Politique de protection des données à caractère personnel

Présentation et objet de la Politique

La présente Politique de protection des données à caractère personnel, ci-après désignée la « Politique », définie les grands principes pour la protection des données à caractère personnel, ci-après les « DACP », relatives aux personnes concernées par les traitements réalisés par IKI en qualité de responsable de traitement. IKI, société à responsabilité limitée, immatriculée au RCS de Paris sous le numéro 824351829, et dont le siège social est situé au 78 avenue Raymond Poincaré, 75116 Paris, exerce l’activité de courtier en assurance et dont la dénomination sociale est ACS Marketing. IKI est immatriculée auprès de l'ORIAS sous le numéro n° 17 000 267 (www.orias.fr).

La Politique vise en particulier à informer les personnes concernées, vous, quant aux modalités de collecte, de traitement et d’utilisation des DACP. La Politique couvre également les modalités d’exercice des droits des personnes concernées, notamment dans le cadre de l’utilisations des différents sites internet et des extranets plateforme en ligne, de souscription et de gestion des contrats d’assurance conçus, distribués et/ou gérés par IKI.

Les conditions de traitement des DACP indiquées par la Politique pourront être complétées ou intégralement remplacées par tout document de nature contractuelle conclu entre la personne concernée et IKI. La Politique est susceptible d’évoluer pour tenir compte de l’évolution des pratiques et du cadre réglementaire de l’activité de IKI.

Les DACP, objets de la présente Politique suivent la définition retenue par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ci-après le « RGPD ». En ce sens, est une DACP toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, en particulier par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres, ci-après dénommée « personne concernée ». Un traitement désigne, quant à lui, toute opération ou ensemble d’opérations portant sur les DACP, quel que soit le procédé technique utilisé : collecte, enregistrement, conservation, modification, l’extraction, la consultation, la communication, le transfert, l’interconnexion mais aussi le verrouillage, l’effacement ou la destruction.

La Politique s’applique à toutes les DACP traitées par IKI, quel que soit leur mode de collecte ou de traitement.

Compte tenu du cadre réglementaire et du respect des données des clients de IKI, les traitements opérés par celui-ci respectent les principes de la protection des données personnelles :

  • Le principe de finalité : chaque traitement répond à un but précis, légal et légitime. Celui-ci est juridiquement fondé et déterminé en fonction de l’objectif poursuivi. L’utilisation et le traitement de DACP doit s’inscrire dans un but précis.

  • Le principe de proportionnalité et de pertinence  : la collecte et le traitement des données sont adéquats, pertinents et non excessifs au regard des objectifs poursuivis.

  • Le principe d’une durée de conservation limitée  : si la Loi impose ou nécessite de conserver les données pendant une durée minimale, IKI doit veiller à ne pas conserver les données au-delà de ces délais.

  • Le principe de sécurité et de confidentialité : IKI garanti la sécurité et la confidentialité des données qu’il traite en veillant à ce que seules les personnes autorisées y aient accès. Les mesures de sécurités prises dépendent notamment des risques pesant sur chaque traitement (sensibilité des données, objectif du traitement…).

  • Les droits des personnes : les personnes concernées disposent de droits sur leurs données. IKI donne l’ensemble des informations permettant l’exercice de ces droits et fait en sorte que celles-ci soient informées en toute transparence des conditions du traitement de leurs données.


Champ d’application de la Politique

Les DACP sont collectées et traitées par IKI ou pour son compte, en qualité de Responsable de traitement pour l’ensemble de ses activités commerciales. La Politique ne s’applique pas aux rapports entre IKI et son personnel salarié, candidats à l’embauche, en contrat de professionnalisation, stagiaire, mandataires sociaux ou encore associés.

IKI intervient en qualité de responsable de traitement. Néanmoins, IKI est susceptible d’intervenir en qualité de co-responsable de traitement, de sous-traitant, voire de sous-traitant ultérieur pour le compte d’autres responsables du traitement avec lesquels la société IKI s’est engagée contractuellement. Les personnes concernées sont informées de ces situations au moyen des supports d’information qui leurs sont remis lors de la collecte de leurs données par ou pour le compte de ces sociétés tierces.

Personnes concernées par les traitements

IKI, en qualité de responsable du traitement ou en qualité de sous-traitant, ultérieur ou non, est susceptible d’effectuer des traitements sur les DACP des catégories de personnes physiques suivantes, vous, en tant que :

  • visiteurs et utilisateurs des sites internet et extranet mis à disposition ;

  • clients potentiels personnes physiques ;

  • clients personnes physiques ;

  • ayants-droits personnes physiques des clients personnes physiques ou morales ;

  • partenaires commerciaux personnes physiques ;

  • employés et dirigeants des partenaires commerciaux personnes morales ;

  • fournisseurs et sous-traitants personnes physiques ;

  • employés et dirigeants des fournisseurs et sous-traitants personnes morales ;

  • employés et dirigeants personnes physiques de IKI ou de l’une de ses filiales ;

  • tout tiers identifié au moyen d’un document au format réglementé dont IKI est le destinataire (assignation, constat d’huissier…) ;

  • les candidats à l’embauche.

Dans le cadre de vos rapports avec IKI, vous êtes susceptibles de fournir des DACP relatives à d’autres personnes. Dans cette éventualité, vous êtes invités à en informer ces personnes et à leur adresser la présente Politique afin qu’elles en prennent connaissance.

Traitements concernant les mineurs et majeurs protégés

Dans le cas où le consentement d’un enfant mineur de moins de seize ans est rendu nécessaire pour une finalité en lien avec les services proposés par IKI, le consentement de celui-ci est obtenu auprès de son représentant légal détenteur de l’autorité parentale.

Conformément à la réglementation, IKI informe les mineurs de plus de quinze ans de leur droit de s’opposer à ce que les titulaires de l’autorité parentale puissent exercer pour leur compte les droits relatifs aux traitements des DACP.

Dans le cas où le consentement d’un majeur protégé est rendu nécessaire pour une finalité en lien avec les services proposés par IKI, le consentement de celui-ci est obtenu auprès de son représentant légal. IKI pourra solliciter la remise de justificatifs (copie du jugement de mise sous tutelle, justificatif d’identité…).

Collecte et catégories de données à caractère personnel traitées

Les DACP sont collectées directement à l’initiative de IKI lorsque les DACP sont renseignées dans le cadre d’appels téléphoniques, de formulaires de contact dématérialisés, questionnaires et autre espaces laissés à la disposition des personnes concernées dans le cadre des services proposés, notamment l’utilisation des services des sites internet de IKI (demande de devis, extranets, etc.) ou dans le cadre d’une demande d’adhésion ou de souscription à un de nos services et/ou produits.

Les DACP peuvent également être collectées indirectement dans le cadre de la navigation sur les sites internet de IKI. Vos DACP peuvent également avoir été transmises par des sociétés tierces ayant obtenu votre accord, des compagnies d’assurance ou encore nos partenaires courtiers dans le cadre de la mise en place et l’exécution des contrats d’assurance et pour les besoins de l’utilisation des services des extranets personnalisés ou bien par des cabinets de recrutement dans le cadre d’une procédure de recrutement.

Dans le cadre de ses activités, IKI s’engage à limiter la collecte de ces données à leur strict nécessaire.

Les catégories de DACP suivantes sont traitées :

  • les données relatives à l’identification des personnes (nom, prénom, civilité, adresse postale, email, date de naissance, numéro de carte d’identité, numéro de passeport, numéro de téléphone, autres coordonnées comme l’adresse e-mail et le numéro de téléphone) ;

  • les données relatives à la situation familiale comprenant les éléments relatifs à la situation matrimoniale (mariage, pacs, vie maritale), à la composition du foyer (nombre de personnes composant le foyer, âge), la capacité et le régime de protection (minorité, tutelle, curatelle) ;

  • les données relatives à la gestion de contrats d’assurance (numéro d’identification du client, de l’assuré, du contrat, du dossier sinistre, la durée, les montants, l’autorisation de prélèvement, les données relatives aux moyens de paiement ou relatives aux transactions telles que le numéro de la transaction, le détail de l’opération relative au produit ou service souscrit, numéro de Sécurité sociale, numéro de permis de conduire);

  • les données relatives à la situation économique, patrimoniale et financière (aux revenus du travail, au patrimoine mobilier et immobilier, aux données d’impositions, RIB/IBAN, à la composition du foyer fiscal) ;

  • les données relatives à la situation professionnelle (diplômes, compétences, parcours professionnel, savoir-faire, emploi recherché…) ;

  • les données de géolocalisation des personnes ou des biens en relation avec les risques assurés ou les services proposés ;

  • les données de connexion et de traçabilité (adresse IP et/ou MAC, des cookies, traceurs, des connexions sur l’espace client).

IKI attire l’attention des personnes concernées sur le fait qu’aucun traitement n’est opéré sur d’autres catégories de données, en particulier celles relatives aux origines raciales, aux opinions politiques, aux croyances philosophiques, aux appartenances syndicales, aux données génétiques ou concernant l’orientation sexuelle n’est réalisé. Dans le cadre de ses opérations, le personnel de IKI suit un script de conversation et est sensibilisé afin d’éviter toute collecte d’informations de cette nature qui pourraient être adressées par la personne concernée, à la seule initiative de cette dernière.

IKI souhaite rappeler aux personnes concernées, vous, qu’elles sont elles-mêmes actrices de la protection de leurs données. Aucune données non sollicitée et liée aux services proposés ou obligations légales de ce dernier n’a vocation à être communiquée à IKI.

Finalités des traitements, bases légales associées et durées de conservation

Tel que prévu à l’article 6 du RGPD, le traitement des DACP doit être licite et fondé sur une base légale. Les données des personnes concernées sont utilisées, traitées, selon les finalités et les bases légales déterminées ci-après.

En dehors des bases légales indiquées ci-avant, votre consentement sera requis pour permettre à IKI de réaliser le traitement requis par les finalités concernées.

IKI s’assure ainsi que votre consentement ait été conformément recueilli pour réaliser certaines de ses opérations, en particulier la prospection commerciale. Dans certains cas, IKI peut solliciter votre consentement afin de traiter vos DACP pour certains traitements spécifiques, notamment si la société réalise des traitements ultérieurs, ou des finalités autres que celles énoncées dans la présente Politique.

Les données des personnes concernées font l’objet d’une conservation tenant compte des prescriptions légales en vigueur, notamment en matières civile, fiscale, commerciale et pénale.

Une fois le délai de conservation utile dépassé, les DACP sont conservées à des fins strictement probatoire, au moyen d’un archivage intermédiaire à accès limité. A l’issue du délai de prescription applicable, les DACP sont détruites ou, à défaut, font l’objet d’une anonymisation irréversible.

Principaux délais de prescription :

  • Article 2224 du Code civil : 5 ans ;

  • Article L.114-1 du Code des assurances : 2 ans ;

  • Article L.110-4 du Code de commerce : 5 ans ;

  • Article L.123-22 du Code de commerce : 10 ans

  • Articles L.213-1 et D.213-2 du Code de la consommation : 10 ans.
     

Compte tenu des délais minimum de conservation, la société IKI respecte une politique interne de conservation et d’archivage des données, complétée d’une procédure interne de suppression des données, pour permettre une suppression ou une anonymisation des DACP dans le respect du principe d’une durée de conservation limitée des données.

Base légale du traitement

Finalité principale

Sous-finalité

Durée de conservation

Le respect des obligations légales et réglementaires

L’exercice du devoir de conseil du courtier d’assurance

Recueil des exigences et des besoins ; présentation de produits d’assurance ; établissement du profil du client ; proposition de produits d’assurance

Pendant la durée du mandat de courtage.

Archivage à des fins probatoires pour une durée prévue par les dispositions légales applicables en la matière

La lutte contre le blanchiment d’argent et le financement du terrorisme

Identification des clients ; Déclaration de soupçons ; échanges d’informations avec les partenaires et autorités

5 ans (article L.561-12 du code monétaire et financier)

Gestion comptable des primes et cotisations d’assurance

Encaissement ; reversement ; restitution ; gestion des impayés

10 ans - article L.123-22 du code de Commerce

La lutte contre la fraude fiscale, l’accomplissement des contrôles fiscaux et les obligations de notification

6 ans (article L.102 B du Livre des procédures fiscales) dans certains cas 10 ans

La réponse à des demandes officielles émanant d’une autorité publique ou judiciaire dûment habilitée

6 ans (article L.102 B du Livre des procédures fiscales) dans certains cas 10 ans

L’exécution d’un contrat avec la personne concernée ou pour prendre des mesures, à la demande de celle-ci, avant de conclure un contrat

Données collectées dans le cadre de l’établissement du devis et les autres données telles que les devis / bulletins individuels d'adhésion / notice d'information

1 an en cas d'absence de contractualisation

Recueil des réponses des prospects relatives au questionnaire de déclaration du risque

Pendant la durée du mandat de courtage.

Archivage à des fins probatoires pour une durée prévue par les dispositions légales applicables en la matière

Gestion de la relation avec les prospects

Relance ; Envoi des éléments d’information ; élaboration de statistiques

3 ans à compter de leur collecte par IKI ou un tiers autorisé à transmettre ces données ou du dernier contact à votre initiative en l'absence de toute souscription de contrat

Gestion de la relation commerciale établie

Données collectées dans le cadre des relations contractuelles établies avec IKI

3 ans à compter de la fin de la relation commerciale

Gestion des réclamations

Réception, accusé de réception, traitement

5 ans à compter de la clôture de la réclamation

Signature électronique

Signature ; Mise à disposition des documents

10 ans à compter de la signature.

Passation, gestion et exécution des contrats d’assurance

Délais légaux de prescriptions en matière de prestations d'assurance :

À compter de l’indemnisation ou du refus de prise en charge :

Toute prestation

2 ans

Incapacité / invalidité

5 ans / 10 ans si règlement au Trésor public

Prestation liée au décès

30 ans

Répétition de l'indu

5 ans

Appel de prime ou de cotisation

10 ans

Gestion des offres promotionnelles

Demandes de remboursement ; Offres de parrainage

5 ans à compter de la prise en compte de la demande

La poursuite d'intérêts légitimes

Suivi des clients et prospects déjà connus de IKI

Opérations de communication ; Vérification de la satisfaction ; Élaboration de statistiques commerciales

3 ans à compter de la fin de la relation commerciale

Réponse aux demandes d’information ou de service des personnes concernées

Réception de toute demandes hors clients et prospects et traitement

5 ans

Suivi et gestion des fournisseurs ; partenaires

Relation avec les fournisseurs et partenaires ; réunion ; communications

5 ans à compter de la clôture du compte ou de la cessation de la relation

La lutte et la prévention de la fraude à l’assurance

Données des alertes pertinentes

5 ans à compter de la clôture du dossier de fraude

Données dans le cadre des procédures judiciaires engagées à la suite d’une alerte

Jusqu'au terme de la procédure judiciaire ;

Archivage pour la durée de prescription applicable

Données reportées dans la liste de fraudeurs présumés

5 ans à compter de la date d'inscription sur cette liste

Données et documents relatifs à l'identité des assurés habituels ou occasionnels et le cas échéant, des bénéficiaires effectifs

5 ans à compter de la clôture du compte ou de la cessation de la relation

Données relatives à des cas de suspicion de fraude

6 mois à compter de l'émission de l'alerte

Données relatives à des cas avérés de fraude

Conservation utile jusqu'au terme de la procédure ;

Archivage pour la durée de prescription correspondante.

Gestion de l’exercice des droits sur les DACP

Réception des demandes ; traitement des demandes ; identification du demandeur

En cas d'exercice du droit d'accès, de rectification, de portabilité, les données relatives aux justificatifs ou pièces d'identité éventuellement collectées peuvent être conservées pendant 1 an.

En cas d'exercice du droit d'opposition, ces données peuvent être archivées pendant 3 ans à compter de l'exercice du droit d'opposition

la défense de ses intérêts au plan administratif et judiciaire

Surveillance ; Précontentieux ; Contentieux ; Archivage

Conservation utile jusqu'au terme de la procédure ;

Archivage pour la durée de prescription correspondante.

la poursuite de l'objet social des sociétés de IKI

Organisation des assemblées ; Gestion des mandataires sociaux ; Commissariat aux comptes ; Tenue des registres

Durée de sociétés IKI

Dispositif d'écoute et/ou d'enregistrement ponctuel des conversations téléphoniques, vente et service client

Validation des ventes ; Sélection des enregistrements audios pour anonymisation et utilisation du support final à des fins de formation ;

Amélioration de la qualité du service (suivi des scripts et respect du discours client par le personnel de IKI).

30 jours

Le consentement de la personne

Prospection commerciale

Démarchage téléphonique ; Campagne de mailing ; Campagne de SMS

3 ans à compter de leur collecte par IKI ou un tiers autorisé à transmettre ces données ou du dernier contact à votre initiative en l'absence de toute souscription de contrat

Suivi des préférences de navigation - cookies

Analyse des habitudes et préférences dans l’utilisation des sites internet

13 mois à compter du dépôt

Destinataires des données

Les DACP sont principalement destinées au personnel salarié de IKI en charge de la passation, la gestion et l’exécution des contrats d’assurance, aux services en charge de la gestion de la relation commerciale avec les clients et prospects de IKI. Les DACP sont également susceptibles d’être transmises, pour les besoins de la gestion et de l’exécution de vos contrats d’assurance, aux entreprises d’assurance et de réassurance partenaires de IKI, aux fournisseurs de réseaux de soins et de santé ou encore aux organismes en charge de la sécurité sociale et de l’assurance maladie lorsque ces derniers interviennent dans le règlement des sinistres.

Dans le cadre des traitements, IKI peut également transmettre les DACP à des co-responsables de traitement, aux sous-traitants dans le cadre de l’exercice de leurs missions mais également des prestataires de services, mandataires et fournisseurs pour assurer des opérations internes de son activité et du site internet. IKI veille à ce que ces destinataires soient contractuellement engagés à préserver la confidentialité et la sécurité des DACP et mettent en œuvre les mesures adéquates.

Les DACP pourront également être transmises lorsque cela est requis par la Loi, une disposition réglementaire ou une décision judiciaire ou si une telle communication s’avère raisonnablement nécessaire pour respecter les procédures judiciaires, répondre à d’éventuelles réclamations ou protéger la sécurité des DACP et des droits des personnes concernées ou ceux de IKI.

Lorsque IKI opère un transfert de données en dehors du territoire de l’Union Européenne, ou de l’Espace économique européen (ci-après dénommé « EEE »), IKI s’engage à n’y procéder qu’à certaines conditions :

  • l’importateur de données se trouve dans un Etat considéré par la Commission européenne comme assurant un niveau de protection adéquat ;

  • lorsque le réceptionnaire ne se trouve pas dans un Etat considéré par la Commission européenne comme assurant un niveau de protection adéquat, IKI fera en sorte que l’importateur de données soit engagé en vertu des Clauses Contractuelles Types de la Commission européenne ou dispose de Règles d’Entreprise Contraignantes au sein de son groupe de sociétés ;

Tout sous-traitant ultérieur situé en dehors de l’EEE devra répondre au moins à l’une des conditions énoncées précédemment.

Droits relatifs aux traitements des données

Conformément à la réglementation, les personnes concernées disposent de certains droits sur leurs DACP qu’elles peuvent exercer auprès du responsable de traitement :

  • le droit d’accès ;

  • le droit à la rectification ;

  • le droit à la limitation ;

  • le droit de demander la suppression / le droit à l’oubli ;

  • le droit d’opposition concernant un traitement spécifique pour lequel un consentement exprès a été nécessaire ;

  • le droit à la portabilité des données ;

  • le droit de donner des directives particulières relatives à la conservation, à l’effacement et à la communication des DACP après le décès de la personne concernée.

Vous pouvez exercer vos droits, accompagnés de tout document permettant de justifier de votre identité, soit par l’envoi d’un mail à dpo@iki-assurances.fr soit par courrier à :

IKI - Délégué à la protection des données

14-16, rue Jules Lecesne

76600 Le Havre, France

IKI traitera votre demande en toute confidentialité. IKI se réserve le droit de demander au demandeur des pièces complémentaires afin notamment de justifier de son identité.

Attention : L’exercice de vos droits pourront être limités selon les règles d’ordre public en vigueur. Certaines finalités sont en effet rendues obligatoires par la loi, aux fins notamment de lutte contre le blanchiment et le financement du terrorisme, lutte contre l’évasion fiscale, le gel des avoirs…

Par ailleurs, si vous estimez ne pas avoir pu exercer vos droits conformément au RGPD ou à toute disposition légale en vigueur en matière de protection des données, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés, 3 Place de de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07

Sécurité des traitements

IKI prend toutes les mesures physiques, techniques et organisationnelles pour garantir la confidentialité, l’intégrité et la disponibilité des DACP, en particulier afin de les protéger contre la perte, la destruction accidentelle, l’altération, l’accès non autorisé et le détournement de la finalité de leur traitement.

Dans ce cadre, IKI s’engage à assurer la sécurité, la disponibilité, l’intégrité, l’authenticité et la confidentialité des DACP. La société IKI garantit notamment que l’ensemble de son personnel et celui des tiers dont elle répond est soumis à une stricte obligation de confidentialité.

En dépit des mesures prises, IKI ne peut garantir la sécurité absolue de la protection mise en œuvre en raison de l’évolution constante des techniques d’intrusion et des risques inévitables pouvant survenir lors de la transmission de DACP.

Une vigilance constante est également attendue des utilisateurs de ses services en ligne quant à leur implication dans la protection de leurs propres données. Celles-ci doivent veiller à la confidentialité de leurs moyens d’accès aux services en ligne et à leur contenu.

En cas de perte ou soupçon de perte de vos identifiants, ou de tout autre événement pouvant entraîner des risques pour les sites et les DACP, vous êtes invités à contacter IKI sans délai au moyen des formulaires mis à votre disposition.

En cas de violation de vos DACP qui présenterait un risque pour vos droits et libertés, IKI en notifiera la CNIL, dans le respect des délais réglementaires. Dès lors que la violation présenterait un risque élevé pour les droits et libertés des personnes concernées, IKI en informera ces dernières dans les meilleurs délais en indiquant la nature de la violation, les DACP concernées et les mesures prises pour remédier à la violation.

Utilisation des données de navigation / cookies

Les sites internet édités par IKI emploient des données des navigations, témoins de connexion, autrement désignés « cookies ». afin de prendre connaissance des conditions d’emploi de ces cookies par IKI, la personne concernée est invitée à se référer aux mentions légales et au bandeau relatifs aux cookies du site internet concerné.

Délégué à la protection des données / data protection officer (DPO)

Compte tenu du volume de DACP traitées et de leur nature IKI a désigné un délégué à la protection des données.

Vous pouvez adresser un courrier électronique au délégué à la protection des données pour toute question concernant la présente Politique ou pour toute demande concernant vos DACP et l’exercice de vos droits y afférant.

Contact : dpo@iki-assurances.fr

Adresse postale :

IKI

Délégué à la protection des données

14/16, rue Jules Lecesne

76600 Le Havre, France

Evolution et modifications de la politique de protection des données à caractère personnel

La présente Politique peut évoluer à tout moment avec entrée en vigueur immédiate. Afin de vous en tenir informés, nous indiquons la date de sa dernière mise à jour.

La dernière mise à jour de la présente Politique a été effectuée le :  16/03/2023.