PACK ASSURANCE Complet PDF

PACK DE
CONFORMITÉ
ASSURANCE
Édition juillet 2014 cnil.fr

Pack de conformité - Assurance 1
SOMMAIRE
2 LA DÉMARCHE ADOPTÉE
2 LE SECTEUR DE L’ASSURANCE
6 RAPPEL SUR LA LOI INFORMATIQUE ET LIBERTÉS
6 LEXIQUE
7 TEXTES APPLICABLES
8 FICHES PRATIQUES
8 FICHE N°1 : LA PASSATION, LA GESTION ET L’ EXECUTION DES CONTRATS D’ASSURANCE (NS 16)
14 F ICHE N°2 : LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR
LE SECTEUR DES ASSURANCES (NS 56)
FICHE
20 N°3 : LA COLLECTE DU NIR ET LA CONSULTATION DU RNIPP (AU 31)
25 FICHE N°4 : LA COLLECTE DES DONNÉES D’INFRACTIONS, DE CONDAMNATIONS

OU DES MESURES DE SÛRETÉ (AU 32)

28 FICHE N°5 : LA LUTTE CONTRE LA FRAUDE (AU 39)

36 FORMALITÉS PRÉALABLES
36 CONCLUSION GÉNÉRALE SUR LE PACK ASSURANCE
Édition novembre 2014 cnil.fr

PACK DE CONFORMITÉ
ASSURANCE
LA DÉMARCHE
Le pack de conformité est un nouvel ou- juridiques existants tels que normes sim-
til de régulation de l’utilisation des données plifiées, autorisations uniques, recomman-
personnelles qui recouvre tout à la fois : dations, reconnaissance de la conformité
une méthode de travail : il s’agit pour la des règles professionnelles, mais aussi des
Cnil d’associer pleinement les acteurs d’un fiches pratiques élaborées pour clarifier et
secteur d’activité (professionnels à titre donner des exemples concrets.
principal mais aussi, le cas échéant, les • des modes opératoires et processus
autorités publiques et usagers concernés) organisationnels liés à la mise en place de
afin de faire remonter les bonnes ou mau- correspondants informatique et libertés, de
vaises pratiques, les problèmes rencontrés, règles internes d’entreprises (appelés BCR),
les demandes des usagers, les spécificités de labels…
du secteur concerné et plus généralement
les questions qui se posent sur le terrain. Ce référentiel a un double objectif :
sécuriser juridiquement les profession-
un nouveau mode de régulation pour nels en donnant des indications concrètes
la Cnil : Il s’agit de bâtir des référentiels sur la façon de respecter les textes et des
sectoriels, mettant à plat les traitements modes opératoires précis.
de données personnelles du secteur pour simplifier les formalités autant que la
déboucher sur : loi actuelle le permet, en utilisant les dis-
• un ensemble de règles et de bonnes penses, normes simplifiées et autorisations
pratiques déclinées au moyen des vecteurs uniques.
LE SECTEUR DE L’ASSURANCE
Depuis quelques années, on assiste à une nir pour examiner l’ensemble des traitements
montée en puissance du secteur de l’assu- nécessitant la collecte de données person-
rance dans une société où le vieillissement nelles. La Cnil a ainsi souhaité accompagner
des populations, la mondialisation des éco- les professionnels de l’assurance - représentés
nomies ou encore le droit européen de l’assu- par les organisations professionnelles, FFSA,
rance connaissent d’importantes mutations. GEMA, FNMF, CTIP et CSCA - dans la dé-
Ces dernières ont pour conséquences directes marche de simplification des formalités et de
une course à la compétitivité et une multi- sécurisation juridique en donnant des indica-
plication des produits. Dans ce contexte de tions concrètes sur la façon de respecter la loi
transformation du marché, les assureurs re- informatique et libertés et en proposant des
cherchent de plus en plus une offre de services modes opératoires détaillés.
globale pour mettre sur pied des applications
immédiates, au service de leur stratégie et de Le groupe de travail constitué pour
leurs performances. le « pack assurance »
Pour faire face à la demande de nouveaux La Cnil a convié l’ensemble des acteurs de
produits, de nouveaux modes de distribution, la place du secteur de l’assurance à participer
et des évolutions législatives, la Cnil et les pro- aux travaux nécessaires pour mener ensemble
fessionnels de l’assurance ont souhaité se réu- l’élaboration du pack de conformité. Des ré-

PACK DE CONFORMITÉ
ASSURANCE
unions trimestrielles ont été organisées avec leurs membres pour organiser des réunions
les organisations professionnelles du secteur de travail et procéder aux relectures des textes
(FFSA, GEMA, FNMF, CTIP et CSCA). De leur et participer de façon effective à la construc-
côté, les organisations ont également réuni tion du pack.
Groupe de travail Membres Missions et principes directeurs
Représenter les intérêts de la profession auprès de ses interlocuteurs,

publics et privés, nationaux et internationaux.
FFSA / Être un outil de concertation avec ses différents partenaires tant externes2
Fédération qu’internes3.
Française
234 entreprises1
des Sociétés
Étudier en commun les problèmes techniques, financiers et juridiques.
d’Assurances
La FFSA établit des statistiques rétrospectives et prospectives de l’assurance.
Informer le public.
Le GEMA est le syndicat professionnel des mutuelles d’assurance.

Il défend une vision mutualiste des questions d’assurance auprès des
pouvoirs publics nationaux et européens et des organismes professionnels.
Les mutuelles d’assurance constituent une famille à part entière qui se
distingue des autres sociétés d’assurance par certaines caractéristiques
essentielles :
GEMA / - Les mutuelles d’assurance sont des sociétés de personnes qui n’ont pas de
45 sociétés capital social, donc pas d’actionnaires à rémunérer
Groupement
adhérentes - Les sociétaires, entre eux, sont à la fois assurés et assureurs
des entreprises
Mutuelles - Les mutuelles d’assurance sont à but non lucratif
d’Assurance - Les mutuelles d’assurance sont gérées par des administrateurs bénévoles
élus par des délégués eux-mêmes élus par les sociétaires.
Les valeurs fondatrices de solidarité, de démocratie, de liberté et de
transparence sur lesquelles s’appuient les mutuelles d’assurance sont
les garants de leur indépendance, du maintien du lien direct avec leurs
sociétaires et du contrôle du fonctionnement et de la gestion.
La mission d’une mutuelle est simple : garantir à tous l’accès à des soins de
qualité.
- Limiter les dépassements d’honoraires.
- Généraliser le tiers payant.
95 % des mutuelles
FNMF / Mutualité - Maintenir une action sociale.
Française - Solidarité, démocratie et transparence.
38 M personnes
- Les mutuelles font vivre un système de solidarité, d’entraide et de
prévoyance. Il permet l’accès à des soins de qualité à tous les adhérents.
-L es mutuelles combattent l’exclusion et la discrimination.
Elles ne sélectionnent pas leurs adhérents.
CTIP / Centre 47 IP Représenter les IP auprès des pouvoirs publics nationaux et européens.
technique des
institutions de 13 M salariés Favoriser le développement des IP en préservant leur vocation sociale et la
prévoyance (IP) 2 M entreprises spécificité de leur gestion paritaire.
(1) Soit 90 % du marché français de l’assurance et près de 100 % de l’activité internationale des entreprises de ce marché.
(2)consommateurs, médias, universitaires, autres secteurs d’activité…
(3) organisations d’intermédiaires, syndicats de salariés (négociations des conventions et accords collectifs)

PACK DE CONFORMITÉ
ASSURANCE
Porter la représentativité des syndicats adhérents auprès des pouvoirs

publics, des organisations patronales, salariales, professionnelles
Défendre et promouvoir les intérêts moraux et matériels des syndicats

adhérents et de leurs membres
CSCA /
Plus de Veiller au respect par ses membres des règles déontologiques,
Chambre Syndicale
1 000 adhérents4 professionnelles et de solvabilité
des Courtiers
d’Assurances
Étudier les questions professionnelles, économiques, juridiques et sociales,
relatives à l’activité de courtage d’assurances et/ou de réassurances
Représenter en justice la profession de courtier d’assurances et

de réassurances, et assurer la défense et la protection des intérêts
de la profession, etc.
Organismes communs : FFSA/GEMA : AGIRA (partenaire CTIP), l’AFLA, ARGOS,…
Le pack de conformité élaboré est un ré- Le déroulement des travaux

férentiel qui s’adresse aux responsables de
traitements ayant la qualité « d’organismes 1. Adoption de deux normes simplifiées
d’assurance ». Cette notion regroupe les en- La Cnil dispose d’un pouvoir réglementaire
treprises d’assurance (sociétés anonymes d’as- qui lui permet d’édicter des normes destinées
surance, les sociétés d’assurance mutuelle, les à simplifier l’obligation de déclaration pour les
mutuelles relevant du Code de la mutualité catégories les plus courantes de traitements.
et les institutions de prévoyance), de capita- L’année 2013 a été l’occasion de mettre à
lisation, de réassurance, d’assistance et les jour la norme simplifiée n°16 relative à la
intermédiaires d’assurance (les agents géné- passation, à la gestion et à l’exécution des
raux d’assurance, et les courtiers d’assurance). contrats d’assurance et d’adopter une norme
Dans le cadre des autorisations uniques re- simplifiée n°56 pour la gestion commerciale
latives au numéro de sécurité sociale « NIR » des clients et prospects. Désormais, les orga-
(AU n°31) et aux données d’infractions, de nismes d’assurance pourront procéder à un
condamnations et mesures de sûretés (AU engagement de conformité auprès de la Cnil
n°32), l’AGIRA5 est également responsable pour les traitements concernant la gestion des
de traitement. contrats d’assurance, la gestion commerciale
Pour l’AU n°31 cela s’explique par la re- des clients, les opérations de prospection, ou
prise de l’AU n°18 dans son périmètre. En encore l’élaboration de statistiques commer-
effet, le responsable de traitement visé par ciales, etc.
l’autorisation relative aux assurés et bénéfi- Lien sur les délibérations
ciaires de contrats d’assurance sur la vie dé-
cédés, est l’AGIRA. 2. Adoption de trois autorisations uniques
S’agissant de l’AU n°32, l’AGIRA est res- Comme pour les normes simplifiées, la Cnil
ponsable de traitement au titre de son peut autoriser par une décision unique une ca-
activité « TransPV »6. tégorie de traitements répondant aux mêmes
(4) En 2010.
(5) Association pour la Gestion des Informations sur le Risque en Assurance.
(6) L’AGIRA fait partie de la liste des organismes que le procureur de la République peut autoriser à se faire délivrer une copie des pièces de
procédure judiciaire en cours.

PACK DE CONFORMITÉ
ASSURANCE
finalités, portant sur des catégories de don- que les conditions de garantie sont remplies
nées identiques et ayant les mêmes catégories et que le risque n’a pas été aggravé.
de destinataires. Trois autorisations uniques Enfin, le périmètre retenu dans le cadre
ont été adoptées en 20147 : l’AU n°31 pour de la lutte contre la fraude est très large
la collecte des données comportant le numéro puisqu’il concerne la fraude interne et ex-
de sécurité sociale « NIR », l’AU n°32 relative terne en matière d’assurance dommage et
aux données d’infractions, de condamnations de personnes. Sont visés, toutes les phases
et mesures de sûretés et l’AU n°39 relative à de gestion de la fraude (prévention, détection
la lutte contre la fraude en assurance8. et gestion des cas suspectés et avérés) pour
L’autorisation unique relative au « NIR » les organismes d’assurances identifiés dans
vise deux finalités : la collecte et le traitement la norme simplifiée n°16 et dans le cadre
du numéro de sécurité social et l’accès au ré- de la passation, la gestion et l’exécution du
pertoire national d’identification des personnes contrat d’assurance.
physiques (RNIPP) tel qu’il était prévu dans le Lien sur les délibérations
cadre de l’AU n°18.
Quant aux données d’infractions, de 3. Adoption de fiches pratiques
condamnations ou mesures de sûreté, elles Afin de faciliter la lecture de ces normes et
peuvent s’avérer nécessaires lors de la pas- ne pas alourdir le contenu des délibérations
sation, de la gestion et de l’exécution des des fiches pratiques explicatives ont été rédi-
contrats d’assurance. En effet, les données gées. Elles ont vocation à aider les assureurs
relatives aux infractions et condamnations à mettre en œuvre concrètement les disposi-
font partie des antécédents du contrat d’as- tions des normes et autorisations mais aussi
surance de l’assuré et permettent notamment à permettre aux assurés de mieux comprendre
à l’assureur d’évaluer les risques. De même, certaines notions techniques.
lors de l’exécution du contrat les données d’in- Lien sur les fiches pratiques
fractions peuvent être utilisées pour prouver NS 56, NS 16, AU 31, AU 32, AU 39
RAPPEL
La Loi Informatique et Libertés
La loi informatique et libertés du 6 janvier de carte bancaire, références bancaires, vie

1978 modifiée s’applique dès lors qu’il est pro- maritale, nombre de personnes composant
cédé à un traitement de données à caractère le foyer numéro d’acte de décès, données
personnel : relatives aux investigations…). Les données
• Constitue un traitement de données per- personnelles ne sont donc pas uniquement
sonnelles toute opération (collecte, enregistre- les données nominatives (nom et prénom).
ment, conservation, modification, extraction, La mise en place d’un traitement de
consultation, utilisation, communication, in- données personnelles doit respecter la loi
terconnexion, destruction…) portant sur des informatique et libertés. En effet, toute
données personnelles. personne qui souhaite traiter des données
• Constitue une donnée à caractère personnelles est soumise à un certain
personnel toute information relative à une nombre d’obligations légales (information
personne physique identifiée ou qui peut des personnes quant au traitement mis en
être identifiée, directement ou indirecte- place, voire recueil du consentement, mise
ment. Ainsi, sont des données personnelles en place de modalités d’exercice du droit
toutes les données qui, seules ou combi- d’accès et de suppression des données, me-
nées entre elles, peuvent être rattachées à sures de sécurité, formalités préalables à
un assuré, un client ou prospect (numéro effectuer auprès de la CNIL…).
(7) Le 23 janvier 2014

(8) Le 17 juillet 2014

PACK DE CONFORMITÉ
ASSURANCE
LEXIQUE
Adhérent : Personne qui adhère, de manière obligatoire ou facultative au contrat collectif
d’assurance souscrit par une personne morale au profit des membres.
Assuré : Désigne une personne dont la vie, les actes ou les biens sont garantis par un
contrat d’assurance :
- Dans le domaine de l’assurance automobile, l’assuré est le propriétaire du véhicule. L’as-
suré est aussi « toute personne » qui, avec l’autorisation dudit propriétaire, possède la garde
ou conduit du véhicule.
- En matière d’assurances de bien, l’assuré est le preneur d’assureur mais aussi son conjoint,
ses enfants mineurs et/ou majeurs célibataires qui vivent sous le même toit à l’adresse figurant
sur le contrat d’assurance. Certains assureurs admettent aussi que toute autre personne résidant
en permanence sous le même toit à l’adresse indiquée sur les conditions particulières, peut
également être considérée comme assuré.
- En assurances de personne, l’assuré est généralement le souscripteur du contrat sur lequel
repose le risque (décès, maladie, invalidité).
Ayant droit : Personne qui détient un droit en raison de sa situation juridique, fiscale,
financière ou d’un lien familial avec le bénéficiaire direct de ce droit.
Bénéficiaire : Tierce personne physique ou morale au profit de laquelle une assurance a

été contractée. Elle peut être nommément désignée aux conditions particulières du contrat ou
bien apparaître dans les conditions générales sous les termes de conjoint survivant, d’ayant
droit ou d’héritier né ou à naître. Le bénéficiaire recevra l’indemnité due par l’assureur en cas
de réalisation du risque assuré.
Le souscripteur : Personne qui conclut, signe et règle les cotisations ou primes d’assurance.
Il peut être différent de l’assuré ou du bénéficiaire. Le souscripteur peut être une personne
physique (contrat individuel) ou une personne morale (contrat collectif).
Tiers victime : Le tiers est généralement défini comme une personne n’ayant pas la qualité
d’assuré et n’étant pas exclu du bénéfice du contrat. Cette notion est utilisée dans le cadre des
contrats d’assurances de responsabilité civile. L’objet du contrat d’assurance de responsabilité
civile est de garantir les conséquences pécuniaires de la responsabilité civile pouvant incomber
à l’assuré en cas de dommages causés au tiers.

PACK DE CONFORMITÉ
ASSURANCE
TEXTES APPLICABLES
Loi n° 78-17 du 6 janvier 1978 modifiée Loi n° 2004-575 du 21 juin 2004 pour
relative à l’informatique, aux fichiers et aux la confiance dans l’économie numérique,
libertés Ordonnance n°2011-1012 du 24 août
Code des assurances, code civil, code gé- 2011 relative aux communications électro-
néral des impôts, code monétaire et financier, niques.
code de la mutualité, code pénal, code des
postes et des communications électroniques,
code rural, code de la santé publique, code de
la sécurité sociale, code du travail, code de la
consommation.

FICHE N°1
LA PASSATION, LA GESTION
ET L’EXECUTION DES CONTRATS
D’ASSURANCE (NS 16)
LES TRAITEMENTS DE DONNÉES PERSONNELLES
AU REGARD DE LA LOI INFORMATIQUE ET LIBERTÉS
La mise en place d’un traitement de don- reurs et les réassureurs, du commission-
nées personnelles doit respecter la loi I&L. En nement, de la surveillance des risques,
effet, toute personne qui souhaite traiter des et des autres opérations techniques né-
données personnelles est soumise à un certain cessaires.
nombre d’obligations légales. Aucune décision refusant un contrat à une
personne ne pourra avoir pour seul fondement
Finalités poursuivies par le traitement un traitement automatisé de données à ca-
Finalité 1 : passation et la gestion des ractère personnel, les personnes concernées
contrats1 : devront être mises en mesure de présenter
•L a passation des contrats : Il s’agit leurs observations.
de « l’étude des besoins spécifiques de Finalité 2 : l’exécution des contrats3 :
chaque demandeur afin de proposer des Il s’agit des opérations techniques nécessaires
contrats adaptés » notamment dans le à la mise en œuvre des garanties et des pres-
cadre du respect de l’obligation de conseil tations. Dans ce cadre, les données collectées
(art. L.520.1 et L.132-27-1 du Code des sont relatives à la gestion des prestations, à la
assurances). Cette obligation nécessite de gestion des sinistres. Dans certains cas, il est
préciser les exigences et besoins du sous- possible que l’apériteur4 procède à la collecte
cripteur éventuel, et les raisons justifiant de ces informations auprès des coassureurs et
le conseil donné pour un produit d’assu- des réassureurs au moment de la souscription
rance déterminé. du contrat d’assurance ou lors de l’exécution
Cela concerne aussi « l’examen, l’accep- des dispositions contractuelles.
tation, le contrôle et la surveillance du Finalité 3 : l’élaboration des statistiques
risque ». On parle couramment de « l’ap- et études actuarielles.
préciation des risques ». Elle comprend Finalité 4 : l’exercice des recours et la
l’examen et l’évaluation des caractéris- gestion des réclamations et des contentieux.
tiques du risque pour en déterminer en Finalité 5 : l’exécution des dispositions
particulier la fréquence, son coût moyen, légales, réglementaires et administratives en
le coût du sinistre maximum possible, vigueur à l’exception de celles qui relèvent
afin d’établir une tarification et de vérifier d’une formalité particulière prévue par la
l’assurabilité du risque2. loi I&L : Il peut s’agir de traitements relatifs
• La gestion des contrats : La gestion des
à l’exécution des règles fiscales, sociales, ou
contrats couvre la phase pré contractuelle encore à la collecte de contributions pour dif-
jusqu’à la résiliation du contrat. Il s’agit férents fonds (ex : fonds de garantie des assu-
notamment de la tarification, de l’émis- rances obligatoires, fonds de prévention des
sion des documents pré contractuels, risques naturels majeurs).
contractuels et comptables, de l’encais- Les dispositions qui relèvent d’un régime
sement des primes ou cotisations, de leur particulier sont par exemple, celles dont les
répartition éventuelle entre les coassu- données sont soumises à un régime d’auto-
(1) Le terme contrat fait référence aux contrats d’assurance, de capitalisation, de réassurance, et d’assistance.
(2) L’assureur a l’obligation de respecter des règles prudentielles qui le conduisent à définir une politique d’acceptation des risques et refuser les
risques qu’il ne peut assurer selon cette politique (article R.336-1-2° du code des assurances et article 41 de la directive 2009/138).
(3) Le terme contrat fait référence aux contrats d’assurance, de capitalisation, de réassurance, et d’assistance.
(4) En matière d’assurance couverte par plusieurs assureurs, celui d’entre eux qui, d’une manière générale, représente le groupe d’assureurs.

FICHE N°1
LA PASSATION, LA GESTION ET L’EXECUTION
DES CONTRATS D’ASSURANCE (NS 16)
risation (ex : NIR, données d’infraction…) ou téressées au contrat permet à l’assureur

encore, celles relevant de la réglementation de savoir : s’il peut proposer un contrat
spécifique à un secteur (ex : lutte anti-blan- d’assurance à une personne ne résidant
chiment…). pas dans l’Union Européenne, ou la légis-
lation applicable au contrat d’assurance
Catégories de données si cette personne réside dans l’UE5. La
Une fois les personnes informées de la mise nationalité est l’une des informations qui
en œuvre du traitement, les données qui les permet de déterminer quelles sont les
concernent doivent être pertinentes et propor- éventuelles obligations (ex : fiscales à
tionnées au regard de la finalité. l’égard de l’État dont le souscripteur est
Les données relatives à l’identification : un ressortissant).
Il s’agit « des données relatives à l’identifica-
tion des personnes parties, intéressées ou in-
tervenantes au contrat : état civil ainsi que les ATTENTION
pièces justifiant l’identité, les coordonnées et Conclure un contrat d’assurance avec une
la nationalité ». personne étrangère a pour conséquence le res-
•L es personnes parties et intéressées pect de la législation de son pays notamment
au contrat sont notamment les assurés, en matière fiscale (réglementation FATCA ou
les bénéficiaires, les ayants droits, les convention fiscale applicable).
tiers, les témoins, les souscripteurs, les
héritiers, les tuteurs, les curateurs, les
payeurs de prime, les conducteurs, les Les données relatives à la situation fami-
cautions… liale, économique, patrimoniale et financière :
•L es personnes intervenantes au contrat Il s’agit « des données relatives à la situation
sont notamment les intermédiaires en familiale, économique, patrimoniale et finan-
assurance, les gestionnaires, les presta- cière » des personnes parties ou intéressées
taires (ex : les réparateurs automobiles, au contrat et nécessaires à son application.
les agents de recherche privé, les experts, •L es données relatives à la situation
les avocats, les médecins, les enquêteurs, économique et financière sont les élé-
les professionnels de santé, les réseaux ments relatifs aux : revenus du travail et
de soins, les officiers ministériels : no- autres revenus, aux valeurs mobilières,
taires, huissiers…). au patrimoine immobilier, aux encours et
Les documents d’identification pouvant être à l’endettement, aux titres détenus, aux
collectés sont relatifs à : relevés de comptes titres, aux données
•L ’état civil : il s’agit notamment des d’imposition, aux crédits, aux revenus
noms, prénoms, sexe, civilité, données imposables, au numéro de chèque, au
relatives aux pièces d’identité (permis de numéro de carte bancaire, à la date de fin
conduire, carte identité, livret de famille, de validité de la carte bancaire, aux frais
carte de séjour, passeport…), date de généraux, au capital souscrit/remboursé,
décès, nom jeune fille, date et lieu de aux références bancaires (RIB, IBAN,
naissance… BIC, relevé postal) à la situation de suren-
•A ux coordonnées : il s’agit notamment des dettement ou d’ouvrant droit à avantages
adresses, numéros de téléphone (fixe et assurantiels - bénéficiaires CMU, RSA…
mobile), numéro de télécopie et adresses •L a situation patrimoniale : concerne
électroniques, code interne de traitement les biens du patrimoine (notamment les
permettant l’identification du client… biens immobiliers).
• À la nationalité : connaître la nationa-
• La situation familiale : concerne la situa-
lité exacte des personnes parties ou in- tion matrimoniale (mariage, pacs, concu-
(5) Règlement n°593/2008 du 17 juin 2008 relatif à la loi applicable aux obligations contractuelles -Rome I

FICHE N°1
binage…), la composition du foyer, le garanties souscrites, la description des at-

nombre de personnes composant le foyer, teintes aux biens, les rapports d’expertise,
le nombre et l’âge du ou des enfant(s)... les rapports d’enquête…
Les données relatives à la situation pro- • liées à la victime : le taux invalidité/in-
fessionnelle : Il s’agit « des données relatives capacité, les rentes, le capital décès, les
à la situation professionnelle » des personnes montants des prestations, la fiscalité, les
parties ou intéressées au contrat (souscrip- modalités de règlement, la réversion, les
teurs, assurés, adhérents...) et nécessaires à indemnités chômage, les montants rem-
son application. boursés par la sécurité sociale pour les
Sont concernés : la catégorie socioprofes- complémentaires frais de soins (maladie,
sionnelle, le domaine d’activité, la profes- maternité…)…
sion et selon les catégories de contrat : l’em- Les informations relatives à la détermi-
ployeur, les catégories de personnels assurés, nation ou à l’évaluation des préjudices.
la branche, la convention collective, le n° SI- Les données relatives à la localisation
RET / SIREN, la raison sociale, les revenus ou des personnes ou des biens : Ces données
le chiffre d’affaires, la date prévisionnelle de sont des informations essentielles dans le
départ à la retraite, le régime fiscal, les com- cadre des garanties d’assistance et d’assu-
pétences et qualifications professionnelles, les rance (recherches des véhicules perdus ou
justificatifs de demandeur d’emploi… volés, éco-conduite, assistance aux personnes
Les données nécessaires à l’apprécia- malades ou en difficultés…).
tion du risque : la situation géographique, les Les données relatives à la vie person-
caractéristiques du logement ou du local, les nelle et aux habitudes de vie : Il s’agit « des
conditions d’occupation, les renseignements données relatives à la situation personnelle
sur les biens assurables, le type et les carac- et aux habitudes de vie en relation avec les
téristiques du ou des biens assurés, les infor- risques assurés » et nécessaires à l’application
mations relatives à la sinistralité et les anté- du contrat.
cédents, le permis de conduire et sa validité, •L es données relatives à la situation per-
et le cas échéant si le bien est utilisé sur le sonnelle sont la situation de famille, le
lieu de travail et lors de déplacements profes- régime juridique particulier applicable à la
sionnels, éléments entraînant une déchéance situation de famille, le nombre d’enfants,
de garantie... les descendants, les ascendants et per-
Les données nécessaires à la passation, sonnes à charge, les études et la forma-
l’application du contrat et à la gestion des si- tion, la capacité et le régime de protection
nistres et des prestations : Il s’agit des données : (minorité, tutelle, curatelle) et invalidité…
• liées au contrat : le numéro d’identifi- • Les données relatives aux habitudes de
cation du client, de l’assuré, du contrat, vie sont les loisirs, activités sportives et
du dossier sinistre, le mode de paiement, de plein air, la pratique de la chasse, de
les primes, les cotisations et accessoires, la plaisance, les trajets, les kilométrages
les commissions, les taxes, les créances parcourus...
en cours, les références de l’apporteur, Les données relatives à la santé : Au
des coassureurs et des réassureurs, la moment de la conclusion d’un contrat il faut
durée, les garanties, les montants, les obtenir l’accord de l’intéressé pour le recueil
exclusions, l’autorisation de prélève- de ses données de santé. C’est aussi le cas au
ment, les données relatives aux moyens moment de la gestion du sinistre sauf impos-
de paiement ou relatives aux transactions sibilité (ex : personne en incapacité physique
telles que le numéro de la transaction, le ou intellectuelle de consentir du fait de ses
détail de l’opération relative au produit préjudices corporels).
ou service souscrit, les impayés, le re- Cette obligation n’existe pas non plus en
couvrement… matière de gestion des sinistres automobile,
• liées au sinistre : la nature du sinistre, puisque l’assureur a une obligation légale de
les indemnités, la valeur assurée et les recueillir des données médicales6 (descriptions

FICHE N°1
des atteintes, copies des certificats médicaux • Les données du cryptogramme visuel ne
et autres pièces justificatives, numéro de sécu- doivent pas être stockées.
rité sociale) pour proposer une indemnisation • Lorsque la date d’expiration de la carte
aux victimes. bancaire est atteinte, les données rela-
Dans certains cas et lorsque la sauvegarde tives à celles-ci doivent être supprimées.
de la vie de la personne et l’urgence des situa- Des données de santé :
tions prévalent, il n’est pas toujours possible •S
i le contrat n’a pas été conclu : le res-
de recueillir le consentement de la victime au ponsable de traitement peut conserver
moment de sa prise en charge. les données de santé pendant une durée
maximale de 5 ans11 (2 années en ar-
Durées de conservation chivage courant et 3 ans en archivage
Des données lors de la conclusion d’un intermédiaire). Cette durée se justifie par
contrat : Les durées de conservation doivent le fait que le responsable de traitement
permettre de respecter les délais de prescrip- doit pouvoir répondre aux demandes for-
tions qui résultent, notamment, du code des as- mulées par un assuré pour des décisions
surances7 et du code civil8. En outre, l’assureur de révision de son contrat ou à des de-
a une obligation9 de conserver les données du mandes de médiation.
relevé d’information détaillant les antécédents
d’une personne en tant qu’assurée auto ou Destinataires
moto au cours des 5 dernières années. Les destinataires ayant accès aux données
Des données en l’absence de conclu- à caractère personnel sont les personnes ha-
sion d’un contrat : Les données peuvent bilitées et agissant dans le cadre de leurs at-
être conservées pendant un délai de 3 ans à tributions.
compter de leur collecte par le responsable de Dans le cadre des missions habituelles :
traitement ou du dernier contact émanant du • les personnels chargés de la passation, la
prospect (demande de renseignements ou de gestion et l’exécution des contrats,
documentation, par exemple). • les délégataires de gestion, les intermé-
Des données relatives à la carte ban- diaires d’assurance, les partenaires,
caire : • les prestataires,
•C es données doivent être supprimées • les sous traitants, ou les entités du groupe
lorsque la transaction est réalisée soit au d’assurance auquel appartient le respon-
moment de son paiement effectif. Dans sable de traitement dans le cadre de
le cas d’un paiement par carte bancaire, l’exercice de leurs missions,
elles peuvent être conservées pour une • s ’il y a lieu les organismes d’assurance
finalité de preuve pendant 13 mois sui- des personnes impliquées ou offrant des
vant la date de débit10 en cas d’éventuelle prestations complémentaires,
contestation de la transaction. Ce délai • s’il y a lieu les coassureurs et réassureurs

peut être étendu à 15 mois pour tenir ainsi que les organismes professionnels et
compte des cartes de paiement à débit les fonds de garanties,
différé. • les personnes intervenant au contrat tels
•E nfin, il est possible de conserver plus que les avocats, experts, auxiliaires de jus-
longtemps les données de la CB avec tice et officiers ministériels, curateurs, tu-
le consentement exprès du client (ex : teurs, enquêteurs et professionnels de santé,
case à cocher. En revanche cet accord médecins-conseils et le personnel habilité,
ne peut pas résulter de l’acceptation de •L es organismes sociaux lorsque les ré-
conditions générales). gimes sociaux interviennent dans le règle-
(6) Article R.211-37 du code des assurances.

(7) Articles L 114-1 et L 114-2 du code des assurances.
(8) Les articles 2224 à 2227.
(9) Article A.121-1 et 12 du code des assurances.
(10) Article L. 133-24 du code monétaire et financier.
(11) C’est aussi le délai de prescription des actions civiles (article 2224 du code civil).

FICHE N°1
ment des sinistres ou lorsque les orga- •C

ette information peut, par exemple,
nismes d’assurances offrent des garanties figurer dans les courriers électroniques,
complémentaires à celles des régimes sur la page d’accueil du site ou dans les
sociaux. conditions générales d’utilisation.
En qualité de personnes intéressées au •L e droit d’opposition à l’analyse de sa na-
contrat : vigation : l’outil permettant de désactiver
•L es souscripteurs, les assurés, les adhé- la traçabilité mise en œuvre par l’outil
rents et les bénéficiaires des contrats et s’il d’analyse de fréquentation doit remplir les
y a lieu, leurs ayants droit et représentants, conditions suivantes :
•S ’il y a lieu les bénéficiaires d’une cession - Un accès et une installation aisés pour
ou d’une subrogation des droits relatifs tous les internautes sur l’ensemble des
au contrat, terminaux, des systèmes d’exploitation
•S ’il y a lieu le responsable, les victimes et et des navigateurs internet ;
leurs mandataires ; les témoins, les tiers - Aucune information relative aux inter-
intéressés à l’exécution du contrat. nautes ayant décidé d’exercer leur droit
En qualité de personnes habilitées au d’opposition ne doit être transmise à
titre des tiers autorisés : l’éditeur de l’outil d’analyse de fréquen-
•S ’il y a lieu les juridictions concernées, tation.
les arbitres, les médiateurs, •T out abonné ou utilisateur d’un service de
•L es ministères concernés, autorités de communications électroniques doit être
tutelle et de contrôle et tous organismes informé de manière claire et complète,
publics habilités à les recevoir, sauf s’il l’a déjà été au préalable, de la fi-
• Les services chargés du contrôle tels que
nalité de toute action tendant à accéder à
les commissaires aux comptes et les au- des informations déjà stockées dans son
diteurs ainsi que les services chargés du équipement terminal de communications
contrôle interne. électroniques ou à inscrire des informa-
tions dans cet équipement et des moyens
Information et droits des personnes dont il dispose pour s’y opposer.
La personne doit être informée, préala- - Ces accès ou inscriptions ne peuvent
blement à la mise en œuvre du traitement : avoir lieu qu’à condition que l’abonné ou
de l’identité du responsable de traitement, de la personne utilisatrice ait exprimé, après
la finalité du traitement, des destinataires des avoir reçu cette information, son accord.
données, du transfert éventuel de ses données - Ces dispositions ne sont pas applicables
hors UE ainsi que des droits dont elle dispose si l’accès ou l’inscription aux informa-
au titre de la loi I&L. tions stockées a pour finalité exclusive de
À ce titre, elle dispose d’un droit d’accès, permettre ou faciliter la communication
de rectification et d’opposition. par voie électronique ou est strictement
L’information des personnes sur le site nécessaire à la fourniture d’un service de
internet : Les données de connexion (date, communication en ligne à la demande
heure, adresse Internet, protocole de l’ordina- expresse de l’utilisateur.
teur du visiteur, page consultée) pourront être
exploitées à des fins de mesure d’audience Mesures de sécurité
et d’assistance technique. Dans ce cas, le Les mesures de sécurité « classiques » :
consentement préalable des personnes n’est •L e responsable du traitement prend
pas nécessaire, à condition qu’ils disposent toutes précautions utiles pour préserver
d’une information claire et complète délivrée la sécurité et la confidentialité des don-
par l’éditeur du site internet, d’un droit d’op- nées traitées.
position, d’un droit d’accès aux données col- • Il définit une politique de sécurité adaptée
lectées et qu’elles ne soient pas recoupées aux risques présentés par les traitements
avec d’autres traitements tels que les fichiers et à la taille de l’organisme d’assurance.
clients. Cette politique devra décrire les objectifs

FICHE N°1
de sécurité, et les mesures de sécurité •L

e responsable de traitement a clairement
physique, logique et organisationnelle informé les personnes de l’existence d’un
permettant de les atteindre. transfert de données vers des pays tiers,
•L es accès aux traitements de données ou s’engage, sur simple demande de
nécessitent une authentification des la personne concernée, à apporter une
personnes accédant aux données, au information complète sur la finalité, les
moyen d’un identifiant et d’un mot de données, les destinataires et les moyens
passe individuels, suffisamment robustes mis en œuvre pour encadrer ce transfert.
et régulièrement renouvelés, ou par tout • Les transferts sont réalisés dans le cadre
autre moyen d’authentification de même de l’exécution des contrats ou de la sau-
fiabilité. vegarde de la vie humaine pour la mise
•L es conditions d’administration du sys- en œuvre des garanties d’assistance,
tème d’information prévoient l’existence •L es transferts sont réalisés lors de la
de systèmes automatiques de traçabilité gestion des actions ou contentieux liés à
(journaux, audits…). l’activité de l’entreprise (ex : constatation,
Les mesures de sécurité pour le site in- exercice ou défense de ses droits en jus-
ternet : tice ou pour les besoins de défense des
• Le responsable de traitement prend les personnes concernées).
mesures nécessaires pour se prémunir
contre toute atteinte à la confidentialité
des données traitées. Les données tran-
sitant sur des canaux de communication Les transferts répétitifs, massifs ou struc-
non sécurisés doivent notamment faire turels de données personnelles doivent faire
l’objet de mesures techniques visant à l’objet d’un encadrement juridique spécifique
les rendre incompréhensibles à toute (niveau de protection adéquat, safe Harbor,
personne non autorisée à y avoir accès. CCT, BCR…). Ces transferts d’informations
Les mesures de sécurité pour les don- dans le cadre de la passation, la gestion et
nées de santé : l’exécution des contrats ayant été expressé-
• Le responsable de traitement s’engage ment prévue par la NS16 aucune autorisation
à respecter les dispositions prévues par de la CNIL n’est nécessaire, à condition que
le code de bonne conduite annexé à la ces transferts restent impérativement dans
convention AERAS12 concernant la col- le champ de la NS. À défaut, ils doivent
lecte et l’utilisation de données relatives à faire l’objet de formalités préalables auprès
l’état de santé en vue de la souscription ou de la CNIL dans les conditions prévues par
de l’exécution d’un contrat d’assurance. ladite loi.
Le responsable de traitement s’engage,
Transferts de données hors UE sur simple demande de la personne concer-
Certains transferts de données à carac- née, à apporter une information complète sur
tère personnel peuvent être réalisés vers des la finalité, les données, les destinataires et
pays tiers à l’UE et n’assurant pas un niveau les moyens mis en œuvre pour encadrer ce
de protection adéquat, lorsque : transfert.
• Il existe un niveau suffisant de protection
de la vie privée ainsi que des droits et
libertés des personnes ou que ces trans-
ferts sont juridiquement encadrés (ex :
CCT ou BCR),
(12) Un code de bonne conduite sur l’utilisation des données relatives à l’état de santé a été établi dans le cadre de la convention AERAS
(1er février 2011). Il concerne la collecte et l’utilisation des données relatives à l’état de santé en vue de la souscription ou l’exécution
d’un contrat d’assurance. Ce code précise les conditions de stricte confidentialité dans lesquelles les données relatives à l’état de santé
des assurés doivent être traitées.

FICHE N°2
LA GESTION COMMERCIALE
DES CLIENTS ET PROSPECTS POUR
LE SECTEUR DES ASSURANCES (NS 56)

AU REGARD DE LA LOI I&L
Finalités poursuivies par le traitement un service associé auprès d’un panel de
Finalité 1 : les opérations relatives à la clients ou de prospects (par exemple, test
gestion des clients concernant : d’un nouveau produit d’assurance auprès
• un programme de fidélité au sein d’une de résidents d’un département, test d’un
entité ou plusieurs entités juridiques contrat « chien-chat » auprès d’associa-
• le suivi de la relation client tel que la tions de protection des animaux).
réalisation d’enquêtes de satisfaction, ou - Des jeux concours peuvent être éga-
le regroupement des contrats pour un lement mis à disposition des clients et
même client au sein de l’entreprise ou des prospects (par exemple : permettre
du groupe auquel appartient l’entreprise. de gagner un détecteur de fumée, des
objets publicitaires, une invitation à un
événement organisé par l’organisme…).
• la réalisation d’opérations de sollicitations.
La norme s’applique expressément au Finalité 3 : l’élaboration de statistiques
groupe dont fait partie l’organisme déclarant. commerciales.
Finalité 4 : la cession, la location ou
l’échange des données relatives à l’identifi-
cation des clients ou prospects pour amé-
Finalité 2 : les opérations relatives à la liorer le service au client en proposant des
prospection : produits ou services permettant de réduire
• la gestion d’opérations techniques de la sinistralité ou d’offrir un contrat ou une
prospection (ce qui inclut notamment prestation complémentaire : Les assureurs
les opérations techniques comme la nor- sont, à l’image d’autres professionnels, des ac-
malisation, l’enrichissement et la dédu- teurs économiques qui peuvent céder ou louer
plication), leurs fichiers clients ou prospects dans le strict
• la sélection de personnes pour réaliser respect des dispositions de la loi I&L, portant
des actions de fidélisation, de prospec- notamment sur l’information préalable des per-
tion, de sondage, de test produit ou ser- sonnes (client ou prospect) et leur droit d’op-
vices et de promotion. position. Par exemple, et dans un objectif de
- Ces opérations ne doivent pas conduire prévention, les assureurs peuvent être amenés
à l’établissement de profils susceptibles de à céder des fichiers de clients victimes de vol à
faire apparaître des données sensibles. des partenaires spécialisés en télésurveillance.
- Il s’agit de cerner les attentes des clients Finalité 5 : l’organisation de jeux-
ou le niveau de qualité de services perçus. concours, de loteries ou de toute opéra-
- les programmes de fidélité peuvent être tion promotionnelle à l’exclusion des jeux
des avantages tarifaires développés par d’argent et de hasard en ligne soumis à
les sociétés d’assurance, des opérations l’agrément de l’Autorité de régulation des
de parrainage…. jeux en ligne (ARJEL).
- les assureurs peuvent être amenés à Finalité 6 : la gestion des demandes de
tester un nouveau produit d’assurance ou droit d’accès, de rectification et d’opposition.

FICHE N°2
LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS
POUR LE SECTEUR DES ASSURANCES (NS 56)
Finalité 7 : la gestion des avis des per- Les données relatives au suivi de la
sonnes sur des produits, services ou conte- relation commerciale : les demandes de do-
nus. cumentation ou de renseignements, les de-
mandes relatives aux produits, services ou
abonnements proposés, les montants, la pé-
Catégories de données riodicité, les adresses, les données relatives
aux produits, les contrats et services, l’origine
de la vente (entité ou intermédiaire, vendeur,
Une fois les personnes informées de la représentant, partenaire, affilié) ou de la de-
mise en œuvre du traitement, les données mande, les correspondances avec le client
qui les concernent doivent être pertinentes et service client, les échanges et commen-
et proportionnées au regard de la finalité. taires des clients et prospects, les personne(s)
Les données de santé sont strictement en charge de la relation client, les remises
exclues du périmètre de la norme. consenties ou avantages client.
Les données de localisation et de
connexion.
Les données relatives à la sélection de
Les données relatives à l’identification personnes pour réaliser des actions de fidé-
des personnes : lisation, de prospection, de sondage, de test
• Les informations classiques : la civilité, produits et services et de promotion.
au(x) nom(s), prénoms, adresse, numéro Les données relatives à l’organisation et
de téléphone (fixe et/ou mobile), numéro au traitement des jeux-concours, de loteries
de télécopie, adresses de courrier électro- et de toute opération promotionnelle telles
nique, date de naissance, que la date de participation, les réponses ap-
•P our l’identification du client ou du pros- portées aux jeux-concours, la photographie ou
pect : le code interne de traitement. l’image de la personne, et la nature des lots
offerts.
Les données relatives aux contributions
des personnes qui déposent des avis sur des
Ce code interne de traitement ne peut produits, services ou contenus, notamment
être le numéro d’inscription au répertoire leur pseudonyme.
national d’identification des personnes phy-
siques (numéro de sécurité sociale), ni le Durées de conservation
numéro de carte bancaire, ni le numéro Des données relatives à la gestion de
d’un titre d’identité. clients et de prospects :
•L es données des clients sont conservées
le temps nécessaire pour la gestion de la
relation commerciale.
La situation familiale, économique, pa- •L es données des clients utilisées à des
trimoniale et financière et les habitudes de fins de prospection commerciale peuvent
vie en lien avec la relation commerciale : il être conservées pendant un délai de
s’agit de la vie maritale, du nombre de per- 3 ans à compter de la fin de la relation
sonnes composant le foyer, le nombre et l’âge commerciale.
du ou des enfant(s) au foyer, la profession, • Les données relatives à un prospect non
le domaine d’activité, la présence d’animaux client peuvent être conservées pendant
domestiques, les loisirs. un délai de 3 ans à compter de leur
Les données relatives aux activités pro- collecte par le responsable de traite-
fessionnelles et non professionnelles ayant un ment ou du dernier contact émanant
lien avec la relation commerciale. du prospect.

FICHE N°2
• L es personnes chargées du service

Au terme de ce délai, le responsable de marketing, du service commercial, des
traitement peut reprendre contact avec la services chargés de traiter la relation
personne concernée pour lui demander si client, les réclamations, et la prospec-
elle souhaite toujours recevoir des sollici- tion, des services administratifs, des
tations commerciales. En l’absence de ré- services logistiques et informatiques
ponse positive et explicite de la personne, ainsi que leurs responsables hiérar-
les données devront être supprimées ou chiques ;
archivées1. • les services chargés du contrôle (com-
missaire aux comptes, services chargés
des procédures internes du contrôle...) ;
• les sous-traitants dès lors que le contrat
• Les données pouvant être utilisées à signé entre les sous-traitants et le res-
titre probatoire sont archivées confor- ponsable du traitement fait mention des
mément aux dispositions légales. obligations incombant aux sous-trai-
Des pièces d’identité : pour l’exercice tants en matière de protection de la
du droit d’accès ou de rectification, les don- sécurité et de la confidentialité des
nées relatives aux pièces d’identité peuvent données.
être conservées 1 an. En cas d’exercice du Peuvent être destinataires des don-
droit d’opposition, ces données peuvent être nées :
archivées 3 ans2. •L es partenaires et sociétés extérieures
Des listes d’opposition à recevoir de la (sociétés avec lesquelles l’entreprise
prospection : les informations permettant de entretient des relations commerciales
prendre en compte le droit d’opposition de la régulières), les entités du groupe de
personne concernée doivent être conservées sociétés,
au minimum 3 ans à compter de l’exercice • les auxiliaires de justices, les officiers
de ce droit. Ces données ne peuvent en au- ministériels et organismes publics ha-
cun cas être utilisées à d’autres fins que la bilités à les recevoir, les arbitres, les
gestion du droit d’opposition. médiateurs.
Les informations stockées dans le ter-
minal des utilisateurs (ex : cookies) ou tout Information et droits des personnes
autre élément utilisé pour les identifier et les La personne doit être informée, préala-
tracer, sont conservés pendant une durée blement à la mise en œuvre du traitement :
fixée par la doctrine de la CNIL. Les nou- de l’identité du responsable de traitement,
velles visites ne doivent pas prolonger la de la finalité du traitement, des destinataires
durée de vie de ces informations. Les don- des données, du transfert éventuel de ses
nées de fréquentation brutes associant un données hors UE ainsi que des droits dont
identifiant ne doivent pas être conservées elle dispose au titre de la loi I&L.
plus de 13 mois selon la recommandation Le recueil du consentement exprès et
de la CNIL du 5 décembre 2013. Au-delà spécifique de la personne concernée, dans
de ce délai, les données doivent être soit les cas suivants :
supprimées, soit anonymisées.
Destinataires
Peuvent, dans les limites de leurs at- C’est une manifestation de volonté libre,
tributions respectives, avoir accès aux don- spécifique et informée par laquelle une per-
nées à caractère personnel : sonne accepte que des données à caractère
(1) Conformément au code de commerce, le code civil et le code de la consommation.

(2) Art 8 et 9 du CPP.

FICHE N°2
personnel la concernant soient utilisées consentement préalable doit pouvoir s’ex-

pour certaines finalités. L’acceptation des primer par un moyen simple et spécifique,
conditions générales d’utilisation n’est donc tel qu’une case à cocher. Les mentions
pas une modalité suffisante du recueil du d’information et les modes d’expression de
consentement des personnes. l’opposition ou du recueil du consentement
doivent être lisibles, en langage clair et fi-
gurer sur les formulaires de collecte.
Lorsque la collecte des données inter-
• La prospection réalisée au moyen d’un vient par voie orale, l’intéressé est mis en
mode de communication électronique mesure d’exercer son droit d’opposition ou
(courrier électronique, SMS ou MMS) de donner son consentement avant la col-
hors produits ou services analogues ; lecte de ses données.
• la prospection réalisée au moyen d’au-
tomates d’appel ou de télécopieurs ;
• la mise à disposition ou la cession à des
partenaires des adresses électroniques • La prospection par voie postale ou té-
ou des numéros de téléphone utilisés à léphonique avec intervention humaine ;
des fins de prospection par automate • l a prospection réalisée au moyen d’un
d’appel, télécopie ou par envoi de SMS, mode de communication électronique
MMS ; pour un produit ou service analogue ;
• la collecte ou la cession des données • l a prospection entre professionnels
susceptibles de faire apparaître direc- (sauf en cas d’utilisation d’une adresse
tement ou indirectement les origines générique) lorsque l’objet du message
raciales ou ethniques, les opinions po- est en rapport avec l’activité du pro-
litiques, philosophiques ou religieuses fessionnel ;
ou l’appartenance syndicale des per- • la cession d’adresse postale et de nu-
sonnes ; méros de téléphone utilisés à des fins
• la collecte de la photographie ou de de prospection avec intervention hu-
l’image de la personne. maine ;
• l a cession à des partenaires de données
relatives à l’identité (à l’exclusion du
code interne de traitement permettant
La participation à un jeu-concours ou l’identification du client) ainsi que les
une loterie ne peut être conditionnée à la informations relatives à la situation
réception de prospection directe au moyen familiale, économique et financière
d’un automate d’appel, d’un télécopieur visées à l’article 3, dès lors que les
ou d’un courrier électronique de la part du organismes destinataires s’engagent
responsable de traitement ou de ses par- à ne les exploiter que pour s’adresser
tenaires. directement aux intéressés, pour des
finalités exclusivement commerciales.
La possibilité de permettre à la per- Après la collecte des données :

sonne concernée de s’opposer de manière La personne concernée a le droit de
simple et dénuée d’ambiguïté, dans les cas s’opposer, sans frais, à ce que ses données
suivants : soient utilisées à des fins de prospection,
notamment commerciale, par le responsable
actuel du traitement ou celui d’un traitement
ultérieur ;
Dans le cas d’une collecte via un formu- Les messages adressés à des fins de
laire, le droit d’opposition ou le recueil du prospection directe, au moyen d’automates

FICHE N°2
d’appel, télécopieurs et courriers électro- d’opposition ne doit être transmise à l’édi-

niques, doivent mentionner des coordonnées teur de l’outil d’analyse de fréquentation.
permettant de demander à ne plus recevoir Par ailleurs, tout utilisateur d’un service
de telles sollicitations. de communications électroniques doit être
informé de manière claire et complète, sauf
s’il l’a été au préalable, par le responsable du
traitement ou son représentant :
Le responsable du traitement auprès •d e la finalité de toute action tendant à
duquel le droit d’opposition a été exercé accéder, par voie de transmission électro-
informe sans délai de cette opposition tout nique, à des informations déjà stockées
autre responsable de traitement qu’il a dans son équipement terminal de com-
rendu destinataire des données à caractère munications électroniques, ou à inscrire
personnel qui font l’objet de l’opposition. des informations dans cet équipement ;
• des moyens dont il dispose pour s’y op-
poser.
Ces accès ou inscriptions ne peuvent
L’utilisation d’un site internet avoir lieu qu’à condition que la personne
La norme numéro 56 s’applique éga- utilisatrice ait exprimé, après avoir reçu cette
lement dans le cas où le responsable de information, son accord qui peut résulter de
traitement utilise un site internet pour la paramètres appropriés de son dispositif de
gestion des clients et prospects. connexion ou de tout autre dispositif placé
Les données de connexion (date, heure, sous son contrôle.
adresse internet, protocole de l’ordinateur Ces dispositions ne sont pas appli-
du visiteur, page consultée) pourront être cables si l’accès aux informations stockées
exploitées à des fins de mesure d’audience dans l’équipement terminal de l’utilisateur ou
et d’assistance technique : le consentement l’inscription d’informations dans l’équipement
préalable des personnes n’est pas nécessaire, terminal de l’utilisateur :
à condition qu’ils disposent d’une information • s oit a pour finalité exclusive de permettre
claire et complète délivrée par l’éditeur du site ou faciliter la communication par voie
internet, d’un droit d’opposition, d’un droit électronique ;
d’accès aux données collectées et qu’elles • soit est strictement nécessaire à la four-
ne soient pas recoupées avec d’autres trai- niture d’un service de communication en
tements tels que les fichiers clients dans les ligne à la demande expresse de l’utili-
conditions prévues par la recommandation du sateur.
5 décembre 2013.
L’information relative à la finalité et aux Les mesures de sécurité
droits des personnes : peut être présente dans Le responsable du traitement prend
les courriers électroniques envoyés, sur la toutes précautions utiles pour préserver la
page d’accueil du site, et dans ses conditions sécurité des données, et notamment empê-
générales d’utilisation, etc. cher qu’elles soient déformées ou endom-
L’exercice du droit d’opposition à l’ana- magées ou que des tiers non autorisés y
lyse de sa navigation : l’outil permettant de aient accès.
désactiver la traçabilité mise en œuvre par Les accès aux traitements de données
l’outil d’analyse de fréquentation doit remplir doivent nécessiter une authentification des
les conditions suivantes : personnes accédant aux données, au moyen
•u n accès et une installation aisés pour par exemple d’un code d’accès et d’un mot
tous les internautes sur l’ensemble des de passe individuels, suffisamment robustes
terminaux, des systèmes d’exploitation et et régulièrement renouvelés, ou par tout
des navigateurs internet ; autre moyen d’authentification.
•a ucune information relative aux inter- Dans le cas de l’utilisation d’un site
nautes ayant décidé d’exercer leur droit internet, le responsable de traitement prend

FICHE N°2
les mesures nécessaires pour se prémunir tion adéquat ou d’une entreprise améri-
contre toute atteinte à la confidentialité des caine ayant adhéré au Safe Harbor ;
données traitées. Les données transitant sur • ils sont encadrés par les clauses contrac-
des canaux de communication non sécurisés tuelles types (CCT) ou par des règles in-
doivent notamment faire l’objet de mesures ternes d’entreprise (BCR - Binding Cor-
techniques visant à rendre ces données in- porate Rules) qui garantissent un niveau
compréhensibles à toute personne non au- de protection suffisant ;
torisée. • ils correspondent à l’une des exceptions
Les pièces d’identité ne doivent être de l’article 69 de la loi I&L, limité à
accessibles qu’à un nombre de personnes des cas de transferts ponctuels et ex-
restreint et des mesures de sécurité doivent ceptionnels.
être mises en œuvre afin d’empêcher toute
réutilisation détournée de ces données.
Transferts de données hors UE Les transferts répétitifs, massifs ou

Seules peuvent être transférées les don- structurels de données personnelles ne
nées pertinentes au regard de la finalité sont pas couverts par la présente norme et
poursuivie par le transfert. ils doivent faire l’objet de formalités pré-
La présente norme simplifiée couvre les alables auprès de la CNIL dans les condi-
transferts de données lorsqu’une des conditions prévues par ladite loi.
tions suivantes est réunie :
• l es transferts s’effectuent à destination
d’un pays assurant un niveau de protec-

FICHE N°3
LA COLLECTE DU NIR ET
LA CONSULTATION DU RNIPP (AU 31)
RAPPEL
La Cnil est très attentive aux conditions
d’utilisation du NIR qui sont limitées aux
finalités prévues dans cette autorisation
unique.

AU REGARD DE LA LOI I&L
Finalités poursuivies par le traitement d’assurance. Dès lors, la collecte et le trai-
tement du NIR sont strictement limités aux
seuls cas autorisés par la loi.
Les traitements concernés sont unique-
ment ceux qui interviennent dans le cadre
de la passation, la gestion et l’exécution
des contrats d’assurance, de capitalisation, •p
our leurs activités d’assurance maladie1,
de réassurance, et d’assistance (périmètre maternité, invalidité, retraite supplémen-
définit par la NS 16). taire2 ;
Lors de la conclusion d’un contrat de
complémentaire santé, l’assureur de-
mande le NIR de l’assuré et des béné-
Finalité 1 : la collecte et le traitement du ficiaires des garanties pour prendre en
numéro d’inscription au répertoire (NIR) par charge les frais de maladie et commu-
les responsables de traitement dans les seuls niquer avec la sécurité sociale dans le
cas suivants, à l’exclusion de toute utilisation cadre du versement conjoint des pres-
aux fins d’identification des doublons ou des tations.
homonymies : Lors de la conclusion d’un contrat d’as-
surance prévoyance couvrant, en plus des
risques mentionnés ci-dessus (maladie,
maternité, invalidité, retraite) d’autres
Certains traitements des données à ca- risques (ex : décès, dépendance…), les
ractère personnel relatifs au numéro NIR organismes d’assurance peuvent, au titre
peuvent être nécessaires à la passation, des informations relatives à leurs assurés,
à la gestion et à l’exécution des contrats détenir le NIR sans le traiter.
(1) L’assurance maladie couvre les frais de santé et d’hospitalisation et également le risque d’incapacité. En outre, il existe une indemnité
d’inaptitude versée par la Sécurité sociale qui peut être complétée par les prestations d’organismes d’assurance.
(2) Article R.115-2-2° du code de la sécurité sociale

FICHE N°3
LA COLLECTE DU NIR ET LA CONSULTATION DU RNIPP (AU 31)
•p
our leurs activités d’assurance pour les ga- Le NIR est utilisé pour la gestion des
ranties pertes d’exploitation et perte d’em- rentes (ex : retraite supplémentaire au ré-
ploi uniquement à des fins probatoires ; gime de base).
Pour la mise en œuvre de ces garanties, • pour l’exécution des dispositions légales,
les organismes d’assurance sont destina- réglementaires et administratives en vi-
taires de documents (ex : fiches de sa- gueur.
laires) sur lesquels figurent le NIR mais
qui ne fait pas l’objet d’un traitement. Finalité 2 : l’accès aux données du Re-
• pour les relations avec les professionnels, gistre National d’Identification des Personnes
les établissements et les institutions de Physiques (RNIPP) est possible dans les cas
santé3 ; suivants :
Les professionnels, institutions ou établis- • pour les traitements mis en œuvre par
sements dispensant à des assurés sociaux l’AGIRA qui consiste à :
ou leurs ayants droit des actes ou prestations - l’existence d’une base de données des
pris totalement ou partiellement en charge personnes dont le décès est connu de
par l’assurance maladie sont autorisés à l’INSEE,
utiliser le NIR pour échanger avec les orga- - l’interrogation de cette base par les seuls
nismes d’assurance. Les organismes d’assu- organismes d’assurance vie.
rance peuvent donc échanger sur la base du • Les traitements mis en œuvre par les or-
numéro NIR avec les professionnels de santé ganismes d’assurance ayant pour finalité
et les établissements hospitaliers. exclusive la recherche des assurés et bé-
Il en est de même pour les organismes néficiaires de contrats d’assurance vie qui
mutualistes et les personnes morales gérées seraient décédés.
par les institutions de prévoyance.
•p our les déclarations sociales des entre-
prises souscriptrices de contrats d’assu-
rance4 ; Les modalités de consultation du RNIPP :
• pour l’indemnisation des accidents5 ;
•p ar voie d’interrogation ponctuelle sur
Les assureurs ont l’obligation d’informer un assuré ou un bénéficiaire,
les caisses d’assurance maladie des lésions •p ar voie d’interrogations groupées7.
causées par leurs assurés à des tiers. Dans
le domaine des accidents de la circulation, Toute interrogation doit indiquer au
le code des assurances, oblige les victimes minimum les nom(s), prénom(s), date de
à transmettre, à la demande des assureurs, naissance et sexe de la personne recher-
leur numéro NIR. Le NIR est alors utilisé à chée. Les organismes s’engagent à ne pas
des fins de gestion des dossiers d’indemni- utiliser les données de la base AGIRA à
sation des victimes. Le traitement du NIR d’autres fins que la recherche des assurés
permet notamment de donner suite aux re- bénéficiaires de contrats d’assurance vie
cours des tiers payeurs dans le cadre d’un qui seraient décédés.
accident avec un responsable.
•p our la gestion des rentes6 ;
(3) Article R.115-2-3° du code de la sécurité sociale.

(4) Article R-115-2-6° du code de la sécurité sociale.
(5) Articles L.376-1 et L.454-1 du code de la sécurité sociale et plus spécifiquement dans le cadre des accidents de la circulation, en vertu des
articles R 211-37 et R 211-38 du code des assurances.
(6) Article 39A de l’annexe III du CGI et L.81 A du livre des procédures fiscales.
(7) Par l’envoi de fichiers portant sur tout ou partie de leurs assurés ou bénéficiaires ; ces interrogations groupées pourront porter sur la totalité de la
base ou sur les seuls signalements de décès reçus durant la dernière année.

FICHE N°3
Catégories de données
Le NIR des personnes parties ou intéres-
sées au contrat : il s’agit par exemple, de l’as- Les intermédiaires d’assurance recueillent
suré, du souscripteur, de l’adhérent, du béné- le NIR lors de la phase de contractualisa-
ficiaire, du tiers victime ou de l’ayant droit… tion (exemple souscription d’un contrat de
Les données de la base AGIRA (et issues complémentaire santé). Les partenaires et
du RNIPP) aux fins de recherche des assurés sous-traitants peuvent intervenir dans le
et des bénéficiaires de contrats d’assurance cadre d’un réseau de soins (opticiens, den-
vie qui seraient décédés : tistes, audio prothésistes..) et à ce titre col-
• nom patronymique, prénoms ; lectent le NIR. Les entités d’un même groupe
• sexe ; peuvent intervenir dans le cadre d’une mu-
• date et lieu de naissance ; tualisation de moyens ou pour une expertise
• date et lieu du décès ; (ex : médecin conseil « national ») ou lorsque
• numéro d’acte de décès. les garanties sont assurées par une entité
et vendues par d’autres entités d’un même
Durées de conservation groupe.
Le NIR, les données du RNIPP et les
données communiquées aux organismes
pour la recherche des bénéficiaires d’assu-
rance vie sont conservés pendant la durée - s’il y a lieu les organismes d’assurance
nécessaire à l’exécution du contrat. Elles des personnes impliquées ;
sont ensuite archivées pour les durées pré- - s’il y a lieu, les co-assureurs et réassu-
vues par la loi. reurs ainsi que les organismes profes-
Le fichier AGIRA est mis à jour chaque sionnels et les fonds de garanties ;
mois sur la base des éléments transmis par
l’INSEE.
Les données personnelles enregistrées
sont supprimées lorsqu’il apparaît avec cer- Il s’agit des co-assureurs et réassureurs
titude au gestionnaire d’un dossier d’assu- qui partagent le risque et à ce titre disposent
rance sur la vie qu’elles se rapportent à un des données.
homonyme de l’assuré ou d’un bénéficiaire
du contrat.
Destinataires - Les personnes intervenant au contrat ou

Peuvent, dans les limites de leurs attri- dans l’instruction des dossiers tels que
butions respectives, avoir accès aux données les avocats, experts, et officiers minis-
à caractère personnel : tériels, enquêteurs, médecins et autres
•d ans le cadre des missions habituelles : professionnels de santé et le personnel
- les personnels chargés de la passation, habilité ;
la gestion et l’exécution des contrats ; - les organismes sociaux lorsque les ré-
- les délégataires de gestion, les inter- gimes sociaux interviennent dans le
médiaires d’assurance, les organismes règlement des sinistres ou lorsque les
d’assurance chargés dans le cadre organismes d’assurances offrent des
d’un contrat de partenariat de gérer les garanties complémentaires à celles des
contrats d’assurance du responsable de régimes de sécurité sociale (assurances
traitement, y compris dans le cadre d’un maladie, maternité, invalidité, décès,
réseau de soins ; assurance retraite supplémentaire) ;
- les sous traitants, les entités du même - les organismes et associations prati-
groupe auquel appartient le responsable quant la prévention, l’action sociale ou
de traitement dans le cadre de l’exercice la gestion de réalisations sanitaires et
de leurs missions ; sociales ;

FICHE N°3
• en qualité de personnes intéressées au Cette sécurité est renforcée lors de la col-
contrat : les souscripteurs, les assurés, les lecte du NIR. Le guide « sécurité » élaboré
adhérents et les bénéficiaires des contrats par la CNIL s’adresse à tout responsable de
ou les tiers victimes et s’il y a lieu leurs traitement ainsi qu’à toute personne dis-
ayants droit et représentants. posant d’un minimum de connaissances
•e n qualité de personnes habilitées au informatiques (administrateur système, dé-
titre des tiers autorisés : veloppeur, responsable de la sécurité des
- Les juridictions concernées, les arbitres, systèmes d’information, utilisateur...) et sou-
les médiateurs, haitant évaluer le niveau de sécurité dont
- les autorités de tutelle et de contrôle et doit bénéficier tout traitement de données
tous organismes publics habilités, à caractère personnel.
- les services chargés du contrôle (commis-
saires aux comptes, auditeurs, contrôle
interne).
Dans le cadre des données relatives aux Les mesures « classiques » :
personnes décédées, les personnes habili- • Le responsable du traitement prend
tées à recevoir communication de ces don- toutes précautions utiles pour préserver
nées sont : la sécurité des données, et notamment
•a u sein de l’AGIRA, les gestionnaires habi- empêcher qu’elles soient déformées ou
lités chargés de l’exploitation des fichiers, endommagées ou que des tiers non au-
•a u sein des organismes d’assurance, des torisés y aient accès.
institutions de prévoyance, des mutuelles • Il définit une politique de sécurité adap-

et de leurs unions : tée aux risques et à la taille de l’orga-
- les interrogations sont ponctuelles, nisme. Cette politique devra décrire les
- effectuées que par un nombre de gestion- objectifs de sécurité, et les mesures de
naires habilités et limité, sécurité physique, logique et organisa-
- disposant de certificats individuels, tionnelle permettant de les atteindre.
- ayant vérifié la motivation des demandes • Les accès aux traitements de données
d’interrogation. doivent nécessiter une authentification
des personnes accédant aux données,
Information des personnes au moyen par exemple d’un code d’ac-
La personne doit être informée, préala- cès et d’un mot de passe individuels,
blement à la mise en œuvre du traitement : suffisamment robustes et régulièrement
de l’identité du responsable de traitement, de renouvelés, ou par tout autre moyen
la finalité du traitement, des destinataires des d’authentification.
données, du transfert éventuel de ses données •L es conditions d’administration du sys-
hors UE ainsi que des droits dont elle dispose tème d’information prévoient l’existence
au titre de la loi I&L. de systèmes automatiques de traçabilité
Par ailleurs, elle dispose d’un droit (journaux, audits…).
d’accès, de rectification et d’opposition. Les mesures liées à la base AGIRA :
•d es accès individuels ;
Mesures de sécurité • une authentification mutuelle du sys-

tème hébergeant le traitement et l’uti-
lisateur8 ;
La loi « informatique et libertés » impose •u n certificat nominatif ;
aux organismes de garantir la sécurité des •u ne conservation de l’historique des re-
données. quêtes effectuées par les organismes ;
(8) Certificats délivrés par le réseau d’accès aux données de l’assurance et de la messagerie sécurisée (RADAMESS). L’identification des machines
connectées au traitement est également faite par des certificats de même nature.

FICHE N°3
• L’AGIRA conserve les interrogations pen-

dant une année ; Les transferts répétitifs, massifs ou struc-
• Chiffrement des connexions au traite- turels de données personnelles doivent faire
ment et des envois dématérialisés entre l’objet d’un encadrement juridique spécifique
l’INSEE et l’AGIRA. (niveau de protection adéquat, safe Harbor,
CCT, BCR…). Ces transferts d’informations
Transferts de données hors UE ayant été expressément prévus par l’autori-
Seules peuvent être transférées les don- sation unique, aucune autorisation de la CNIL
nées pertinentes au regard de la finalité n’est nécessaire, à condition que ces trans-
poursuivie par le transfert. ferts restent impérativement dans le champ
La présente norme simplifiée couvre de l’AU. À défaut, ils doivent faire l’objet de
les transferts de données lorsqu’une des formalités préalables auprès de la CNIL dans
conditions suivantes est réunie : les conditions prévues par ladite loi.
• les transferts s’effectuent à destination Le responsable de traitement s’engage,
d’un pays assurant un niveau de protec- sur simple demande de la personne concer-
tion adéquat ou d’une entreprise améri- née, à apporter une information complète sur
caine ayant adhéré au Safe Harbor ; la finalité, les données, les destinataires et
• ils sont encadrés par les clauses contrac- les moyens mis en œuvre pour encadrer ce
tuelles types (CCT) ou par des règles in- transfert.
ternes d’entreprise (BCR - Binding Corpo-
rate Rules) qui garantissent un niveau de
protection suffisant ;
• ils correspondent à l’une des exceptions de
l’article 69 de la loi I&L, limité à des cas
de transferts ponctuels et exceptionnels.

FICHE N°4
LA COLLECTE DES DONNÉES
D’INFRACTIONS, DE CONDAMNATIONS
OU DES MESURES DE SÛRETÉ (AU 32)
Les organismes d’assurance ainsi que l’AGIRA, effectuent dans le cadre de la passation,
de la gestion et de l’exécution des contrats des traitements de données relatifs aux infractions,
aux condamnations ou aux mesures de sûreté.
LES TRAITEMENTS DE DONNÉES PERSONNELLES AU REGARD DE LA LOI I&L

Finalités poursuivies par le traitement le conducteur. Les infractions sont connues
 Finalité 1 : la collecte et le traitement de de l’assureur lors de la déclaration du risque.
données relatives aux infractions, condam- Il pose des questions fermées à la personne
nations ou mesures de sûreté prévus par les qui souhaite souscrire une assurance pour
dispositions légales, réglementaires et admi- savoir si elle a fait l’objet de condamna-
nistratives en vigueur. tions devant une juridiction répressive (ex :
 Finalité 2 : ces traitements interviennent conduite sous l’empire d’un état alcoolique
également dans le cadre des contentieux liés ou de stupéfiants, retrait ou suspension de
à l’activité et permettant notamment à l’entre- permis de conduire, défaut d’assurance ou
prise d’assurer la constatation, l’exercice ou la de délit de fuite...). Cette information sera
défense de ses droits en justice ou la défense également utile à l’assureur en matière de
des personnes concernées. responsabilité professionnelle pour évaluer
le risque d’assurance (ex : assurance des
mandataires sociaux).
Les traitements ne peuvent en aucun cas • soit au cours de son exécution :
faire l’objet d’une mutualisation des infor- Les données d’infractions peuvent être
mations entre les organismes d’assurance utilisées à titre de preuve. Par exemple, pour
à l’exclusion de l’AGIRA. prouver que les conditions de garantie sont
remplies et que le risque n’a pas été aggravé,
ou encore pour déterminer les responsabilités
Les traitements de données relatifs aux et procéder à l’indemnisation de la victime.
infractions, aux condamnations ou aux
mesures de sûreté à plusieurs niveaux : Exemple :
• soit au moment de la souscription du • Pour le règlement des sinistres et des
contrat d’assurance : prestations, il peut s’avérer nécessaire de
Les données d’infractions et de condam- vérifier les faits qui ouvrent droit à garantie.
nations font parties des antécédents de • La connaissance des circonstances d’un
l’assuré qui permettent à l’assureur d’éva- vol est nécessaire pour vérifier si les condi-
luer les risques. Ces données peuvent tions de garantie sont réunies. Le dépôt d’une
être demandées lors de la souscription de plainte peut être une condition d’indemnisa-
contrats d’assurance de responsabilité civile tion. Certaines garanties vol peuvent être limi-
et en particulier en assurance automobile et tées aux cas d’effraction. Ainsi, conformément
responsabilité professionnelle. aux dispositions prévues dans le contrat, l’as-
En assurance automobile, l’assureur suré devra rapporter la preuve de l’effraction.
peut décider de majorer la prime en fonc- • Dans les assurances de responsabilité
tion du nombre d’infractions commises par civile automobile, le procès verbal de police

FICHE N°4
LA COLLECTE DES DONNÉES D’INFRACTIONS,
DE CONDAMNATIONS OU DES MESURES DE SÛRETÉ (AU 32)
permet de déterminer les responsabilités • La présence de témoins, leur identifica-

de chacun dans l’hypothèse où les circons- tion et leurs témoignages.
tances étaient incertaines.  Les données postérieures à la constata-
• Par ailleurs, l’assureur a une obli- tion de l’infraction :
gation d’informer la victime qu’elle peut • Saisine ou absence de saisine ;
obtenir sur simple demande une copie du • Classement sans suite ;
procès-verbal. Ainsi, les assureurs de vé- • Engagement de poursuite ;
hicules impliqués dans un accident de la • Condamnations ;
circulation, reçoivent les procès verbaux • Mesures de sûreté.
de police, dans un but d’accélération des
procédures d’indemnisation, selon une pro- Durées de conservation
cédure dénommée « transpv ». • La durée de conservation est celle qui
• Au titre de la garantie « recours », l’as- est nécessaire à l’exécution du contrat ;
sureur est amené à exercer le recours de son • Les données sont ensuite archivées
assuré à l’encontre du Fonds de garantie des conformément aux durées prévues par
assurances obligatoires (FGAO) en cas d’ac- la loi.
cident et d’absence de responsable identifié
ou contre le Fonds de garantie des victimes Destinataires
des actes de terrorisme et d’autres infrac- Ils peuvent, dans les limites de leurs attri-
tions (FGTI) pour les autres infractions. Dans butions respectives, avoir accès aux données
cette hypothèse, il doit recueillir les données à caractère personnel :
relatives aux infractions auprès de son as- • dans le cadre des missions habituelles :
suré et les transmettre au fond compétent. - les personnels chargés de la passation,
la gestion et l’exécution des contrats ;
• Pour la gestion des contentieux : - les délégataires de gestion, les inter-
Dans le cadre des contentieux liés à l’ac- médiaires d’assurance, les organismes
tivité d’assurance, ces données peuvent d’assurance chargés dans le cadre d’un
s’avérer nécessaires pour l’entreprise en contrat de partenariat de gérer les
charge d’assurer la constatation, l’exercice contrats d’assurance du responsable
ou la défense de ses droits en justice ou la de traitement ;
défense des droits des personnes concernées. - les prestataires agissant sur ordre du
responsable de traitement ;
Catégories de données - les sous-traitants, ou les entités du
Il s’agit des données concernant l’assuré, groupe d’assurance auquel appartient
le tiers victime, les ayants droits, les auteurs le responsable de traitement dans le
présumés des infractions ou plus largement cadre de l’exercice de leurs missions ;
toute personne impliquée dans le sinistre - s’il y a lieu les organismes d’assurance
(ex : témoins). des personnes impliquées ou offrant
Il existe trois grandes catégories de des prestations complémentaires ;
données : - s’il y a lieu les co-assureurs et réas-
 Les données des personnes : sureurs ainsi que les organismes
• Les données d’identification : nom et professionnels et les fonds de garanties ;
prénom(s), date et lieu de naissance ; - les personnes intervenant aux contrats
• Les coordonnées postales ; tels que les avocats, experts, auxiliaires
• Le cas échéant, les données issues de justice et officiers ministériels, cura-
des procès verbaux de police ou de teurs, tuteurs, enquêteurs ;
gendarmerie, les décisions judiciaires ou - les organismes sociaux lorsque les régimes
administratives et les enquêtes judiciaires. sociaux interviennent dans le règlement
 Les données sur les circonstances de des sinistres ou lorsque les organismes
l’infraction : d’assurances offrent des garanties complé-
• Les faits constatés ; mentaires à celles des régimes sociaux.

FICHE N°4
LA COLLECTE DES DONNÉES D’INFRACTIONS,
DE CONDAMNATIONS OU DES MESURES DE SÛRETÉ (AU 32)
• en qualité de personnes intéressées au par exemple d’un code d’accès et d’un mot
contrat : de passe individuels, suffisamment robustes
- les souscripteurs, les assurés, les adhé- et régulièrement renouvelés, ou par tout autre
rents et les bénéficiaires des contrats ; moyen d’authentification.
et s’il y a lieu leurs ayants droit et • Les conditions d’administration du
représentants ; système d’information prévoient l’existence
- s’il y a lieu les bénéficiaires d’une de systèmes automatiques de traçabilité
cession ou d’une subrogation des droits (journaux, audits…).
relatifs au contrat ;
- s’il y a lieu le responsable, les victimes Transferts de données hors UE
et leurs mandataires ; les témoins, les Seules peuvent être transférées les
tiers intéressés à l’exécution du contrat. données pertinentes au regard de la finalité
• en qualité de personnes habilitées au poursuivie par le transfert.
titre des tiers autorisés : • La présente norme simplifiée couvre les
- s’il y a lieu les juridictions concernées, transferts de données lorsqu’une des condi-
les arbitres, les médiateurs ; tions suivantes est réunie :
- les ministères concernés, autorités - les transferts s’effectuent à destina-
de tutelle et de contrôle et tous orga- tion d’un pays assurant un niveau de
nismes publics habilités à les recevoir ; protection adéquat ou d’une entre-
- les services chargés du contrôle tels prise américaine ayant adhéré au Safe
que les commissaires aux comptes Harbor ;
et les auditeurs ainsi que les services - ils sont encadrés par les clauses contrac-
chargés du contrôle interne. tuelles types (CCT) ou par des règles
internes d’entreprise (BCR - Binding
Information des personnes Corporate Rules) qui garantissent un
• La personne doit être informée, préala- niveau de protection suffisant ;
blement à la mise en œuvre du traitement : - ils correspondent à l’une des excep-
de l’identité du responsable de traitement, tions de l’article 69 de la loi I&L, limité
de la finalité du traitement, des destinataires à des cas de transferts ponctuels et
des données, du transfert éventuel de ses exceptionnels.
données hors UE ainsi que des droits dont
elle dispose au titre de la loi I&L.
• Par ailleurs, elle dispose d’un droit Les transferts répétitifs, massifs ou
d’accès, de rectification et d’opposition. structurels de données personnelles doivent
faire l’objet d’un encadrement juridique
Mesures de sécurité spécifique (niveau de protection adéquat,
• Le responsable du traitement prend safe Harbor, CCT, BCR…). Ces transferts
toutes précautions utiles pour préserver ayant été expressément prévus par l’AU-
la sécurité des données, et notamment 032, aucune autorisation de la CNIL n’est
empêcher qu’elles soient déformées ou nécessaire, à condition que ces transferts
endommagées ou que des tiers non autorisés restent impérativement dans le champ de
y aient accès. l’AU. À défaut, ils doivent faire l’objet de
• Il définit une politique de sécurité formalités préalables auprès de la CNIL
adaptée aux risques et à la taille de l’or- dans les conditions prévues par ladite loi.
ganisme. Cette politique devra décrire les Le responsable de traitement s’engage,
objectifs de sécurité, et les mesures de sécu- sur simple demande de la personne concer-
rité physique, logique et organisationnelle née, à apporter une information complète
permettant de les atteindre. sur la finalité, les données, les destina-
• Les accès aux traitements de données taires et les moyens mis en œuvre pour
doivent nécessiter une authentification des encadrer ce transfert.
personnes accédant aux données, au moyen

FICHE N°5
LA LUTTE CONTRE LA FRAUDE (AU 39)
L’autorisation unique n°39 finalise le pack assurance avec les traitements mis en œuvre dans
le cadre de la lutte contre la fraude en assurance. Le travail engagé pour cette autorisation unique
a mis en exergue la difficulté d’appréhender à la fois les besoins des assureurs tout en respectant
les principes de la loi informatique et libertés et la doctrine de la Commission. Cette complexité
s’explique du fait qu’il n’existe pas de définition légale de la fraude à l’assurance. De plus, la fraude
est polymorphe. Cette AU se veut la plus large possible et concerne aussi bien la fraude interne
et externe.
Périmètre Ainsi, elle peut revêtir un caractère pénal

(ex : escroquerie) ou civil (ex : faute inten-
tionnelle ou dolosive de l’assuré).
Exemples :
Pour rappel, le périmètre de la fraude est La fraude peut avoir un caractère abusif
limité aux seuls organismes d’assurances lorsqu’il s’agit de faire un usage excessif
identifiés dans la norme simplifiée n°16, d’un droit, d’un bien ou une pratique au-delà
et s’applique uniquement dans le cadre de d’une norme de niveau acceptable :
la passation, la gestion et l’exécution du - une sur-tarification des réparations en na-
contrat d’assurance. ture effectuées par un professionnel,
- un alignement des honoraires en fonc-
tion des niveaux de garanties maximum des
contrats d’assurance,
• La définition qui a été retenue pour la - une répétition de demandes au-delà de
fraude est la suivante « tout acte ou omis- seuils normaux.
sion commis intentionnellement par une ou
plusieurs personnes afin d’obtenir un avan- • Classiquement on distingue la fraude
tage ou un bénéfice de façon illégitime, interne et la fraude externe en fonction de
illicite ou illégal ». l’auteur de la fraude :
Fraude interne Fraude externe
- le salarié, - les personnes parties ou intéressées au

- l’intermédiaire (agent général, courtier, contrat (assurés, bénéficiaires, adhérents,
mandataire…) et ses salariés, souscripteurs, ayants-droit, tiers victimes…)
- le prestataire (délégation de tout ou partie - les personnes intervenant au contrat
de la gestion /exécution des contrats), (professionnels de santé, prestataires,
- l’élu, l’administrateur, mandataires sociaux réparateurs, experts, garagistes,
fournisseurs…)

FICHE N°5
Finalités poursuivies par le traitement - La répétition de plusieurs sinistres pour

 Finalité 1 : l’analyse et la détection des un même bien ou une même personne,
actes présentant une anomalie, une incohé- - plusieurs personnes impliquées pour des
rence, ou ayant fait l’objet d’un signalement mêmes sinistres,
pouvant révéler une fraude à l’assurance. - une incohérence sur les dates indiquées,
- le refus de communication d’une informa-
Exemples d’anomalies ou incohérences : tion ou d’un justificatif,
- La remise de « faux » et « l’usage de faux » - la modification récurrente d’un RIB ou
lors de la souscription du contrat ou au quasiment concomitante avec la fraude,
stade de son exécution (ex : fausse fiche - une durée très proche entre la souscrip-
de paie, fausse carte vitale ou faux justifi- tion du contrat d’assurance et la réalisation
catifs d’identité…), du sinistre,
- Une signature illisible pouvant constituer - des modifications répétées des bénéfi-
un indice de fraude qui devra être conforté ciaires d’une clause contractuelle ou qua-
par d’autres éléments, siment concomitante avec la fraude.
Comment se fait la détection des actes présentant un risque de fraude ?

- dans le cadre de l’activité quotidienne de gestion des commerciaux ou gestionnaires,
leur expertise « métier » permet une première analyse humaine d’un fait ou d’un document
potentiellement frauduleux (ex : justificatif avec des ratures),
- par le biais d’alertes ou de signalements effectués par des personnes témoins de compor-
tements ou de faits susceptibles de présenter un risque de fraude (collaborateurs internes
à l’entreprise, clients, victimes, intermédiaires, enquêteurs, sous-traitant, organismes ou
administrations…)
- par un système de requetage automatique élaboré à partir d’une liste de critères préa-
lablement déterminés et pertinents,
- par une analyse manuelle des résultats des requêtes,
- par des contrôles de second niveau (managers, contrôle interne, auditeurs),
- à l’aide de techniques de croisement de données s’appuyant sur des méthodes statis-
tiques et des algorithmes permettant de modéliser des comportements pouvant se révéler
frauduleux (scénarios, profils, produits…).
 Finalité 2 : la gestion des alertes en cas d’anomalies, d’incohérences ou de signalements,

En cas de fraude avérée, les décisions pouvant en découler sont les suivantes :
- contrôles individuels, - r efuser le versement d’une indemnité

- sanctions disciplinaires, procédure ou d’une prestation,
de licenciement, - refuser d’entrer en relation (ou suspendre
- résiliation (convention de délégation l’entrée en relation),
de gestion, mandat…) - engager des procédures amiables,
- engager des procédures contentieuses, contentieuses…
judiciaires ….

FICHE N°5
 Finalité 3 : la constitution de listes des dans le cadre de son pouvoir d’enquête
personnes dûment identifiées comme auteurs interne, sur les données collectées au
d’actes pouvant être constitutifs d’une fraude. titre de la gestion administrative du
personnel.
• Les interconnexions sont possibles dans
les conditions suivantes :
Est une « personne présentant un risque - e lles émanent du responsable de
de fraude » : traitement ou du groupe auquel il
- l’auteur d’un acte présentant une ano- appartient ;
malie dont la vérification ne permet pas - elles sont possibles uniquement en
de lever le doute et qui donne lieu à l’en- matière de :
registrement dans un fichier. Dès lors, des - gestion commerciale de clients et de
vérifications doivent être menées afin de prospects (NS 56) ;
lever le doute ou de le confirmer. - passation, gestion et exécution des
- l’auteur d’actes frauduleux ou abusifs. contrats (NS 16) ;
Dès lors, ces personnes peuvent être l’ob- - lutte contre le blanchiment et le
jet de décisions produisant des effets juri- financement du terrorisme (AU003) ;
diques, et de ce fait être écartées du béné- - collecte et traitement des données
fice d’un droit ou d’un contrat par exemple. d’infractions, de condamnations et
mesures de sûreté (AU 32) ;
- gestion des relations contractuelles
avec les intermédiaires, les pres-
Les organismes d’assurance sont amenés tataires, les sous-traitants, les
à constituer de telles listes afin de veiller à délégataires, et les partenaires.
respecter la réglementation applicable en
matière d’appréciation, de surveillance et de • Analyse manuelle des alertes détectées
maîtrise des risques et notamment dans le automatiquement :
cadre des obligations Solvabilité II. Les requêtes ou alertes automatiques font
l’objet d’une analyse manuelle par le personnel
 Finalité 4 : la gestion des procédures habilité de l’organisme ou du groupe. Il peut
amiables, contentieuses, et disciplinaires également être décidé de procéder à des
consécutives à un cas de fraude, investigations complémentaires pour confirmer
ou non le cas de fraude. Enfin, la personne
 Finalité 5 : l’exécution des dispositions concernée doit pouvoir présenter ses obser-
contractuelles, législatives, réglementaires vations, si une décision produisant des effets
ou administratives en vigueur applicables juridiques est prise à son égard.
consécutivement à une fraude.
Catégories de données
Les traitements de lutte contre la fraude

peuvent avoir des conséquences sur les Les traitements auxquels l’AU fait réfé-
règles légales ou réglementaires à appli- rence sont ceux préalablement identifiés et
quer, notamment fiscales ou sociales, ou encadrés par le biais de normes simplifiées
peuvent révéler des cas de blanchiment ou et autorisation unique adoptées par la CNIL.
de financement du terrorisme. Il s’agit notamment des données dont dis-
posent d’ores et déjà les assureurs dans le
cadre de la gestion des contrats d’assurance
ainsi que toutes les données nécessaires à
• L’employeur peut également procéder à l’activité de lutte contre la fraude.
des requêtes individuelles et ponctuelles

FICHE N°5
 Données relatives à la passation, la en lien avec la relation commerciale ;

gestion et de l’exécution des contrats (NS 16) : • activités professionnelles et non profes-
• identification des personnes parties, sionnelles ayant un lien avec la relation
intéressées ou intervenantes au contrat ; commerciale ;
• situation familiale, économique, patri- • suivi de la relation commerciale ;
 
moniale et financière ; • localisation et connexion.
• situation professionnelle ;
• appréciation du risque ;  Données relatives aux infractions,
• passation, application du contrat, et condamnations et mesures de sûreté
gestion des sinistres et des prestations ; (AU 32) :
• d étermination ou évaluation des • concernant les personnes :
préjudices ; - les données d’identification : nom et
• localisation des personnes ou des biens prénom(s), date et lieu de naissance ;
en relation avec les risques assurés ; - les coordonnées postales ;
• vie personnelle et habitudes de vie en
  - le cas échéant, les données issues des
relation avec les risques assurés ; procès verbaux de police ou de gendar-
• informations relatives à la santé avec merie, les décisions judiciaires ou
le consentement exprès de l’intéressée, administratives et les enquêtes judiciaires.
sauf s’il ne peut être matériellement ou • c oncernant les circonstances de
juridiquement recueilli, ou que l’orga- l’infraction :
nisme est soumis à une obligation légale - les faits constatés ;
de recueillir ces informations. - la présence de témoins, leur identifica-
tion et leurs témoignages.
• suites données à la constatation de
l’infraction :
Qu’est ce que signifie la localisation des - saisine ou absence de saisine ;
biens ou des personnes ? - classement sans suite ;
Il s’agit des données en lien avec le - engagement de poursuite ;
dossier de fraude (vidéo, photographies et - condamnations ;
métadonnées). Ne sont pas concernées, - mesures de sûreté.
les données de géolocalisation des salariés
répondant à une finalité autre que la lutte
contre la fraude.
Les données de localisation sont celles À l’occasion de la collecte de données
qui figurent sur les enregistrements per- d’infractions, les organismes d’assurance
mettant d’horodater et de localiser l’ob- peuvent détecter une fraude. Ou inverse-
jet de l’enregistrement. Par exemple, une ment, la découverte d’une fraude peut en-
photo envoyée par l’assuré dans le cadre gendrer la collecte de données d’infraction/
du rapport d’enquête, identifie le lieu du condamnation (ex : personne déjà condam-
sinistre et sa date. Ainsi, il est possible de née pour fraude organisée, usurpation
constater si la date correspond ou non avec d’identité, usage de faux, vol…). De plus,
celle de la déclaration du sinistre. la gestion des actions contentieuses me-
nées suite à des actes frauduleux peut en-
gendrer la collecte de données de condam-
nations de l’auteur.
 Données relatives à la gestion et au
suivi de la relation commerciale (NS 56) :
• identification des personnes ;
• situation familiale, économique, patri-  Données de journalisation des accès aux
moniale et financière et habitudes de vie traitements (NS 16, NS 56, AU 31 et AU 32).

FICHE N°5
 Le NIR est traité par les organismes contrats d’assurance et pour l’indemnisa-
uniquement dans les cas suivants : tion des accidents,
• pour les activités d’assurance maladie, • pour la gestion des rentes,
maternité, invalidité, retraite supplémen- • enfin, le NIR peut être collecté dans le
taire, dans le cadre des relations avec les cadre de leurs activités d’assurance,
professionnels, les établissements et les pour les garanties pertes d’exploitation
institutions de santé, pour les déclarations et perte d’emploi uniquement à des fins
sociales des entreprises souscriptrices de probatoires.
Les particularités liées à la collecte et au traitement du NIR

Dans le cadre d’échanges pouvant avoir lieu notamment entre un organisme d’assurance
maladie complémentaire et les organismes du régime social obligatoire sur la fraude d’un as-
suré (ou d’un bénéficiaire ou ayant-droit), le NIR peut faire partie des données transmises :
- soit au titre d’une action en répétition de l’indu menée par l’assurance maladie obligatoire,
- soit au titre d’une action de lutte contre la fraude initiée par l’assurance maladie obli-
gatoire.
 Données collectées au titre de la gestion - données issues des bases de données in-
administrative du personnel uniquement ternes (bases relation client, gestion des
dans le cadre de requêtes ponctuelles et indi- contrats, gestion du personnel ou des inter-
viduelles consécutives à la détection d’une médiaires, …) ou de fichiers externes (Agi-
fraude. ra, messagerie Alfa, Argos…) ou encore de
Par exemple : vérification de la présence, bases externes et registres qui sont destinés
des absences, la téléphonie, la rémunéra- exclusivement à l’information du public et
tion, le badgage des salariés… sont ouverts à la consultation de celui-ci
ou de toute personne justifiant d’un intérêt
 Données relatives aux anomalies, inco- légitime.
hérences et signalement pouvant révéler une Il s’agit par exemple de vérifier que
fraude. les informations données par la personne
concernée et celles détenues par les or-
 Données relatives aux investigations, à ganismes administratifs ou professionnels
l’instruction du dossier de fraude et à l’éva- sont concordantes avec celles de l’assureur
luation du périmètre de la fraude. (antécédents déclarés, par exemple le re-
Exemples de données de gestion d’un levé d’information en matière de sinistres
dossier de fraude auto retrace les sinistres sur une période
- descriptif des anomalies, indicateurs, in- de 5 ans, validité carte grise, inscription
cohérences, alertes automatiques ou signa- RCS, véhicule déclaré volé chez un autre
lement ayant permis de détecter la fraude, assureur…).
- investigations, instruction du dossier
de fraude et évaluation : descriptif de la  Données d’identification des personnes
fraude, faits, personnes suspectées, té- intervenant dans la détection et la gestion
moins, dates, préjudice résultant de la de la fraude.
fraude pour l’organisme ou les personnes Exemple : les enquêteurs et les personnes
victimes, rapports d’enquête, expertises, impliquées dans l’enquête, dont l’usage de
durée, montant, nombre de personnes im- pseudonymes, ou identités fictives destiné
pliquées, décisions prises par l’organisme, à protéger ces personnes,

FICHE N°5
Durées de conservation
 Étape n°1 / qualification de l’alerte : à
compter de l’émission de l’alerte, les orga- S’agissant de la possibilité d’inscription
nismes d’assurance disposent d’un délai de dans le fichier des personnes présentant un
6 mois pour qualifier les alertes. Toute alerte risque de fraude, les données sont conser-
« non pertinente » ou n’ayant reçu aucune vées pendant une durée de 5 ans à compter
qualification à l’issue du délai de 6 mois, de la date d’inscription.
doit être supprimée immédiatement.
 Étape n°2 / alerte qualifiée : lorsque
l’alerte est « pertinente » les données sont
conservées pour une durée maximale de Destinataires
5 ans à compter de la clôture du dossier de Peuvent, dans les limites de leurs attributions
fraude. En cas de procédure judicaire, elles respectives, avoir accès aux données à carac-
sont conservées jusqu’au terme de la procé- tère personnel :
dure. Elles sont ensuite archivées.  Les destinataires « classiques » :
Fraude interne Fraude externe et interne
-p
ersonnes habilitées DRH (requêtes - les
personnels en relation avec la clientèle et
ponctuelles et individuelles) ; les gestionnaires de contrats et de sinistres ;
- conseil de discipline saisi en cas de fraude ; - les autres entités d’un même groupe dès
- les représentants du personnel dans le lors qu’elles sont concernées par la fraude
cadre de l’accompagnement d’un salarié ou interviennent dans la gestion des dossiers
mis en cause pour fraude. ou de maîtrise du risque de fraude ;
- les personnels habilités en charge de la lutte
contre la fraude, de la lutte antiblanchiment
et du contrôle interne ;
- les inspecteurs, enquêteurs, experts,
et auditeurs ;
- le personnel habilité de la direction générale,
la direction juridique ou du service du
contentieux pour la gestion des contentieux ;
- le personnel habilité des sous-traitants.
 Les destinataires « directement - l’autorité judiciaire, médiateur, arbitre

concernés par une fraude » : saisis d’un litige ;
- les autres organismes d’assurance - les organismes tiers autorisés par une
ou intermédiaires intervenant dans le disposition légale à obtenir la commu-
cadre de dossier présentant une fraude, nication de données à caractère
- les organismes sociaux lorsque les personnel relatives à des préconten-
régimes sociaux interviennent dans le tieux, contentieux ou condamnations ;
règlement des sinistres ou lorsque les - s’il y a lieu les victimes de fraudes ou
organismes d’assurances offrent des leurs représentants.
garanties complémentaires à celles des
régimes sociaux ; La communication de ces données ne
- les organismes professionnels inter- peut en aucun cas donner lieu à la créa-
venant dans le cadre de dossiers tion d’un fichier concernant les données
présentant une fraude ; relatives aux fraudes et mutualisé entre les
- les auxiliaires de justice et officiers destinataires.
ministériels ;

FICHE N°5
Information des personnes lutte contre la fraude pouvant conduire à l’ins-

Il existe 2 niveaux d’information : cription sur la liste des personnes à risque.
 Premier niveau : information générale Il existe des modalités d’information
des personnes concernées sur le dispositif de distinctes en fonction des personnes visées :
- les salariés de l’organisme d’assurance - les

assurés sont informés de l’existence
sont informés individuellement dans du traitement dans les documents
le règlement intérieur ou dans tout autre communiqués au moment de
support de communication échangé lors la souscription du contrat, ou de tout autre
de l’exécution du contrat, support de communication échangé lors de
l’exécution du contrat.
- les prestataires, les agents généraux,
les mandataires, les intermédiaires,
les administrateurs, les mandataires
sociaux ou les élus des organismes sont
informés dans les documents contractuels
ou tout autre support de communication
adressés par l’organisme d’assurance.
 Second niveau : Le responsable de trai- (refus de prise charge, avertissement au

tement informe systématiquement lors de la salarié, rupture de contrat), une information
contractualisation de la mise en œuvre d’un écrite et individuelle est adressée précisant
dispositif de lutte contre la fraude susceptible les mesures prises par l’assureur (consé-
de conduire à l’inscription sur une liste de quences de l’application du contrat concerné)
personnes présentant un risque de fraude. et lui donnant la possibilité de présenter ses
Les conséquences en cas de fraude sont observations.
régies par les dispositions contractuelles.
En cas de détection d’une anomalie, d’une Mesures de sécurité

incohérence ou d’un signalement suscep-  Le responsable du traitement prend
tible de relever d’une fraude, le responsable toutes précautions utiles pour préserver la
de traitement a la possibilité d’inscrire une sécurité des données, et notamment empêcher
personne sur une « liste de personnes présen- qu’elles soient déformées ou endommagées
tant un risque de fraude ». La personne ou que des tiers non autorisés y aient accès.
concernée, susceptible d’être inscrite sur  Il définit une politique de sécurité
cette liste peut être un assuré, un prestataire, adaptée aux risques et à la taille de l’or-
un professionnel de santé etc. (Il s’agit des ganisme. Cette politique devra décrire les
personnes concernées par la mise en œuvre objectifs de sécurité, et les mesures de sécu-
du traitement de lutte contre la fraude interne rité physique, logique et organisationnelle
et externe). permettant de les atteindre.
Au cours de la période d’investigation,  Les accès aux traitements de données
la personne concernée peut être contactée, doivent nécessiter une authentification des
selon le type de fraude suspectée (assuré, personnes accédant aux données, au moyen
partenaire, salarié...), pour apporter des par exemple d’un code d’accès et d’un mot
explications complémentaires. de passe individuels, suffisamment robustes
Au terme des investigations, et en cas de et régulièrement renouvelés, ou par tout autre
décision prise produisant des effets juridiques moyen d’authentification.

FICHE N°5
 Les conditions d’administration du • ils sont encadrés par les clauses contrac-
système d’information prévoient l’existence tuelles types (CCT) ou par des règles
de systèmes automatiques de traçabilité internes d’entreprise (BCR - Binding
(journaux, audits…). Il en va de même pour Corporate Rules) qui garantissent un
les interventions de maintenance qui doivent niveau de protection suffisant ;
faire l’objet d’une traçabilité. Par ailleurs, le • ils correspondent à l’une des excep-
matériel remisé devra être nettoyé de toute tions de l’article 69 de la loi I&L,
donnée à caractère personnel. limité à des cas de transferts ponc-
 S’il existe un site internet, le responsable tuels et exceptionnels.
de traitement prend les mesures nécessaires
pour se prémunir contre toute atteinte à la
confidentialité des données traitées.
 Le responsable de traitement devra aussi Les transferts répétitifs, massifs ou
s’assurer que ses sous-traitants présentent structurels de données personnelles
des garanties en matière de sécurité des doivent faire l’objet d’un encadrement ju-
données. ridique spécifique (niveau de protection
 S’agissant des données de santé, adéquat, safe Harbor, CCT, BCR…) Ces
le responsable de traitement s’engage à transferts d’informations dans le cadre de
respecter le code de bonne conduite annexé l’activité de lutte contre la fraude ayant été
à la convention AERAS concernant la collecte expressément prévus par l’AU-039, aucune
et l’utilisation de données relatives à l’état de autorisation de la CNIL n’est nécessaire, à
santé en vue de la souscription ou de l’exé- condition que ces transferts restent impé-
cution d’un contrat d’assurance. rativement dans le champ de l’AU. À dé-
faut, ils doivent faire l’objet de formali-
tés préalables auprès de la CNIL dans les
Transferts de données hors UE conditions prévues par ladite loi.
Seules peuvent être transférées les Le responsable de traitement s’engage,
données pertinentes au regard de la finalité sur simple demande de la personne concer-
poursuivie par le transfert. née, à apporter une information complète
 La présente autorisation unique couvre sur la finalité, les données, les destina-
les transferts de données lorsqu’une des taires et les moyens mis en œuvre pour
conditions suivantes est réunie : encadrer ce transfert.
• les transferts s’effectuent à destina-
tion d’un pays assurant un niveau de
protection adéquat ou d’une entre-
prise américaine ayant adhéré au Safe
Harbor ;

PACK DE CONFORMITÉ
ASSURANCE
PRÉCISIONS SUR LE SORT DES FORMALITÉS PRÉALABLES

DÉJÀ ACCOMPLIES AUPRÈS DE LA CNIL
Un organisme d’assurance ayant procédé à un engagement de conformité à la NS 16 dans
son ancienne rédaction, et qui ne modifie pas son traitement compte tenu de la nouvelle norme,
n’a pas à accomplir une nouvelle formalité.
L’organisme d’assurance qui ne modifie pas son traitement déclaré en référence à l’AU 18,
n’a pas besoin de faire un nouvel engagement de conformité à l’AU 31 (qui intègre l’AU 18) à
moins que cet organisme ne collecte le NIR.
Enfin, tout projet de traitement dont les finalités ou les catégories de données ou de desti-
nataires excéderaient le cadre défini par les autorisations uniques et qui ne respecterait pas les
exigences qui y sont définies devra faire l’objet d’une demande d’autorisation spécifique présen-
tant et expliquant les différences entre le traitement envisagé et l’autorisation unique concernée.
CONCLUSION GÉNÉRALE SUR LE PACK ASSURANCE
Le pack de conformité assurance permet donc de recenser et d’encadrer l’ensemble des

traitements mis en œuvre par les acteurs (organismes d’assurance, intermédiaires, sociétés
d’assistance) pour toutes les branches d’assurance y compris l’assistance. Ce pack concerne éga-
lement les « Groupes » auxquels appartiennent les responsables de traitement. Cette démarche
s’inscrit dans une logique de sécurisation juridique apportée aux professionnels et une meilleure
prise en compte de la réalité de leurs activités, qui caractérise la nouvelle méthode de travail de
la Cnil pour accompagner les responsables de traitement dans leur mise en conformité avec la
loi informatique et libertés, non seulement en matière de formalités mais dans la substance des
traitements de données personnelles concernés. Les échanges ont permis de dégager un cadre
réglementaire lisible et opérationnel faisant également référence à des garanties prévues par
d’autres instruments juridiques. Par exemple, le code de bonne conduite annexé à la convention
AERAS qui vise les conditions de collecte et d’utilisation des données de santé.
Par ailleurs, les deux normes simplifiées et les trois autorisations uniques, complétées par
des fiches pratiques représentent une simplification des formalités telle qu’elle est souhaitée
par la Commission et attendue par les professionnels.
Vers la création d’un Club conformité

Afin de tirer parti de l’espace privilégié d’échanges qui s’est créé entre la Cnil et les profession-
nels pour élaborer le pack de conformité, le groupe de travail initialement constitué va continuer
à se réunir périodiquement, sous la forme d’un « club conformité ». Il s’agira de ne pas perdre
le bénéfice apporté par cette zone de confiance pour débattre des besoins et questionnements
sur l’application de la loi, évaluer dans le temps la robustesse des outils de régulation des
données ayant été élaborés, les mettre à jour en fonction tant de l’évolution des métiers que de
la législation, enfin, créer un effet d’entraînement vertueux dans la diffusion de la conformité
informatique et libertés grâce à l’action démultiplicatrice des réseaux professionnels impliqués.

PACK ASSURANCE Complet PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

PACK ASSURANCE Complet PDF

Titre original :

Transféré par

Droits d'auteur :

Formats disponibles

PACK DE

Édition juillet 2014 cnil.fr

Édition novembre 2014 cnil.fr

Édition novembre 2014 cnil.fr

Groupe de travail Membres Missions et principes directeurs

Représenter les intérêts de la profession auprès de ses interlocuteurs,

Le GEMA est le syndicat professionnel des mutuelles d’assurance.

Édition novembre 2014 cnil.fr

Porter la représentativité des syndicats adhérents auprès des pouvoirs

Défendre et promouvoir les intérêts moraux et matériels des syndicats

Représenter en justice la profession de courtier d’assurances et

Organismes communs : FFSA/GEMA : AGIRA (partenaire CTIP), l’AFLA, ARGOS,…

Le pack de conformité élaboré est un ré- Le déroulement des travaux

Édition novembre 2014 cnil.fr

La loi informatique et libertés du 6 janvier de carte bancaire, références bancaires, vie

(7) Le 23 janvier 2014

Édition novembre 2014 cnil.fr

Bénéficiaire : Tierce personne physique ou morale au profit de laquelle une assurance a

Édition novembre 2014 cnil.fr

Édition novembre 2014 cnil.fr

Édition novembre 2014 cnil.fr

risation (ex : NIR, données d’infraction…) ou téressées au contrat permet à l’assureur

Édition novembre 2014 cnil.fr

binage…), la composition du foyer, le garanties souscrites, la description des at-

Édition novembre 2014 cnil.fr

(6) Article R.211-37 du code des assurances.

Édition novembre 2014 cnil.fr

ment des sinistres ou lorsque les orga- •C

Édition novembre 2014 cnil.fr

de sécurité, et les mesures de sécurité •L

Édition novembre 2014 cnil.fr

LES TRAITEMENTS DE DONNÉES PERSONNELLES

Édition novembre 2014 cnil.fr

Édition novembre 2014 cnil.fr

• L es personnes chargées du service

(1) Conformément au code de commerce, le code civil et le code de la consommation.

Édition novembre 2014 cnil.fr

personnel la concernant soient utilisées consentement préalable doit pouvoir s’ex-

La possibilité de permettre à la per- Après la collecte des données :

Édition novembre 2014 cnil.fr

d’appel, télécopieurs et courriers électro- d’opposition ne doit être transmise à l’édi-

Édition novembre 2014 cnil.fr

Transferts de données hors UE Les transferts répétitifs, massifs ou

Édition novembre 2014 cnil.fr

LES TRAITEMENTS DE DONNÉES PERSONNELLES

Édition novembre 2014 cnil.fr

(3) Article R.115-2-3° du code de la sécurité sociale.

Édition novembre 2014 cnil.fr

Destinataires - Les personnes intervenant au contrat ou

Édition novembre 2014 cnil.fr

Édition novembre 2014 cnil.fr

• L’AGIRA conserve les interrogations pen-

Édition novembre 2014 cnil.fr

LES TRAITEMENTS DE DONNÉES PERSONNELLES AU REGARD DE LA LOI I&L

Édition novembre 2014 cnil.fr

permet de déterminer les responsabilités • La présence de témoins, leur identifica-

Édition novembre 2014 cnil.fr

Édition novembre 2014 cnil.fr

Périmètre Ainsi, elle peut revêtir un caractère pénal

Fraude interne Fraude externe

- le salarié, - les personnes parties ou intéressées au

Édition novembre 2014 cnil.fr

• L es personnes chargées du service

Destinataires - Les personnes intervenant au contrat ou

• L’AGIRA conserve les interrogations pen-

permet de déterminer les responsabilités • La présence de témoins, leur identifica-

- le salarié, - les personnes parties ou intéressées au

Finalités poursuivies par le traitement - La répétition de plusieurs sinistres pour

 Finalité 2 : la gestion des alertes en cas d’anomalies, d’incohérences ou de signalements,

- contrôles individuels, - r efuser le versement d’une indemnité

 Données relatives à la passation, la en lien avec la relation commerciale ;

 Les destinataires « directement - l’autorité judiciaire, médiateur, arbitre

- les salariés de l’organisme d’assurance - les

 Second niveau : Le responsable de trai- (refus de prise charge, avertissement au