La MDC s’engage à protéger les informations personnelles et la vie privée de ses clients, visiteurs et utilisateurs de son site internet « Mutuelle du Commerce Nouvelle-Calédonie | Mutuelle du Commerce Nouvelle-Calédonie ».
Toutes les opérations que l’établissement réalise sur vos données à caractère personnel, qu’il s’agisse de collecte ou d’utilisation, respectent la réglementation applicable en matière de protection des données personnelles et notamment la loi n°78-17 du 6 janvier 1978 modifiée dite « loi Informatique & Libertés » et le Règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD »).
La présente Politique de protection des données personnelles a pour objectif de vous informer :
- des précautions prises par la MDC lors de la mise en œuvre d’un traitement de données personnelles
- de manière complémentaire, des caractéristiques des traitements de données personnelles mis en œuvre ou susceptibles de l’être lors de la visite de son Site
- des droits dont dispose toute personne concernée sur ces données traitées par la MDC, et les modalités d’exercice
- le process de mise à jour de la présente Politique
En votre qualité de visiteur du Site, vous reconnaissez avoir pris connaissance et accepté la présente Politique. Si vous êtes en désaccord avec tout ou partie de ses termes, vous êtes libre ne pas poursuivre votre visite, et de ne fournir aucune information vous concernant par l’intermédiaire de ce Site. Dès lors, vous acceptez aussi que certains droits ou avantages ne puissent éventuellement pas vous être accordés s’ils sont conditionnés par le recueil préalable d’informations vous concernant depuis ce Site.
Propos liminaires - Définitions, glossaire
Que les termes ci-après commencent par une majuscule ou par une minuscule dans la présente Politique, ou qu’ils y soient employés au singulier ou au pluriel, ils ont la signification qui leur est attribuée ci-après :
CNIL (Commission Nationale de l’Informatique et des Libertés) et droit de la protection des données personnelles : Autorité administrative indépendante, la CNIL a pour mission de veiller au respect du droit de la protection des données personnelles, ensemble la loi n°78-17 du 6 janvier 1978 modifiée dite « loi Informatique et Libertés » et le Règlement (UE) 2016/679 du 27 avril 2016 dit « RGPD ».
La CNIL a aussi au titre de ses fonctions une mission de contrôle et de sanction, et peut être saisie par toute personne qui estime que ses droits sur ses données ne sont pas respectés. Pour en savoir plus :
- https://www.cnil.fr/
- https://www.cnil.fr/fr/la-loi-informatique-et-libertes
- https://www.cnil.fr/fr/reglement-europeen-protection-donnees/
Donnée à caractère personnel ou donnée personnelle : toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui est propre.
Traitement de données personnelles ou traitement : toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
Catégories particulières de données personnelles ou données particulières ou données sensibles : données personnelles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale; données génétiques; données biométriques aux fins d'identifier une personne physique de manière unique; données concernant la santé et données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. Le traitement de ces données particulières est par principe interdit.
Finalité : objectif principal poursuivi par l'utilisation de données personnelles.
Responsable du traitement : personne physique ou morale, autorité publique, service ou autre organisme qui, seul ou conjointement avec d'autres, décide des finalités et des moyens du traitement. Dans le contexte de la présente Politique, le Responsable du traitement est la MDC, représentée par son directeur.
Personne concernée : personne physique à laquelle se rapportent les données personnelles qui font l’objet du traitement. Par exemple lors de la navigation sur le présent Site, la personne concernée par les traitements mis en œuvre ou susceptibles de l’être à cette occasion est le Visiteur du Site.
Sous-traitant : personne physique ou morale, autorité publique, service ou autre organisme qui traite des données personnelles pour le compte du responsable du traitement.
Destinataire : personne habilitée à recevoir communication de données personnelles autres que le responsable du traitement, le sous-traitant, et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données.
Tiers : personne physique ou morale, autorité publique, service ou organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter des données personnelles.
Tiers autorisés : autorités légalement habilitées dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, à exiger du responsable du traitement la communication de données personnelles.
Délégué à la protection des données ou Data protection officer ou DPO : personne physique ou morale chargée de piloter la conformité au RGPD des traitements de données personnelles mis en œuvre au sein de l’organisme qui l’a désigné. Sa désignation est obligatoire dans certains cas.
Consentement : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.
Identité du Responsable de traitement
La Mutuelle du Commerce et Divers, mutuelle soumise aux dispositions XXX, inscrit au RIDET n° 211391.001 - APE 84.30A, dont le siège social est situé au 195 rue Gervolino, 98800 Nouméa, Nouvelle- Calédonie représentée par Monsieur Didier COURIER, en sa qualité de Directeur Général.
Licéité des traitements
Tout traitement de données personnelles mis en œuvre par la MDC repose sur l’une des six bases juridiques listées à l’article 6 du RGPD.
Pour l’essentiel les traitements de la MDC reposent, selon les cas, sur
- ou bien sur le respect d’une obligation légale ou réglementaire
- ou bien l’intérêt légitime de la MDC dans le cadre de l’organisation et la gestion de ses services
- ou bien le consentement de la personne concernée
- ou bien encore sur l’exécution d’un contrat auquel la personne concernée est partie
Identification des finalités
Dans le cadre de l’exercice de son activité, la MDC met en œuvre des traitements qui poursuivent des finalités explicites, légitimes et déterminées.
Les personnes concernées sont averties que leurs données personnelles seront utilisées dans le cadre des finalités suivantes :
- La gestion de la relation adhérent – mutuelle, dans le cadre de la passation, la gestion et l’exécution des engagements contractuels passés
- La gestion du Service en ligne de la MDC, permettant l’accès à son compte personnel, en tant qu’ « Adhérent » et/ou « Employeur »
A cet égard, l’utilisateur est renvoyé aux Conditions générales d’utilisation du Téléservice de la MDC accessible en bas de page.
- La gestion du bon fonctionnement du Site
A cet égard, il est renvoyé au paragraphe « Gestion et paramétrage des cookie » dse la présente politique de protection des données personnelles
- La gestion du partage de contenu sur les réseaux sociaux
Le Site utilise une application informatique appelés couramment « bouton de partage » ou « bouton de réseaux sociaux », qui permettent aux Visiteurs du Site de partager du contenu sur les réseaux sociaux Facebook.
Ce boutons de partage de contenu peut être utilisé par les plateformes de réseau social sans même être activés, pour déposer et/ou lire des traceurs sur le terminal des visiteurs des sites sur lesquels ils sont installés et pour des finalités autres que le partage de contenu avec elles (comme des finalités publicitaires par exemple).
Avant toute utilisation de ce bouton de partage, la MDC invite donc ses Visiteurs à consulter la Politique de protection des données de la plateforme concernée, notamment les informations qu’elles peuvent recueillir grâce à leur bouton applicatif.
Données collectées
La MDC veille à respecter le principe de minimisation et à traiter seulement les données personnelles adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités qu’elle poursuit.
Les principales catégories de données collectées lors de la gestion du Site internet sont
- Des données d’identification
- Des données de connexion
Pour les traitements relatifs à la gestion de la relation adhérent – mutuelle, les catégories de données sont
- Des données d’identification
- Des données de vie personnelle
- Des données de vie professionnelle
- Des données économiques et financières
- Des données dites sensibles
Ces données concernent autant les adhérents que les ayants-droits déclarés.
Limitation des durées de conservation des données traitées
La MDC s’applique à ne conserver les données personnelles qu’elle traite pendant des durées limitées
- Ou bien en application d’un texte légal ou réglementaire
- Ou à défaut d’un texte, au regard des finalités pour lesquelles elles sont traitées
Cependant certaines données personnelles peuvent être conservées pour des durées illimitées, à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.
Destinataires des données personnelles traitées
La MDC s’engage à ne collecter aucune information personnelle à l’insu des personnes concernées. Elle s’engage également à ne pas céder les données à caractère personnel qui lui sont transmises à des tiers non autorisés.
La plupart du temps, les données personnelles collectées par la MDC sont réservées à ses différents services habilités, dans la limite de leur besoin.
Lorsque la MDC confie la réalisation de tout ou partie d’un traitement de données personnelles à un sous- traitant, elle veille à choisir ce dernier au regard des garanties qu’il apporte quant à la mise en œuvre des mesures techniques et organisationnelles appropriées, notamment en termes de sécurité des données.
Elle formalise ses relations de sous-traitance dans le respect de l’article 28 du RGPD, et des recommandations de la CNIL en la matière.
Dans certaines situations, des données personnelles peuvent être communiquées à des partenaires publics ou privés; dans ces situations, les personnes concernées en sont préalablement informées et ont la possibilité, sauf obligation juridique contraire, de s’y opposer pour des raisons tenant à leur situation particulière. Ces « partenariats » font l’objet de toute mesure technique et organisationnelle pertinente, de façon à garantir la protection des données ainsi communiquées.
Enfin, la MDC peut ponctuellement être amenée à devoir communiquer des données personnelles pour se conformer à une obligation juridique, à la demande d’une autorité administrative ou judiciaire dans le cadre d’une mission de contrôle ou d’enquête. Dans ce cas encore, elle prend toute disposition, dans la mesure du possible, pour protéger les données qu’elle est tenue de communiquer.
Mesures de sécurité apportées aux données personnelles traitées
En sa qualité de « Responsable du traitement », il appartient à la MDC de définir et de mettre en œuvre les mesures techniques de sécurité physique ou logique qu’elle estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données personnelles de manière accidentelle ou illicite.
Ainsi la MDC s’efforce de mettre en place toutes les mesures techniques et organisationnelles nécessaires au regard,
- de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités des traitements placés sous sa responsabilité
- ainsi que des risques pour les droits et libertés des personnes physiques concernées
Cadre des transferts de données personnelles en dehors de l’Union européenne
Dans la mesure du possible, la MDC ne procède pas à des transferts de données personnelles hors Union européenne.
Lorsqu’un tel transfert est réalisé, la MDC prend toute mesure utile pour protéger les données concernées suivant les exigences applicables à ces transferts, et en particulier les articles 44 et suivants du RGPD et la jurisprudence dégagée par la Cour de justice de l’Union européenne.
Information des personnes concernées
La MDC veille à ce que toute personne concernée par les traitements qu’elle met en œuvre soient destinataires des informations prescrites par le RGPD et la loi Informatique et Libertés.
En particulier, elle met tout en œuvre pour que chaque document de collecte de données personnelles précise :
- l'identité et les coordonnées du Responsable du traitement
- la ou les finalités du traitement auquel sont destinées les données personnelles demandées ainsi que sa base juridique
- les destinataires ou les catégories de destinataires des données, s'ils existent
- le cas échéant, le fait que la MDC a l'intention d'effectuer un transfert de données vers un pays tiers ou à une organisation internationale, et les mesures en place pour garantir la protection des données
- la durée de conservation des données ou, lorsque ce n'est pas possible, les critères utilisés pour la déterminer
- l’inventaire des différents droits que peut exercer toute personne concernée à l’égard de ses données, et comment les exercer
- des informations sur la question de savoir si la fourniture de données présente un caractère obligatoire ou pas, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données
- le cas échéant, l’existence d'une prise de décision automatisée, y compris un profilage, et au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée
- les coordonnées du Délégué à la protection des données
Lorsqu'un traitement ultérieur des données personnelles est envisagé pour une finalité autre que celle pour laquelle les données ont été collectées, la MDC fournit au préalable des informations au sujet de cette autre finalité et toute autre information pertinente.
Si malgré les efforts de la MDC, tout ou partie de ces informations faisaient défaut sur l’un de ses documents de collecte d’informations, vous êtes prié-e d’en informer son Délégué à la protection des données :
- Ou bien par voie électronique, à dpo@mutcom.nc
- Ou bien par courrier postal, à : Mutuelle du Commerce et Divers, Délégué à la protection des données, BP P2 – 98851 Nouméa Cedex
Droit des personnes concernées sur leurs données traitées par la MDC
En application du RGPD comme de la loi « Informatique et Libertés » qui le complète, toute personne concernée par un traitement de données personnelles mis en œuvre par la MDC dispose de différents droits à l’égard des données la concernant, qu’il s’agisse notamment d’un adhérent, d’un salarié, d’un prestataire, ou encore d’une personne visitant son Site et/ou utilisant les services qui y sont proposés.
Nature et étendue des droits
Ainsi si vous êtes concerné-e par un traitement, vous disposez du droit de demander à la MDC l’accès aux données personnelles qu’elle traite vous concernant, ainsi que toute information utile vous permettant de vous assurer de la conformité de ce traitement.
Par ailleurs et suivant les cas, et notamment la base juridique sur laquelle se fonde le traitement de vos données, vous êtes susceptible de disposer des droits suivants :
- Droit de rectification : ce droit vous permet de mettre à jour vos informations et de les rectifier si elles sont erronées, ou d’exiger de la MDC qu’elle s’en charge
- Droit à l’effacement (aussi appelé droit « à l’oubli ») : ce droit vous permet d’obtenir de la MDC l’effacement, dans les meilleurs délais, de tout ou partie de vos données personnelles, dans les conditions définies par le droit applicable
- Droit d’opposition ce droit vous permet de vous opposer au traitement de vos données personnelles pour des motifs liés à votre situation particulière
- Droit de retirer votre consentement ce droit vous permet de changer d’avis à tout moment, lorsque votre consentement a été requis préalablement à la mise en œuvre du traitement considéré
- Droit à la portabilité ce droit vous permet de récupérer vos données personnelles pour répondre à vos propres besoins, et/ou de demander leur transfert vers un autre organisme
- Droit à la limitation du traitement ce droit vous permet d’exiger que le traitement de vos données soit temporairement stoppé, par exemple dans l’attente qu’une demande de rectification soit prise en compte. Il vous permet aussi de demander une conservation plus longue que celle initialement prévue, par exemple pendant la durée nécessaire pour faire valoir un droit en justice
Vous avez enfin le droit de définir des directives concernant le sort de vos données après votre décès.
Pour plus d’informations au sujet de ces différents droits, vous pouvez consulter le site Internet de la CNIL : https://www.cnil.fr/fr/les-droits-pour-maitriser-vos-donnees-personnelles.
Modalités d’exercice de ces droits
Pour exercer tout ou partie de vos droits ou pour toute question à leur sujet, vous êtes invité-e à consulter le Délégué à la protection des données (DPO) de la MDC :
- Ou bien par mail, à dpo@mutcom.nc
- Ou bien par courrier postal, à : Mutuelle du Commerce et Divers, Délégué à la protection des données, BP P2 – 98851 Nouméa Cedex. Il est recommandé d’envoyer ce courrier avec demande d’accusé de réception
Pour toute saisine du DPO, il importe d’indiquer clairement vos nom et prénom, et l’objet précis de votre saisine. Dans le cadre de l’instruction de celle-ci, un justificatif d’identité pourra vous être demandé.
Par principe, vous pouvez exercer sans frais l’ensemble de vos droits. Cependant en matière de droit d’accès, il pourra vous être demandé le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie des données que vous demanderez.
Si vous estimez, après avoir contacté la MDC et/ou son DPO, que vos droits sur vos données personnelles ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL (www.cnil.fr).
Limitation de responsabilité de la MDC
Administration de pages de réseau social
La MDC met à disposition des Visiteurs de son Site des liens leur permettant de prendre connaissance des éléments qu’elle publie sur le réseau social suivant : Facebook.
En sa qualité d’administratrice de sa page de réseau social, la MDC fournit toute information utile sur le traitement de données personnelles opéré à son niveau, via sa politique de protection des données disponible sur le site internet.
La MDC n’est en revanche pas responsable du traitement ultérieur des données des visiteurs de ses pages de réseau social mis en œuvre par les réseaux sociaux concernés. Ses visiteurs sont notamment alertés du risque de transfert de leurs données (contenu de publication, statistiques de visites, ...) en dehors de l’Union européenne (UE) et/ou de l’Espace Economique Européen (EEE).
Dans ce contexte les visiteurs de la page Facebook de la MDC sont vivement encouragés à prendre connaissance des politiques de protection de données de ce réseau et notamment des informations de navigation qui peuvent être recueillies lors de leur visite.
Liens hypertextes vers d’autres sites internet
Par ailleurs, le Site peut comporter des liens hypertextes vers d'autres sites qui n'ont pas été développés par la MDC. Dans ce cas, la MDC ne dispose d'aucun moyen de contrôle du contenu de ces sites tiers qui demeurent totalement indépendants de son propre Site. La présence sur son Site d'un lien vers un autre site ne constitue donc pas une validation dudit site ou de son contenu ni a fortiori de l'usage qui pourrait en être fait.
La responsabilité de la MDC ne saurait donc être engagée à l’égard du contenu et/ou des pratiques en matière de protection des données développés sur ces sites tiers.
Mise à jour
La présente Politique est susceptible d’être mise à jour, notamment à l’occasion de toute évolution législative ou règlementaire l’affectant, ou encore du développement d’un nouveau traitement de données personnelles entrant dans son champ d’application.
Nous vous invitons donc à consulter régulièrement cette page afin de vérifier la date de mise à jour de cette Politique, et les évolutions concernées.