Politique de protection des données à caractère personnel
1. Préambule
1.1 La Caisse d’Assurance Vieillesse Invalidé et Maladie des Cultes (Cavimac) assure la gestion du régime général de sécurité social pour les ministres du culte et les membres de congrégations et de collectivités religieuses en France en tant que caisse unique à compétence nationale, métropole et département d’outre-mer.
A ce titre, la Cavimac gère de façon globale le régime des cultes, depuis l'affiliation et le recouvrement des cotisations et contributions sociales, jusqu'à la liquidation et le versement des prestations vieillesse, maladie, maternité et invalidité.
Dans le cadre de sa mission de service public et d’employeur, la Cavimac recueille et traite des données à caractère personnel qui nécessitent une protection face aux risques encourus.
1.2 Le présent document constitue la politique de protection des données à caractère personnel de la Cavimac.
1.3 Cette politique doit être respectée par la Cavimac ainsi que par ses prestataires et partenaires ayant à traiter des données à caractère personnel.
1.4 Elle est applicable à tout traitement de données à caractère personnel tel que défini par la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée et par le règlement européen (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD).
1.5 Est entendu par les termes suivants :
Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable.Est réputée identifiable une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propre à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Traitement : Toute opération ou tout ensemble d’opérations effectués ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou tout autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Responsable de traitement : La personne physique ou morale qui détermine les finalités et les moyens d’un ou plusieurs traitements de données à caractère personnel.
Personne concernée : Personne dont les données à caractère personnel sont traitées.
2. La finalité du traitement
2.1 Tout traitement de données à caractère personnel doit disposer d’une finalité licite, explicite et légitime. Les données à caractère personnel ne peuvent pas être traitées ultérieurement de manière incompatible avec la finalité d’origine.
2.2 Les principaux domaines de traitement des données à caractère personnel au sein de la Cavimac sont :
- La gestion de l’affiliation, l’immatriculation, l’instruction des droits et prise en charge par l’assurance maladie obligatoire y compris vers les professionnels de santé ;
- L’information sur les droits à la retraite ;
- La gestion et le calcul des droits à la retraite ;
- La gestion de carrière ;
- La gestion des espaces personnels améli via notre site internet ;
- Les comptes assurés et collectivités ;
- La gestion de l’action sanitaire et sociale auprès des populations fragiles concrétisée par le versement d'aides individuelles ou collectives ;
- La prévention et l’accompagnement en santé des assurés sociaux ;
- Le service médical ;
- La gestion des prestations maladies soumises à avis médical préalable ;
- Le recensement des collectivités religieuses ;
- Le recouvrement et l’encaissement des cotisations et contributions sociales ;
- La gestion des contentieux ;
- Le contrôle et la lutte contre la fraude ;
- La gestion de la relation avec le public ;
- La promotion des offres de services ;
- La gestion des ressources humaines ;
- La gestion de la comptabilité ;
- La gestion de la communication interne et externe ;
Nos missions d’intérêt public peuvent conduire à des échanges d’informations avec nos partenaires (Caisse Nationale d’Assurance Maladie, Direction générale des finances publiques, la Caisse Nationale d’Assurance Vieillesse, l’Agirc-arcco, autres régimes, Caisse Nationale des Allocations Familiales, Union de Recouvrement des cotisations de Sécurité Sociale et d’Allocations Familiales, Caisse des Dépôts et Consignation, Groupement d’intérêt public Union Retraite, Groupement d’intérêt public Modernisation des Déclarations Sociales, Agence Centrales des Organismes de Sécurité Sociale, structures de gestion départementales, organismes de Tutelles …).
3. La pertinence des données collectées
3.1 Toute collecte et traitement de données à caractère personnel sont réalisés de manière loyale et licite.
3.2 Les données collectées sont strictement nécessaire à l’objectif poursuivi par la collecte. Les données collectées sont adéquates, pertinente et non excessive au regard des finalités pour lesquelles elles sont collectées en application du principe de minimisation des données.
4. La durée de conservation des données
4.1 Les données à caractère personnel collectées sont conservées pendant une durée limitée à la finalité poursuivie dans le respect de la législation en vigueur. Elles sont ensuite archivées conformément à la politique d’archivage de la Cavimac permettant de garantir la justification des droits.
4.2 La durée de conservation des données personnelles par la Cavimac est variable et déterminée par différents critères, dont :
- la finalité pour laquelle elle les utilise : la Cavimac doit conserver les données pendant la période nécessaire à l’accomplissement de la finalité liée au traitement ;
- les obligations légales : la législation ou la réglementation peut fixer une durée minimale pendant laquelle la Cavimac doit conserver les données personnelles.
4.3 Le cycle de vie des données et documents contenant des données à caractère personnel :
Les données ou documents « courants » :
Correspondent à ceux nécessaires à la gestion d’un dossier en cours. La durée de conservation doit être limitée au temps nécessaire à l’accomplissement de la finalité poursuivie.
L’évènement déclencheur de l’opération d’archivage, de suppression ou d’anonymisation doit être prédéterminé pour tout traitement.
Les données ou documents « intermédiaires » ou « archivés » :
Correspondent à ceux conservés pour des raisons d’utilité administrative avec un accès restreint (conservation à des fins probatoires, obligation légale ou réglementaire ou sollicitation d’autorité de contrôle…)
Un tri préalable avant l’archivage doit être réalisé afin de ne pas archiver des documents ou informations inutiles ou pléthoriques.
Les données ou documents supprimés, anonymisés ou pseudonymisés:
Au-delà de l’utilité administrative, à l’exclusion des archives définitives conservées pour un intérêt historique, scientifique ou statistique, les données à caractère personnel doivent être supprimées. En cas de non faisabilité technique, une anonymisation ou pseudonymisation est réalisée.
5. La confidentialité des données
5.1 Seul le personnel dûment habilité peut accéder, dans le cadre d’une politique de gestion des accès, aux informations nécessaires à son activité.
5.2 L’accès des informations par des sous-traitants est maitrisé et encadré par des clauses spécifiques dans les contrats.
5.3 D’une manière générale, chaque personne (salariés, sous-traitants, partenaires) doit strictement respecter la confidentialité des données à caractère personnel et ne pas divulguer ces informations.
6. La sécurité
6.1 Les moyens nécessaires à la protection des traitements des données à caractère personnel sont identifiés et mis en œuvre pour éviter tout accès par un tiers non autorisé et prévenir toute perte, altération ou divulgation de données.
6.2 Les principes de sécurité sont anticipés à l’occasion de tout projet de traitement et appliqués par chacun dans le cadre de ses missions.
6.3 Les mesures de sécurité sont mises en œuvre en tenant compte des risques et de la sensibilité de certaines données (ex : données de santé, données cultuelles, etc…).
6.4 Les mesures de sécurité mises en œuvre sont de types organisationnels, techniques et physiques. Par exemple :
- Les mesures organisationnelles (gestions des risques et des projets, sensibilisation du personnel, recourir à des sous traitants qui présentent des garanties appropriées pour assurer la confidentialité et la sécurité des données personnelles, ne pas sous-traiter les données hors Union européenne…) ;
- Les mesures techniques (contrôle d’accès aux données à caractère personnel par authentification et règles d’habilitation, archivage, effacement, contrôle de l’intégrité des données, sauvegardes, réseaux sécurisés, protection des canaux informatiques) ;
- Les mesures de sécurité physique (dispositif de contrôle d’accès physique des locaux, badge d’accès, vidéo surveillance, accès limité aux salles serveurs et aux archives papier …).
7. Violation des données à caractère personnel
7.1 Définition : incident entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation des données à caractère personnel à des tiers non autorisés.
7.2 Tout constat de violations de données à caractère personnel doit être signalé sans délai au Délégué à la protection des données (DPO).
7.3 L’objectif étant d’identifier s’il existe un risque sur la vie privée de la personne concernée et en fonction du risque de mettre en œuvre les mesures appropriées (information de la personne concernée, notification auprès de l’Autorité de contrôle, actions correctives…).
8. L’information et les droits des personnes concernées
8.1 Toute personne concernée par un traitement dispose :
- D’un droit à l’information sur les traitements de données personnelles mis en œuvre par la Cavimac ;
- D’un droit d’accès aux données personnelles la concernant, d’obtenir la rectification, l’effacement, ou la limitation de ses données qui sont inexactes ou incomplètes, ou dont le traitement n’est plus justifié ;
- D’un droit d’opposition au traitement de ses données à caractère personnel pour des raisons tenant à sa situation personnelle. Toutefois une grande partie des traitements reposent sur notre mission de service public définie par le législateur et le pouvoir réglementaire. Ce droit est donc limité et encadré selon le traitement ;
- Du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des libertés ;
- Du droit de saisir la Déléguée à la protection des données de toute réclamation ou demande concernant l’exercice des droits précités.
9. La Déléguée à la protection des données (DPO)
9.1 La Cavimac a désigné un DPO qui est le référent en matière de conformité liée à la protection des données à caractère personnel.
9.2 Les missions du DPO :
- Informe et conseille le Responsable de traitement et les salariés sur les obligations et bonnes pratiques ;
- Contrôle le respect de la législation et la règlementation sur la protection des données ;
- Coopère avec l’autorité de contrôle ;
- Conseille et informe les personnes concernées par un traitement de leurs droits ;
9.3 Pour contacter le DPO :
- Par courrier électronique
- Par courrier postale
Cavimac
Le Tryalis
Déléguée à la protection des données
9 rue de Rosny
93100 MONTREUIL
9.4 Une copie d’un titre d’identité doit être jointe à la demande (sauf pour les salariés de la Cavimac qui n’ont pas à joindre ce document).
10. Responsable de traitement
10.1 Le Responsable de traitement détermine les finalités et les moyens du traitement.
10.2 Identité du Responsable de traitement de la Cavimac
Monsieur le Directeur, Laurent VARNIER.
11. Diffusion
11.1 Cette politique est diffusée en interne sur le site intranet et sur le site institutionnel de la Cavimac.
11.2 Cette politique sera renouvelée tous les trois ans ou autant que nécessaire.
Bonjour ! Je suis ici pour vous orienter sur le site de la Cavimac.