autorisation unique de la cnil sur la fraude a l`assurance

Transcription

autorisation unique de la cnil sur la fraude a l`assurance
AUTORISATION UNIQUE DE LA CNIL SUR LA FRAUDE A L’ASSURANCE
Par une délibération du 17 juillet 2014 publiée au JO du 31 juillet dernier, la CNIL a adopté une
autorisation unique relative aux traitements de données à caractère personnel ayant pour finalité la
lutte contre la fraude à l’assurance mis en œuvre par les organismes d’assurance, de capitalisation, de
réassurance, d’assistance et par les intermédiaires d’assurance (AU 039).
Il s’agit là du dernier texte du « pack assurance » de la CNIL, qui comprend les décisions suivantes :
I.
AU03 : lutte anti-blanchiment et anti-terrorisme
II.
AU31 : utilisation du NIR
III.
AU32 : utilisation de données d’infraction ou de condamnations
IV.
NS16 : souscription et gestion de contrats d’assurance
V.
NS56 : fichiers clients et prospects
Voici les principales dispositions de cette dernière autorisation unique, dont le texte complet est joint ciaprès.
1/ Les finalités et caractéristiques du traitement
Relèvent de la présente autorisation dans le cadre des activités de passation, la gestion et exécution des
contrats d'assurance, de capitalisation, de réassurance, et d'assistance, les traitements automatisés de
données à caractère personnel ayant pour finalités la lutte contre la fraude à l’assurance externe ou
interne correspondant à un acte ou omission commis intentionnellement par une ou plusieurs
personnes afin d’obtenir un avantage ou un bénéfice de façon illégitime, illicite ou illégale.
A ce titre sont visés :
I.
L’analyse et la détection des actés réalisés dans le cadre de la passation, la gestion et
l’exécution des contrats présentant une anomalie, une incohérence, ou ayant fait l‘objet d’un
signalement pouvant révéler une fraude à l’assurance.
II.
La gestion des alertes en cas d’anomalies, d’incohérences ou de signalements.
III.
La constitution de listes de personnes dûment identifiées comme auteurs d’actes pouvant
être constitutifs d’une fraude.
IV.
La gestion des procédures amiables, contentieuses et disciplinaires consécutives à un cas de
fraude.
V.
L’exécution des dispositions contractuelles, législatives, règlementaires ou administratives en
vigueur applicables consécutivement à une fraude.
Pour la fraude externe, sont visés les personnes parties ou intéressées ou intervenant au contrat.
Pour la fraude interne sont visés les salariés, les prestataires, les agents généraux, les mandataires, les
intermédiaires, les administrateurs, mandataires sociaux ou élus des organismes.
Le champ des personnes susceptibles d’être concernées par le traitement de lutte contre la fraude est
donc large.
L’AU39 permet par ailleurs des interconnexions de traitements portant uniquement sur les fichiers
suivants : NS56, NS16, AU03, AU32, fichiers des contrats avec les intermédiaires, prestataires, soustraitants, délégataires et partenaires.
Il n’est par contre pas permis d’interconnexion avec le fichier des salariés, seules des requêtes
individuelles et ponctuelles de l’employeur sur les données collectées au titre de la gestion
administrative du personnel étant autorisées. Ne sont donc pas autorisés les croisements systématiques
et réguliers des fichiers du personnel et des fichiers clients/contrats pour vérifier par exemple la
coïncidence de numéros de RIB ou du NIR.
Par ailleurs, en cas de requêtes ou d’alertes automatiques de fraudes, une analyse doit être faite par le
personnel habilité de l’organisme. De plus, la personne concernée doit être mise en mesure de présenter
des observations si une décision produisant des effets juridiques est prise à son égard dans le cadre de la
conclusion ou l’exécution d’un contrat.
2/ Les données traitées
Les données qui peuvent être traitées diffèrent selon la finalité initiale du traitement concerné par la
fraude.
Pour les traitements relevant de la NS16, sont autorisées un certain nombre de données, incluant les
données de santé
Pour les traitements relevant de la NS56, les données autorisées sont plus restreintes, mais elles incluent
cependant les données relatives à la localisation et la connexion.
Pour les traitements relevant de l’AU32, sont autorisées un certain nombre de données incluant des
données portant sur les circonstances de l’infraction et sur les suites données à la constatation de
l’infraction.
Est également autorisé le traitement des données de journalisation des accès aux traitements relevant
de la NS16, la NS56, l’AU31 et l’AU32.
En ce qui concerne le NIR (numéro de sécurité sociale), celui-ci peut être traité conformément aux
dispositions légales en vigueur dans les cas suivants :
I.
II.
III.
IV.
Les données collectées au titre de la gestion administrative du personnel uniquement dans le
cadre de requêtes ponctuelles et individuelles consécutives à une détection de fraude.
Les données relatives aux anomalies, incohérences et signalement pouvant révéler une
fraude.
Les données relatives aux investigations, à l’instruction du dossier de fraude et à l’évaluation
du périmètre de la fraude.
Les données d’identification des personnes intervenant dans la détection et la gestion de la
fraude.
La liste détaillée des données autorisées figure dans le texte intégral de l’AU39.
3/ Durées de conservation
Il est prévu que les organismes disposent d’un délai de 6 mois à compter de l’émission d’une alerte de
fraude pour la qualifier et que les alertes n’ayant pas reçu une qualification à l’issue de ce délai de 6
mois doivent être supprimées.
Par ailleurs, les alertes qualifiées de non pertinentes doivent être supprimées sans délai. Il n’est ainsi pas
permis de conserver la trace d’une alerte de fraude dès lors que celle-ci s’est avérée sans objet.
Pour les alertes pertinentes, les données peuvent être conservées pour une durée maximale de 5 ans à
compter de la clôture du dossier de fraude. Toutefois, lorsqu’une procédure judiciaire est engagée dans
la cadre d’un tel dossier, les données peuvent être conservées pour la durée de la procédure judiciaire et
ensuite être archivées pour les durées de prescription applicables.
Enfin, en ce qui concerne les personnes inscrites sur les listes de fraudeurs présumés, les données les
concernant doivent être supprimées passé un délai de 5 ans à compter de leur date d’inscription sur cette
liste.
4/ Destinataires des données
La liste des personnes habilitées à accéder aux données traitées pour la lutte contre la fraude, dans la
limite de leurs attributions respectives, sont les suivantes :
I.
Aux fins de lutte contre la fraude interne :
Les personnes habilitées à la direction des ressources humaines ;
Le conseil de discipline saisi en cas de fraude ;
Les représentants du personnel dans le cadre de l’accompagnement d’un salarié mis en cause
pour fraude.
II.
Aux fins de lutte contre la fraude interne et externe :
Les personnels en relation avec la clientèle et les gestionnaires de contrats et de sinistres ;
Les autres entités d’un même groupe lorsqu’elles sont concernées par la fraude ou qu’elles
interviennent dans la gestion des dossiers ou la maîtrise de risque de fraude ;
Le personnel habilité en charge de la lutte contre la fraude, de la lutte anti-blanchiment, du
contrôle interne, ainsi que les inspecteurs, enquêteurs, experts et auditeurs ;
-
III.
Le personnel habilité de la direction générale, la direction juridique ou du service contentieux
pour la gestion des contentieux ;
Le personnel habilité des sous-traitants.
Dès lors qu’ils sont directement concernés par une fraude, les personnels habilités :
Des autres d’organismes d’assurance ou intermédiaires intervenant dans le cadre d’un dossier
présentant une fraude ;
Des organismes sociaux lorsque les régimes sociaux interviennent dans le règlement des
sinistres ou lorsque les organismes d’assurance offrent des garanties complémentaires à
celles des régimes sociaux ;
Des organismes professionnels intervenant dans le cadre de dossiers présentant une fraude ;
Des auxiliaires de justice et officiers ministériels ;
L’autorité judiciaire, médiateur, arbitre saisis d’un litige ;
Les organismes tiers autorisés par une disposition légale à obtenir la communication de
données à caractère personnel relatives à des précontentieux, contentieux ou
condamnations ;
S’il y a lieu les victimes de fraudes ou leurs représentants.
Il est précisé par la CNIL que la communication de ces données ne peut en aucun cas donner lieu à la
création d’un fichier de données de fraude mutualisé entre les destinataires.
5/ Information des personnes
Comme prévu dans la loi informatique et libertés, le responsable de traitement doit fournir un certain
nombre d’informations sur le traitement aux personnes dont les données sont recueillies.
De plus, pour les traitements de relevant de l’AU39, le responsable doit également informer les
personnes que le dispositif de lutte contre la fraude peut conduire à l’inscription sur une liste de
personnes présentant un risque de fraude, en respectant les modalités suivantes :
I.
Pour la fraude interne :
Les salariés de l’organisme doivent être informés individuellement dans le règlement
intérieur ou dans tout autre support de communication échangé lors de l’exécution du
contrat qu’il existe un traitement visant la lutte contre la fraude interne et externe au sein
de l’organisme.
Les prestataires, les agents généraux, les mandataires, les intermédiaires, les
administrateurs, les mandataires sociaux ou les élus des organismes doivent être informés
dans les documents contractuels ou tout autre support de communication adressés par
l’organisme.
II.
Pour la fraude externe : les assurés sont informés au moyen des documents qui leurs sont
communiqués au moment de la souscription du contrat, ou tout autre support de communication
échangé lors de l’exécution du contrat.
De plus, il est exigé qu’après un délai de 6 mois d’investigations, en cas de confirmation de l’anomalie et
de décisions produisant des effets juridiques, la personne susceptible d’être inscrite sur une liste de
personnes présentant un risque de fraude soit informée individuellement par écrit desdites
conséquences en lui donnant la possibilité de présenter ses observations.
6/ Mesures de sécurité
Comme pour les précédentes normes du « pack assurance », la CNIL exige que le responsable de
traitement définisse une politique de sécurité adaptée aux risques présentés et à la taille de l’organisme.
En plus des conditions précédemment définies dans ces normes, la CNIL exige pour l’AU39 que :
Les droits permettant l’accès aux données soient précisément définis en fonctions des besoins
réels de chaque utilisateur et que les permissions d’accès soient effectivement supprimées pour
tout utilisateur n’étant plus habilité.
Le responsable de traitement prenne les mesures nécessaires pour assurer la maintenance du
matériel et qu’en conséquence les interventions de maintenance fassent l’objet d’une traçabilité
et que le matériel remisé soit nettoyé de toute donnée à caractère personnel.
7/ Transferts de données vers l’étranger
Les transferts de données hors UE dans le cadre de l’AU39 sont autorisés en respectant les règles de
transferts de la Loi Informatique et Libertés.
Il est en outre demandé par la CNIL que le responsable de traitement s’engage, sur simple demande de
la personne concernée par le traitement, à apporter une information complète sur la finalité du
transfert, les données transférées, les destinataires exacts des informations et les moyens mis en œuvre
pour encadrer ce transfert.
Il est prévu un délai de 24 mois à compter du 31 juillet 2014 pour permettre aux assureurs et aux
intermédiaires de se mettre en conformité avec cette AU39 et adresser un engagement de conformité à
la CNIL. Cette disposition ne concerne que les traitements déjà existants à la date du 31 juillet 2014.
Pour les traitements de lutte contre la fraude mis en place postérieurement au 31 juillet 2014, celui-ci
devra remplir dès sa création les conditions de l’AU39 pour être conforme.
Nous attirons votre attention sur le fait que les traitements de lutte contre la fraude qui relèveraient d’un
autre secteur que l’assurance, par exemple les opérations de banque, ne rentrent pas dans le cadre de
l’AU39.
31 juillet 2014
JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE
Texte 76 sur 102
Commission nationale de l’informatique et des libertés
Délibération no 2014-312 du 17 juillet 2014 portant autorisation unique de traitements de données
à caractère personnel ayant pour finalité la lutte contre la fraude à l’assurance mis en œuvre par
les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les
intermédiaires d’assurance (AU 039)
NOR : CNIX1418319X
La Commission nationale de l’informatique et des libertés,
Vu la convention no 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement
automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces
données ;
Vu le code des assurances ;
Vu le code civil ;
Vu le code général des impôts ;
Vu le code monétaire et financier ;
Vu le code de la mutualité ;
Vu le code pénal ;
Vu le code des postes et des communications électroniques ;
Vu le code rural ;
Vu le code de la santé publique ;
Vu le code de la sécurité sociale ;
Vu le code du travail ;
Vu la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment
ses articles 25-II, 25-I (3o), 25-I (4o), 25-I (5o) ou 25-I (6o) et 69 ;
Vu le décret no 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi no 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport et M. Jean-Alexandre SILVY,
commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La lutte contre la fraude et les activités abusives constitue, pour les professionnels de l’assurance, une priorité
majeure, avec les principaux objectifs qui la sous-tendent, en termes de justice, de protection des assurés, de
dissuasion et de maîtrise des risques.
Il n’existe pas de définition légale de la fraude à l’assurance en France. Les praticiens considèrent toutefois qu’il
y a fraude à l’assurance chaque fois qu’un acte intentionnel « permettant de tirer un profit illégitime d’un contrat
d’assurance » a été caractérisé. Cet acte peut concerner aussi bien le contrat d’assurance que le sinistre, objet des
garanties souscrites. Dès lors, l’autorisation unique couvre l’ensemble du périmètre assurantiel, quel que soit le
type de contrats et quel que soit l’auteur de la fraude (fraude interne et fraude externe).
Le code des assurances prévoit des sanctions spécifiques et parfois sévères en cas de fraude à l’assurance. Par
ailleurs et nonobstant la mise en œuvre de sanctions civiles, des actions pénales peuvent également être introduites
à l’encontre des fraudeurs.
Ainsi, les traitements de données à caractère personnel mis en œuvre par les organismes d’assurance, de
capitalisation, de réassurance, d’assistance et les intermédiaires d’assurance au titre de la lutte contre la fraude
visent à prévenir, à détecter et à gérer les alertes pouvant révéler une fraude à l’assurance.
L’identification de tels faits, en partie sur la base de critères intégrés dans les traitements automatisés des
organismes, peut conduire ces derniers à collecter des données d’infractions et/ou le numéro d’inscription au
répertoire national d’identification des personnes physiques (NIR) uniquement dans les cas prévus par la loi ou à
rompre toute relation contractuelle avec les prestataires, les agents généraux, les mandataires d’assurance, les
intermédiaires, les administrateurs, les mandataires sociaux, ou les élus des organismes. Enfin, ces traitements
peuvent éventuellement donner lieu à des interconnexions de fichiers ayant des finalités principales différentes.
Par conséquent, ces traitements relèvent des dispositions des articles 25-I (3o), 25-I (4o), 25-I (5o) et 25-I (6o) ainsi
que des dispositions de l’article 69 de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la
CNIL.
En vertu du II de l’article 25 de la loi du 6 janvier 1978 modifiée, la Commission peut autoriser par une décision
unique une catégorie de traitements répondant aux mêmes finalités, portant sur des catégories de données
identiques et ayant les mêmes catégories de destinataires.
JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE
31 juillet 2014
Texte 76 sur 102
Décide :
D’adopter une autorisation unique pour les traitements automatisés ou non de données à caractère personnel
relevant des articles 25-I (3o), 25-I (4o), 25-I (5o) et 25-I (6o) ;
Que les organismes mentionnés ci-dessous qui souhaiteront se référer à l’autorisation unique no 39 adresseront à
cette fin à la commission un engagement de conformité pour leurs traitements qui répondent strictement aux
conditions définies dans la présente décision unique seront autorisés à mettre en œuvre ces traitements ;
Tout projet de traitement automatisé ou non de données relevant des articles 25-I (3o), 25-I (4o), 25-I (5o) ou 25-I
o
(6 ) de la loi du 6 janvier 1978 modifiée, dont les finalités ou les catégories de données ou de destinataires
excèderaient le cadre défini par la présente autorisation unique ou qui ne respecteraient pas les exigences qui y sont
définies devra faire l’objet d’une demande d’autorisation spécifique présentant et expliquant les différences entre le
traitement envisagé et l’autorisation unique.
Art. 1er. – Responsables de traitement.
Seuls peuvent adresser un engagement de conformité à la présente autorisation unique les organismes
d’assurance, de capitalisation, de réassurance, d’assistance et les intermédiaires d’assurance, ci-après désignés
« organismes ».
Art. 2. – Finalités et caractéristiques des traitements.
Dans le cadre des activités relatives à la passation, à la gestion et à l’exécution des contrats d’assurance, de
capitalisation, de réassurance, et d’assistance (ci après désignés « contrats »), peuvent faire l’objet d’un
engagement de conformité à la présente autorisation unique, les traitements automatisés de données à caractère
personnel ayant pour finalités la lutte contre la fraude à l’assurance externe ou interne correspondant à un acte ou
omission commis intentionnellement par une ou plusieurs personnes afin d’obtenir un avantage ou un bénéfice de
façon illégitime, illicite ou illégale.
Au titre de ces traitements sont visés :
– l’analyse et la détection des actes réalisés dans le cadre de la passation, la gestion et l’exécution des contrats
présentant une anomalie, une incohérence, ou ayant fait l’objet d’un signalement pouvant révéler une fraude à
l’assurance,
– la gestion des alertes en cas d’anomalies, d’incohérences ou de signalements,
– la constitution de listes des personnes dûment identifiées comme auteurs d’actes pouvant être constitutifs
d’une fraude,
– la gestion des procédures amiables, contentieuses, et disciplinaires consécutives à un cas de fraude,
– l’exécution des dispositions contractuelles, législatives, réglementaires ou administratives en vigueur
applicables consécutivement à une fraude.
Ces traitements permettent de prévenir, de détecter ou de gérer les opérations, actes, ou omissions présentant un
risque de fraude et émanant soit :
– pour la fraude externe : des personnes parties, intéressées ou intervenant au contrat ;
– pour la fraude interne : des personnels salariés, des prestataires, des agents généraux, des mandataires, des
intermédiaires, des administrateurs, mandataires sociaux, ou des élus des organismes.
Des requêtes individuelles et ponctuelles peuvent être effectuées par l’employeur, dans le cadre de son pouvoir
d’enquête interne, sur les données collectées au titre de la gestion administrative du personnel.
L’objectif de lutte contre la fraude à l’assurance peut donner lieu à des interconnexions entre les traitements de
données mis en œuvre par le responsable de traitement ou par le groupe auquel il appartient, répondant aux finalités
suivantes :
– la gestion commerciale de clients et de prospects telle qu’elle est prévue par la norme simplifiée no 56 ;
– la passation, la gestion et l’exécution des contrats prévue par la norme simplifiée no 16 ;
– la lutte contre le blanchiment et le financement du terrorisme telle que prévue par l’AU 003, pour les cas de
fraude relevant également de cette finalité ;
– la collecte et le traitement des données relatives aux infractions, aux condamnations et mesures de sûreté
prévus par les dispositions légales, règlementaires et administratives en vigueur, ainsi que dans le cadre des
contentieux liés à l’activité et permettant notamment à l’entreprise d’assurer la constatation, l’exercice ou la
défense de ses droits en justice ou la défense des personnes concernées ;
– la gestion des relations contractuelles avec les intermédiaires, les prestataires, les sous-traitants, les
délégataires, et les partenaires.
Aucune décision produisant des effets juridiques à l’égard des personnes concernées par des données traitées
dans le cadre de la lutte contre la fraude à l’assurance ne peut être prise sur le seul fondement de ces traitements
automatisés. Dès lors, les requêtes ou alertes détectées automatiquement doivent donner lieu à une analyse non
automatisée par le personnel habilité de l’organisme ou du groupe auquel il appartient, le cas échéant des
investigations complémentaires pourront être diligentées. Enfin, la personne concernée doit être mise en mesure de
présenter ses observations si une décision produisant des effets juridiques est prise à son égard dans le cadre de la
conclusion ou de l’exécution d’un contrat.
Art. 3. – Catégories de données à caractère personnel traitées.
31 juillet 2014
JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE
Texte 76 sur 102
Peuvent être traitées, pour l’accomplissement des finalités décrites à l’article 2, les catégories de données
suivantes, collectées dans le cadre :
– de la passation, de la gestion et de l’exécution des contrats conformément à la norme simplifiée no 16 qui vise
les données relatives à :
– l’identification des personnes parties, intéressées ou intervenantes au contrat ;
– la situation familiale, économique, patrimoniale et financière ;
– la situation professionnelle ;
– l’appréciation du risque ;
– la passation, l’application du contrat, et la gestion des sinistres et des prestations ;
– la détermination ou à l’évaluation des préjudices ;
– la localisation des personnes ou des biens en relation avec les risques assurés ;
– la vie personnelle et aux habitudes de vie en relation avec les risques assurés ;
– la santé lors de la souscription du contrat, sous réserve de l’obtention du consentement exprès de la
personne concernée. Pour la mise en œuvre des garanties, le consentement de la personne est exigé sauf s’il
ne peut être matériellement ou juridiquement recueilli, ou que l’organisme est soumis à une obligation
légale de recueillir ces informations ;
– de la gestion et du suivi de la relation commerciale conformément à la norme simplifiée no 56 qui vise les
données relatives :
– à l’identification des personnes ;
– à la situation familiale, économique, patrimoniale et financière et aux habitudes de vie en lien avec la
relation commerciale ;
– aux activités professionnelles et non professionnelles ayant un lien avec la relation commerciale ;
– au suivi de la relation commerciale ;
– à la localisation et à la connexion ;
– de l’autorisation unique no 32 concernant les infractions, condamnations et mesures de sûreté des personnes
parties, intéressées ou intervenantes au contrat, à savoir :
– concernant les personnes :
– les données d’identification : nom et prénom(s), date et lieu de naissance ;
– les coordonnées postales ;
– le cas échéant, les données issues des procès-verbaux de police ou de gendarmerie, les décisions
judiciaires ou administratives et les enquêtes judiciaires ;
– concernant les circonstances de l’infraction :
– les faits constatés ;
– la présence de témoins, leur identification et leurs témoignages ;
– suites données à la constatation de l’infraction :
– saisine ou absence de saisine ;
– classement sans suite ;
– engagement de poursuite ;
– condamnations ;
– mesures de sûreté ;
– de la journalisation des accès aux traitements relevant de la norme simplifiée no 16, no 56 et des autorisations
uniques no 31 et no 32.
Le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) est traité par les
organismes conformément aux dispositions légales en vigueur, dans les cas suivants :
– pour les activités d’assurance maladie, maternité, invalidité, retraite supplémentaire, dans le cadre des
relations avec les professionnels, les établissements et les institutions de santé, pour les déclarations
sociales des entreprises souscriptrices de contrats d’assurance et pour l’indemnisation des accidents,
– pour la gestion des rentes ;
– enfin, le NIR peut être collecté dans le cadre de leurs activités d’assurance, pour les garanties pertes
d’exploitation et perte d’emploi uniquement à des fins probatoires ;
– les données collectées au titre de la gestion administrative du personnel uniquement dans le cadre de requêtes
ponctuelles et individuelles consécutives à la détection d’une fraude ;
– les données relatives aux anomalies, incohérences et signalement pouvant révéler une fraude ;
– les données relatives aux investigations, à l’instruction du dossier de fraude et à l’évaluation du périmètre de
la fraude ;
– les données d’identification des personnes intervenant dans la détection et la gestion de la fraude.
Art. 4. – Durées de conservation.
31 juillet 2014
JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE
Texte 76 sur 102
Les organismes d’assurance disposent d’un délai de six mois à compter de l’émission des alertes pour les
qualifier. Toute alerte qualifiée de « non pertinente » est supprimée sans délai. Les alertes n’ayant reçu aucune
qualification à l’issue du délai de six mois sont supprimées.
En cas d’alerte pertinente, les données visées à l’article 3 sont conservées pour une durée maximale de cinq ans à
compter de la clôture du dossier de fraude. Lorsqu’une procédure judiciaire est engagée, les données sont
conservées jusqu’au terme de la procédure judiciaire. Elles sont ensuite archivées selon les durées de prescription
applicables.
Pour les personnes inscrites sur une liste des fraudeurs présumés, les données les concernant sont supprimées
passé le délai de cinq ans à compter de la date d’inscription sur cette liste.
Art. 5. – Destinataires et personnes habilitées à traiter les données.
Dans la limite de leurs attributions respectives et pour l’exercice des finalités précitées, seuls peuvent être
habilités à accéder aux données, les personnes suivantes :
Aux fins de lutte contre la fraude interne :
– les personnes habilitées de la direction des ressources humaines pour des requêtes ponctuelles et individuelles
réalisés dans le cadre d’enquêtes internes consécutives à la détection d’une fraude ;
– le conseil de discipline saisi en cas de fraude ;
– les représentants du personnel dans le cadre de l’accompagnement d’un salarié mis en cause pour fraude.
Aux fins de lutte contre la fraude interne et externe :
– les personnels en relation avec la clientèle et les gestionnaires de contrats et de sinistres ;
– les autres entités d’un même groupe dès lors qu’elles sont concernées par la fraude ou interviennent dans la
gestion des dossiers ou de maîtrise du risque de fraude ;
– les personnels habilités en charge de la lutte contre la fraude, de la lutte anti-blanchiment et du contrôle
interne, les inspecteurs, enquêteurs, experts, et auditeurs ;
– le personnel habilité de la direction générale, la direction juridique ou du service du contentieux pour la
gestion des contentieux ;
– le personnel habilité des sous-traitants.
Dès lors qu’ils sont directement concernés par une fraude, peuvent être destinataires des données relatives à cette
fraude, les personnels habilités :
– des autres organismes d’assurance ou intermédiaires intervenant dans le cadre de dossier présentant une
fraude ;
– des organismes sociaux lorsque les régimes sociaux interviennent dans le règlement des sinistres ou lorsque
les organismes d’assurances offrent des garanties complémentaires à celles des régimes sociaux ;
– des organismes professionnels intervenant dans le cadre de dossiers présentant une fraude ;
– les auxiliaires de justice et officiers ministériels ;
– l’autorité judiciaire, médiateur, arbitre saisis d’un litige ;
– les organismes tiers autorisés par une disposition légale à obtenir la communication de données à caractère
personnel relatives à des précontentieux, contentieux ou condamnations ;
– s’il y a lieu, les victimes de fraudes ou leurs représentants.
La communication de ces données ne peut en aucun cas donner lieu à la création d’un fichier concernant les
données relatives aux fraudes et mutualisé entre les destinataires.
Art. 6. – Information et droit d’accès des personnes concernées.
Le responsable du traitement doit, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978
modifiée, informer préalablement à la mise en œuvre du traitement, les personnes auprès desquelles sont recueillies
les données à caractère personnel les concernant :
– de son identité et, le cas échéant, de celle de son représentant ;
– de la finalité poursuivie par le traitement auquel les données sont destinées ;
– du caractère obligatoire ou facultatif des réponses ;
– des conséquences éventuelles, à son égard, d’un défaut de réponse ;
– des destinataires ou catégories de destinataires des données ;
– de l’existence et des modalités d’exercice des droits d’accès, de rectification et d’opposition ;
– du transfert éventuel des données personnelles à destination d’un Etat non membre de l’Union européenne.
De manière générale, les personnes sont informées du fait que le responsable de traitement met en œuvre un
dispositif ayant pour finalité la lutte contre la fraude pouvant, notamment, conduire à l’inscription sur une liste de
personnes présentant un risque de fraude. Cette information s’effectue selon les modalités suivantes :
Pour la fraude interne :
– les salariés de l’organisme d’assurance sont informés individuellement dans le règlement intérieur ou dans
tout autre support de communication échangé lors de l’exécution du contrat qu’il existe un traitement visant la
lutte contre la fraude interne et externe au sein de l’organisme ;
31 juillet 2014
JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE
Texte 76 sur 102
– les prestataires, les agents généraux, les mandataires, les intermédiaires, les administrateurs, les mandataires
sociaux ou les élus des organismes sont informés dans les documents contractuels ou tout autre support de
communication adressés par l’organisme d’assurance.
Pour la fraude externe : les assurés sont informés de l’existence du traitement de lutte contre la fraude au moyen
des documents qui leur sont communiqués au moment de la souscription du contrat, ou de tout autre support de
communication échangé lors de l’exécution du contrat.
Outre cette information générale, après un délai de six mois d’investigation, en cas de confirmation de
l’anomalie et de décisions produisant des effets juridiques, la personne susceptible d’être inscrite sur une liste de
personnes présentant un risque de fraude doit être informée individuellement par écrit desdites conséquences en lui
donnant la possibilité de présenter ses observations.
Art. 7. – Mesures de sécurité.
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des
données traitées, notamment pour empêcher qu’elles soient déformées, endommagées ou que des tiers non
autorisés y aient accès.
Le responsable de traitement définit une politique de sécurité adaptée aux risques présentés par les traitements et
à la taille de l’organisme d’assurance. Cette politique devra décrire les objectifs de sécurité, et les mesures de
sécurité physique, logique et organisationnelle permettant de les atteindre.
Les accès aux traitements de données nécessitent une authentification des personnes accédant aux données, au
moyen d’un identifiant et d’un mot de passe individuels, suffisamment robustes et régulièrement renouvelés, ou par
tout autre moyen d’authentification de même fiabilité.
Les droits permettant d’accéder aux données doivent être précisément définis en fonction des besoins réels de
chaque utilisateur, il s’en suit que les permissions d’accès devront être supprimées pour tout utilisateur n’étant plus
habilité.
Le responsable de traitement prend les mesures nécessaires pour assurer la maintenance du matériel. Ainsi, les
interventions de maintenance doivent faire l’objet d’une traçabilité et le matériel remisé devra être nettoyé de toute
donnée à caractère personnel.
Les conditions d’administration du système d’information prévoient l’existence de systèmes automatiques de
traçabilité (journaux, audits…).
Dans le cas de l’utilisation d’un service de communication au public en ligne, le responsable de traitement prend
les mesures nécessaires pour se prémunir contre toute atteinte à la confidentialité des données traitées. Les données
transitant sur des canaux de communication non sécurisés doivent notamment faire l’objet de mesures techniques
visant à les rendre incompréhensibles à toute personne non autorisée à y avoir accès.
Le responsable de traitement devra aussi s’assurer que ses sous-traitants présentent des garanties en matière de
sécurité des données.
S’agissant des données de santé, le responsable de traitement s’engage à respecter les dispositions prévues par le
code de bonne conduite annexé à la convention AERAS concernant la collecte et l’utilisation de données relatives à
l’état de santé en vue de la souscription ou de l’exécution d’un contrat d’assurance.
Art. 8. – Transferts de données vers l’étranger.
Les transferts de données à caractère personnel réalisés vers des pays tiers à l’Union européenne qui ne sont
pas membres de l’Espace économique européen peuvent être effectués lorsque l’une des conditions suivantes est
réunie :
– les transferts s’effectuent à destination d’un pays reconnu par une décision de la Commission européenne
comme assurant un niveau de protection suffisant, ou d’une entreprise américaine ayant adhéré aux principes
du Safe Harbor ; ou
– le traitement garantit un niveau suffisant de protection de la vie privée ainsi que les droits et libertés
fondamentaux des personnes par la mise en œuvre des clauses contractuelles types adoptées par la
Commission européenne ou par l’adoption de règles internes d’entreprise dénommées BCR dont la CNIL a
préalablement reconnu qu’elles garantissent un niveau de protection suffisant ; ou
– ces transferts sont réalisés dans le cadre de l’exécution des contrats ou pour la mise en œuvre des garanties
(art. 69 [1o, 5o, 6o] de la loi « Informatique et libertés »), ou lors de la gestion des actions ou contentieux liés à
l’activité et permettant notamment à l’entreprise d’assurer la constatation, l’exercice ou la défense de ses
droits en justice ou pour les besoins de défense des personnes concernées (art. 69 [3o] de la loi « Informatique
et libertés »).
Le recours à ces exceptions de l’article 69 n’est possible que pour les transferts dont le champ d’application est
limité à des cas de transferts ponctuels et exceptionnels. Ainsi, les transferts répétitifs, massifs ou structurels de
données personnelles doivent faire l’objet d’un encadrement juridique spécifique au moyen de BCR ou de clauses
contractuelles types).
Le responsable de traitement s’engage, sur simple demande de la personne concernée, à apporter une
information complète sur la finalité du transfert, les données transférées, les destinataires exacts des informations et
les moyens mis en œuvre pour encadrer ce transfert.
Art. 9. – Dispositions transitoires.
31 juillet 2014
JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE
Texte 76 sur 102
Les traitements de données à caractère personnel dont la mise en œuvre est intervenue avant la publication de la
présente délibération disposent d’un délai de 24 mois à compter de cette publication pour adresser à la Commission
un engagement de conformité avec les dispositions de la présente autorisation unique.
Art. 10. – Publication au Journal officiel.
La présente délibération sera publiée au Journal officiel de la République française.
La présidente,
I. FALQUE-PIERROTIN