ANNEXE : Convention d’échange et d’utilisation de données PERSONNELLES ENTRE LES ADHERENTS ET LE GIE GAREAT
-
-
- Objet de la convention
-
La présente convention a pour objet de définir les conditions dans lesquelles les données mentionnées par le Règlement Intérieur sont collectées, traitées par GAREAT et éventuellement restituées aux entreprises Adhérentes.
GAREAT est membre d’un GIE, GPSA. A ce titre, elle bénéficie des moyens du GIE notamment pour les services informatiques. C’est donc ce GIE qui prend en charge l’ensemble des aspects techniques liés aux projets informatiques et qui en assure le support technique.
GAREAT est en outre susceptible de recourir aux prestataires mentionnés au Tableau 2 ci-après.
-
-
- Organisation et rôle des parties
-
Les données personnelles concernées par l’exécution de la présente Convention sont spécifiées au Tableau 1 ci-après.
Tant que les données n’ont pas été versées dans son système d’information, GAREAT a le rôle de destinataire.
Une fois les données versées sur son système d’information, GAREAT a le rôle de responsable de traitement.
-
-
- Détail des services et des conditions d’exécution
-
1 Utilisation des informations
Les informations obtenues par GAREAT ne pourront être utilisées que pour l’exécution des missions correspondant à son objet social.
En aucun cas, GAREAT ne pourra se prévaloir sur la base desdites informations d’une quelconque concession de licence ou d’un quelconque droit d’auteur ou de possession antérieure.
GAREAT s’engage à ne pas réaliser d’analyses ou de traitements spécifiques reposant sur les informations transmises dans le cadre de la présente convention, pour le compte exclusif d’un Adhérent, sauf avec l’accord du Conseil d’administration de GAREAT.
Tous traitements qui reposent sur l’utilisation des informations transmises dans le cadre de la présente convention seront soumis, au préalable, à l’avis du Conseil d’Administration de GAREAT.
2 Modalités techniques de transfert des données
Les modalités techniques de transfert des données de l’Adhérent à destination de GAREAT font l’objet d’échanges.
Il est convenu que :
-
-
- pour GAREAT, les aspects techniques sont pris en charge par le GIE GPSA, qui veille au respect des bonnes pratiques. Sur ce point, GAREAT s’engage à ce que le GIE GPSA respecte les termes de la présente convention ;
- pour l’Adhérent, dans l’hypothèse où les aspects techniques seraient pris en charge par un ou plusieurs de leurs sous-traitants, l’Adhérent s’engage à ce que ces acteurs respectent les termes de la présente convention ;
- les conditions de réalisation des transferts de données seront étudiées en commun et documentées par GAREAT (éventuellement via le GIE GPSA) et l’Adhérent (ou via ses représentants).
-
-
-
- Protection des données personnelles
-
3 Généralités
L’Adhérent déclare remplir ses obligations en matière d’information des personnes concernées pour ce qui a trait aux données personnelles qu’il transmet à GAREAT dans le cadre de l’exécution de la présente convention.
En tant que responsable de traitement, GAREAT s’assure de la conformité des traitements qu’il met en œuvre avec la réglementation en matière de protection des données personnelles et donc à se conformer au règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 et des éventuelles spécificités mises en place par la législation française.
En particulier, GAREAT a désigné un Délégué à la Protection des Données qui veille à la mise en œuvre et au maintien de cette conformité, et l’ensemble de ses collaborateurs a été sensibilisé à la protection des données personnelles.
Les informations qui sont communiquées au GAREAT dans le cadre de son objet social sont susceptibles de contenir des données personnelles régies par la présente convention. Ces données ne devraient en principe pas appartenir aux catégories de données dites “sensibles”.
Les traitements mis en œuvre par GAREAT ont pour finalité de :
– Modéliser l’exposition du groupement,
– Structurer les programmes de réassurance et procéder à leur placement sur la base de ces modélisations,
– Administrer la cession des primes et sinistres.
4 Violation des données
En cas de violation de donnée survenant à l’occasion d’un transfert, GAREAT et l’Adhérent concerné prendront contact dans les 24 heures au plus après identification de l’existence de la violation afin de déterminer la conduite à tenir.
-
-
- Obligations des parties
-
5 Obligations de l’Adhérent
L’Adhérent se déclare propriétaire de l’ensemble des données transmises au GAREAT ou disposer d’un droit d’utilisation de ces données pouvant être délégué au GAREAT.
L’émetteur des données s’engage à faire diligence auprès des prestataires qui souhaiteraient s’assurer du bien-fondé des demandes du GAREAT formulées dans le cadre de la présente convention.
6 Obligations de GAREAT
GAREAT prendra toutes les mesures nécessaires pour préserver le caractère confidentiel des informations. Ces mesures ne pourront pas être inférieures à celles prises par elle pour la protection de ses propres informations confidentielles.
GAREAT s’engage à ne communiquer lesdites informations qu’aux membres de son personnel appelés à en prendre connaissance et à les utiliser. En particulier, GAREAT s’engage à faire signer à l’ensemble de ses collaborateurs des clauses de confidentialité.
Compte tenu des processus de collecte des données et supports utilisés, les données peuvent contenir des informations non listées au Tableau 1 ci-après. Dans cette hypothèse, GAREAT s’engage à ne pas les utiliser ou les transmettre pour traitement, notamment à ses sous-traitants.
GAREAT s’engage à faire respecter les clauses de la présente convention aux sous-traitants auxquels elle peut avoir recours pour traiter les informations qui font l’objet de la présente convention.
En dehors des cas prévus par les textes en vigueur, GAREAT s’engage à ne divulguer, communiquer, céder ou transmettre les données transmises dans le cadre de la présente convention, à quelque titre que ce soit, à aucune personne physique ou morale de nationalité française ou étrangère, autre que les sous-traitants mentionnés au Tableau 2.
-
-
- Responsabilité
-
La responsabilité de l’Adhérent ne saurait être engagée en cas de mauvaise utilisation par GAREAT des données transmises ou d’utilisation non conforme à leur usage.
En cas de fourniture par l’Adhérent de données erronées, la responsabilité du GAREAT ne saurait être engagée quant aux conséquences directes ou indirectes de leur traitement..
-
-
- Date d’effet et durée de la convention
-
La présente convention prend effet à la même date et est établie pour la même durée que le Règlement Intérieur auquel elle est annexée. Elle peut toutefois concerner des données antérieures à cette date, voire produire ses effets sur des données transmises antérieurement à cette date.
Les dispositions de confidentialité de la convention s’appliqueront pendant toute la durée de celle-ci et après son échéance ou sa résiliation quelle qu’en soit la cause.
-
-
- Résiliation de la convention
-
Sauf accord contraire, en cas de cessation des effets de la présente convention ou du Règlement Intérieur auquel elle est annexée quelle qu’en soit la cause, GAREAT s’engage à effacer l’ensemble des informations qui lui ont été transmises par l’Adhérent et à adresser à l’Adhérent un procès-verbal de destruction de ces informations.
Cet effacement ne concerne toutefois pas les analyses et études qui auraient été produites en s’appuyant sur lesdites informations.
Cet effacement devra être réalisé dans un délai de 3 mois après la date d’effet de la résiliation, sauf obligation légale imposant un délai différent.
-
-
- Intangibilité
-
L’objet de la présente Convention est de compléter les stipulations du Règlement Intérieur relatives aux échanges et à l’utilisation de données entre les Adhérents et GAREAT. A ce titre, les stipulations de la présente Convention sont indissociables de celles du Règlement Intérieur avec lesquelles elles forment un ensemble cohérent de droits et d’obligations.
|
|
|
|
Tableau 1 : Données collectées et traitées par GAREAT dans le cadre de la convention
Les catégories de données qui font l’objet de collectes ou d’échanges dans le cadre de la convention sont les suivantes :
Catégories de données |
Principales données |
Données du portefeuille |
Identification de l’entreprise d’assurance Identification du risque Identification du contrat Identification du segment (particulier, professionnel, …) Adresse et/ou coordonnées du lieu du risque Sommes assurées |
Données du sinistre |
Identification de l’entreprise d’assurance Identification du contrat Identification du sinistre Date de survenance Causes et circonstances Coût du sinistre |
Tableau 2 : Identification des acteurs intervenant dans la mise en œuvre de la présente convention
Acteur(s) prenant en charge les modalités techniques de transfert des données :
-
-
- GIE GPSA
-
Prestataires susceptibles de recevoir et traiter les données pour le compte de GAREAT :
-
-
- DARVA
- WHODUNIT
- Cbt Mazars
- Aon
- Carpenter
-