Politique de protection des données

L’association MT71 (ci-après : « MT71 » ou « l’Association ») attache une grande importance aux informations personnelles et la vie privée de ses adhérents, patients, salariés, partenaires, prestataires, utilisateurs de son site Internet et, plus généralement, de toute personne en lien avec l’Association pour quelque raison que ce soit. Dans un souci de transparence, la présente politique de protection des données à caractère personnel a vocation à décrire :

  • l’ensemble des traitements de données à caractère personnel que MT71 met en œuvre[1] ;
  • les précautions prises par MT71 pour chacun d’entre eux, que ce soit au regard :
    • de leur licéité,
    • des catégories de données traitées,
    • de la durée de conservation de ces données,
    • de leurs destinataires,
    • de l’information des personnes concernées,
    • des mesures mises en place pour garantir leur sécurité ;
  • les droits dont dispose toute personne à l’égard des traitements de données la concernant, et comment les exercer auprès de MT71.

Les éléments ainsi décrits plus avant rendent compte du respect du cadre juridique applicable à la protection des données à caractère personnel (ci-après : « données » ou « données/informations personnelles »), et en particulier du Règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après : « RGPD »), et de la loi 78/17 du 6 janvier 1978 modifiée, qui le complète (ci-après dénommée loi « Informatique et Libertés »).

 

Précisions liminaires : Terminologies et définitions

 

·         La donnée à caractère personnel 

La donnée à caractère personnel (ci-après : « données » ou « données/informations personnelles ») est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

·         Le traitement de données

Il s’agit de toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

·         Le responsable du traitement

Le responsable du traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

·         La personne concernée

La personne concernée par un traitement de données est celle à laquelle se rapportent les données qui font l’objet du traitement.

·         Le sous-traitant

Le sous-traitant est la personne physique ou morale, l’autorité publique, le service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

·         Le destinataire

Le destinataire est la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires.

·         Le tiers

Le tiers est toute personne physique ou morale, autorité publique, service ou organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.

 

Précisions liminaires : Identité du responsable de traitement

Le responsable des traitements est MT71. Il s’agit d’une association loi 1905 à but non lucratif enregistrée sous le numéro SIREN 778562843. Son siège est situé au 15 rue Gabriel Lippmann – CS 30161 à Chalon sur Saône (Cedex 71 104).

 

1.   TRAITEMENTS DE DONNÉES A CARACTÈRE PERSONNEL

Les traitements de données à caractère personnel que nous mettons en œuvre, dans le cadre de notre cœur de métier, ont pour finalités principales :

  • La gestion administrative et financière de nos adhérents (dont la gestion des demandes d’adhésion)
  • La gestion de la médecine préventive des salariés des organismes adhérents
  • La gestion des formations et sensibilisation en prévention
  • L’organisation d’événements institutionnels
  • La gestion de la communication externe
  • La gestion des recouvrements

 

2.   LICEITE DES TRAITEMENTS MIS EN ŒUVRE

L’ensemble des traitements précités repose sur une base juridique répondant aux exigences du RGPD.  

Ainsi ces traitements reposent, selon les cas :

  • sur le consentement de la personne concernée,
  • sur l’exécution d’un contrat auquel la personne concernée est partie,
  • sur une obligation légale à laquelle MT71 est soumise,
  • ou encore sur l’intérêt légitime poursuivi par MT71, dans le cadre du bon accomplissement de ses missions et de son bon fonctionnement.

 

3.   CATEGORIES DE DONNEES TRAITEES ET RESPECT DU PRINCIPE DE MINIMISATION

Pour l’essentiel, les traitements que nous mettons en œuvre portent alternativement ou cumulativement sur les catégories de données suivantes :

  • des données d’identification,
  • des données de caractéristiques personnelles,
  • des données relatives à la vie professionnelle,
  • des données relatives à la santé,
  • des données financières (selon les catégories issues du lexique de la Commission Nationale de l’Informatique et des Libertés).

Quelle que soit la catégorie de données concernée, nous nous engageons à respecter le principe de minimisation des données, en ne traitant que des données adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités poursuivies par chaque traitement.

A cette fin, tout formulaire de collecte d’informations ou questionnaire que nous soumettons précise le caractère obligatoire ou non obligatoire de la fourniture de telle ou telle information.

 

4.   DUREES LIMITEES DE CONSERVATION DES DONNEES

Nous conservons toute donnée personnelle dans un environnement sécurisé et uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou pendant la durée de conservation maximale imposée par un texte légal ou règlementaire le cas échéant.

Lorsqu’une durée de conservation est atteinte, les données concernées sont soit effacées de manière irréversible, soit anonymisées, soit archivées dans des conditions respectueuses des recommandations de la Cnil à cet égard (accès restreint et limité à des fins contentieuses).

 

5.   DESTINATAIRES DES DONNEES ET TRANSFERTS

Les destinataires des données traitées par l’Association sont les personnels des services internes de MT71, selon des règles d’habilitation strictement définies et dans la limite du « besoin d’en connaître ».

Lorsqu’un transfert de données est organisé hors de chez nous, il est porté à la connaissance des personnes concernées, et, le cas échéant, subordonné au recueil de leur consentement préalable.

En tout état de cause, nous nous engageons à ne procéder à aucun transfert de données vers un pays qui ne disposerait pas d’un cadre juridique au moins aussi protecteur que celui organisant la protection des données au sein de l’Union européenne.

Enfin, il est précisé que nous exigeons de tous nos prestataires et partenaires, susceptibles d’accéder à des données, de respecter les principes issus du RGPD et de la loi « Informatique et Libertés » modifiée.

 

6.   INFORMATION DES PERSONNES CONCERNEES

Dans la mesure du possible, nous veillons à ce que toutes les personnes concernées par nos traitements de données soient destinataires des informations prescrites par le RGPD et la loi « Informatique et Libertés » modifiée.

En particulier, nous mettons tout en œuvre pour que chaque document de collecte de données ou questionnaire que nous soumettons précise :

  • l’identité du responsable du traitement ;
  • la finalité du traitement auquel sont destinées les données ainsi que la base juridique du traitement ;
  • lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f) du RGPD, les intérêts légitimes que nous poursuivons ou qui sont poursuivis par un tiers ;
  • les destinataires des données à caractère personnel ;
  • les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :
    • la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

 

 

  • l’inventaire des différents droits que peut exercer toute personne à l’égard de ses données ;
  • des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
  • l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4 du RGPD, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ;

Si malgré nos efforts, tout ou partie de ces informations feraient défaut sur l’un de nos documents de collecte d’informations, nous vous prions de bien vouloir en informer notre référent en matière de protection des données, notre Délégué à la protection des données (DPO) à l’adresse suivante : dpo_mt71@actecil.fr

 

7.   MESURES DE SECURITE MISES EN PLACE

Nous nous efforçons de mettre en place toutes les mesures techniques et organisationnelles appropriées au regard :

  • de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités des traitements placés sous notre responsabilité ;
  • ainsi que des risques pour les droits et libertés des personnes physiques.

Cette sécurité se conçoit pour l’ensemble des processus relatifs à ces données, qu’il s’agisse de leur création, leur utilisation, leur sauvegarde, leur archivage ou leur destruction et concerne leur confidentialité, leur intégrité, leur authenticité et leur disponibilité.

Lors de l’évaluation du niveau de sécurité approprié, nous tenons compte en particulier des risques que présente tel traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

En application du RGPD, nous nous engageons à effectuer une analyse de l’impact des opérations de traitement sur la protection des données à caractère personnel, lorsque ces opérations présentent un risque élevé pour les droits et libertés des personnes physiques.

 

8.   DROITS DES PERSONNES CONCERNEES

En application du RGPD comme de la loi « Informatique et Libertés » modifiée qui le complète, toute personne concernée par un traitement de données que nous mettons en œuvre (principalement nos adhérents, patients, salariés, partenaires, prestataires et utilisateurs de notre site internet) dispose de différents droits à l’égard des données la concernant.

Ainsi, en qualité de « personne concernée », vous disposez du droit de nous demander l’accès à vos données, la rectification ou l’effacement de celles-ci, ainsi que la limitation du traitement de vos données.

Vous disposez également d’un droit d’opposition au traitement de vos données pour des raisons tenant à votre situation particulière, ainsi que d’un droit d’opposition à ce que vos données soient utilisées à des fins de prospection commerciale.

Enfin, vous avez le droit de définir des directives générales et particulières définissant la manière dont vous entendez que soient exercés ces droits, après votre décès.

Pour exercer tout ou partie de vos droits ou pour toute question sur le traitement de vos données par Mt71, vous pouvez contacter notre DPO à l’adresse suivante : dpo_mt71@actecil.fr. Dans le cadre de l’examen de votre demande, un justificatif d’identité pourra vous être demandé. 

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Cnil.

 

9.   ENTREE EN VIGUEUR DE LA PRESENTE POLITIQUE, MISE A JOUR ET COMMUNICATION

 La présente politique de protection des données entre en vigueur à compter du 3 décembre 2012. Elle est susceptible d’être mise à jour, notamment à l’occasion de toute évolution législative ou règlementaire l’affectant, ou encore de l’adoption de toute nouvelle recommandation de la Cnil. Nous vous invitons donc à consulter régulièrement cette page afin de vérifier les mises à jour de notre politique.

[1] A l’exclusion des traitements relevant de la gestion des ressources humaines qui sont portés à la connaissance des personnes concernées au moyen d’un support ad hoc