Politique de protection des données

Date de dernière mise à jour : 15 novembre 2022

Date de dernière mise à jour : 15 novembre 2022

Pavillon Prévoyance respecte la vie privée et la protection des données de ses adhérents et prospects et s’attache particulièrement au respect des libertés et droits fondamentaux de chacun. L’adhérent s’engage à communiquer la présente Politique de Protection des Données à ses ayants droits qu’il affilie auprès de Pavillon Prévoyance.

La présente politique de protection des données témoigne des engagements de Pavillon Prévoyance dans le cadre de ses activités quotidiennes pour une utilisation responsable des données à caractère personnel (ci-après nommées « données personnelles »).

Une donnée personnelle désigne toute information susceptible de se rapporter à une personne physique identifiée ou identifiable directement ou indirectement et de la caractériser.

Cette politique informe sur la manière dont Pavillon Prévoyance utilise les informations qui lui sont confiées. Elle a aussi comme objectif d’aider à comprendre quelles sont les données que Pavillon Prévoyance collecte, pour quelles raisons Pavillon Prévoyance les collecte, comment elles sont utilisées, la façon de les mettre à jour, de les gérer et précise les droits dont disposent ses adhérents et prospects.

En cas de contradiction entre les informations fournies dans les clauses contractuelles et cette politique, Pavillon Prévoyance vous informe que les clauses contractuelles prévaudront sur la présente politique présentée.

Cette politique de protection des données est susceptible d’être modifiée ou complétée à tout moment par Pavillon Prévoyance, notamment en vue de se conformer à toute évolution législative, réglementaire, jurisprudentielle ou technologique ou pour prendre en compte tout changement dans l’organisation de Pavillon Prévoyance ou dans les offres, produits et service proposés. Dans un tel cas, la date de sa mise à jour sera clairement identifiée en en-tête de la présente politique. Il convient par conséquent de consulter régulièrement la présente politique de protection des données afin de prendre connaissance de ses éventuelles modifications.

 

I. Coordonnées du responsable des traitements et du délégué à la protection des données (DPO)

               1. Coordonnées du responsable des traitements

Le responsable des traitements est Pavillon Prévoyance, représenté par son Dirigeant opérationnel, dont les coordonnées sont :

PAVILLON PREVOYANCE

90 avenue Thiers – CS21004- 33072 BORDEAUX CEDEX

FRANCE

               2. Coordonnées du délégué à la protection des données

Pavillon Prévoyance a désigné un délégué à la protection des données, dont les coordonnées sont :

PAVILLON PREVOYANCE

Délégué à la protection des données

90 avenue Thiers – CS21004- 33072 BORDEAUX CEDEX

FRANCE

Un formulaire de contact existe sur le site internet de Pavillon Prévoyance à l’adresse suivante : https://www.pavillon-prevoyance.fr/besoin-dinformations-contactez-nous

 

II. Catégorie de données collectées

Les données personnelles peuvent être collectées directement auprès de chacun (exemple : les informations transmises lors d’un devis en ligne) ou indirectement.

On parle de collecte indirecte de données personnelles lorsque les données ne sont pas recueillies immédiatement auprès de la personne. Par exemple, pour la mise en place de la complémentaire santé d’entreprise obligatoire, c’est l’entreprise qui transmet à Pavillon Prévoyance les données personnelles.

Les principaux types de tiers collecteurs de données personnelles auprès de qui Pavillon Prévoyance s’adresse sont les suivants :

  • Assureurs
  • Entreprises adhérentes ou prospects
  • Courtiers
  • Professionnels de santé ou établissements de santé
  • Concentrateurs de flux
  • Partenaires des réseaux de soins optique, dentaire et audioprothèse
  • Caisses primaires d’assurance maladie (CPAM)
  • Fédération nationale de la Mutualité Française (FNMF)
  • Fédération Française de l’Assurance (FFA)
  • Banques
  • Prestataires commerciaux
  • Chambres de commerce
  • Partenaire assistance
  • Acteur externe 

               1. Données personnelles courantes

Dans le cadre de son activité, Pavillon Prévoyance est amené à collecter différents types de données personnelles :

  • Identification (état civil, coordonnées)
  • Vie personnelle (situation familiale, …)
  • Informations professionnelles
  • Information Sécurité sociale (hors numéro Sécurité sociale, ex : caisse d’affiliation, …)
  • Coordonnées bancaires

Données techniques d’utilisation (cookies) informatique et données de sécurisation de ses sites et applications

               2. Données sensibles

Dans certains cas, Pavillon Prévoyance collecte également des données sensibles notamment dans le cadre de son activité de gestion des contrats santé (individuel ou collectif)

  • Données concernant la santé (date de soins, professionnel de santé, acte, spécialité, …)
  • Numéro de Sécurité sociale

 

 

III. Finalités du traitement

Toutes les données personnelles sont collectées dans un objectif précis (on parle également de « finalité ») qui est porté à la connaissance de la personne.

Pavillon Prévoyance utilise vos données personnelles dans le cadre de la gestion de ses clients et prospects, et notamment pour répondre aux demandes ou pour envoyer régulièrement des informations sur ses produits.

Pavillon Prévoyance collecte les données personnelles afin de traiter : 

  • Les contrats santé individuels ou collectifs de Pavillon Prévoyance ou de ses partenaires
  • Les contrats prévoyance, épargne, retraite et assurances
  • Les contrats complémentaire santé solidaires (C2S)
  • Les demandes et règlements au titre d'action sociale et les recours gracieux pour les adhérents ayant un contrat assuré par Pavillon Prévoyance
  • Les recours contre tiers et les impayés
  • La prospection pour la commercialisation de produits individuels et collectifs santé
  • La prospection pour la commercialisation de produits prévoyance, épargne, retraite et assurances
  • La communication aux adhérents Pavillon Prévoyance et aux acteurs externes
  • L’organisation de webinaires
  • Des questionnaires de satisfaction
  • Les cas susceptibles de constituer une fraude
  • Les cas susceptibles de constituer un blanchiment de capitaux ou un financement du terrorisme
  • Le comportement des adhérents (marketing prédictif) permettant ainsi :
    • D’améliorer la connaissance adhérents en vue d’éventuelles actions de prospection
    • D'anticiper et comprendre les résiliations
    • De mener des campagnes marketing destinées à fidéliser les adhérents.

 

IV. Fondement du traitement de vos données / Base juridique du traitement

Outre les principes applicables aux données, un traitement ne peut être mis en œuvre que s’il respecte le principe de licéité. Pour ce faire, il est nécessaire qu’il remplisse au moins une des conditions alternatives suivantes :

  • La personne a consenti au traitement pour une ou plusieurs finalités spécifiques
  • Le traitement est nécessaire à l’exécution d’un contrat auquel la personne est partie ou à l’exécution de mesures précontractuelles prises à sa demande 
  • Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable de traitement est soumis ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont il est investi
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne ou d’une autre personne physique
  • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Pavillon Prévoyance ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données

Les fondements de chacun des traitements exécutés par Pavillon Prévoyance sont présentés ci-dessous :

Traitements

Fondement juridique du traitement

Gestion contrat santé

Exécution du contrat

Gestion contrat autres risques (prévoyance, épargne, retraite et assurances)

Exécution du contrat

Gestion contrat santé Complémentaire santé solidaire

Exécution du contrat

Gestion des demandes et règlements au titre d'action sociale et les recours gracieux pour les adhérents ayant un contrat assuré par Pavillon Prévoyance

Exécution du contrat

Gestion des recours contre tiers et les impayés

Exécution du contrat  

Prospection pour la commercialisation de produits individuels et collectifs santé

Intérêt légitime

Prospection pour la commercialisation de produits prévoyance, épargne, retraite et assurances

Intérêt légitime et mesures précontractuelles

Communication aux adhérents Pavillon Prévoyance et aux acteurs externes

Intérêt légitime

Webinaires en lien avec l’activité de Pavillon Prévoyance

Intérêt légitime

Questionnaires de satisfaction

Intérêt légitime

Lutte contre la fraude

Intérêt légitime

Lutte contre le blanchiment d’argent et le financement du terrorisme

Obligation légale

Marketing prédictif

Intérêt légitime

 

V. Destinataires des données personnelles

Pavillon Prévoyance peut être amené à faire appel à des sociétés ou à des individus tiers qui lui fournissent des services ou agissent en son nom, notamment en matière de traitement des données ou de paiements, marketing, marketing prédictif ou encore diffusion de communication. Pavillon Prévoyance peut également autoriser des prestataires tiers à collecter des informations en son nom, y compris, si cela est nécessaire pour l’exécution du contrat de la personne. Les prestataires tiers ont accès aux informations et peuvent les collecter dans la mesure où cela est nécessaire pour leur permettre de remplir leurs fonctions.

Destinataires

Traitements

Destinataire

Gestion contrat santé

Partenaires institutionnels ou commerciaux

Professionnels de santé

Sous-traitant (ex : prestataire éditique)

Service interne Pavillon Prévoyance

Gestion contrat autres risques (prévoyance, épargne, retraite et assurances)

Partenaires institutionnels ou commerciaux

Sous-traitant

Service interne Pavillon Prévoyance

Gestion contrat santé Complémentaire santé solidaire

Partenaires institutionnels ou commerciaux

Sous-traitant

Service interne Pavillon Prévoyance

Gestion des demandes et règlements au titre d'action sociale et les recours gracieux pour les adhérents ayant un contrat assuré par Pavillon Prévoyance

Service interne Pavillon Prévoyance

Gestion des recours contre tiers et les impayés

Service interne Pavillon Prévoyance, Partenaires institutionnels ou sous-traitants

Prospection pour la commercialisation de produits individuels et collectifs santé

Service interne Pavillon Prévoyance

Prospection pour la commercialisation de produits prévoyance, épargne, retraite et assurances

Partenaires institutionnels ou commerciaux

Service interne Pavillon Prévoyance

Communication aux adhérents Pavillon Prévoyance et aux acteurs externes

Service interne Pavillon Prévoyance

Webinaires en lien avec l’activité de Pavillon Prévoyance

Service interne Pavillon Prévoyance

Questionnaires de satisfaction

Sous-traitant (ex : Prestataire réseau de soins)

Service interne Pavillon Prévoyance

Lutte contre la fraude

Partenaires institutionnels ou commerciaux

Sous-traitant

Service interne Pavillon Prévoyance

Lutte contre le blanchiment d’argent et le financement du terrorisme

Partenaires institutionnels ou commerciaux

Sous-traitant

Service interne Pavillon Prévoyance

Marketing Prédictif

Service interne Pavillon Prévoyance

Courtiers partenaires

 

 

VI. Transferts de données personnelles en dehors de l’Union Européenne

Pavillon Prévoyance s’engage à ne transférer aucune des données personnelles hors de l’Union Européenne. 

 

VII. Utilisation des données

Les données personnelles collectées par Pavillon Prévoyance ne peuvent être utilisées de manière incompatible avec les finalités présentées précédemment.

 

VIII. Durée de conservation

La durée de conservation des données dépend des finalités pour lesquelles elles sont traitées.

Les données personnelles sont conservées tant qu'elles sont nécessaires pour l’exécution du contrat ou pour répondre à des obligations légales.

 

IX. Droits des personnes

La nouvelle réglementation en matière de protection des données personnelles impose de respecter les droits des personnes concernées.

1. Droit à l’information

A cet effet, Pavillon Prévoyance communique par la présente sa politique de protection des données (finalité du traitement, catégorie de données traitées, destinataires, durée de conservation des données personnelles, droits, information relative à la source des données, existence de prise de décision automatisé). Il appartient à l’adhérent de communiquer la présente politique de protection des données à ses ayants droits.

En cas de collecte des données par des tiers, Pavillon Prévoyance s’engage à faire cette communication dans un délai ne devant pas dépasser un mois.

Outre le droit à l’information, la personne dispose du droit de demander au responsable de traitement d’effectuer d’autres actions sur les données personnelles :

  • Si la personne identifie une erreur parmi ses données ou si elle les juge incomplètes ou ambigües, elle peut également demander à Pavillon prévoyance de les corriger, de les compléter ou de les clarifier
  • La personne peut également s’opposer à ce que ses données soient utilisées, notamment à des fins de prospection commerciale ou de communication à des tiers
  • Enfin, elle peut demander à Pavillon Prévoyance de supprimer, dans certaines conditions, toute donnée personnelle qui la concerne et que Pavillon Prévoyance détient

2. Droit d’accès

Il s’agit du droit d’obtenir du responsable du traitement la confirmation que des données personnelles concernant la personne sont ou ne sont pas détenues et, lorsqu’elles le sont, l’accès auxdites données personnelles et aux informations sur le traitement, telles que la finalité, les catégories de données et les destinataires, la durée du traitement, les droits des personnes concernées.

3. Droit de rectification

Il s’agit du droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données personnelles concernant la personne qui sont inexactes. Compte tenu des finalités du traitement, la personne a le droit d’obtenir que ses données personnelles incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

4. Droit à l’effacement (droit à l’oubli)

Il s’agit du droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel concernant la personne dans certaines conditions.

5. Droit à la limitation

Il s’agit du droit de demander la limitation du traitement, ce qui implique que, dans certains cas, la personne peut demander à Pavillon Prévoyance de suspendre momentanément le traitement des données ou de les conserver au-delà du temps nécessaire.

6. Droit d’opposition

Il s’agit du droit de s’opposer à tout moment à un traitement des données personnelles. L’exercice de ce droit n’est possible que dans l’une des deux situations suivantes :

  • Lorsque l’exercice de ce droit est fondé sur des motifs légitimes 
  • Lorsque l’exercice de ce droit vise à faire obstacle à ce que les données recueillies soient utilisées à des fins de prospection commerciale

7. Droit à la portabilité

Il s’agit du droit d’obtenir, voire de réutiliser, des données personnelles pour des besoins personnels. Les données sont fournies dans un format structuré, communément utilisé et lisible par une machine. De plus, il est possible d’obtenir du responsable de traitement qu’il transmette les données personnelles directement à un autre responsable de traitement.

Ce droit à la portabilité ne peut s’exercer que sur les données personnelles fournies personnellement à Pavillon Prévoyance et qui sont traitées par des moyens automatisés (absence de registres papier). Ce droit ne concerne que les traitements reposant sur un consentement ou lorsque les données sont traitées aux fins d’exécution d’un contrat de mise en œuvre ou de mesures précontractuelles. Enfin, ce droit ne doit pas porter atteinte aux droits et liberté de tiers.

 

X. Exercice des droits et délai de réponse

Il est possible, à tout moment, de contacter Pavillon Prévoyance par courrier postal ou via le formulaire de contact disponible sur le site internet de Pavillon Prévoyance (cf. les coordonnées indiquées dans le premier paragraphe « Coordonnées du responsable des traitements et du délégué à la protection des données (DPO) ») pour consulter ses données personnelles et qui sont possession de Pavillon Prévoyance. Afin d’être certain que la demande émane bien de vous, votre demande doit permettre de vous identifier (par exemple en communiquant votre n° adhérent en plus de votre identité et votre adresse). En cas de doute sur votre identité, un justificatif d’identité pourra vous être demandé.

Pavillon Prévoyance s’engage à répondre aux demandes dans un délai raisonnable qui ne saurait dépasser un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre des demandes. En cas de prolongation du délai de réponse, Pavillon Prévoyance le notifiera au préalable.

En cas de désaccord persistant concernant vos données, vous pouvez saisir la Commission Nationale de l’Informatique et des Libertés (CNIL).

 

XI. Sécurité des données

Des mesures de sécurité physiques, logiques et organisationnelles appropriées ont été prévues par Pavillon Prévoyance pour garantir la confidentialité des données, et notamment éviter tout accès non autorisé.

Vos données personnelles sont maintenues sur des réseaux sécurisés et accessibles par un nombre limité de collaborateurs et de tiers ayant des droits d’accès spécifiques sur de tels systèmes.

Pavillon Prévoyance veille également à ce que ses sous-traitants présentent des garanties appropriées pour assurer la sécurité et la confidentialité de vos données personnelles.

 

XII. Divers

Notification des violations de données personnelles

Pavillon Prévoyance se doit de notifier aux autorités de contrôle, dans les meilleurs délais, et si possible, 72 heures après en avoir pris connaissance dès lors qu’il y a destruction, perte, altération, divulgation ou accès non autorisé, qu’ils soient accidentels ou illicites des données personnelles sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Cette notification doit également être faite sauf si :

  • La violation des données personnelles n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés
  • Des mesures appropriées de protection techniques et organisationnelles étaient en place au moment de l’incident
  • Cette communication impliquerait des efforts disproportionnés