autorisation unique de la cnil sur la fraude a l`assurance
Transcription
autorisation unique de la cnil sur la fraude a l`assurance
AUTORISATION UNIQUE DE LA CNIL SUR LA FRAUDE A L’ASSURANCE Par une délibération du 17 juillet 2014 publiée au JO du 31 juillet dernier, la CNIL a adopté une autorisation unique relative aux traitements de données à caractère personnel ayant pour finalité la lutte contre la fraude à l’assurance mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance (AU 039). Il s’agit là du dernier texte du « pack assurance » de la CNIL, qui comprend les décisions suivantes : I. AU03 : lutte anti-blanchiment et anti-terrorisme II. AU31 : utilisation du NIR III. AU32 : utilisation de données d’infraction ou de condamnations IV. NS16 : souscription et gestion de contrats d’assurance V. NS56 : fichiers clients et prospects Voici les principales dispositions de cette dernière autorisation unique, dont le texte complet est joint ciaprès. 1/ Les finalités et caractéristiques du traitement Relèvent de la présente autorisation dans le cadre des activités de passation, la gestion et exécution des contrats d'assurance, de capitalisation, de réassurance, et d'assistance, les traitements automatisés de données à caractère personnel ayant pour finalités la lutte contre la fraude à l’assurance externe ou interne correspondant à un acte ou omission commis intentionnellement par une ou plusieurs personnes afin d’obtenir un avantage ou un bénéfice de façon illégitime, illicite ou illégale. A ce titre sont visés : I. L’analyse et la détection des actés réalisés dans le cadre de la passation, la gestion et l’exécution des contrats présentant une anomalie, une incohérence, ou ayant fait l‘objet d’un signalement pouvant révéler une fraude à l’assurance. II. La gestion des alertes en cas d’anomalies, d’incohérences ou de signalements. III. La constitution de listes de personnes dûment identifiées comme auteurs d’actes pouvant être constitutifs d’une fraude. IV. La gestion des procédures amiables, contentieuses et disciplinaires consécutives à un cas de fraude. V. L’exécution des dispositions contractuelles, législatives, règlementaires ou administratives en vigueur applicables consécutivement à une fraude. Pour la fraude externe, sont visés les personnes parties ou intéressées ou intervenant au contrat. Pour la fraude interne sont visés les salariés, les prestataires, les agents généraux, les mandataires, les intermédiaires, les administrateurs, mandataires sociaux ou élus des organismes. Le champ des personnes susceptibles d’être concernées par le traitement de lutte contre la fraude est donc large. L’AU39 permet par ailleurs des interconnexions de traitements portant uniquement sur les fichiers suivants : NS56, NS16, AU03, AU32, fichiers des contrats avec les intermédiaires, prestataires, soustraitants, délégataires et partenaires. Il n’est par contre pas permis d’interconnexion avec le fichier des salariés, seules des requêtes individuelles et ponctuelles de l’employeur sur les données collectées au titre de la gestion administrative du personnel étant autorisées. Ne sont donc pas autorisés les croisements systématiques et réguliers des fichiers du personnel et des fichiers clients/contrats pour vérifier par exemple la coïncidence de numéros de RIB ou du NIR. Par ailleurs, en cas de requêtes ou d’alertes automatiques de fraudes, une analyse doit être faite par le personnel habilité de l’organisme. De plus, la personne concernée doit être mise en mesure de présenter des observations si une décision produisant des effets juridiques est prise à son égard dans le cadre de la conclusion ou l’exécution d’un contrat. 2/ Les données traitées Les données qui peuvent être traitées diffèrent selon la finalité initiale du traitement concerné par la fraude. Pour les traitements relevant de la NS16, sont autorisées un certain nombre de données, incluant les données de santé Pour les traitements relevant de la NS56, les données autorisées sont plus restreintes, mais elles incluent cependant les données relatives à la localisation et la connexion. Pour les traitements relevant de l’AU32, sont autorisées un certain nombre de données incluant des données portant sur les circonstances de l’infraction et sur les suites données à la constatation de l’infraction. Est également autorisé le traitement des données de journalisation des accès aux traitements relevant de la NS16, la NS56, l’AU31 et l’AU32. En ce qui concerne le NIR (numéro de sécurité sociale), celui-ci peut être traité conformément aux dispositions légales en vigueur dans les cas suivants : I. II. III. IV. Les données collectées au titre de la gestion administrative du personnel uniquement dans le cadre de requêtes ponctuelles et individuelles consécutives à une détection de fraude. Les données relatives aux anomalies, incohérences et signalement pouvant révéler une fraude. Les données relatives aux investigations, à l’instruction du dossier de fraude et à l’évaluation du périmètre de la fraude. Les données d’identification des personnes intervenant dans la détection et la gestion de la fraude. La liste détaillée des données autorisées figure dans le texte intégral de l’AU39. 3/ Durées de conservation Il est prévu que les organismes disposent d’un délai de 6 mois à compter de l’émission d’une alerte de fraude pour la qualifier et que les alertes n’ayant pas reçu une qualification à l’issue de ce délai de 6 mois doivent être supprimées. Par ailleurs, les alertes qualifiées de non pertinentes doivent être supprimées sans délai. Il n’est ainsi pas permis de conserver la trace d’une alerte de fraude dès lors que celle-ci s’est avérée sans objet. Pour les alertes pertinentes, les données peuvent être conservées pour une durée maximale de 5 ans à compter de la clôture du dossier de fraude. Toutefois, lorsqu’une procédure judiciaire est engagée dans la cadre d’un tel dossier, les données peuvent être conservées pour la durée de la procédure judiciaire et ensuite être archivées pour les durées de prescription applicables. Enfin, en ce qui concerne les personnes inscrites sur les listes de fraudeurs présumés, les données les concernant doivent être supprimées passé un délai de 5 ans à compter de leur date d’inscription sur cette liste. 4/ Destinataires des données La liste des personnes habilitées à accéder aux données traitées pour la lutte contre la fraude, dans la limite de leurs attributions respectives, sont les suivantes : I. Aux fins de lutte contre la fraude interne : Les personnes habilitées à la direction des ressources humaines ; Le conseil de discipline saisi en cas de fraude ; Les représentants du personnel dans le cadre de l’accompagnement d’un salarié mis en cause pour fraude. II. Aux fins de lutte contre la fraude interne et externe : Les personnels en relation avec la clientèle et les gestionnaires de contrats et de sinistres ; Les autres entités d’un même groupe lorsqu’elles sont concernées par la fraude ou qu’elles interviennent dans la gestion des dossiers ou la maîtrise de risque de fraude ; Le personnel habilité en charge de la lutte contre la fraude, de la lutte anti-blanchiment, du contrôle interne, ainsi que les inspecteurs, enquêteurs, experts et auditeurs ; - III. Le personnel habilité de la direction générale, la direction juridique ou du service contentieux pour la gestion des contentieux ; Le personnel habilité des sous-traitants. Dès lors qu’ils sont directement concernés par une fraude, les personnels habilités : Des autres d’organismes d’assurance ou intermédiaires intervenant dans le cadre d’un dossier présentant une fraude ; Des organismes sociaux lorsque les régimes sociaux interviennent dans le règlement des sinistres ou lorsque les organismes d’assurance offrent des garanties complémentaires à celles des régimes sociaux ; Des organismes professionnels intervenant dans le cadre de dossiers présentant une fraude ; Des auxiliaires de justice et officiers ministériels ; L’autorité judiciaire, médiateur, arbitre saisis d’un litige ; Les organismes tiers autorisés par une disposition légale à obtenir la communication de données à caractère personnel relatives à des précontentieux, contentieux ou condamnations ; S’il y a lieu les victimes de fraudes ou leurs représentants. Il est précisé par la CNIL que la communication de ces données ne peut en aucun cas donner lieu à la création d’un fichier de données de fraude mutualisé entre les destinataires. 5/ Information des personnes Comme prévu dans la loi informatique et libertés, le responsable de traitement doit fournir un certain nombre d’informations sur le traitement aux personnes dont les données sont recueillies. De plus, pour les traitements de relevant de l’AU39, le responsable doit également informer les personnes que le dispositif de lutte contre la fraude peut conduire à l’inscription sur une liste de personnes présentant un risque de fraude, en respectant les modalités suivantes : I. Pour la fraude interne : Les salariés de l’organisme doivent être informés individuellement dans le règlement intérieur ou dans tout autre support de communication échangé lors de l’exécution du contrat qu’il existe un traitement visant la lutte contre la fraude interne et externe au sein de l’organisme. Les prestataires, les agents généraux, les mandataires, les intermédiaires, les administrateurs, les mandataires sociaux ou les élus des organismes doivent être informés dans les documents contractuels ou tout autre support de communication adressés par l’organisme. II. Pour la fraude externe : les assurés sont informés au moyen des documents qui leurs sont communiqués au moment de la souscription du contrat, ou tout autre support de communication échangé lors de l’exécution du contrat. De plus, il est exigé qu’après un délai de 6 mois d’investigations, en cas de confirmation de l’anomalie et de décisions produisant des effets juridiques, la personne susceptible d’être inscrite sur une liste de personnes présentant un risque de fraude soit informée individuellement par écrit desdites conséquences en lui donnant la possibilité de présenter ses observations. 6/ Mesures de sécurité Comme pour les précédentes normes du « pack assurance », la CNIL exige que le responsable de traitement définisse une politique de sécurité adaptée aux risques présentés et à la taille de l’organisme. En plus des conditions précédemment définies dans ces normes, la CNIL exige pour l’AU39 que : Les droits permettant l’accès aux données soient précisément définis en fonctions des besoins réels de chaque utilisateur et que les permissions d’accès soient effectivement supprimées pour tout utilisateur n’étant plus habilité. Le responsable de traitement prenne les mesures nécessaires pour assurer la maintenance du matériel et qu’en conséquence les interventions de maintenance fassent l’objet d’une traçabilité et que le matériel remisé soit nettoyé de toute donnée à caractère personnel. 7/ Transferts de données vers l’étranger Les transferts de données hors UE dans le cadre de l’AU39 sont autorisés en respectant les règles de transferts de la Loi Informatique et Libertés. Il est en outre demandé par la CNIL que le responsable de traitement s’engage, sur simple demande de la personne concernée par le traitement, à apporter une information complète sur la finalité du transfert, les données transférées, les destinataires exacts des informations et les moyens mis en œuvre pour encadrer ce transfert. Il est prévu un délai de 24 mois à compter du 31 juillet 2014 pour permettre aux assureurs et aux intermédiaires de se mettre en conformité avec cette AU39 et adresser un engagement de conformité à la CNIL. Cette disposition ne concerne que les traitements déjà existants à la date du 31 juillet 2014. Pour les traitements de lutte contre la fraude mis en place postérieurement au 31 juillet 2014, celui-ci devra remplir dès sa création les conditions de l’AU39 pour être conforme. Nous attirons votre attention sur le fait que les traitements de lutte contre la fraude qui relèveraient d’un autre secteur que l’assurance, par exemple les opérations de banque, ne rentrent pas dans le cadre de l’AU39. 31 juillet 2014 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 76 sur 102 Commission nationale de l’informatique et des libertés Délibération no 2014-312 du 17 juillet 2014 portant autorisation unique de traitements de données à caractère personnel ayant pour finalité la lutte contre la fraude à l’assurance mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance (AU 039) NOR : CNIX1418319X La Commission nationale de l’informatique et des libertés, Vu la convention no 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Vu le code des assurances ; Vu le code civil ; Vu le code général des impôts ; Vu le code monétaire et financier ; Vu le code de la mutualité ; Vu le code pénal ; Vu le code des postes et des communications électroniques ; Vu le code rural ; Vu le code de la santé publique ; Vu le code de la sécurité sociale ; Vu le code du travail ; Vu la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 25-II, 25-I (3o), 25-I (4o), 25-I (5o) ou 25-I (6o) et 69 ; Vu le décret no 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations, Formule les observations suivantes : La lutte contre la fraude et les activités abusives constitue, pour les professionnels de l’assurance, une priorité majeure, avec les principaux objectifs qui la sous-tendent, en termes de justice, de protection des assurés, de dissuasion et de maîtrise des risques. Il n’existe pas de définition légale de la fraude à l’assurance en France. Les praticiens considèrent toutefois qu’il y a fraude à l’assurance chaque fois qu’un acte intentionnel « permettant de tirer un profit illégitime d’un contrat d’assurance » a été caractérisé. Cet acte peut concerner aussi bien le contrat d’assurance que le sinistre, objet des garanties souscrites. Dès lors, l’autorisation unique couvre l’ensemble du périmètre assurantiel, quel que soit le type de contrats et quel que soit l’auteur de la fraude (fraude interne et fraude externe). Le code des assurances prévoit des sanctions spécifiques et parfois sévères en cas de fraude à l’assurance. Par ailleurs et nonobstant la mise en œuvre de sanctions civiles, des actions pénales peuvent également être introduites à l’encontre des fraudeurs. Ainsi, les traitements de données à caractère personnel mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et les intermédiaires d’assurance au titre de la lutte contre la fraude visent à prévenir, à détecter et à gérer les alertes pouvant révéler une fraude à l’assurance. L’identification de tels faits, en partie sur la base de critères intégrés dans les traitements automatisés des organismes, peut conduire ces derniers à collecter des données d’infractions et/ou le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) uniquement dans les cas prévus par la loi ou à rompre toute relation contractuelle avec les prestataires, les agents généraux, les mandataires d’assurance, les intermédiaires, les administrateurs, les mandataires sociaux, ou les élus des organismes. Enfin, ces traitements peuvent éventuellement donner lieu à des interconnexions de fichiers ayant des finalités principales différentes. Par conséquent, ces traitements relèvent des dispositions des articles 25-I (3o), 25-I (4o), 25-I (5o) et 25-I (6o) ainsi que des dispositions de l’article 69 de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL. En vertu du II de l’article 25 de la loi du 6 janvier 1978 modifiée, la Commission peut autoriser par une décision unique une catégorie de traitements répondant aux mêmes finalités, portant sur des catégories de données identiques et ayant les mêmes catégories de destinataires. JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE 31 juillet 2014 Texte 76 sur 102 Décide : D’adopter une autorisation unique pour les traitements automatisés ou non de données à caractère personnel relevant des articles 25-I (3o), 25-I (4o), 25-I (5o) et 25-I (6o) ; Que les organismes mentionnés ci-dessous qui souhaiteront se référer à l’autorisation unique no 39 adresseront à cette fin à la commission un engagement de conformité pour leurs traitements qui répondent strictement aux conditions définies dans la présente décision unique seront autorisés à mettre en œuvre ces traitements ; Tout projet de traitement automatisé ou non de données relevant des articles 25-I (3o), 25-I (4o), 25-I (5o) ou 25-I o (6 ) de la loi du 6 janvier 1978 modifiée, dont les finalités ou les catégories de données ou de destinataires excèderaient le cadre défini par la présente autorisation unique ou qui ne respecteraient pas les exigences qui y sont définies devra faire l’objet d’une demande d’autorisation spécifique présentant et expliquant les différences entre le traitement envisagé et l’autorisation unique. Art. 1er. – Responsables de traitement. Seuls peuvent adresser un engagement de conformité à la présente autorisation unique les organismes d’assurance, de capitalisation, de réassurance, d’assistance et les intermédiaires d’assurance, ci-après désignés « organismes ». Art. 2. – Finalités et caractéristiques des traitements. Dans le cadre des activités relatives à la passation, à la gestion et à l’exécution des contrats d’assurance, de capitalisation, de réassurance, et d’assistance (ci après désignés « contrats »), peuvent faire l’objet d’un engagement de conformité à la présente autorisation unique, les traitements automatisés de données à caractère personnel ayant pour finalités la lutte contre la fraude à l’assurance externe ou interne correspondant à un acte ou omission commis intentionnellement par une ou plusieurs personnes afin d’obtenir un avantage ou un bénéfice de façon illégitime, illicite ou illégale. Au titre de ces traitements sont visés : – l’analyse et la détection des actes réalisés dans le cadre de la passation, la gestion et l’exécution des contrats présentant une anomalie, une incohérence, ou ayant fait l’objet d’un signalement pouvant révéler une fraude à l’assurance, – la gestion des alertes en cas d’anomalies, d’incohérences ou de signalements, – la constitution de listes des personnes dûment identifiées comme auteurs d’actes pouvant être constitutifs d’une fraude, – la gestion des procédures amiables, contentieuses, et disciplinaires consécutives à un cas de fraude, – l’exécution des dispositions contractuelles, législatives, réglementaires ou administratives en vigueur applicables consécutivement à une fraude. Ces traitements permettent de prévenir, de détecter ou de gérer les opérations, actes, ou omissions présentant un risque de fraude et émanant soit : – pour la fraude externe : des personnes parties, intéressées ou intervenant au contrat ; – pour la fraude interne : des personnels salariés, des prestataires, des agents généraux, des mandataires, des intermédiaires, des administrateurs, mandataires sociaux, ou des élus des organismes. Des requêtes individuelles et ponctuelles peuvent être effectuées par l’employeur, dans le cadre de son pouvoir d’enquête interne, sur les données collectées au titre de la gestion administrative du personnel. L’objectif de lutte contre la fraude à l’assurance peut donner lieu à des interconnexions entre les traitements de données mis en œuvre par le responsable de traitement ou par le groupe auquel il appartient, répondant aux finalités suivantes : – la gestion commerciale de clients et de prospects telle qu’elle est prévue par la norme simplifiée no 56 ; – la passation, la gestion et l’exécution des contrats prévue par la norme simplifiée no 16 ; – la lutte contre le blanchiment et le financement du terrorisme telle que prévue par l’AU 003, pour les cas de fraude relevant également de cette finalité ; – la collecte et le traitement des données relatives aux infractions, aux condamnations et mesures de sûreté prévus par les dispositions légales, règlementaires et administratives en vigueur, ainsi que dans le cadre des contentieux liés à l’activité et permettant notamment à l’entreprise d’assurer la constatation, l’exercice ou la défense de ses droits en justice ou la défense des personnes concernées ; – la gestion des relations contractuelles avec les intermédiaires, les prestataires, les sous-traitants, les délégataires, et les partenaires. Aucune décision produisant des effets juridiques à l’égard des personnes concernées par des données traitées dans le cadre de la lutte contre la fraude à l’assurance ne peut être prise sur le seul fondement de ces traitements automatisés. Dès lors, les requêtes ou alertes détectées automatiquement doivent donner lieu à une analyse non automatisée par le personnel habilité de l’organisme ou du groupe auquel il appartient, le cas échéant des investigations complémentaires pourront être diligentées. Enfin, la personne concernée doit être mise en mesure de présenter ses observations si une décision produisant des effets juridiques est prise à son égard dans le cadre de la conclusion ou de l’exécution d’un contrat. Art. 3. – Catégories de données à caractère personnel traitées. 31 juillet 2014 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 76 sur 102 Peuvent être traitées, pour l’accomplissement des finalités décrites à l’article 2, les catégories de données suivantes, collectées dans le cadre : – de la passation, de la gestion et de l’exécution des contrats conformément à la norme simplifiée no 16 qui vise les données relatives à : – l’identification des personnes parties, intéressées ou intervenantes au contrat ; – la situation familiale, économique, patrimoniale et financière ; – la situation professionnelle ; – l’appréciation du risque ; – la passation, l’application du contrat, et la gestion des sinistres et des prestations ; – la détermination ou à l’évaluation des préjudices ; – la localisation des personnes ou des biens en relation avec les risques assurés ; – la vie personnelle et aux habitudes de vie en relation avec les risques assurés ; – la santé lors de la souscription du contrat, sous réserve de l’obtention du consentement exprès de la personne concernée. Pour la mise en œuvre des garanties, le consentement de la personne est exigé sauf s’il ne peut être matériellement ou juridiquement recueilli, ou que l’organisme est soumis à une obligation légale de recueillir ces informations ; – de la gestion et du suivi de la relation commerciale conformément à la norme simplifiée no 56 qui vise les données relatives : – à l’identification des personnes ; – à la situation familiale, économique, patrimoniale et financière et aux habitudes de vie en lien avec la relation commerciale ; – aux activités professionnelles et non professionnelles ayant un lien avec la relation commerciale ; – au suivi de la relation commerciale ; – à la localisation et à la connexion ; – de l’autorisation unique no 32 concernant les infractions, condamnations et mesures de sûreté des personnes parties, intéressées ou intervenantes au contrat, à savoir : – concernant les personnes : – les données d’identification : nom et prénom(s), date et lieu de naissance ; – les coordonnées postales ; – le cas échéant, les données issues des procès-verbaux de police ou de gendarmerie, les décisions judiciaires ou administratives et les enquêtes judiciaires ; – concernant les circonstances de l’infraction : – les faits constatés ; – la présence de témoins, leur identification et leurs témoignages ; – suites données à la constatation de l’infraction : – saisine ou absence de saisine ; – classement sans suite ; – engagement de poursuite ; – condamnations ; – mesures de sûreté ; – de la journalisation des accès aux traitements relevant de la norme simplifiée no 16, no 56 et des autorisations uniques no 31 et no 32. Le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) est traité par les organismes conformément aux dispositions légales en vigueur, dans les cas suivants : – pour les activités d’assurance maladie, maternité, invalidité, retraite supplémentaire, dans le cadre des relations avec les professionnels, les établissements et les institutions de santé, pour les déclarations sociales des entreprises souscriptrices de contrats d’assurance et pour l’indemnisation des accidents, – pour la gestion des rentes ; – enfin, le NIR peut être collecté dans le cadre de leurs activités d’assurance, pour les garanties pertes d’exploitation et perte d’emploi uniquement à des fins probatoires ; – les données collectées au titre de la gestion administrative du personnel uniquement dans le cadre de requêtes ponctuelles et individuelles consécutives à la détection d’une fraude ; – les données relatives aux anomalies, incohérences et signalement pouvant révéler une fraude ; – les données relatives aux investigations, à l’instruction du dossier de fraude et à l’évaluation du périmètre de la fraude ; – les données d’identification des personnes intervenant dans la détection et la gestion de la fraude. Art. 4. – Durées de conservation. 31 juillet 2014 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 76 sur 102 Les organismes d’assurance disposent d’un délai de six mois à compter de l’émission des alertes pour les qualifier. Toute alerte qualifiée de « non pertinente » est supprimée sans délai. Les alertes n’ayant reçu aucune qualification à l’issue du délai de six mois sont supprimées. En cas d’alerte pertinente, les données visées à l’article 3 sont conservées pour une durée maximale de cinq ans à compter de la clôture du dossier de fraude. Lorsqu’une procédure judiciaire est engagée, les données sont conservées jusqu’au terme de la procédure judiciaire. Elles sont ensuite archivées selon les durées de prescription applicables. Pour les personnes inscrites sur une liste des fraudeurs présumés, les données les concernant sont supprimées passé le délai de cinq ans à compter de la date d’inscription sur cette liste. Art. 5. – Destinataires et personnes habilitées à traiter les données. Dans la limite de leurs attributions respectives et pour l’exercice des finalités précitées, seuls peuvent être habilités à accéder aux données, les personnes suivantes : Aux fins de lutte contre la fraude interne : – les personnes habilitées de la direction des ressources humaines pour des requêtes ponctuelles et individuelles réalisés dans le cadre d’enquêtes internes consécutives à la détection d’une fraude ; – le conseil de discipline saisi en cas de fraude ; – les représentants du personnel dans le cadre de l’accompagnement d’un salarié mis en cause pour fraude. Aux fins de lutte contre la fraude interne et externe : – les personnels en relation avec la clientèle et les gestionnaires de contrats et de sinistres ; – les autres entités d’un même groupe dès lors qu’elles sont concernées par la fraude ou interviennent dans la gestion des dossiers ou de maîtrise du risque de fraude ; – les personnels habilités en charge de la lutte contre la fraude, de la lutte anti-blanchiment et du contrôle interne, les inspecteurs, enquêteurs, experts, et auditeurs ; – le personnel habilité de la direction générale, la direction juridique ou du service du contentieux pour la gestion des contentieux ; – le personnel habilité des sous-traitants. Dès lors qu’ils sont directement concernés par une fraude, peuvent être destinataires des données relatives à cette fraude, les personnels habilités : – des autres organismes d’assurance ou intermédiaires intervenant dans le cadre de dossier présentant une fraude ; – des organismes sociaux lorsque les régimes sociaux interviennent dans le règlement des sinistres ou lorsque les organismes d’assurances offrent des garanties complémentaires à celles des régimes sociaux ; – des organismes professionnels intervenant dans le cadre de dossiers présentant une fraude ; – les auxiliaires de justice et officiers ministériels ; – l’autorité judiciaire, médiateur, arbitre saisis d’un litige ; – les organismes tiers autorisés par une disposition légale à obtenir la communication de données à caractère personnel relatives à des précontentieux, contentieux ou condamnations ; – s’il y a lieu, les victimes de fraudes ou leurs représentants. La communication de ces données ne peut en aucun cas donner lieu à la création d’un fichier concernant les données relatives aux fraudes et mutualisé entre les destinataires. Art. 6. – Information et droit d’accès des personnes concernées. Le responsable du traitement doit, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée, informer préalablement à la mise en œuvre du traitement, les personnes auprès desquelles sont recueillies les données à caractère personnel les concernant : – de son identité et, le cas échéant, de celle de son représentant ; – de la finalité poursuivie par le traitement auquel les données sont destinées ; – du caractère obligatoire ou facultatif des réponses ; – des conséquences éventuelles, à son égard, d’un défaut de réponse ; – des destinataires ou catégories de destinataires des données ; – de l’existence et des modalités d’exercice des droits d’accès, de rectification et d’opposition ; – du transfert éventuel des données personnelles à destination d’un Etat non membre de l’Union européenne. De manière générale, les personnes sont informées du fait que le responsable de traitement met en œuvre un dispositif ayant pour finalité la lutte contre la fraude pouvant, notamment, conduire à l’inscription sur une liste de personnes présentant un risque de fraude. Cette information s’effectue selon les modalités suivantes : Pour la fraude interne : – les salariés de l’organisme d’assurance sont informés individuellement dans le règlement intérieur ou dans tout autre support de communication échangé lors de l’exécution du contrat qu’il existe un traitement visant la lutte contre la fraude interne et externe au sein de l’organisme ; 31 juillet 2014 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 76 sur 102 – les prestataires, les agents généraux, les mandataires, les intermédiaires, les administrateurs, les mandataires sociaux ou les élus des organismes sont informés dans les documents contractuels ou tout autre support de communication adressés par l’organisme d’assurance. Pour la fraude externe : les assurés sont informés de l’existence du traitement de lutte contre la fraude au moyen des documents qui leur sont communiqués au moment de la souscription du contrat, ou de tout autre support de communication échangé lors de l’exécution du contrat. Outre cette information générale, après un délai de six mois d’investigation, en cas de confirmation de l’anomalie et de décisions produisant des effets juridiques, la personne susceptible d’être inscrite sur une liste de personnes présentant un risque de fraude doit être informée individuellement par écrit desdites conséquences en lui donnant la possibilité de présenter ses observations. Art. 7. – Mesures de sécurité. Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées, notamment pour empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès. Le responsable de traitement définit une politique de sécurité adaptée aux risques présentés par les traitements et à la taille de l’organisme d’assurance. Cette politique devra décrire les objectifs de sécurité, et les mesures de sécurité physique, logique et organisationnelle permettant de les atteindre. Les accès aux traitements de données nécessitent une authentification des personnes accédant aux données, au moyen d’un identifiant et d’un mot de passe individuels, suffisamment robustes et régulièrement renouvelés, ou par tout autre moyen d’authentification de même fiabilité. Les droits permettant d’accéder aux données doivent être précisément définis en fonction des besoins réels de chaque utilisateur, il s’en suit que les permissions d’accès devront être supprimées pour tout utilisateur n’étant plus habilité. Le responsable de traitement prend les mesures nécessaires pour assurer la maintenance du matériel. Ainsi, les interventions de maintenance doivent faire l’objet d’une traçabilité et le matériel remisé devra être nettoyé de toute donnée à caractère personnel. Les conditions d’administration du système d’information prévoient l’existence de systèmes automatiques de traçabilité (journaux, audits…). Dans le cas de l’utilisation d’un service de communication au public en ligne, le responsable de traitement prend les mesures nécessaires pour se prémunir contre toute atteinte à la confidentialité des données traitées. Les données transitant sur des canaux de communication non sécurisés doivent notamment faire l’objet de mesures techniques visant à les rendre incompréhensibles à toute personne non autorisée à y avoir accès. Le responsable de traitement devra aussi s’assurer que ses sous-traitants présentent des garanties en matière de sécurité des données. S’agissant des données de santé, le responsable de traitement s’engage à respecter les dispositions prévues par le code de bonne conduite annexé à la convention AERAS concernant la collecte et l’utilisation de données relatives à l’état de santé en vue de la souscription ou de l’exécution d’un contrat d’assurance. Art. 8. – Transferts de données vers l’étranger. Les transferts de données à caractère personnel réalisés vers des pays tiers à l’Union européenne qui ne sont pas membres de l’Espace économique européen peuvent être effectués lorsque l’une des conditions suivantes est réunie : – les transferts s’effectuent à destination d’un pays reconnu par une décision de la Commission européenne comme assurant un niveau de protection suffisant, ou d’une entreprise américaine ayant adhéré aux principes du Safe Harbor ; ou – le traitement garantit un niveau suffisant de protection de la vie privée ainsi que les droits et libertés fondamentaux des personnes par la mise en œuvre des clauses contractuelles types adoptées par la Commission européenne ou par l’adoption de règles internes d’entreprise dénommées BCR dont la CNIL a préalablement reconnu qu’elles garantissent un niveau de protection suffisant ; ou – ces transferts sont réalisés dans le cadre de l’exécution des contrats ou pour la mise en œuvre des garanties (art. 69 [1o, 5o, 6o] de la loi « Informatique et libertés »), ou lors de la gestion des actions ou contentieux liés à l’activité et permettant notamment à l’entreprise d’assurer la constatation, l’exercice ou la défense de ses droits en justice ou pour les besoins de défense des personnes concernées (art. 69 [3o] de la loi « Informatique et libertés »). Le recours à ces exceptions de l’article 69 n’est possible que pour les transferts dont le champ d’application est limité à des cas de transferts ponctuels et exceptionnels. Ainsi, les transferts répétitifs, massifs ou structurels de données personnelles doivent faire l’objet d’un encadrement juridique spécifique au moyen de BCR ou de clauses contractuelles types). Le responsable de traitement s’engage, sur simple demande de la personne concernée, à apporter une information complète sur la finalité du transfert, les données transférées, les destinataires exacts des informations et les moyens mis en œuvre pour encadrer ce transfert. Art. 9. – Dispositions transitoires. 31 juillet 2014 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 76 sur 102 Les traitements de données à caractère personnel dont la mise en œuvre est intervenue avant la publication de la présente délibération disposent d’un délai de 24 mois à compter de cette publication pour adresser à la Commission un engagement de conformité avec les dispositions de la présente autorisation unique. Art. 10. – Publication au Journal officiel. La présente délibération sera publiée au Journal officiel de la République française. La présidente, I. FALQUE-PIERROTIN