom(s) preacutenoms adresse numeacutero de teacuteleacutephone (fixe etou mobile) numeacutero de teacuteleacutecopie adresses de courrier eacutelectro-nique date de naissance

bull Pour lrsquoidentification du client ou du pros-pect le code interne de traitement

Ce code interne de traitement ne peut ecirctre le numeacutero drsquoinscription au reacutepertoire national drsquoidentification des personnes phy-siques (numeacutero de seacutecuriteacute sociale) ni le numeacutero de carte bancaire ni le numeacutero drsquoun titre drsquoidentiteacute

La situation familiale eacuteconomique pa-trimoniale et financiegravere et les habitudes de vie en lien avec la relation commerciale il srsquoagit de la vie maritale du nombre de per-sonnes composant le foyer le nombre et lrsquoacircge du ou des enfant(s) au foyer la profession le domaine drsquoactiviteacute la preacutesence drsquoanimaux domestiques les loisirs

Les donneacutees relatives aux activiteacutes pro-fessionnelles et non professionnelles ayant un lien avec la relation commerciale

Les donneacutees relatives au suivi de la relation commerciale les demandes de do-cumentation ou de renseignements les de-mandes relatives aux produits services ou abonnements proposeacutes les montants la peacute-riodiciteacute les adresses les donneacutees relatives aux produits les contrats et services lrsquoorigine de la vente (entiteacute ou intermeacutediaire vendeur repreacutesentant partenaire affilieacute) ou de la de-mande les correspondances avec le client et service client les eacutechanges et commen-taires des clients et prospects les personne(s) en charge de la relation client les remises consenties ou avantages client

Les donneacutees de localisation et de connexion

Les donneacutees relatives agrave la seacutelection de personnes pour reacutealiser des actions de fideacute-lisation de prospection de sondage de test produits et services et de promotion

Les donneacutees relatives agrave lrsquoorganisation et au traitement des jeux-concours de loteries et de toute opeacuteration promotionnelle telles que la date de participation les reacuteponses ap-porteacutees aux jeux-concours la photographie ou lrsquoimage de la personne et la nature des lots offerts

Les donneacutees relatives aux contributions des personnes qui deacuteposent des avis sur des produits services ou contenus notamment leur pseudonyme

Dureacutees de conservation Des donneacutees relatives agrave la gestion de

clients et de prospects bull Les donneacutees des clients sont conserveacutees

le temps neacutecessaire pour la gestion de la relation commerciale

bull Les donneacutees des clients utiliseacutees agrave des fins de prospection commerciale peuvent ecirctre conserveacutees pendant un deacutelai de 3 ans agrave compter de la fin de la relation commerciale

bull Les donneacutees relatives agrave un prospect non client peuvent ecirctre conserveacutees pendant un deacutelai de 3 ans agrave compter de leur collecte par le responsable de traite-ment ou du dernier contact eacutemanant du prospect




Au terme de ce deacutelai le responsable de traitement peut reprendre contact avec la personne concerneacutee pour lui demander si elle souhaite toujours recevoir des sollici-tations commerciales En lrsquoabsence de reacute-ponse positive et explicite de la personne les donneacutees devront ecirctre supprimeacutees ou archiveacutees1

bull Les donneacutees pouvant ecirctre utiliseacutees agrave titre probatoire sont archiveacutees confor-meacutement aux dispositions leacutegales

Des piegraveces drsquoidentiteacute pour lrsquoexercice du droit drsquoaccegraves ou de rectification les don-neacutees relatives aux piegraveces drsquoidentiteacute peuvent ecirctre conserveacutees 1 an En cas drsquoexercice du droit drsquoopposition ces donneacutees peuvent ecirctre archiveacutees 3 ans2

Des listes drsquoopposition agrave recevoir de la prospection les informations permettant de prendre en compte le droit drsquoopposition de la personne concerneacutee doivent ecirctre conserveacutees au minimum 3 ans agrave compter de lrsquoexercice de ce droit Ces donneacutees ne peuvent en au-cun cas ecirctre utiliseacutees agrave drsquoautres fins que la gestion du droit drsquoopposition

Les informations stockeacutees dans le ter-minal des utilisateurs (ex cookies) ou tout autre eacuteleacutement utiliseacute pour les identifier et les tracer sont conserveacutes pendant une dureacutee fixeacutee par la doctrine de la CNIL Les nou-velles visites ne doivent pas prolonger la dureacutee de vie de ces informations Les don-neacutees de freacutequentation brutes associant un identifiant ne doivent pas ecirctre conserveacutees plus de 13 mois selon la recommandation de la CNIL du 5 deacutecembre 2013 Au-delagrave de ce deacutelai les donneacutees doivent ecirctre soit supprimeacutees soit anonymiseacutees

Destinataires Peuvent dans les limites de leurs at-

tributions respectives avoir accegraves aux don-neacutees agrave caractegravere personnel

bull Les personnes chargeacutees du service marketing du service commercial des services chargeacutes de traiter la relation client les reacuteclamations et la prospec-tion des services administratifs des services logistiques et informatiques ainsi que leurs responsables hieacuterar-chiques

bull les services chargeacutes du controcircle (com-missaire aux comptes services chargeacutes des proceacutedures internes du controcircle)

bull les sous-traitants degraves lors que le contrat signeacute entre les sous-traitants et le res-ponsable du traitement fait mention des obligations incombant aux sous-trai-tants en matiegravere de protection de la seacutecuriteacute et de la confidentialiteacute des donneacutees Peuvent ecirctre destinataires des don-

neacutees bull Les partenaires et socieacuteteacutes exteacuterieures

(socieacuteteacutes avec lesquelles lrsquoentreprise entretient des relations commerciales reacuteguliegraveres) les entiteacutes du groupe de socieacuteteacutes

bull les auxiliaires de justices les officiers ministeacuteriels et organismes publics ha-biliteacutes agrave les recevoir les arbitres les meacutediateurs



Le recueil du consentement expregraves et speacutecifique de la personne concerneacutee dans les cas suivants

Crsquoest une manifestation de volonteacute libre speacutecifique et informeacutee par laquelle une per-sonne accepte que des donneacutees agrave caractegravere

(1) Conformeacutement au code de commerce le code civil et le code de la consommation(2) Art 8 et 9 du CPP




personnel la concernant soient utiliseacutees pour certaines finaliteacutes Lrsquoacceptation des conditions geacuteneacuterales drsquoutilisation nrsquoest donc pas une modaliteacute suffisante du recueil du consentement des personnes

bull La prospection reacutealiseacutee au moyen drsquoun mode de communication eacutelectronique (courrier eacutelectronique SMS ou MMS) hors produits ou services analogues

bull la prospection reacutealiseacutee au moyen drsquoau-tomates drsquoappel ou de teacuteleacutecopieurs

bull la mise agrave disposition ou la cession agrave des partenaires des adresses eacutelectroniques ou des numeacuteros de teacuteleacutephone utiliseacutes agrave des fins de prospection par automate drsquoappel teacuteleacutecopie ou par envoi de SMS MMS

bull la collecte ou la cession des donneacutees susceptibles de faire apparaicirctre direc-tement ou indirectement les origines raciales ou ethniques les opinions po-litiques philosophiques ou religieuses ou lrsquoappartenance syndicale des per-sonnes

bull la collecte de la photographie ou de lrsquoimage de la personne

La participation agrave un jeu-concours ou une loterie ne peut ecirctre conditionneacutee agrave la reacuteception de prospection directe au moyen drsquoun automate drsquoappel drsquoun teacuteleacutecopieur ou drsquoun courrier eacutelectronique de la part du responsable de traitement ou de ses par-tenaires

La possibiliteacute de permettre agrave la per-sonne concerneacutee de srsquoopposer de maniegravere simple et deacutenueacutee drsquoambiguiumlteacute dans les cas suivants

Dans le cas drsquoune collecte via un formu-laire le droit drsquoopposition ou le recueil du

consentement preacutealable doit pouvoir srsquoex-primer par un moyen simple et speacutecifique tel qursquoune case agrave cocher Les mentions drsquoinformation et les modes drsquoexpression de lrsquoopposition ou du recueil du consentement doivent ecirctre lisibles en langage clair et fi-gurer sur les formulaires de collecte

Lorsque la collecte des donneacutees inter-vient par voie orale lrsquointeacuteresseacute est mis en mesure drsquoexercer son droit drsquoopposition ou de donner son consentement avant la col-lecte de ses donneacutees

bull La prospection par voie postale ou teacute-leacutephonique avec intervention humaine

bull la prospection reacutealiseacutee au moyen drsquoun mode de communication eacutelectronique pour un produit ou service analogue

bull la prospection entre professionnels (sauf en cas drsquoutilisation drsquoune adresse geacuteneacuterique) lorsque lrsquoobjet du message est en rapport avec lrsquoactiviteacute du pro-fessionnel

bull la cession drsquoadresse postale et de nu-meacuteros de teacuteleacutephone utiliseacutes agrave des fins de prospection avec intervention hu-maine

bull la cession agrave des partenaires de donneacutees relatives agrave lrsquoidentiteacute (agrave lrsquoexclusion du code interne de traitement permettant lrsquoidentification du client) ainsi que les informations relatives agrave la situation familiale eacuteconomique et financiegravere viseacutees agrave lrsquoarticle 3 degraves lors que les organismes destinataires srsquoengagent agrave ne les exploiter que pour srsquoadresser directement aux inteacuteresseacutes pour des finaliteacutes exclusivement commerciales

Apregraves la collecte des donneacutees La personne concerneacutee a le droit de

srsquoopposer sans frais agrave ce que ses donneacutees soient utiliseacutees agrave des fins de prospection notamment commerciale par le responsable actuel du traitement ou celui drsquoun traitement ulteacuterieur

Les messages adresseacutes agrave des fins de prospection directe au moyen drsquoautomates




drsquoappel teacuteleacutecopieurs et courriers eacutelectro-niques doivent mentionner des coordonneacutees permettant de demander agrave ne plus recevoir de telles sollicitations

Le responsable du traitement aupregraves duquel le droit drsquoopposition a eacuteteacute exerceacute informe sans deacutelai de cette opposition tout autre responsable de traitement qursquoil a rendu destinataire des donneacutees agrave caractegravere personnel qui font lrsquoobjet de lrsquoopposition

Lrsquoutilisation drsquoun site internet La norme numeacutero 56 srsquoapplique eacutega-

lement dans le cas ougrave le responsable de traitement utilise un site internet pour la gestion des clients et prospects

Les donneacutees de connexion (date heure adresse internet protocole de lrsquoordinateur du visiteur page consulteacutee) pourront ecirctre exploiteacutees agrave des fins de mesure drsquoaudience et drsquoassistance technique le consentement preacutealable des personnes nrsquoest pas neacutecessaire agrave condition qursquoils disposent drsquoune information claire et complegravete deacutelivreacutee par lrsquoeacutediteur du site internet drsquoun droit drsquoopposition drsquoun droit drsquoaccegraves aux donneacutees collecteacutees et qursquoelles ne soient pas recoupeacutees avec drsquoautres trai-tements tels que les fichiers clients dans les conditions preacutevues par la recommandation du 5 deacutecembre 2013

Lrsquoinformation relative agrave la finaliteacute et aux droits des personnes peut ecirctre preacutesente dans les courriers eacutelectroniques envoyeacutes sur la page drsquoaccueil du site et dans ses conditions geacuteneacuterales drsquoutilisation etc

Lrsquoexercice du droit drsquoopposition agrave lrsquoana-lyse de sa navigation lrsquooutil permettant de deacutesactiver la traccedilabiliteacute mise en œuvre par lrsquooutil drsquoanalyse de freacutequentation doit remplir les conditions suivantes

bull un accegraves et une installation aiseacutes pour tous les internautes sur lrsquoensemble des terminaux des systegravemes drsquoexploitation et des navigateurs internet

bull aucune information relative aux inter-nautes ayant deacutecideacute drsquoexercer leur droit

drsquoopposition ne doit ecirctre transmise agrave lrsquoeacutedi-teur de lrsquooutil drsquoanalyse de freacutequentation

Par ailleurs tout utilisateur drsquoun service de communications eacutelectroniques doit ecirctre informeacute de maniegravere claire et complegravete sauf srsquoil lrsquoa eacuteteacute au preacutealable par le responsable du traitement ou son repreacutesentant

bull de la finaliteacute de toute action tendant agrave acceacuteder par voie de transmission eacutelectro-nique agrave des informations deacutejagrave stockeacutees dans son eacutequipement terminal de com-munications eacutelectroniques ou agrave inscrire des informations dans cet eacutequipement

bull des moyens dont il dispose pour srsquoy op-poser Ces accegraves ou inscriptions ne peuvent

avoir lieu qursquoagrave condition que la personne utilisatrice ait exprimeacute apregraves avoir reccedilu cette information son accord qui peut reacutesulter de paramegravetres approprieacutes de son dispositif de connexion ou de tout autre dispositif placeacute sous son controcircle

Ces dispositions ne sont pas appli-cables si lrsquoaccegraves aux informations stockeacutees dans lrsquoeacutequipement terminal de lrsquoutilisateur ou lrsquoinscription drsquoinformations dans lrsquoeacutequipement terminal de lrsquoutilisateur

bull soit a pour finaliteacute exclusive de permettre ou faciliter la communication par voie eacutelectronique

bull soit est strictement neacutecessaire agrave la four-niture drsquoun service de communication en ligne agrave la demande expresse de lrsquoutili-sateur

Les mesures de seacutecuriteacute Le responsable du traitement prend

toutes preacutecautions utiles pour preacuteserver la seacutecuriteacute des donneacutees et notamment empecirc-cher qursquoelles soient deacuteformeacutees ou endom-mageacutees ou que des tiers non autoriseacutes y aient accegraves

Les accegraves aux traitements de donneacutees doivent neacutecessiter une authentification des personnes acceacutedant aux donneacutees au moyen par exemple drsquoun code drsquoaccegraves et drsquoun mot de passe individuels suffisamment robustes et reacuteguliegraverement renouveleacutes ou par tout autre moyen drsquoauthentification

Dans le cas de lrsquoutilisation drsquoun site internet le responsable de traitement prend




les mesures neacutecessaires pour se preacutemunir contre toute atteinte agrave la confidentialiteacute des donneacutees traiteacutees Les donneacutees transitant sur des canaux de communication non seacutecuriseacutes doivent notamment faire lrsquoobjet de mesures techniques visant agrave rendre ces donneacutees in-compreacutehensibles agrave toute personne non au-toriseacutee

Les piegraveces drsquoidentiteacute ne doivent ecirctre accessibles qursquoagrave un nombre de personnes restreint et des mesures de seacutecuriteacute doivent ecirctre mises en œuvre afin drsquoempecirccher toute reacuteutilisation deacutetourneacutee de ces donneacutees

Transferts de donneacutees hors UESeules peuvent ecirctre transfeacutereacutees les don-

neacutees pertinentes au regard de la finaliteacute poursuivie par le transfert

La preacutesente norme simplifieacutee couvre les transferts de donneacutees lorsqursquoune des condi-tions suivantes est reacuteunie

bull les transferts srsquoeffectuent agrave destination drsquoun pays assurant un niveau de protec-

tion adeacutequat ou drsquoune entreprise ameacuteri-caine ayant adheacutereacute au Safe Harbor

bull ils sont encadreacutes par les clauses contrac-tuelles types (CCT) ou par des regravegles in-ternes drsquoentreprise (BCR - Binding Cor-porate Rules) qui garantissent un niveau de protection suffisant

bull ils correspondent agrave lrsquoune des exceptions de lrsquoarticle 69 de la loi IampL limiteacute agrave des cas de transferts ponctuels et ex-ceptionnels

Les transferts reacutepeacutetitifs massifs ou structurels de donneacutees personnelles ne sont pas couverts par la preacutesente norme et ils doivent faire lrsquoobjet de formaliteacutes preacute-alables aupregraves de la CNIL dans les condi-tions preacutevues par ladite loi






Les traitements concerneacutes sont unique-ment ceux qui interviennent dans le cadre de la passation la gestion et lrsquoexeacutecution des contrats drsquoassurance de capitalisation de reacuteassurance et drsquoassistance (peacuterimegravetre deacutefinit par la NS 16)

Finaliteacute 1 la collecte et le traitement du numeacutero drsquoinscription au reacutepertoire (NIR) par les responsables de traitement dans les seuls cas suivants agrave lrsquoexclusion de toute utilisation aux fins drsquoidentification des doublons ou des homonymies

Certains traitements des donneacutees agrave ca-ractegravere personnel relatifs au numeacutero NIR peuvent ecirctre neacutecessaires agrave la passation agrave la gestion et agrave lrsquoexeacutecution des contrats

drsquoassurance Degraves lors la collecte et le trai-tement du NIR sont strictement limiteacutes aux seuls cas autoriseacutes par la loi

bull pour leurs activiteacutes drsquoassurance maladie1 materniteacute invaliditeacute retraite suppleacutemen-taire2 Lors de la conclusion drsquoun contrat de

compleacutementaire santeacute lrsquoassureur de-mande le NIR de lrsquoassureacute et des beacuteneacute-ficiaires des garanties pour prendre en charge les frais de maladie et commu-niquer avec la seacutecuriteacute sociale dans le cadre du versement conjoint des pres-tations

Lors de la conclusion drsquoun contrat drsquoas-surance preacutevoyance couvrant en plus des risques mentionneacutes ci-dessus (maladie materniteacute invaliditeacute retraite) drsquoautres risques (ex deacutecegraves deacutependancehellip) les organismes drsquoassurance peuvent au titre des informations relatives agrave leurs assureacutes deacutetenir le NIR sans le traiter

RAPPEL

La Cnil est tregraves attentive aux conditions drsquoutilisation du NIR qui sont limiteacutees aux finaliteacutes preacutevues dans cette autorisation unique

(1) Lrsquoassurance maladie couvre les frais de santeacute et drsquohospitalisation et eacutegalement le risque drsquoincapaciteacute En outre il existe une indemniteacute drsquoinaptitude verseacutee par la Seacutecuriteacute sociale qui peut ecirctre compleacuteteacutee par les prestations drsquoorganismes drsquoassurance (2) Article R115-2-2deg du code de la seacutecuriteacute sociale



FICHE Ndeg3LA COLLECTE DU NIR ET LA CONSULTATION DU RNIPP (AU 31)

bull pour leurs activiteacutes drsquoassurance pour les ga-ranties pertes drsquoexploitation et perte drsquoem-ploi uniquement agrave des fins probatoires Pour la mise en œuvre de ces garanties

les organismes drsquoassurance sont destina-taires de documents (ex fiches de sa-laires) sur lesquels figurent le NIR mais qui ne fait pas lrsquoobjet drsquoun traitementbull pour les relations avec les professionnels

les eacutetablissements et les institutions de santeacute3 Les professionnels institutions ou eacutetablis-

sements dispensant agrave des assureacutes sociaux ou leurs ayants droit des actes ou prestations pris totalement ou partiellement en charge par lrsquoassurance maladie sont autoriseacutes agrave utiliser le NIR pour eacutechanger avec les orga-nismes drsquoassurance Les organismes drsquoassu-rance peuvent donc eacutechanger sur la base du numeacutero NIR avec les professionnels de santeacute et les eacutetablissements hospitaliers

Il en est de mecircme pour les organismes mutualistes et les personnes morales geacutereacutees par les institutions de preacutevoyancebull pour les deacuteclarations sociales des entre-

prises souscriptrices de contrats drsquoassu-rance4

bull pour lrsquoindemnisation des accidents5 Les assureurs ont lrsquoobligation drsquoinformer

les caisses drsquoassurance maladie des leacutesions causeacutees par leurs assureacutes agrave des tiers Dans le domaine des accidents de la circulation le code des assurances oblige les victimes agrave transmettre agrave la demande des assureurs leur numeacutero NIR Le NIR est alors utiliseacute agrave des fins de gestion des dossiers drsquoindemni-sation des victimes Le traitement du NIR permet notamment de donner suite aux re-cours des tiers payeurs dans le cadre drsquoun accident avec un responsable bull pour la gestion des rentes6

Le NIR est utiliseacute pour la gestion des rentes (ex retraite suppleacutementaire au reacute-gime de base)bull pour lrsquoexeacutecution des dispositions leacutegales

reacuteglementaires et administratives en vi-gueur

Finaliteacute 2 lrsquoaccegraves aux donneacutees du Re-gistre National drsquoIdentification des Personnes Physiques (RNIPP) est possible dans les cas suivants

bull pour les traitements mis en œuvre par lrsquoAGIRA qui consiste agrave

- lrsquoexistence drsquoune base de donneacutees des personnes dont le deacutecegraves est connu de lrsquoINSEE

- lrsquointerrogation de cette base par les seuls organismes drsquoassurance vie

bull Les traitements mis en œuvre par les or-ganismes drsquoassurance ayant pour finaliteacute exclusive la recherche des assureacutes et beacute-neacuteficiaires de contrats drsquoassurance vie qui seraient deacuteceacutedeacutes

Les modaliteacutes de consultation du RNIPP bull par voie drsquointerrogation ponctuelle sur

un assureacute ou un beacuteneacuteficiairebull par voie drsquointerrogations groupeacutees7

Toute interrogation doit indiquer au minimum les nom(s) preacutenom(s) date de naissance et sexe de la personne recher-cheacutee Les organismes srsquoengagent agrave ne pas utiliser les donneacutees de la base AGIRA agrave drsquoautres fins que la recherche des assureacutes beacuteneacuteficiaires de contrats drsquoassurance vie qui seraient deacuteceacutedeacutes

(3) Article R115-2-3deg du code de la seacutecuriteacute sociale (4) Article R-115-2-6deg du code de la seacutecuriteacute sociale (5) Articles L376-1 et L454-1 du code de la seacutecuriteacute sociale et plus speacutecifiquement dans le cadre des accidents de la circulation en vertu des articles R 211-37 et R 211-38 du code des assurances (6) Article 39A de lrsquoannexe III du CGI et L81 A du livre des proceacutedures fiscales (7) Par lrsquoenvoi de fichiers portant sur tout ou partie de leurs assureacutes ou beacuteneacuteficiaires ces interrogations groupeacutees pourront porter sur la totaliteacute de la base ou sur les seuls signalements de deacutecegraves reccedilus durant la derniegravere anneacutee




Cateacutegories de donneacutees Le NIR des personnes parties ou inteacuteres-

seacutees au contrat il srsquoagit par exemple de lrsquoas-sureacute du souscripteur de lrsquoadheacuterent du beacuteneacute-ficiaire du tiers victime ou de lrsquoayant droithellip

Les donneacutees de la base AGIRA (et issues du RNIPP) aux fins de recherche des assureacutes et des beacuteneacuteficiaires de contrats drsquoassurance vie qui seraient deacuteceacutedeacutes

bull nom patronymique preacutenoms bull sexe bull date et lieu de naissance bull date et lieu du deacutecegraves bull numeacutero drsquoacte de deacutecegraves

Dureacutees de conservation Le NIR les donneacutees du RNIPP et les

donneacutees communiqueacutees aux organismes pour la recherche des beacuteneacuteficiaires drsquoassu-rance vie sont conserveacutes pendant la dureacutee neacutecessaire agrave lrsquoexeacutecution du contrat Elles sont ensuite archiveacutees pour les dureacutees preacute-vues par la loi

Le fichier AGIRA est mis agrave jour chaque mois sur la base des eacuteleacutements transmis par lrsquoINSEE

Les donneacutees personnelles enregistreacutees sont supprimeacutees lorsqursquoil apparaicirct avec cer-titude au gestionnaire drsquoun dossier drsquoassu-rance sur la vie qursquoelles se rapportent agrave un homonyme de lrsquoassureacute ou drsquoun beacuteneacuteficiaire du contrat

Destinataires Peuvent dans les limites de leurs attri-

butions respectives avoir accegraves aux donneacutees agrave caractegravere personnel

bull dans le cadre des missions habituelles - les personnels chargeacutes de la passation

la gestion et lrsquoexeacutecution des contrats - les deacuteleacutegataires de gestion les inter-

meacutediaires drsquoassurance les organismes drsquoassurance chargeacutes dans le cadre drsquoun contrat de partenariat de geacuterer les contrats drsquoassurance du responsable de traitement y compris dans le cadre drsquoun reacuteseau de soins

- les sous traitants les entiteacutes du mecircme groupe auquel appartient le responsable de traitement dans le cadre de lrsquoexercice de leurs missions

Les intermeacutediaires drsquoassurance recueillent le NIR lors de la phase de contractualisa-tion (exemple souscription drsquoun contrat de compleacutementaire santeacute) Les partenaires et sous-traitants peuvent intervenir dans le cadre drsquoun reacuteseau de soins (opticiens den-tistes audio protheacutesistes) et agrave ce titre col-lectent le NIR Les entiteacutes drsquoun mecircme groupe peuvent intervenir dans le cadre drsquoune mu-tualisation de moyens ou pour une expertise (ex meacutedecin conseil laquo national raquo) ou lorsque les garanties sont assureacutees par une entiteacute et vendues par drsquoautres entiteacutes drsquoun mecircme groupe

- srsquoil y a lieu les organismes drsquoassurance des personnes impliqueacutees

- srsquoil y a lieu les co-assureurs et reacuteassu-reurs ainsi que les organismes profes-sionnels et les fonds de garanties

Il srsquoagit des co-assureurs et reacuteassureurs qui partagent le risque et agrave ce titre disposent des donneacutees

- Les personnes intervenant au contrat ou dans lrsquoinstruction des dossiers tels que les avocats experts et officiers minis-teacuteriels enquecircteurs meacutedecins et autres professionnels de santeacute et le personnel habiliteacute

- les organismes sociaux lorsque les reacute-gimes sociaux interviennent dans le regraveglement des sinistres ou lorsque les organismes drsquoassurances offrent des garanties compleacutementaires agrave celles des reacutegimes de seacutecuriteacute sociale (assurances maladie materniteacute invaliditeacute deacutecegraves assurance retraite suppleacutementaire)

- les organismes et associations prati-quant la preacutevention lrsquoaction sociale ou la gestion de reacutealisations sanitaires et sociales




bull en qualiteacute de personnes inteacuteresseacutees au contrat les souscripteurs les assureacutes les adheacuterents et les beacuteneacuteficiaires des contrats ou les tiers victimes et srsquoil y a lieu leurs ayants droit et repreacutesentants

bull en qualiteacute de personnes habiliteacutees au titre des tiers autoriseacutes

- Les juridictions concerneacutees les arbitres les meacutediateurs

- les autoriteacutes de tutelle et de controcircle et tous organismes publics habiliteacutes

- les services chargeacutes du controcircle (commis-saires aux comptes auditeurs controcircle interne)

Dans le cadre des donneacutees relatives aux personnes deacuteceacutedeacutees les personnes habili-teacutees agrave recevoir communication de ces don-neacutees sont

bull au sein de lrsquoAGIRA les gestionnaires habi-liteacutes chargeacutes de lrsquoexploitation des fichiers

bull au sein des organismes drsquoassurance des institutions de preacutevoyance des mutuelles et de leurs unions

- les interrogations sont ponctuelles - effectueacutees que par un nombre de gestion-

naires habiliteacutes et limiteacute - disposant de certificats individuels - ayant veacuterifieacute la motivation des demandes

drsquointerrogation

Information des personnes La personne doit ecirctre informeacutee preacuteala-


Par ailleurs elle dispose drsquoun droit drsquoaccegraves de rectification et drsquoopposition

Mesures de seacutecuriteacute

La loi laquo informatique et liberteacutes raquo impose aux organismes de garantir la seacutecuriteacute des donneacutees

Cette seacutecuriteacute est renforceacutee lors de la col-lecte du NIR Le guide laquo seacutecuriteacute raquo eacutelaboreacute par la CNIL srsquoadresse agrave tout responsable de traitement ainsi qursquoagrave toute personne dis-posant drsquoun minimum de connaissances informatiques (administrateur systegraveme deacute-veloppeur responsable de la seacutecuriteacute des systegravemes drsquoinformation utilisateur) et sou-haitant eacutevaluer le niveau de seacutecuriteacute dont doit beacuteneacuteficier tout traitement de donneacutees agrave caractegravere personnel

Les mesures laquo classiques raquo bull Le responsable du traitement prend

toutes preacutecautions utiles pour preacuteserver la seacutecuriteacute des donneacutees et notamment empecirccher qursquoelles soient deacuteformeacutees ou endommageacutees ou que des tiers non au-toriseacutes y aient accegraves

bull Il deacutefinit une politique de seacutecuriteacute adap-teacutee aux risques et agrave la taille de lrsquoorga-nisme Cette politique devra deacutecrire les objectifs de seacutecuriteacute et les mesures de seacutecuriteacute physique logique et organisa-tionnelle permettant de les atteindre

bull Les accegraves aux traitements de donneacutees doivent neacutecessiter une authentification des personnes acceacutedant aux donneacutees au moyen par exemple drsquoun code drsquoac-cegraves et drsquoun mot de passe individuels suffisamment robustes et reacuteguliegraverement renouveleacutes ou par tout autre moyen drsquoauthentification


Les mesures lieacutees agrave la base AGIRA bull des accegraves individuels bull une authentification mutuelle du sys-

tegraveme heacutebergeant le traitement et lrsquouti-lisateur8

bull un certificat nominatif bull une conservation de lrsquohistorique des re-

quecirctes effectueacutees par les organismes

(8) Certificats deacutelivreacutes par le reacuteseau drsquoaccegraves aux donneacutees de lrsquoassurance et de la messagerie seacutecuriseacutee (RADAMESS) Lrsquoidentification des machines connecteacutees au traitement est eacutegalement faite par des certificats de mecircme nature




bull LrsquoAGIRA conserve les interrogations pen-dant une anneacutee

bull Chiffrement des connexions au traite-ment et des envois deacutemateacuterialiseacutes entre lrsquoINSEE et lrsquoAGIRA

Transferts de donneacutees hors UE Seules peuvent ecirctre transfeacutereacutees les don-


La preacutesente norme simplifieacutee couvre les transferts de donneacutees lorsqursquoune des conditions suivantes est reacuteunie

bull les transferts srsquoeffectuent agrave destination drsquoun pays assurant un niveau de protec-tion adeacutequat ou drsquoune entreprise ameacuteri-caine ayant adheacutereacute au Safe Harbor

bull ils sont encadreacutes par les clauses contrac-tuelles types (CCT) ou par des regravegles in-ternes drsquoentreprise (BCR - Binding Corpo-rate Rules) qui garantissent un niveau de protection suffisant

bull ils correspondent agrave lrsquoune des exceptions de lrsquoarticle 69 de la loi IampL limiteacute agrave des cas de transferts ponctuels et exceptionnels

Les transferts reacutepeacutetitifs massifs ou struc-turels de donneacutees personnelles doivent faire lrsquoobjet drsquoun encadrement juridique speacutecifique (niveau de protection adeacutequat safe Harbor CCT BCRhellip) Ces transferts drsquoinformations ayant eacuteteacute expresseacutement preacutevus par lrsquoautori-sation unique aucune autorisation de la CNIL nrsquoest neacutecessaire agrave condition que ces trans-ferts restent impeacuterativement dans le champ de lrsquoAU Agrave deacutefaut ils doivent faire lrsquoobjet de formaliteacutes preacutealables aupregraves de la CNIL dans les conditions preacutevues par ladite loi







Finaliteacute 1 la collecte et le traitement de donneacutees relatives aux infractions condam-nations ou mesures de sucircreteacute preacutevus par les dispositions leacutegales reacuteglementaires et admi-nistratives en vigueur

Finaliteacute 2 ces traitements interviennent eacutegalement dans le cadre des contentieux lieacutes agrave lrsquoactiviteacute et permettant notamment agrave lrsquoentre-prise drsquoassurer la constatation lrsquoexercice ou la deacutefense de ses droits en justice ou la deacutefense des personnes concerneacutees

Les traitements ne peuvent en aucun cas faire lrsquoobjet drsquoune mutualisation des infor-mations entre les organismes drsquoassurance agrave lrsquoexclusion de lrsquoAGIRA

Les traitements de donneacutees relatifs aux infractions aux condamnations ou aux mesures de sucircreteacute agrave plusieurs niveaux

bull soit au moment de la souscription du contrat drsquoassurance

Les donneacutees drsquoinfractions et de condam-nations font parties des anteacuteceacutedents de lrsquoassureacute qui permettent agrave lrsquoassureur drsquoeacuteva-luer les risques Ces donneacutees peuvent ecirctre demandeacutees lors de la souscription de contrats drsquoassurance de responsabiliteacute civile et en particulier en assurance automobile et responsabiliteacute professionnelle

En assurance automobile lrsquoassureur peut deacutecider de majorer la prime en fonc-tion du nombre drsquoinfractions commises par

le conducteur Les infractions sont connues de lrsquoassureur lors de la deacuteclaration du risque Il pose des questions fermeacutees agrave la personne qui souhaite souscrire une assurance pour savoir si elle a fait lrsquoobjet de condamna-tions devant une juridiction reacutepressive (ex conduite sous lrsquoempire drsquoun eacutetat alcoolique ou de stupeacutefiants retrait ou suspension de permis de conduire deacutefaut drsquoassurance ou de deacutelit de fuite) Cette information sera eacutegalement utile agrave lrsquoassureur en matiegravere de responsabiliteacute professionnelle pour eacutevaluer le risque drsquoassurance (ex assurance des mandataires sociaux)

bull soit au cours de son exeacutecution Les donneacutees drsquoinfractions peuvent ecirctre

utiliseacutees agrave titre de preuve Par exemple pour prouver que les conditions de garantie sont remplies et que le risque nrsquoa pas eacuteteacute aggraveacute ou encore pour deacuteterminer les responsabiliteacutes et proceacuteder agrave lrsquoindemnisation de la victime

Exemple bull Pour le regraveglement des sinistres et des

prestations il peut srsquoaveacuterer neacutecessaire de veacuterifier les faits qui ouvrent droit agrave garantie

bull La connaissance des circonstances drsquoun vol est neacutecessaire pour veacuterifier si les condi-tions de garantie sont reacuteunies Le deacutepocirct drsquoune plainte peut ecirctre une condition drsquoindemnisa-tion Certaines garanties vol peuvent ecirctre limi-teacutees aux cas drsquoeffraction Ainsi conformeacutement aux dispositions preacutevues dans le contrat lrsquoas-sureacute devra rapporter la preuve de lrsquoeffraction

bull Dans les assurances de responsabiliteacute civile automobile le procegraves verbal de police

Les organismes drsquoassurance ainsi que lrsquoAGIRA effectuent dans le cadre de la passation de la gestion et de lrsquoexeacutecution des contrats des traitements de donneacutees relatifs aux infractions aux condamnations ou aux mesures de sucircreteacute



FICHE Ndeg4LA COLLECTE DES DONNEacuteES DrsquoINFRACTIONS DE CONDAMNATIONS OU DES MESURES DE SUcircRETEacute (AU 32)

permet de deacuteterminer les responsabiliteacutes de chacun dans lrsquohypothegravese ougrave les circons-tances eacutetaient incertaines

bull Par ailleurs lrsquoassureur a une obli-gation drsquoinformer la victime qursquoelle peut obtenir sur simple demande une copie du procegraves-verbal Ainsi les assureurs de veacute-hicules impliqueacutes dans un accident de la circulation reccediloivent les procegraves verbaux de police dans un but drsquoacceacuteleacuteration des proceacutedures drsquoindemnisation selon une pro-ceacutedure deacutenommeacutee laquo transpv raquo

bull Au titre de la garantie laquo recours raquo lrsquoas-sureur est ameneacute agrave exercer le recours de son assureacute agrave lrsquoencontre du Fonds de garantie des assurances obligatoires (FGAO) en cas drsquoac-cident et drsquoabsence de responsable identifieacute ou contre le Fonds de garantie des victimes des actes de terrorisme et drsquoautres infrac-tions (FGTI) pour les autres infractions Dans cette hypothegravese il doit recueillir les donneacutees relatives aux infractions aupregraves de son as-sureacute et les transmettre au fond compeacutetent

bull Pour la gestion des contentieux Dans le cadre des contentieux lieacutes agrave lrsquoac-

tiviteacute drsquoassurance ces donneacutees peuvent srsquoaveacuterer neacutecessaires pour lrsquoentreprise en charge drsquoassurer la constatation lrsquoexercice ou la deacutefense de ses droits en justice ou la deacutefense des droits des personnes concerneacutees

Cateacutegories de donneacutees Il srsquoagit des donneacutees concernant lrsquoassureacute

le tiers victime les ayants droits les auteurs preacutesumeacutes des infractions ou plus largement toute personne impliqueacutee dans le sinistre (ex teacutemoins)

Il existe trois grandes cateacutegories de donneacutees

Les donneacutees des personnes bull Les donneacutees drsquoidentification nom et

preacutenom(s) date et lieu de naissance bull Les coordonneacutees postales bull Le cas eacutecheacuteant les donneacutees issues

des procegraves verbaux de police ou de gendarmerie les deacutecisions judiciaires ou administratives et les enquecirctes judiciaires

Les donneacutees sur les circonstances de lrsquoinfraction

bull Les faits constateacutes

bull La preacutesence de teacutemoins leur identifica-tion et leurs teacutemoignages

Les donneacutees posteacuterieures agrave la constata-tion de lrsquoinfraction

bull Saisine ou absence de saisine bull Classement sans suite bull Engagement de poursuite bull Condamnations bull Mesures de sucircreteacute

Dureacutees de conservationbull La dureacutee de conservation est celle qui

est neacutecessaire agrave lrsquoexeacutecution du contrat bull Les donneacutees sont ensuite archiveacutees

conformeacutement aux dureacutees preacutevues par la loi

DestinatairesIls peuvent dans les limites de leurs attri-




meacutediaires drsquoassurance les organismes drsquoassurance chargeacutes dans le cadre drsquoun contrat de partenariat de geacuterer les contrats drsquoassurance du responsable de traitement

- les prestataires agissant sur ordre du responsable de traitement

- les sous-traitants ou les entiteacutes du groupe drsquoassurance auquel appartient le responsable de traitement dans le cadre de lrsquoexercice de leurs missions

- srsquoil y a lieu les organismes drsquoassurance des personnes impliqueacutees ou offrant des prestations compleacutementaires

- srsquoil y a lieu les co-assureurs et reacuteas-sureurs ainsi que les organismes professionnels et les fonds de garanties

- les personnes intervenant aux contrats tels que les avocats experts auxiliaires de justice et officiers ministeacuteriels cura-teurs tuteurs enquecircteurs

- les organismes sociaux lorsque les reacutegimes sociaux interviennent dans le regraveglement des sinistres ou lorsque les organismes drsquoassurances offrent des garanties compleacute-mentaires agrave celles des reacutegimes sociaux




par exemple drsquoun code drsquoaccegraves et drsquoun mot de passe individuels suffisamment robustes et reacuteguliegraverement renouveleacutes ou par tout autre moyen drsquoauthentification

bull Les conditions drsquoadministration du systegraveme drsquoinformation preacutevoient lrsquoexistence de systegravemes automatiques de traccedilabiliteacute (journaux auditshellip)

Transferts de donneacutees hors UE Seules peuvent ecirctre transfeacutereacutees les

donneacutees pertinentes au regard de la finaliteacute poursuivie par le transfert

bull La preacutesente norme simplifieacutee couvre les transferts de donneacutees lorsqursquoune des condi-tions suivantes est reacuteunie

- les transferts srsquoeffectuent agrave destina-tion drsquoun pays assurant un niveau de protection adeacutequat ou drsquoune entre-prise ameacutericaine ayant adheacutereacute au Safe Harbor

- ils sont encadreacutes par les clauses contrac-tuelles types (CCT) ou par des regravegles internes drsquoentreprise (BCR - Binding Corporate Rules) qui garantissent un niveau de protection suffisant

- ils correspondent agrave lrsquoune des excep-tions de lrsquoarticle 69 de la loi IampL limiteacute agrave des cas de transferts ponctuels et exceptionnels

Les transferts reacutepeacutetitifs massifs ou structurels de donneacutees personnelles doivent faire lrsquoobjet drsquoun encadrement juridique speacutecifique (niveau de protection adeacutequat safe Harbor CCT BCRhellip) Ces transferts ayant eacuteteacute expresseacutement preacutevus par lrsquoAU-032 aucune autorisation de la CNIL nrsquoest neacutecessaire agrave condition que ces transferts restent impeacuterativement dans le champ de lrsquoAU Agrave deacutefaut ils doivent faire lrsquoobjet de formaliteacutes preacutealables aupregraves de la CNIL dans les conditions preacutevues par ladite loi

Le responsable de traitement srsquoengage sur simple demande de la personne concer-neacutee agrave apporter une information complegravete sur la finaliteacute les donneacutees les destina-taires et les moyens mis en œuvre pour encadrer ce transfert

bull en qualiteacute de personnes inteacuteresseacutees au contrat

- les souscripteurs les assureacutes les adheacute-rents et les beacuteneacuteficiaires des contrats et srsquoil y a lieu leurs ayants droit et repreacutesentants

- srsquoil y a lieu les beacuteneacuteficiaires drsquoune cession ou drsquoune subrogation des droits relatifs au contrat

- srsquoil y a lieu le responsable les victimes et leurs mandataires les teacutemoins les tiers inteacuteresseacutes agrave lrsquoexeacutecution du contrat


- srsquoil y a lieu les juridictions concerneacutees les arbitres les meacutediateurs

- les ministegraveres concerneacutes autoriteacutes de tutelle et de controcircle et tous orga-nismes publics habiliteacutes agrave les recevoir

- les services chargeacutes du controcircle tels que les commissaires aux comptes et les auditeurs ainsi que les services chargeacutes du controcircle interne

Information des personnes bull La personne doit ecirctre informeacutee preacuteala-


bull Par ailleurs elle dispose drsquoun droit drsquoaccegraves de rectification et drsquoopposition

Mesures de seacutecuriteacutebull Le responsable du traitement prend

toutes preacutecautions utiles pour preacuteserver la seacutecuriteacute des donneacutees et notamment empecirccher qursquoelles soient deacuteformeacutees ou endommageacutees ou que des tiers non autoriseacutes y aient accegraves

bull Il deacutefinit une politique de seacutecuriteacute adapteacutee aux risques et agrave la taille de lrsquoor-ganisme Cette politique devra deacutecrire les objectifs de seacutecuriteacute et les mesures de seacutecu-riteacute physique logique et organisationnelle permettant de les atteindre

bull Les accegraves aux traitements de donneacutees doivent neacutecessiter une authentification des personnes acceacutedant aux donneacutees au moyen




Peacuterimegravetre

Pour rappel le peacuterimegravetre de la fraude est limiteacute aux seuls organismes drsquoassurances identifieacutes dans la norme simplifieacutee ndeg16 et srsquoapplique uniquement dans le cadre de la passation la gestion et lrsquoexeacutecution du contrat drsquoassurance

bull La deacutefinition qui a eacuteteacute retenue pour la fraude est la suivante laquo tout acte ou omis-sion commis intentionnellement par une ou plusieurs personnes afin drsquoobtenir un avan-tage ou un beacuteneacutefice de faccedilon illeacutegitime illicite ou illeacutegal raquo

Ainsi elle peut revecirctir un caractegravere peacutenal (ex escroquerie) ou civil (ex faute inten-tionnelle ou dolosive de lrsquoassureacute)

Exemples La fraude peut avoir un caractegravere abusif lorsqursquoil srsquoagit de faire un usage excessif drsquoun droit drsquoun bien ou une pratique au-delagrave drsquoune norme de niveau acceptable - une sur-tarification des reacuteparations en na-ture effectueacutees par un professionnel- un alignement des honoraires en fonc-tion des niveaux de garanties maximum des contrats drsquoassurance- une reacutepeacutetition de demandes au-delagrave de seuils normaux

bull Classiquement on distingue la fraude interne et la fraude externe en fonction de lrsquoauteur de la fraude

Lrsquoautorisation unique ndeg39 finalise le pack assurance avec les traitements mis en œuvre dans le cadre de la lutte contre la fraude en assurance Le travail engageacute pour cette autorisation unique a mis en exergue la difficulteacute drsquoappreacutehender agrave la fois les besoins des assureurs tout en respectant les principes de la loi informatique et liberteacutes et la doctrine de la Commission Cette complexiteacute srsquoexplique du fait qursquoil nrsquoexiste pas de deacutefinition leacutegale de la fraude agrave lrsquoassurance De plus la fraude est polymorphe Cette AU se veut la plus large possible et concerne aussi bien la fraude interne et externe

Fraude interne Fraude externe

- le salarieacute- lrsquointermeacutediaire (agent geacuteneacuteral courtier mandatairehellip) et ses salarieacutes

- le prestataire (deacuteleacutegation de tout ou partie de la gestion exeacutecution des contrats)

- lrsquoeacutelu lrsquoadministrateur mandataires sociaux

- les personnes parties ou inteacuteresseacutees au contrat (assureacutes beacuteneacuteficiaires adheacuterents souscripteurs ayants-droit tiers victimeshellip)

- les personnes intervenant au contrat (professionnels de santeacute prestataires reacuteparateurs experts garagistes fournisseurshellip)



FICHE Ndeg5LA LUTTE CONTRE LA FRAUDE (AU 39)

Finaliteacutes poursuivies par le traitement Finaliteacute 1 lrsquoanalyse et la deacutetection des

actes preacutesentant une anomalie une incoheacute-rence ou ayant fait lrsquoobjet drsquoun signalement pouvant reacuteveacuteler une fraude agrave lrsquoassurance

Exemples drsquoanomalies ou incoheacuterences - La remise de laquo faux raquo et laquo lrsquousage de faux raquo lors de la souscription du contrat ou au stade de son exeacutecution (ex fausse fiche de paie fausse carte vitale ou faux justifi-catifs drsquoidentiteacutehellip)- Une signature illisible pouvant constituer un indice de fraude qui devra ecirctre conforteacute par drsquoautres eacuteleacutements

- La reacutepeacutetition de plusieurs sinistres pour un mecircme bien ou une mecircme personne- plusieurs personnes impliqueacutees pour des mecircmes sinistres- une incoheacuterence sur les dates indiqueacutees- le refus de communication drsquoune informa-tion ou drsquoun justificatif- la modification reacutecurrente drsquoun RIB ou quasiment concomitante avec la fraude- une dureacutee tregraves proche entre la souscrip-tion du contrat drsquoassurance et la reacutealisation du sinistre- des modifications reacutepeacuteteacutees des beacuteneacutefi-ciaires drsquoune clause contractuelle ou qua-siment concomitante avec la fraude

Finaliteacute 2 la gestion des alertes en cas drsquoanomalies drsquoincoheacuterences ou de signalements En cas de fraude aveacutereacutee les deacutecisions pouvant en deacutecouler sont les suivantes

Comment se fait la deacutetection des actes preacutesentant un risque de fraude - dans le cadre de lrsquoactiviteacute quotidienne de gestion des commerciaux ou gestionnaires leur expertise laquo meacutetier raquo permet une premiegravere analyse humaine drsquoun fait ou drsquoun document potentiellement frauduleux (ex justificatif avec des ratures)- par le biais drsquoalertes ou de signalements effectueacutes par des personnes teacutemoins de compor-tements ou de faits susceptibles de preacutesenter un risque de fraude (collaborateurs internes agrave lrsquoentreprise clients victimes intermeacutediaires enquecircteurs sous-traitant organismes ou administrationshellip)- par un systegraveme de requetage automatique eacutelaboreacute agrave partir drsquoune liste de critegraveres preacutea-lablement deacutetermineacutes et pertinents- par une analyse manuelle des reacutesultats des requecirctes- par des controcircles de second niveau (managers controcircle interne auditeurs)

- agrave lrsquoaide de techniques de croisement de donneacutees srsquoappuyant sur des meacutethodes statis-tiques et des algorithmes permettant de modeacuteliser des comportements pouvant se reacuteveacuteler frauduleux (sceacutenarios profils produitshellip)


- controcircles individuels- sanctions disciplinaires proceacutedure de licenciement

- reacutesiliation (convention de deacuteleacutegation de gestion mandathellip)

- engager des proceacutedures contentieuses judiciaires hellip

- refuser le versement drsquoune indemniteacute ou drsquoune prestation

- refuser drsquoentrer en relation (ou suspendre lrsquoentreacutee en relation)

- engager des proceacutedures amiables contentieuseshellip




Finaliteacute 3 la constitution de listes des personnes ducircment identifieacutees comme auteurs drsquoactes pouvant ecirctre constitutifs drsquoune fraude

Est une laquo personne preacutesentant un risque de fraude raquo

- lrsquoauteur drsquoun acte preacutesentant une ano-malie dont la veacuterification ne permet pas de lever le doute et qui donne lieu agrave lrsquoen-registrement dans un fichier Degraves lors des veacuterifications doivent ecirctre meneacutees afin de lever le doute ou de le confirmer

- lrsquoauteur drsquoactes frauduleux ou abusifs Degraves lors ces personnes peuvent ecirctre lrsquoob-jet de deacutecisions produisant des effets juri-diques et de ce fait ecirctre eacutecarteacutees du beacuteneacute-fice drsquoun droit ou drsquoun contrat par exemple

Les organismes drsquoassurance sont ameneacutes agrave constituer de telles listes afin de veiller agrave respecter la reacuteglementation applicable en matiegravere drsquoappreacuteciation de surveillance et de maicirctrise des risques et notamment dans le cadre des obligations Solvabiliteacute II

Finaliteacute 4 la gestion des proceacutedures amiables contentieuses et disciplinaires conseacutecutives agrave un cas de fraude

Finaliteacute 5 lrsquoexeacutecution des dispositions contractuelles leacutegislatives reacuteglementaires ou administratives en vigueur applicables conseacutecutivement agrave une fraude

Les traitements de lutte contre la fraude peuvent avoir des conseacutequences sur les regravegles leacutegales ou reacuteglementaires agrave appli-quer notamment fiscales ou sociales ou peuvent reacuteveacuteler des cas de blanchiment ou de financement du terrorisme

bull Lrsquoemployeur peut eacutegalement proceacuteder agrave des requecirctes individuelles et ponctuelles

dans le cadre de son pouvoir drsquoenquecircte interne sur les donneacutees collecteacutees au titre de la gestion administrative du personnel

bull Les interconnexions sont possibles dans les conditions suivantes

- elles eacutemanent du responsable de traitement ou du groupe auquel il appartient

- elles sont possibles uniquement en matiegravere de

- gestion commerciale de clients et de prospects (NS 56)

- passation gestion et exeacutecution des contrats (NS 16)

- lutte contre le blanchiment et le financement du terrorisme (AU003)

- collecte et traitement des donneacutees drsquoinfractions de condamnations et mesures de sucircreteacute (AU 32)

- gestion des relations contractuelles avec les intermeacutediaires les pres-tataires les sous-traitants les deacuteleacutegataires et les partenaires

bull Analyse manuelle des alertes deacutetecteacutees automatiquement

Les requecirctes ou alertes automatiques font lrsquoobjet drsquoune analyse manuelle par le personnel habiliteacute de lrsquoorganisme ou du groupe Il peut eacutegalement ecirctre deacutecideacute de proceacuteder agrave des investigations compleacutementaires pour confirmer ou non le cas de fraude Enfin la personne concerneacutee doit pouvoir preacutesenter ses obser-vations si une deacutecision produisant des effets juridiques est prise agrave son eacutegard


Les traitements auxquels lrsquoAU fait reacutefeacute-rence sont ceux preacutealablement identifieacutes et encadreacutes par le biais de normes simplifieacutees et autorisation unique adopteacutees par la CNIL Il srsquoagit notamment des donneacutees dont dis-posent drsquoores et deacutejagrave les assureurs dans le cadre de la gestion des contrats drsquoassurance ainsi que toutes les donneacutees neacutecessaires agrave lrsquoactiviteacute de lutte contre la fraude




Donneacutees relatives agrave la passation la gestion et de lrsquoexeacutecution des contrats (NS 16)

bull identification des personnes parties inteacuteresseacutees ou intervenantes au contrat

bull situation familiale eacuteconomique patri-moniale et financiegravere

bull situation professionnelle bull appreacuteciation du risque bull passation application du contrat et

gestion des sinistres et des prestations bull deacutetermination ou eacutevaluation des

preacutejudices bull localisation des personnes ou des biens

en relation avec les risques assureacutes bull vie personnelle et habitudes de vie en

relation avec les risques assureacutes bull informations relatives agrave la santeacute avec

le consentement expregraves de lrsquointeacuteresseacutee sauf srsquoil ne peut ecirctre mateacuteriellement ou juridiquement recueilli ou que lrsquoorga-nisme est soumis agrave une obligation leacutegale de recueillir ces informations

Qursquoest ce que signifie la localisation des biens ou des personnes

Il srsquoagit des donneacutees en lien avec le dossier de fraude (videacuteo photographies et meacutetadonneacutees) Ne sont pas concerneacutees les donneacutees de geacuteolocalisation des salarieacutes reacutepondant agrave une finaliteacute autre que la lutte contre la fraude

Les donneacutees de localisation sont celles qui figurent sur les enregistrements per-mettant drsquohorodater et de localiser lrsquoob-jet de lrsquoenregistrement Par exemple une photo envoyeacutee par lrsquoassureacute dans le cadre du rapport drsquoenquecircte identifie le lieu du sinistre et sa date Ainsi il est possible de constater si la date correspond ou non avec celle de la deacuteclaration du sinistre

Donneacutees relatives agrave la gestion et au suivi de la relation commerciale (NS 56)

bull identification des personnes bull situation familiale eacuteconomique patri-

moniale et financiegravere et habitudes de vie

en lien avec la relation commerciale bull activiteacutes professionnelles et non profes-

sionnelles ayant un lien avec la relation commerciale

bull suivi de la relation commerciale bull localisation et connexion

Donneacutees relatives aux infractions condamnations et mesures de sucircreteacute (AU 32)

bull concernant les personnes - les donneacutees drsquoidentification nom et

preacutenom(s) date et lieu de naissance - les coordonneacutees postales - le cas eacutecheacuteant les donneacutees issues des

procegraves verbaux de police ou de gendar-merie les deacutecisions judiciaires ou administratives et les enquecirctes judiciaires

bull concernant les circonstances de lrsquoinfraction

- les faits constateacutes - la preacutesence de teacutemoins leur identifica-

tion et leurs teacutemoignagesbull suites donneacutees agrave la constatation de

lrsquoinfraction - saisine ou absence de saisine - classement sans suite - engagement de poursuite - condamnations - mesures de sucircreteacute

Agrave lrsquooccasion de la collecte de donneacutees drsquoinfractions les organismes drsquoassurance peuvent deacutetecter une fraude Ou inverse-ment la deacutecouverte drsquoune fraude peut en-gendrer la collecte de donneacutees drsquoinfractioncondamnation (ex personne deacutejagrave condam-neacutee pour fraude organiseacutee usurpation drsquoidentiteacute usage de faux volhellip) De plus la gestion des actions contentieuses me-neacutees suite agrave des actes frauduleux peut en-gendrer la collecte de donneacutees de condam-nations de lrsquoauteur

Donneacutees de journalisation des accegraves aux traitements (NS 16 NS 56 AU 31 et AU 32)




Le NIR est traiteacute par les organismes uniquement dans les cas suivants

bull pour les activiteacutes drsquoassurance maladie materniteacute invaliditeacute retraite suppleacutemen-taire dans le cadre des relations avec les professionnels les eacutetablissements et les institutions de santeacute pour les deacuteclarations sociales des entreprises souscriptrices de

Donneacutees collecteacutees au titre de la gestion administrative du personnel uniquement dans le cadre de requecirctes ponctuelles et indi-viduelles conseacutecutives agrave la deacutetection drsquoune fraude

Par exemple veacuterification de la preacutesence des absences la teacuteleacutephonie la reacutemuneacutera-tion le badgage des salarieacuteshellip

Donneacutees relatives aux anomalies inco-heacuterences et signalement pouvant reacuteveacuteler une fraude

Donneacutees relatives aux investigations agrave lrsquoinstruction du dossier de fraude et agrave lrsquoeacuteva-luation du peacuterimegravetre de la fraude

Exemples de donneacutees de gestion drsquoun dossier de fraude- descriptif des anomalies indicateurs in-coheacuterences alertes automatiques ou signa-lement ayant permis de deacutetecter la fraude- investigations instruction du dossier de fraude et eacutevaluation descriptif de la fraude faits personnes suspecteacutees teacute-moins dates preacutejudice reacutesultant de la fraude pour lrsquoorganisme ou les personnes victimes rapports drsquoenquecircte expertises dureacutee montant nombre de personnes im-pliqueacutees deacutecisions prises par lrsquoorganisme

contrats drsquoassurance et pour lrsquoindemnisa-tion des accidents

bull pour la gestion des rentesbull enfin le NIR peut ecirctre collecteacute dans le

cadre de leurs activiteacutes drsquoassurance pour les garanties pertes drsquoexploitation et perte drsquoemploi uniquement agrave des fins probatoires

- donneacutees issues des bases de donneacutees in-ternes (bases relation client gestion des contrats gestion du personnel ou des inter-meacutediaires hellip) ou de fichiers externes (Agi-ra messagerie Alfa Argoshellip) ou encore de bases externes et registres qui sont destineacutes exclusivement agrave lrsquoinformation du public et sont ouverts agrave la consultation de celui-ci ou de toute personne justifiant drsquoun inteacuterecirct leacutegitime

Il srsquoagit par exemple de veacuterifier que les informations donneacutees par la personne concerneacutee et celles deacutetenues par les or-ganismes administratifs ou professionnels sont concordantes avec celles de lrsquoassureur (anteacuteceacutedents deacuteclareacutes par exemple le re-leveacute drsquoinformation en matiegravere de sinistres auto retrace les sinistres sur une peacuteriode de 5 ans validiteacute carte grise inscription RCS veacutehicule deacuteclareacute voleacute chez un autre assureurhellip)

Donneacutees drsquoidentification des personnes intervenant dans la deacutetection et la gestion de la fraude

Exemple les enquecircteurs et les personnes impliqueacutees dans lrsquoenquecircte dont lrsquousage de pseudonymes ou identiteacutes fictives destineacute agrave proteacuteger ces personnes

Les particulariteacutes lieacutees agrave la collecte et au traitement du NIRDans le cadre drsquoeacutechanges pouvant avoir lieu notamment entre un organisme drsquoassurance

maladie compleacutementaire et les organismes du reacutegime social obligatoire sur la fraude drsquoun as-sureacute (ou drsquoun beacuteneacuteficiaire ou ayant-droit) le NIR peut faire partie des donneacutees transmises

- soit au titre drsquoune action en reacutepeacutetition de lrsquoindu meneacutee par lrsquoassurance maladie obligatoire - soit au titre drsquoune action de lutte contre la fraude initieacutee par lrsquoassurance maladie obli-

gatoire




Dureacutees de conservation

Eacutetape ndeg1 qualification de lrsquoalerte agrave compter de lrsquoeacutemission de lrsquoalerte les orga-nismes drsquoassurance disposent drsquoun deacutelai de 6 mois pour qualifier les alertes Toute alerte laquo non pertinente raquo ou nrsquoayant reccedilu aucune qualification agrave lrsquoissue du deacutelai de 6 mois doit ecirctre supprimeacutee immeacutediatement

Eacutetape ndeg2 alerte qualifieacutee lorsque lrsquoalerte est laquo pertinente raquo les donneacutees sont conserveacutees pour une dureacutee maximale de 5 ans agrave compter de la clocircture du dossier de fraude En cas de proceacutedure judicaire elles sont conserveacutees jusqursquoau terme de la proceacute-dure Elles sont ensuite archiveacutees

Srsquoagissant de la possibiliteacute drsquoinscription dans le fichier des personnes preacutesentant un risque de fraude les donneacutees sont conser-veacutees pendant une dureacutee de 5 ans agrave compter de la date drsquoinscription

DestinatairesPeuvent dans les limites de leurs attributions respectives avoir accegraves aux donneacutees agrave carac-tegravere personnel

Les destinataires laquo classiques raquo

Les destinataires laquo directement concerneacutes par une fraude raquo

- les autres organismes drsquoassurance ou intermeacutediaires intervenant dans le cadre de dossier preacutesentant une fraude

- les organismes sociaux lorsque les reacutegimes sociaux interviennent dans le regraveglement des sinistres ou lorsque les organismes drsquoassurances offrent des garanties compleacutementaires agrave celles des reacutegimes sociaux

- les organismes professionnels inter-venant dans le cadre de dossiers preacutesentant une fraude

- les auxiliaires de justice et officiers ministeacuteriels

- lrsquoautoriteacute judiciaire meacutediateur arbitre saisis drsquoun litige

- les organismes tiers autoriseacutes par une disposition leacutegale agrave obtenir la commu-nication de donneacutees agrave caractegravere personnel relatives agrave des preacuteconten-tieux contentieux ou condamnations

- srsquoil y a lieu les victimes de fraudes ou leurs repreacutesentants

La communication de ces donneacutees ne peut en aucun cas donner lieu agrave la creacutea-tion drsquoun fichier concernant les donneacutees relatives aux fraudes et mutualiseacute entre les destinataires

Fraude interne Fraude externe et interne

- personnes habiliteacutees DRH (requecirctes ponctuelles et individuelles)

- conseil de discipline saisi en cas de fraude - les repreacutesentants du personnel dans le

cadre de lrsquoaccompagnement drsquoun salarieacute mis en cause pour fraude

- les personnels en relation avec la clientegravele et les gestionnaires de contrats et de sinistres

- les autres entiteacutes drsquoun mecircme groupe degraves lors qursquoelles sont concerneacutees par la fraude ou interviennent dans la gestion des dossiers ou de maicirctrise du risque de fraude

- les personnels habiliteacutes en charge de la lutte contre la fraude de la lutte antiblanchiment et du controcircle interne

- les inspecteurs enquecircteurs experts et auditeurs

- le personnel habiliteacute de la direction geacuteneacuterale la direction juridique ou du service du contentieux pour la gestion des contentieux

- le personnel habiliteacute des sous-traitants




Information des personnes

Il existe 2 niveaux drsquoinformation Premier niveau information geacuteneacuterale

des personnes concerneacutees sur le dispositif de

Second niveau Le responsable de trai-tement informe systeacutematiquement lors de la contractualisation de la mise en œuvre drsquoun dispositif de lutte contre la fraude susceptible de conduire agrave lrsquoinscription sur une liste de personnes preacutesentant un risque de fraude Les conseacutequences en cas de fraude sont reacutegies par les dispositions contractuelles

En cas de deacutetection drsquoune anomalie drsquoune incoheacuterence ou drsquoun signalement suscep-tible de relever drsquoune fraude le responsable de traitement a la possibiliteacute drsquoinscrire une personne sur une laquo liste de personnes preacutesen-tant un risque de fraude raquo La personne concerneacutee susceptible drsquoecirctre inscrite sur cette liste peut ecirctre un assureacute un prestataire un professionnel de santeacute etc (Il srsquoagit des personnes concerneacutees par la mise en œuvre du traitement de lutte contre la fraude interne et externe)

Au cours de la peacuteriode drsquoinvestigation la personne concerneacutee peut ecirctre contacteacutee selon le type de fraude suspecteacutee (assureacute partenaire salarieacute) pour apporter des explications compleacutementaires

Au terme des investigations et en cas de deacutecision prise produisant des effets juridiques

lutte contre la fraude pouvant conduire agrave lrsquoins-cription sur la liste des personnes agrave risque

Il existe des modaliteacutes drsquoinformation distinctes en fonction des personnes viseacutees

(refus de prise charge avertissement au salarieacute rupture de contrat) une information eacutecrite et individuelle est adresseacutee preacutecisant les mesures prises par lrsquoassureur (conseacute-quences de lrsquoapplication du contrat concerneacute) et lui donnant la possibiliteacute de preacutesenter ses observations

Mesures de seacutecuriteacute Le responsable du traitement prend


Il deacutefinit une politique de seacutecuriteacute adapteacutee aux risques et agrave la taille de lrsquoor-ganisme Cette politique devra deacutecrire les objectifs de seacutecuriteacute et les mesures de seacutecu-riteacute physique logique et organisationnelle permettant de les atteindre



- les salarieacutes de lrsquoorganisme drsquoassurance sont informeacutes individuellement dans le regraveglement inteacuterieur ou dans tout autre support de communication eacutechangeacute lors de lrsquoexeacutecution du contrat

- les prestataires les agents geacuteneacuteraux les mandataires les intermeacutediaires les administrateurs les mandataires sociaux ou les eacutelus des organismes sont informeacutes dans les documents contractuels ou tout autre support de communication adresseacutes par lrsquoorganisme drsquoassurance

- les assureacutes sont informeacutes de lrsquoexistence du traitement dans les documents communiqueacutes au moment de la souscription du contrat ou de tout autre support de communication eacutechangeacute lors de lrsquoexeacutecution du contrat




Les conditions drsquoadministration du systegraveme drsquoinformation preacutevoient lrsquoexistence de systegravemes automatiques de traccedilabiliteacute (journaux auditshellip) Il en va de mecircme pour les interventions de maintenance qui doivent faire lrsquoobjet drsquoune traccedilabiliteacute Par ailleurs le mateacuteriel remiseacute devra ecirctre nettoyeacute de toute donneacutee agrave caractegravere personnel

Srsquoil existe un site internet le responsable de traitement prend les mesures neacutecessaires pour se preacutemunir contre toute atteinte agrave la confidentialiteacute des donneacutees traiteacutees

Le responsable de traitement devra aussi srsquoassurer que ses sous-traitants preacutesentent des garanties en matiegravere de seacutecuriteacute des donneacutees

Srsquoagissant des donneacutees de santeacute le responsable de traitement srsquoengage agrave respecter le code de bonne conduite annexeacute agrave la convention AERAS concernant la collecte et lrsquoutilisation de donneacutees relatives agrave lrsquoeacutetat de santeacute en vue de la souscription ou de lrsquoexeacute-cution drsquoun contrat drsquoassurance

Transferts de donneacutees hors UESeules peuvent ecirctre transfeacutereacutees les


La preacutesente autorisation unique couvre les transferts de donneacutees lorsqursquoune des conditions suivantes est reacuteunie

bull les transferts srsquoeffectuent agrave destina-tion drsquoun pays assurant un niveau de protection adeacutequat ou drsquoune entre-prise ameacutericaine ayant adheacutereacute au Safe Harbor

bull ils sont encadreacutes par les clauses contrac-tuelles types (CCT) ou par des regravegles internes drsquoentreprise (BCR - Binding Corporate Rules) qui garantissent un niveau de protection suffisant

bull ils correspondent agrave lrsquoune des excep-tions de lrsquoarticle 69 de la loi IampL limiteacute agrave des cas de transferts ponc-tuels et exceptionnels

Les transferts reacutepeacutetitifs massifs ou structurels de donneacutees personnelles doivent faire lrsquoobjet drsquoun encadrement ju-ridique speacutecifique (niveau de protection adeacutequat safe Harbor CCT BCRhellip) Ces transferts drsquoinformations dans le cadre de lrsquoactiviteacute de lutte contre la fraude ayant eacuteteacute expresseacutement preacutevus par lrsquoAU-039 aucune autorisation de la CNIL nrsquoest neacutecessaire agrave condition que ces transferts restent impeacute-rativement dans le champ de lrsquoAU Agrave deacute-faut ils doivent faire lrsquoobjet de formali-teacutes preacutealables aupregraves de la CNIL dans les conditions preacutevues par ladite loi





PREacuteCISIONS SUR LE SORT DES FORMALITEacuteS PREacuteALABLES DEacuteJAgrave ACCOMPLIES AUPREgraveS DE LA CNIL

Un organisme drsquoassurance ayant proceacutedeacute agrave un engagement de conformiteacute agrave la NS 16 dans son ancienne reacutedaction et qui ne modifie pas son traitement compte tenu de la nouvelle norme nrsquoa pas agrave accomplir une nouvelle formaliteacute

Lrsquoorganisme drsquoassurance qui ne modifie pas son traitement deacuteclareacute en reacutefeacuterence agrave lrsquoAU 18 nrsquoa pas besoin de faire un nouvel engagement de conformiteacute agrave lrsquoAU 31 (qui integravegre lrsquoAU 18) agrave moins que cet organisme ne collecte le NIR

Enfin tout projet de traitement dont les finaliteacutes ou les cateacutegories de donneacutees ou de desti-nataires exceacutederaient le cadre deacutefini par les autorisations uniques et qui ne respecterait pas les exigences qui y sont deacutefinies devra faire lrsquoobjet drsquoune demande drsquoautorisation speacutecifique preacutesen-tant et expliquant les diffeacuterences entre le traitement envisageacute et lrsquoautorisation unique concerneacutee


Le pack de conformiteacute assurance permet donc de recenser et drsquoencadrer lrsquoensemble des traitements mis en œuvre par les acteurs (organismes drsquoassurance intermeacutediaires socieacuteteacutes drsquoassistance) pour toutes les branches drsquoassurance y compris lrsquoassistance Ce pack concerne eacutega-lement les laquo Groupes raquo auxquels appartiennent les responsables de traitement Cette deacutemarche srsquoinscrit dans une logique de seacutecurisation juridique apporteacutee aux professionnels et une meilleure prise en compte de la reacutealiteacute de leurs activiteacutes qui caracteacuterise la nouvelle meacutethode de travail de la Cnil pour accompagner les responsables de traitement dans leur mise en conformiteacute avec la loi informatique et liberteacutes non seulement en matiegravere de formaliteacutes mais dans la substance des traitements de donneacutees personnelles concerneacutes Les eacutechanges ont permis de deacutegager un cadre reacuteglementaire lisible et opeacuterationnel faisant eacutegalement reacutefeacuterence agrave des garanties preacutevues par drsquoautres instruments juridiques Par exemple le code de bonne conduite annexeacute agrave la convention AERAS qui vise les conditions de collecte et drsquoutilisation des donneacutees de santeacute

Par ailleurs les deux normes simplifieacutees et les trois autorisations uniques compleacuteteacutees par des fiches pratiques repreacutesentent une simplification des formaliteacutes telle qursquoelle est souhaiteacutee par la Commission et attendue par les professionnels

Vers la creacuteation drsquoun Club conformiteacute Afin de tirer parti de lrsquoespace privileacutegieacute drsquoeacutechanges qui srsquoest creacuteeacute entre la Cnil et les profession-

nels pour eacutelaborer le pack de conformiteacute le groupe de travail initialement constitueacute va continuer agrave se reacuteunir peacuteriodiquement sous la forme drsquoun laquo club conformiteacute raquo Il srsquoagira de ne pas perdre le beacuteneacutefice apporteacute par cette zone de confiance pour deacutebattre des besoins et questionnements sur lrsquoapplication de la loi eacutevaluer dans le temps la robustesse des outils de reacutegulation des donneacutees ayant eacuteteacute eacutelaboreacutes les mettre agrave jour en fonction tant de lrsquoeacutevolution des meacutetiers que de la leacutegislation enfin creacuteer un effet drsquoentraicircnement vertueux dans la diffusion de la conformiteacute informatique et liberteacutes gracircce agrave lrsquoaction deacutemultiplicatrice des reacuteseaux professionnels impliqueacutes



SOMMAIRE

LA DEacuteMARCHE ADOPTEacuteE


RAPPEL SUR LA LOI INFORMATIQUE ET LIBERTEacuteS

LEXIQUE

TEXTES APPLICABLES

FICHES PRATIQUES FICHE Ndeg1 LA PASSATION LA GESTION ET Lrsquo EXECUTION DES CONTRATS DrsquoASSURANCE (NS 16)





FORMALITEacuteS PREacuteALABLES



7

2

6

2

88

14

20

25

28

36

36

6



LA DEacuteMARCHE























234 entreprises1




Informer le public







95 des mutuelles

38 M personnes





47 IP

















































LEXIQUE













TEXTES APPLICABLES










































ATTENTION






































































































































































































































RAPPEL






























































drsquointerrogation


















































































































Peacuterimegravetre










































































































gatoire
















































































LA DEacuteMARCHE























234 entreprises1




Informer le public







95 des mutuelles

38 M personnes





47 IP

















































LEXIQUE













TEXTES APPLICABLES










































ATTENTION






































































































































































































































RAPPEL






























































drsquointerrogation


















































































































Peacuterimegravetre










































































































gatoire




















































































234 entreprises1




Informer le public







95 des mutuelles

38 M personnes





47 IP

















































LEXIQUE













TEXTES APPLICABLES










































ATTENTION






































































































































































































































RAPPEL






























































drsquointerrogation


















































































































Peacuterimegravetre










































































































gatoire

























































































































LEXIQUE













TEXTES APPLICABLES










































ATTENTION






































































































































































































































RAPPEL






























































drsquointerrogation


















































































































Peacuterimegravetre










































































































gatoire
















































































TEXTES APPLICABLES










































ATTENTION






































































































































































































































RAPPEL






























































drsquointerrogation


















































































































Peacuterimegravetre










































































































gatoire


















































































































ATTENTION






































































































































































































































RAPPEL






























































drsquointerrogation


















































































































Peacuterimegravetre










































































































gatoire

















































































































































































































































































































RAPPEL






























































drsquointerrogation


















































































































Peacuterimegravetre










































































































gatoire








































































































































drsquointerrogation


















































































































Peacuterimegravetre










































































































gatoire














































































































































































Peacuterimegravetre










































































































gatoire










































































































































































gatoire














































































pack de conformité assurance complet

Documents