Suite à l’entrée en application du RGPD, les autorisations uniques adoptées par la CNIL n’ont plus de valeur juridique à compter du 25 mai 2018. Dans l’attente de la production de référentiels RGPD, la CNIL a décidé de les maintenir accessibles afin de permettre aux responsables de traitement d’orienter leurs premières actions de mise en conformité.
L'autorisation unique AU-039 concerne les traitements mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance. ayant pour finalité la lutte contre la fraude à l’assurance. cette autorisation unique vient finaliser le pack de conformité assurance qui est composé de deux normes simplifiées et de trois autorisations uniques. Ce pack est accompagné de fiches pratiques descriptives et venant préciser les normes. Il recense ainsi l'ensemble des traitements de données à caractère personnel mis en œuvre par les professionnel de l'assurance dans le cadre des contrats d'assurance.
Tous les autres secteurs qui ne font pas de l’assurance et qui n’entrent pas dans le périmètre de la lutte contre la fraude à l’assurance dans le cadre de la passation, la gestion et l’exécution des contrats d’assurance, de capitalisation,
Responsables de traitement concernés
Les organismes d’assurance, de capitalisation, de réassurance, d’assistance, et les intermédiaires d’assurance (désignés les « organismes d’assurance » )
Objectif(s) poursuivi(s) par le traitement (finalités)
La lutte contre la fraude à l'assurance externe ou interne, sont visés :
l'analyse et la détection des actes réalisés dans le cadre de la passation, la gestion et l'exécution des contrats présentant une anomalie, une incohérence, ou ayant fait l'objet d'un signalement pouvant révéler une fraude à l'assurance,
la gestion des alertes en cas d'anomalies, d'incohérences ou de signalements,
la constitution de listes des personnes dûment identifiées comme auteurs d'actes pouvant être constitutifs d'une fraude,
la gestion des procédures amiables, contentieuses, et disciplinaires consécutives à un cas de fraude,
l'exécution des dispositions contractuelles, législatives, réglementaires ou administratives en vigueur applicables consécutivement à une fraude.
Des requêtes individuelles et ponctuelles peuvent être effectuées par l'employeur, dans le cadre de son pouvoir d'enquête interne, sur les données collectées au titre de la gestion administrative du personnel.
Il peut exister des interconnexions entre les traitements de données mis en œuvre par le responsable de traitement ou par le groupe auquel il appartient, répondant aux finalités suivantes :
la gestion commerciale de clients et de prospects (NS-056),
la passation, la gestion et l'exécution des contrats (NS-016),
la lutte contre le blanchiment et le financement du terrorisme (AU-003),
la collecte et le traitement des données relatives aux infractions, aux condamnations et mesures de sûreté,
la gestion des relations contractuelles avec les intermédiaires, les prestataires, les sous-traitants, les délégataires, et les partenaires.
Les requêtes ou alertes détectées automatiquement doivent donner lieu à une analyse non automatisée par le personnel habilité de l'organisme ou du groupe auquel il appartient, le cas échéant des investigations complémentaires pourront être diligentées.
Données personnelles concernées
Données autorisées dans le cadre de la NS-016 :
l'identification des personnes parties, intéressées ou intervenantes au contrat,
la situation familiale, économique, patrimoniale et financière,
la situation professionnelle,
l’appréciation du risque,
la passation, l’application du contrat, et la gestion des sinistres et des prestations,
la détermination ou à l'évaluation des préjudices,
la localisation des personnes ou des biens en relation avec les risques assurés,
la vie personnelle et aux habitudes de vie en relation avec les risques assurés,
la santé lors de la souscription du contrat, sous réserve de l’obtention du consentement exprès de la personne concernée.
Données autorisées dans le cadre de la NS-056 relatives à:
à l’identification des personnes,
à la situation familiale, économique, patrimoniale et financière et aux habitudes de vie en lien avec la relation commerciale,
aux activités professionnelles et non professionnelles ayant un lien avec la relation commerciale,
au suivi de la relation commerciale,
à la localisation et à la connexion,
Données autorisées dans le cadre de l’AU-032 :
les données d’identification : nom et prénom(s), date et lieu de naissance,
les coordonnées postales,
le cas échéant, les données issues des procès verbaux de police ou de gendarmerie, les décisions judiciaires ou administratives et les enquêtes judiciaires.
les faits constatés,
la présence de témoins, leur identification et leurs témoignages.
saisine ou absence de saisine,
classement sans suite,
engagement de poursuite,
condamnations,
mesures de sûreté.
Données de journalisation des accès aux traitements relevant de la norme simplifiée NS-016, NS-056 et des autorisations uniques AU-031 et AU-032.
Le NIR dans les cas suivants :
pour les activités d’assurance maladie, maternité, invalidité, retraite supplémentaire, dans le cadre des relations avec les professionnels, les établissements et les institutions de santé, pour les déclarations sociales des entreprises souscriptrices de contrats d’assurance et pour l’indemnisation des accidents,
pour la gestion des rentes, dans le cadre de leurs activités d’assurance, pour les garanties pertes d’exploitation et perte d’emploi uniquement à des fins probatoires.
Les données collectées au titre de la gestion administrative du personnel uniquement dans le cadre de requêtes ponctuelles et individuelles consécutives à la détection d’une fraude.
Les données relatives aux anomalies, incohérences et signalement pouvant révéler une fraude.
Les données relatives aux investigations, à l’instruction du dossier de fraude et à l’évaluation du périmètre de la fraude.
Les données d’identification des personnes intervenant dans la détection et la gestion de la fraude.
Données exclues du champ de la norme
Toutes les autres données des normes du pack assurance qui ne sont pas strictement visées par cette AU-039.
Durée de conservation des données
Délai de 6 mois à compter de l’émission des alertes pour les qualifier.
Toute alerte qualifiée de « non pertinente » est supprimée sans délai.
Les alertes n’ayant reçu aucune qualification à l’issue du délai de 6 mois sont supprimées.
En cas d’alerte pertinente, les données visées à l’article 3 sont conservées pour une durée maximale de 5 ans à compter de la clôture du dossier de fraude.
Lorsqu’une procédure judiciaire est engagée, les données sont conservées jusqu’au terme de la procédure judiciaire. Elles sont ensuite archivées selon les durées de prescription applicables.
Pour les personnes inscrites sur une liste des fraudeurs présumés, les données les concernant sont supprimées passé le délai de 5 ans à compter de la date d’inscription sur cette liste.
Destinataires des données
Aux fins de lutte contre la fraude interne :
Les personnes habilitées de la direction des ressources humaines pour des requêtes ponctuelles et individuelles réalisés dans le cadre d'enquêtes internes consécutives à la détection d'une fraude,
le conseil de discipline saisi en cas de fraude,
les représentants du personnel dans le cadre de l'accompagnement d'un salarié mis en cause pour fraude.
Aux fins de lutte contre la fraude interne et externe :
les personnels en relation avec la clientèle et les gestionnaires de contrats et de sinistres,
les autres entités d'un même groupe dès lors qu'elles sont concernées par la fraude ou interviennent dans la gestion des dossiers ou de maîtrise du risque de fraude,
les personnels habilités en charge de la lutte contre la fraude, de la lutte anti-blanchiment et du contrôle interne, les inspecteurs, enquêteurs, experts, et auditeurs,
le personnel habilité de la direction générale, la direction juridique ou du service du contentieux pour la gestion des contentieux,
le personnel habilité des sous-traitants.
Dès lors qu'ils sont directement concernés par une fraude, peuvent être destinataires des données relatives à cette fraude, les personnels habilités :
des autres organismes d'assurance ou intermédiaires intervenant dans le cadre de dossier présentant une fraude,
des organismes sociaux lorsque les régimes sociaux interviennent dans le règlement des sinistres ou lorsque les organismes d'assurances offrent des garanties complémentaires à celles des régimes sociaux,
des organismes professionnels intervenant dans le cadre de dossiers présentant une fraude,
les auxiliaires de justice et officiers ministériels,
l'autorité judiciaire, médiateur, arbitre saisis d'un litige,
les organismes tiers autorisés par une disposition légale à obtenir la communication de données à caractère personnel relatives à des précontentieux, contentieux ou condamnations,
s'il y a lieu les victimes de fraudes ou leurs représentants.
La communication de ces données ne peut en aucun cas donner lieu à la création d'un fichier concernant les données relatives aux fraudes et mutualisé entre les destinataires.
Information des personnes et respect des droits « informatique et libertés »
Il existe une obligation d' information générale conformément aux dispositions de l'article 32 de la loi informatique et libertés.
en outre, les personnes sont informées du fait que le responsable de traitement met en œuvre un dispositif ayant pour finalité la lutte contre la fraude pouvant, notamment, conduire à l’inscription sur une liste de personnes présentant un risque de fraude. Cette information s’effectue de manière différents selon les cas de fraude (interne ou externe).
après un délai de 6 mois d’investigation, en cas de confirmation de l’anomalie et de décisions produisant des effets juridiques, la personne susceptible d’être inscrite sur une liste de personnes présentant un risque de fraude, doit être informée individuellement par écrit des dites conséquences en lui donnant la possibilité de présenter ses observations.
Sécurité et confidentialité
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données. Le responsable de traitement définit une politique de sécurité adaptée aux risques présentés par les traitements et à la taille de l'organisme d'assurance.
Les accès aux traitements de données nécessitent une authentification des personnes accédant aux données. Les conditions d'administration du système d'information prévoient l'existence de systèmes automatiques de traçabilité (journaux, audits...). Les droits permettant d'accéder aux données doivent être précisément définis en fonction des besoins réels de chaque utilisateur.
Le responsable de traitement prend les mesures nécessaires pour assurer la maintenance du matériel.
Transferts des données hors de l’Union Européenne
Les transferts sont possibles dans les conditions prévues par la loi "Informatique et libertés"