Skip to main content

AOC Insurance Police de conservations des données

ASSURANCE SANTÉ EXPATRIÉS

ASSURANCE MUTUELLE CFE

ASSURANCE ETUDIANT A L'ÉTRANGER

ASSURANCE SANTE GROUPE EXPATRIES

ASSURANCE VISA SCHENGEN

POLICE DE CONSERVATION DES DONNEES

1.    Introduction

1.1 La présente police définit les pratiques et procédures d'AOC Insurance Broker - LF FINANCE SAS (la " société ") en matière de conservation, d'archivage et de suppression des données, qu'elles soient sur papier ou sous forme numérique, et notamment des données personnelles.
1.2 La société est soumise à une série d'obligations légales en matière de conservation des données. D'une part, l'entreprise est tenue de conserver certaines catégories de données pendant une période minimale. D'autre part, un principe fondamental du droit de la protection des données est que les données personnelles ne doivent être conservées qu'aussi longtemps que nécessaire. En outre, la conservation de certaines catégories de données peut représenter un risque de sécurité inutile. Pour ces raisons, la société reconnaît l'importance de formuler des politiques claires et spécifiques en matière de conservation des données.

2.    Définitions

2.1 Dans la présente police :
(a) "personne désignée" signifie la personne principalement responsable de la conservation, de l'archivage et de la suppression des données par la société, à savoir le responsable de la protection des données de la société ;
(b) "responsable du traitement" signifie la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les objectifs et les moyens du traitement des données à caractère personnel ;
c) "sous-traitant" : la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;
d) "personne concernée" : une personne physique identifiée ou identifiable ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un élément d'identification tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique ;
(e) "effacement" : la suppression permanente et irréversible des données de toutes les bases de données et de tous les supports de stockage pertinents en possession ou sous le contrôle de la société, y compris, si cela est nécessaire pour assurer l'effacement des données, la destruction des supports de stockage pertinents ; et
f) "données à caractère personnel" : toute information concernant une personne concernée.

3.    Conservation, archivage et suppression des données

3.1 L'entreprise doit archiver et effacer les données en sa possession et/ou sous son contrôle conformément à l'annexe 1 (Durée de conservation des données), sauf dans les cas prévus au présent article 3.
3.2 Nonobstant les règles d'archivage énoncées dans la présente politique, l'entreprise peut conserver des copies non archivées des données dans la mesure où ces données sont raisonnablement nécessaires sous une forme non archivée pour
a) l'exécution de toute obligation légale ou contractuelle de la société ; et/ou
b) la constitution, l'exercice ou la défense de toute action en justice.
3.3 L'entreprise ne doit pas effacer les données dans la mesure où :
a) l'entreprise a l'obligation légale de conserver les données ;
(b) la société a une obligation contractuelle de conserver les données (à condition que cette obligation contractuelle ne soit pas annulée par une obligation légale d'effacer les données) ; et/ou
c) la conservation des données est raisonnablement nécessaire pour la constatation, l'exercice ou la défense de toute action en justice (à condition que cette exigence ne soit pas annulée par une obligation légale d'effacer les données).
3.4 L'entreprise ne doit pas archiver ou effacer des enregistrements dans la mesure où le service juridique de l'entreprise a émis une instruction de conservation légale concernant ces enregistrements.

4.    Données soumises à des obligations contractuelles de suppression

4.1 Les catégories suivantes de données traitées par la société sont ou peuvent être soumises à des obligations contractuelles de suppression :
a) les informations confidentielles communiquées à la société par une autre personne en vertu d'un accord de non-divulgation ou des dispositions de confidentialité d'un contrat
b) les données à caractère personnel pour lesquelles la société agit en qualité de sous-traitant.
4.2 Toute obligation de suppression concernant les informations confidentielles sera énoncée dans le contrat concerné et peut varier d'un contrat à l'autre. L'entreprise doit se conformer à ces obligations.
4.3 Si la société agit en tant que sous-traitant de données à caractère personnel, la loi exige que le contrat de traitement comprenne l'obligation pour la société d'effacer les données à caractère personnel après la fin de la prestation de services liés au traitement, sauf dans la mesure où la loi exige leur conservation. Toutes les données personnelles que la société traite pour le compte d'un responsable du traitement seront soumises à des obligations de suppression appropriées tenant compte de la loi, et la société doit se conformer à ces obligations.
4.4 Pour garantir le respect de ses obligations contractuelles de suppression, la société tiendra un registre de ces obligations identifiant, pour chaque contrat concerné, les données à supprimer et les dates de suppression de ces données.

5.    Méthodes d'archivage et de suppression par défaut

5.1 Les données doivent être archivées par l'entreprise en précisant les méthodes, sauf dans la mesure où des méthodes d'archivage spécifiques sont prévues dans l'annexe 1 (Périodes de conservation des données).
5.2 Les données doivent être supprimées par les méthodes spécifiées par l'entreprise, sauf dans la mesure où des méthodes de suppression spécifiques sont prévues dans l'annexe 1 (Périodes de conservation des données).
6.    Révision et mise à jour de la présente police
6.1 La personne nommée est responsable de l'examen et de la mise à jour de la présente police.
6.2 La présente police doit être examinée et, s'il y a lieu, mise à jour chaque année.
6.3 La présente police doit également être examinée et mise à jour de façon ponctuelle si cela est raisonnablement nécessaire pour assurer
(a) la conformité de la société aux lois applicables, aux codes de conduite ou aux meilleures pratiques de l'industrie ;
(b) la sécurité des données stockées et traitées par la société ; ou
c) la protection de la réputation de la société.
6.4 Les questions suivantes doivent être prises en compte dans le cadre de chaque examen de la présente politique :
(a) les changements apportés à l'environnement juridique et réglementaire ;
(b) les changements apportés à tout code de conduite auquel la société souscrit ;
(c) l'évolution des meilleures pratiques de l'industrie ;
(d) toute nouvelle donnée recueillie par la compagnie ;
(e) toute nouvelle activité de traitement de données entreprise par la compagnie ; et
f) tout incident de sécurité affectant la société.

ANNEXE 1 (PÉRIODES DE CONSERVATION DES DONNÉES)

1.    Introduction

1.1 La présente annexe 1 énonce les méthodes à utiliser par l'entreprise pour l'archivage et la suppression des données et les périodes pendant lesquelles les données doivent être archivées et supprimées par l'entreprise.
1.2 Si un enregistrement de données relève de plus d'un article de la présente annexe 1, l'article précédent a préséance sur l'article suivant, à moins que l'enregistrement ne constitue un double des données qui sont régies séparément par l'article précédent.

2.    Données d'assurance : conservation, archivage et suppression

2.1 Dans la présente police, " données d'assurance " signifie les copies de toutes les polices d'assurance souscrites par la compagnie, ainsi que toute la correspondance avec les assureurs et les données relatives aux sinistres concernant ces polices, mais doit exclure.
2.2 Les données permanentes ne doivent pas être supprimées.
2.3 Les données permanentes et les données d'assurance doivent être archivées et effacées comme suit :
Les données personnelles que nous traitons pour une ou plusieurs raisons ne doivent pas être conservées plus longtemps que nécessaire pour cette ou ces raisons.
Nous conserverons vos données personnelles de la manière suivante :
- La durée de votre plan d'assurance pour la gestion efficace de votre assurance santé et voyage.
- 3 ans lorsque vous demandez un devis comparatif.
- 5 ans en cas de fraude à l'assurance et 5 ans dans le cadre de la prévention du blanchiment d'argent et du financement du terrorisme
Toutes les lois internationales, régionales, fédérales ou nationales applicables, actuelles et/ou futures, en matière de protection des données, les orientations réglementaires, la législation, les statuts, les codes, les règlements, les recommandations et/ou les avis émis par une autorité de protection des données compétente, dans toute juridiction, concernant le traitement des données personnelles, y compris la confidentialité et la sécurité des données personnelles, notamment la loi française modifiée sur la protection des données n° 78-17 du 06.01.1978 relative à l'informatique, aux fichiers et aux libertés et, en particulier, le Règlement général 2016/679 du 27 avril 2016 relatif à l'informatique, aux fichiers et aux libertés et toute législation, réglementation, recommandation ou avis de l'Union européenne ou d'un État membre de l'Union européenne remplaçant, complétant ou modifiant, étendant, abrogeant ou consolidant la Loi relative aux exigences en matière de collecte, de traitement et d'utilisation des données à caractère personnel par des sous-traitants pour le compte de responsables de traitement.

Autorité de contrôle de la protection des données

Une autorité indépendante publique agréé par un état membre en application de l'article 51 du règlement ; une autorité de contrôle qui est concernée par le traitement de données à caractère personnel parce que :
le responsable du traitement ou le sous-traitant est établi sur le territoire de l'État membre de cette autorité de contrôle ;
les personnes concernées résidant dans l'État membre de cette autorité de contrôle sont concernées de manière substantielle ou susceptibles d'être concernées de manière substantielle par le traitement ; 
ou qu'une réclamation a été introduite auprès de cette autorité de contrôle ;
L'autorité française de contrôle est la Commission nationale de l'informatique et des libertés (ci-après dénommée "CNIL"). La CNIL est une autorité administrative indépendante chargée de veiller à ce que les technologies de l'information restent au service des citoyens, et ne portent pas atteinte à l'identité humaine ou n'enfreignent pas les droits de l'homme, la vie privée ou les libertés individuelles ou publiques. Elle veille à l'application de la convention sur la protection des données et émet fréquemment des décisions et des directives à ce sujet. www.cnil.fr/english/

La version anglaise de la présente police est la version originale qui prévaut en cas de différences entre celle-ci et une version française qui n’est que la traduction de la version « Data Retention Policy »

AOC Insurance Broker : International Health Insurance comparisons

"The Health plan you want, the premium you want, the help you need"