L'utilisation et la protection des données par Harmonie Mutuelle en 10 questions

Qu'est-ce que le RGPD ?

Pour s'adapter aux enjeux du numérique et garantir une meilleure maîtrise des données personnelles, le Règlement général sur la protection des données (RGPD), est entré en application le 25 mai 2018. Il renforce les droits des personnes et responsabilise davantage les organismes publics et privés qui traitent leurs données. Ce nouveau règlement européen s'inscrit dans la continuité de la Loi française « Informatique et Libertés » de 1978 et renforce le contrôle, par les citoyens, de l'utilisation qui peut être faite des données les concernant.

Qu'est-ce qu'une donnée personnelle ?

Une « donnée personnelle » est constituée de « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut être identifiée :

  • directement (exemple : nom, prénom) ;
  • indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l'image).

L'identification d'une personne physique peut être réalisée :

  • à partir d'une seule donnée (exemple : numéro de sécurité sociale, ADN) ;
  • à partir du croisement d'un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association).

Qu'est-ce qu'un traitement de données personnelles ?

Un « traitement de données personnelles » est une opération, ou un ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition.

Quelles catégories de données sont collectées par Harmonie Mutuelle et dans quel but ?

HARMONIE MUTUELLE, pour accomplir sa mission et délivrer les services et prestations souscrits au profit des bénéficiaires et gérer la relation avec les adhérents et clients, a besoin de certaines données personnelles. Elles peuvent être de nature différente en fonction des différentes activités exercées par Harmonie Mutuelle (Complémentaire santé, Prévoyance, Assurance emprunteur, Epargne retraite, Prévention…).

Ces données collectées directement auprès des Bénéficiaires sont principalement des données d'identification, de situation professionnelle et familiale, des données économiques et bancaires. S'y ajoutent les données générées lors de l'utilisation de nos services ou de la navigation sur nos environnements digitaux, ainsi que celles générées par la gestion du contrat (remboursements de soins, versements d'indemnités, délivrance d'un service).

À noter, certaines activités telles que la prévoyance et l'assurance emprunteur justifient le traitement de données médicales. Elles sont collectées au moment de la souscription, selon un processus spécifique et strictement encadré pour permettre le respect du secret médical. Ces données ne sont traitées qu'avec le consentement de l'assuré et destinées exclusivement au médecin conseil, pour la gestion du contrat.

Quelles sont les responsabilités respectives  pour les entreprises qui souscrivent au nom de leurs salariés ?

L'entreprise reste responsable des traitements RH de ses collaborateurs, parmi lesquels figure la mise en place des régimes de protection sociale complémentaire. De ce fait, l'entreprise détient la responsabilité du traitement des données relatif à la mise en place et au déploiement du contrat, ainsi que la mise à jour des informations transmises, afin d'ouvrir les droits de ses salariés auprès de la mutuelle. L'entreprise est donc légitime à transmettre à la mutuelle, soit directement, soit en collectant les bulletins individuels d'affiliation de ses salariés, les données personnelles nécessaires à leur affiliation.

HARMONIE MUTUELLE, une fois l'affiliation effectuée, rentre en lien juridique et contractuel direct avec les collaborateurs de l'entreprise, qui deviennent ainsi nos adhérents. À ce stade du processus, et pour la totalité de l'exécution du contrat souscrit, la mutuelle prend la responsabilité du traitement des données.

Quelle utilisation Harmonie Mutuelle fait-elle des données personnelles ?

HARMONIE MUTUELLE ne collecte et ne traite que les données personnelles qui lui sont strictement nécessaires dans le cadre de ses activités, afin de proposer des produits et services de qualité, et adaptés aux besoins de chacun.

Nous utilisons les données pour :

  • Assurer efficacement nos missions, de la phase précontractuelle à l'exécution de nos engagements. Il s'agit d'effectuer toutes les opérations nécessaires à la passation, la gestion (y compris commerciale) et l'exécution de nos engagements contractuels, ainsi que toute opération relative à l'organisation de la vie institutionnelle relevant de nos statuts.
  • Proposer un accompagnement et des offres utiles et adaptées. Il s'agit d'être en mesure d'identifier les besoins de chacun, afin de personnaliser davantage la relation avec nos adhérents et clients, en leur proposant des offres adaptées.
  • Remplir nos obligations légales et règlementaires et préserver nos intérêts légitimes. Il s'agit de respecter nos obligations relatives à la lutte contre la fraude, contre le blanchiment ou le financement du terrorisme, ainsi que de nous mettre en mesure de défendre nos intérêts en justice en conservant les preuves correspondantes.

Nous ne communiquons aucune donnée personnelle à des tiers en dehors du cadre contractuel, sans votre consentement. Les données sont uniquement destinées aux personnels habilités de la Mutuelle. Dans la stricte limite des usages cités ci-dessus, elles sont également susceptibles d'être transmises aux sous-traitants, partenaires et organismes professionnels habilités par la Mutuelle et contribuant à la réalisation de ces usages. Elles peuvent également, pour satisfaire aux obligations légales et règlementaires, être communiquées, à leur requête, aux organismes officiels et aux autorités administratives ou judiciaires, notamment dans le cadre de la lutte contre le blanchiment des capitaux ou de la lutte contre le financement du terrorisme, en application des dispositions légales.

Nous les hébergeons  exclusivement sur le territoire d'un pays membre de l'Union Européenne ou dans un pays présentant des garanties suffisantes au sens de la Commission européenne.

Nous ne conservons les données que le temps nécessaire à la réalisation des différentes finalités et utilisations décrites ci-dessus et dans le respect des différentes dispositions légales relatives à la prescription ou à toute autre durée spécifique fixée par l'autorité de contrôle, dans un référentiel sectoriel (normes pour le secteur assurance).

Que fait déjà Harmonie Mutuelle pour assurer la sécurité et la confidentialité des données personnelles ?

HARMONIE MUTUELLE s'est dotée des dispositifs organisationnels et techniques suivants afin de maîtriser les risques de sécurité informatique :

En matière de sécurité

  • Organisation de la sécurité
    La sécurisation des systèmes d'information Harmonie Mutuelle est pilotée par le RSSI, et mise en œuvre opérationnellement par la direction informatique d'Harmonie Mutuelle. Harmonie Mutuelle dispose également d'une équipe dédiée de sécurité opérationnelle, en charge de l'administration technique et de la gestion opérationnelle des incidents de sécurité.
  • Politiques de sécurité
    Harmonie Mutuelle dispose d'une politique de sécurité générale validée par le Direction Générale, ainsi que de plusieurs standards de sécurité définissant les objectifs de sécurité à atteindre. Cette politique de sécurité s'appuie sur les normes ISO 27001 et 27002.
  • Plan de reprise d'activité (PRA)
    Harmonie Mutuelle dispose d'un PRA piloté par une équipe dédiée, visant à s'assurer de la bonne disponibilité et reprise des données en cas de sinistre majeur sur ses équipements informatiques. Ce plan de reprise d'activité s'appuie notamment sur des capacités de virtualisation.

En matière de confidentialité

Tous les utilisateurs d'Harmonie Mutuelle disposent de comptes nominatifs permettant d'assurer la traçabilité des opérations. Pour les administrateurs techniques, une solution de gestion des droits d'accès à privilèges est mise en œuvre. Une revue des droits privilégiés est réalisée annuellement par l'équipe Sécurité.

La chaîne d'opérateurs intervenant sur les données confiées à Harmonie Mutuelle est soumise à un engagement de confidentialité matérialisé dans le contrat qui nous lie à l'opérateur et, pour des opérations critiques et/ou pour des intervenants externes, dans un document d'engagement en sus.

Tous les utilisateurs d'Harmonie Mutuelle (internes et externes) utilisent des comptes nominatifs, ce qui permet d'octroyer des accès aux seules personnes concernées par le processus en question.

Pour les administrateurs techniques, une solution de gestion de droits d'accès à privilèges est mise en œuvre. Une revue des droits privilégiés est réalisée annuellement par l'équipe Sécurité.

En matière d'intégrité

Harmonie Mutuelle veille à l'intégrité des données qui lui sont confiées et qu'elle manipule, pour des raisons de qualité de service et de continuité d'activité. Chaque nouveau processus fait l'objet d'une analyse qui peut conduire à mettre en place des systèmes contrôlant l'intégrité des données échangées et enregistrées. Les accès aux systèmes d'information sont restreints, de sorte à limiter le risque d'erreur humaine affectant l'intégrité des données.

En matière d'hébergement

Harmonie Mutuelle dispose de son propre Datacenter sécurisé (accès au bâtiment protégé, redondance de l'alimentation électrique et des systèmes télécoms, alarme et vidéoprotection) en France (salle Lampertz), directement administré par des équipes internes Harmonie Mutuelle, suivant un ensemble de procédures formalisées. Ce datacenter se situe dans une zone dépourvue des risques environnementaux. Il est accessible aux équipes Harmonie Mutuelle en moins de 20 minutes. Ce datacenter est équipé de ses propres moyens de destruction sécurisée des données (effacement logique sécurisé ou destruction sécurisée des disques durs en fonction des types de média).

Les prestataires de service auxquels a recours Harmonie Mutuelle sont soumis aux mêmes exigences en terme d'hébergement : les datacenters doivent se situer en Europe, et nous privilégions ceux qui sont installés en France ; aussi, ils doivent être à un niveau de sécurisation adéquat (tant en termes de sécurisation logique que physique).

En matière de transparence

HARMONIE MUTUELLE travaille sur deux axes :

  • Le premier consiste à améliorer la détection des incidents de sécurité et leur qualification,
  • Le second axe consiste à rédiger et déployer une procédure de notification des failles de sécurité à la CNIL, dans le délai imparti de 72 heures et le cas échéant, aux personnes concernées, afin de répondre à nos obligations règlementaires.

Un dispositif complémentaire pour les entreprises clientes

Harmonie Mutuelle dispose de plusieurs environnements suivant les bonnes pratiques de sécurité (Production / Pré-production) et peut proposer à ses clients plusieurs moyens d'échanges sécurisés en fonction de la nature des données à transmettre (par ex. : solution de containerisation) et dispose de sa propre infrastructure de gestion des certificats (PKI).

En matière de sensibilisation

Des sessions de sensibilisation trimestrielles en présentiel, sur des thèmes choisis par l'équipe RSSI en fonction de l'actualité d'Harmonie Mutuelle et de la veille sécurité assurée par l'équipe, sont réalisées et sont accompagnées d'une lettre de sensibilisation elle aussi trimestrielle, touchant l'ensemble des collaborateurs intervenant sur le SI.

Des modules de E-learning (l'un dédié à la sécurité informatique et un autre dédié au RGPD) ont été mis en place sur la plateforme interne d'e-learning d'Harmonie Mutuelle. Ils font partie des formations obligatoires pour l'ensemble des collaborateurs.

Parallèlement, différents dispositifs de sensibilisation ponctuels nationale (affiches, flyers, kakémonos…) sont également déployés sur ces thématiques à l'échelle nationale.

Où en est Harmonie Mutuelle dans sa mise en conformité avec le RGPD ?

HARMONIE MUTUELLE a mené une démarche active de mise en conformité avec le RGPD autour de 5 grands chantiers (Conformité, sécurité-infrastructures, sous-traitance et partenariats, consentement et transparence, accompagnement au changement).

Dans ce cadre, plusieurs actions ont été réalisées, telles que la désignation d'un Data Protection Officer en avril 2018, la constitution d'une équipe opérationnelle chargée du pilotage et de la mise en œuvre des différents chantiers, et la constitution d'une équipe juridique chargée de la mise en conformité contractuelle.

Plusieurs autres actions ont été priorisées sur la fin d'année 2018 et le premier semestre 2019 et sont désormais largement initiées : la cartographie et le registre des traitements, le renforcement de la transparence à travers la révision des mentions d'informations légales, la sensibilisation de nos collaborateurs, ainsi que la revue des conventions de sous-traitance et de partenariats.

Parallèlement, d'autres actions complétant cette démarche de conformité sont initiées ou programmées, telles que notamment la rédaction des procédures de notification des failles de sécurité ou celles relatives à l'exercice des droits des personnes.

Nos engagements complémentaires vis-à-vis des entreprises clientes

Outre le fait d'apporter les garanties nécessaires en matière de protection des données des collaborateurs des entreprises clientes, HARMONIE MUTUELLE s'engage également vis-à-vis des entreprises souscriptrices :

  • A porter assistance au Client souscripteur afin de répondre aux autorités pour les traitements dont il reste responsable.
  • A coopérer avec le Client souscripteur pour respecter le RGPD, à collaborer avec lui pour réaliser d'éventuelles PIA, ou l'accompagner pour faciliter l'exercice de leurs droits par les personnes concernées.
  • A autoriser le Client souscripteur, selon des modalités à convenir contractuellement avec dernier, à procéder à des audits RGPD.

Pour cela, des points de contact dédiés
Concernant les données personnelles et le RGPD : dpo@harmonie-mutuelle.fr
Concernant la sécurité des systèmes d'informations : rssi@harmonie-mutuelle.fr

Concrètement, quels sont les droits des adhérents et de leurs bénéficiaires ?

L'adhérent et ses ayants droit disposent :

  • Sur leurs données personnelles : d'un droit d'accès, de rectification, d'effacement ou de portabilité de leurs données, ainsi que du droit de définir des directives relatives à leur sort après leur décès.
  • Sur les traitements : dans les limites des intérêts légitimes de la Mutuelle, d'un droit à la limitation et d'un droit d'opposition (par ex. le droit de s'opposer à l'utilisation de ses données personnelles à des fins de prospection commerciale et/ou de profilage).
  • Sur les consentements : du droit de maîtriser ses consentements en contactant la mutuelle afin de demander la désinscription de toute sollicitation commerciale ou, en retirant son consentement à l'envoi d'e-mails d'informations et d'actualités provenant de la mutuelle via le lien de désinscription prévu dans chaque envoi.
  • En cas de réclamation relative au traitement de leurs données personnelles, du droit de saisir la Commission Nationale Informatique et Libertés (CNIL).

Comment exercer ces droits ?

UN POINT DE CONTACT UNIQUE

Responsable Protection des données - Data Protection Officer - de la Mutuelle par mail dpo@harmonie-mutuelle.fr ou par courrier postal adressé à « Harmonie Mutuelle - Service DPO - 29 quai François Mitterrand – 44273 Nantes Cedex 2