POLITIQUE DE PROTECTION DES DONNEES

GROUPE SOFRACO

Date de dernière mise à jour : 10/06/2021

Groupe Sofraco a à cœur le respect de la vie privée et la protection des données de ses clients et prospects et s’attache au respect des libertés et droits fondamentaux de chacun.

La présente politique de protection des données témoigne des engagements de Groupe Sofraco dans le cadre de ses activités quotidiennes pour une utilisation responsable de vos données à caractère personnel (ci-après nommées « données personnelles »).

Une donnée personnelle désigne toute information susceptible de se rapporter à une personne physique identifiée ou identifiable directement ou indirectement et de la caractériser.

Cette politique vous informe sur la manière dont Groupe Sofraco utilise les informations qui lui sont confiées. Elle a aussi comme objectif d’aider à comprendre quelles sont les données que Groupe Sofraco collecte, pour quelles raisons Groupe Sofraco les collecte, comment elles sont utilisées, la façon de les mettre à jour, de les gérer et précise les droits dont disposent ses prospects et clients.

En cas de contradiction entre les informations fournies dans les clauses contractuelles et cette politique, Groupe Sofraco vous informe que les clauses contractuelles prévaudront sur la politique présentée ici.

Cette politique de protection des données est susceptible d’être modifiée ou complétée à tout moment par Groupe Sofraco, notamment en vue de se conformer à toute évolution législative, réglementaire, jurisprudentielle ou technologique ou pour prendre en compte tout changement dans l’organisation de Groupe Sofraco ou dans les offres, produits et service proposés. Dans un tel cas, la date de sa mise à jour sera clairement identifiée en tête de la présente politique. Il convient par conséquent que vous consultiez régulièrement la présente politique de protection des données afin de prendre connaissance de ses éventuelles modifications.

Coordonnées du responsable des traitements

Les coordonnées sont : 

Groupe Sofraco – RGPD

46 rue de Tauzia

33000 Bordeaux

dpo@groupesofraco.com

Catégories de données collectives

Les données personnelles peuvent être collectées directement auprès de chacun ou indirectement. 

On parle de collecte indirecte de données personnelles lorsque les données ne sont pas recueillies immédiatement auprès de la personne. 

Données personnelles courantes

Dans le cadre de son activité, Groupe Sofraco est amené à collecter différents types de données personnelles : 

  • Identification (état civil, coordonnées)
  • Vie personnelle (habitudes de vie, situation familiale, matrimoniale)
  • Informations professionnelles
  • Informations d’ordre économique et financier (situation patrimoniale, situation financière, revenus, déclarations fiscales, …)

Données sensibles

Dans certains cas, Groupe Sofraco collecte également des données sensibles. Cette collecte est nécessaire notamment dans le cadre de notre analyse nous permettant de maitriser et piloter l’ensemble de votre protection sociale : 

  • Numéro de sécurité sociale
  • Données concernant la santé (poids, taille, problèmes de santé, invalidité, arrêt de travail)
  • Habitudes de vie (fumeur, non-fumeur, pratique d’un sport, séjour à l’étranger, pays fréquentés)
  • Exposition politique

Finalités du traitement

Toutes les données personnelles sont collectées dans un objectif précis (on parle également de « finalité ») qui est porté à votre connaissance. 

Groupe Sofraco utilise vos données personnelles dans le cadre de la gestion de ses clients et prospects, et notamment pour répondre à vos demandes ou pour vous envoyer régulièrement des informations sur les produits qui pourraient vous intéresser. Nous pouvons également autoriser des prestataires tiers à collecter des informations en notre nom si cela est nécessaire pour l’exécution de votre contrat. Les prestataires tiers ont accès aux informations et peuvent les collecter dans la mesure où cela est nécessaire pour leur permettre de remplir leurs fonctions. 

Groupe Sofraco collecte vos données personnelles afin : 

  • De gérer les demandes de ses clients et de pouvoir sélectionner des offres adaptées auprès des partenaires avec lesquels Groupe Sofraco travaille
  • D’assurer la relation avec ses clients
  • D’assurer une activité de prospection commerciale
  • De sécuriser et améliorer le site internet
  • De gérer toute demande relative à l’utilisation de données personnelles.

Fondement du traitement de vos données / Base juridique du traitement

Outre les principes applicables aux données, un traitement ne peut être mis en œuvre que s’il respecte le principe de licéité. Pour ce faire, il est nécessaire qu’il remplisse au moins une des conditions alternatives suivantes : 

  • Vous avez consenti au traitement pour une ou plusieurs finalités spécifiques
  • Le traitement est nécessaire à l’exécution d’un contrat auquel vous êtes partie ou à l’exécution de mesures précontractuelles prises à votre demande  
  • Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable de traitement est soumis ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont il est investi
  • Le traitement est nécessaire à la sauvegarde de vos intérêts vitaux ou d’une autre personne physique 
  • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Groupe Sofraco ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données

Les fondements de chacun des traitements exécutés par Groupe Sofraco sont présentés ci-dessous : 

TraitementsFondement juridique du traitement
Gestion des fournisseursExécution du contrat
Gestion des prospectsIntérêt légitime et consentement
Gestion des clientsExécution du contrat et obligations légales

Destinataires des données personnelles 

Dans la stricte limite des traitements effectués pour les finalités énoncées dans la présente politique, nous sommes amenés à communiquer certaines de vos données : 

  • aux personnels habilités des entités du Groupe Sofraco dans le cadre de l’exercice de leurs missions habituelles ;
  • aux délégataires de gestion et intermédiaires d’assurance ; 
  • aux assureurs ;
  • aux partenaires, prestataires ;
  • aux sous-traitants, par exemple nous pouvons être amenés à confier certaines opérations techniques liées à la maintenance de nos systèmes informatiques à des entreprises externes, 
  • aux personnes intervenants au contrat (avocats, experts-comptables, …) ;
  • aux personnes habilitées au titre des tiers autorisés (autorité de contrôle, commissaires aux comptes, …).

Le Groupe Sofraco s’interdit de céder les données personnelles que vous nous confiez à des tiers pour des utilisations qui leur seraient propres.

Transferts de données personnelles en dehors de l’Union Européenne 

Groupe Sofraco s’engage à ne transférer aucune de vos données personnelles hors de l’Union Européenne.

Utilisation des données

Les données personnelles que nous collectons ne peuvent être utilisées de manière incompatible avec les finalités présentées précédemment. 

Droits des personnes

La nouvelle réglementation en matière de protection des données personnelles impose de respecter les droits des personnes concernées. 

Droit à l’information

A cet effet, Groupe Sofraco vous communique par la présente sa politique de protection des données (finalité du traitement, catégorie de données traitées, destinataires, durée de conservation des données personnelles, droits, information relative à la source des données, existence de prise de décision automatisé).

Droit d’accès

Vous pouvez obtenir la confirmation que des données personnelles vous concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès aux dites données personnelles.

Droit de rectification

Vous pouvez obtenir, dans les meilleurs délais, la rectification des données personnelles vous concernant qui sont inexactes. Compte tenu des finalités du traitement, vous avez le droit d’obtenir que les données personnelles incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

Droit à l’effacement (droit à l’oubli)

Vous pouvez obtenir l’effacement, dans les meilleurs délais, de données à caractère personnel vous concernant dans certaines conditions.

Droit à la limitation

Vous pouvez obtenir la limitation du traitement, ce qui implique que, dans certains cas, vous pouvez nous demander de suspendre momentanément le traitement des données ou de les conserver au-delà du temps nécessaire si vous en avez besoin.

Droit d’opposition

Vous pouvez vous opposer à tout moment à un traitement des données personnelles. L’exercice de ce droit n’est possible que dans l’une des deux situations suivantes :

  • Lorsque l’exercice de ce droit est fondé sur des motifs légitimes 
  • Lorsque l’exercice de ce droit vise à faire obstacle à ce que les données recueillies soient utilisées à des fins de prospection commerciale

Droit à la portabilité

Vous pouvez recevoir vos données personnelles dans un format structuré, communément utilisé et sous format électronique. De plus, vous pouvez obtenir du responsable de traitement qu’il transmette vos données personnelles directement à un autre responsable de traitement.

Ce droit à la portabilité ne peut s’exercer que sur les données personnelles que vous avez fournies personnellement à Groupe Sofraco et qui sont traitées par des moyens automatisés (absence de registres papier). Ce droit ne concerne que les traitements reposant sur un consentement ou lorsque les données sont traitées aux fins d’exécution d’un contrat de mise en œuvre ou de mesures précontractuelles. Enfin, ce droit ne doit pas porter atteinte aux droits et liberté de tiers.

Droit de définir les directives relatives au sort de vos données personnelles post-mortem

Vous avez le droit de définir des directives relatives à la conservation, à l’effacement et à la communication de vos données personnelles après votre décès. 

Exercice des droits et délai de réponse

Vous pouvez donc à tout moment contacter Groupe Sofraco par courrier postal ou mail (merci de vous reporter aux coordonnées indiquées dans le premier paragraphe « Identité et coordonnées du responsable des traitements ») pour consulter les données personnelles vous concernant et qui sont en notre possession.

Pour le droit d’accès, Groupe Sofraco s’engage à répondre à vos demandes dans un délai raisonnable qui ne saurait dépasser 1 mois à compter de la réception de votre demande. Au besoin, ce délai peut être prolongé de 1 mois, compte tenu de la complexité et du nombre des demandes. En cas de prolongation du délai de réponse, Groupe Sofraco vous le notifiera au préalable.

Pour tous les autres droits, Groupe Sofraco s’engage à répondre à vos demandes dans un délai raisonnable qui ne saurait dépasser 1 mois à compter de la réception de votre demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre des demandes. En cas de prolongation du délai de réponse, Groupe Sofraco vous le notifiera au préalable.

Sécurité des données

Des mesures de sécurité physiques, logiques et organisationnelles appropriées ont été prévues par Groupe Sofraco pour garantir la confidentialité des données, et notamment éviter tout accès non autorisé.

Vos données personnelles sont maintenues sur des réseaux sécurisés et accessibles par un nombre limité de collaborateurs et de tiers ayant des droits d’accès spécifiques sur de tels systèmes. Les mesures de sécurité suivantes sont mises en place : 

  • Les ports de communication sont limités 
  • Une revue des droits administrateurs est faite de manière périodique 
  • L’administration du site web se fait via des protocoles sécurisés 
  • Les droits sur la base de données sont gérés finement pour mettre en œuvre le principe de moindre privilège. 
  • Le nombre de composants mis en œuvre est limité et fait l’objet d’une veille et de mises à jour 
  • Les entrées des formulaires sont contrôlées pour éviter les injections SQL 
  • Des tests d’intrusion sont effectués régulièrement sur les sites internet mais également sur les applications mobiles 
  • Une politique de gestion des cookies est disponible : 
  • Les mots de passe ne sont pas stockés en clair mais dans une forme transformée par une fonction cryptographique non réversible conforme au Référentiel Général de Sécurité. 
  • Le site web est régulièrement parcouru pour déceler toute anomalie. 

Groupe Sofraco veille également à ce que ses sous-traitants présentent des garanties appropriées pour assurer la sécurité et la confidentialité de vos données personnelles.

Notification des violations de données personnelles

Groupe Sofraco se doit de notifier aux autorités de contrôle, dans les meilleurs délais, et si possible, 72 heures après en avoir pris connaissance dès lors qu’il y a destruction, perte, altération, divulgation ou accès non autorisé, qu’ils soient accidentels ou illicites des données personnelles sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Cette notification doit également vous être faite sauf si : 

  • La violation des données personnelles n’est pas susceptible d’engendrer un risque élevé pour vos droits et libertés 
  • Des mesures appropriées de protection techniques et organisationnelles étaient en place au moment de l’incident
  • Cette communication impliquait des efforts disproportionnés

Conservation des données

La durée de conservation de vos données dépend des finalités pour lesquelles elles sont traitées.

Vos données personnelles sont conservées tant qu’elles sont nécessaires pour l’exécution de votre contrat ou pour répondre à des obligations légales. 

Nous veillons à conserver vos données personnelles pendant une durée qui n’excède pas la durée nécessaire aux finalités exposées dans la présente politique. 

Pour satisfaire à nos obligations légales, par exemple dans le cadre de la constatation, l’exercice ou la défense de droits en justice ou bien pour répondre à des obligations légales notamment comptables, fiscales ou d’archivage, nous pouvons être amenés à conserver vos données plus longtemps que les durées mentionnées ci-dessous. Dans ce cas, nous réaliserons un archivage de vos données avec accès restreint aux seuls services/destinataires autorisés.

Finalité du traitementDurée de conservation
Exécution du contratLa durée de conservation est de 2 ans après la fin du contrat ou 10 ans après le décès du souscripteur pour les contrats d’assurance-vie
Gestion des prospectsLa durée de conservation des données des prospects est de 3 ans à partir de la dernière action émanant du prospect (sauf durée plus courte indiquée dans le formulaire de collecte)