Politique générale de protection des données personnelles

Préambule

  • 1.1   La Caisse d’Assurance Vieillesse Invalidé et Maladie des Cultes (Cavimac) assure la gestion du régime général de sécurité social pour les ministres du culte et les membres de congrégations et de collectivités religieuses en France en tant que caisse unique à compétence nationale, métropole et département d’outre-mer.

    A ce titre, la Cavimac gère de façon globale le régime des cultes, depuis l'affiliation et le recouvrement des cotisations et contributions sociales, jusqu'à la liquidation et le versement des prestations vieillesse, maladie, maternité et invalidité.

    La Cavimac exerce par ailleurs des actions de prévention et sanitaires et sociales à destination de ses assurés en collaboration avec des prestataires, institutionnels ou non.

    Dans le cadre de sa mission de service public et d’employeur, la Cavimac recueille et traite des données à caractère personnel qui nécessitent une protection face aux risques encourus.

    1.2    Le présent document constitue la politique de protection des données à caractère personnel de la Cavimac.

    1.3    Cette politique doit être respectée par la Cavimac ainsi que par ses prestataires et partenaires ayant à traiter des données à caractère personnel.

    1.4    Elle est applicable à tout traitement de données à caractère personnel tel que défini par la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et par le règlement européen (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD).

    1.5    Est entendu par les termes suivants :

    Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée identifiable une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propre à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

    Traitement : Toute opération ou tout ensemble d’opérations effectués ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou tout autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

    Responsable de traitement : La personne physique ou morale qui détermine les finalités et les moyens d’un ou plusieurs traitements de données à caractère personnel.

    Personne concernée : Personne dont les données à caractère personnel sont traitées.

La finalité du traitement

  • 2.1    Tout traitement de données à caractère personnel doit disposer d’une finalité licite, explicite et légitime. Les données à caractère personnel ne peuvent pas être traitées ultérieurement de manière incompatible avec la finalité d’origine.

    2.2    Les principaux domaines de traitement des données à caractère personnel au sein de la Cavimac sont :

    • La gestion de l’affiliation, l’immatriculation, l’instruction des droits et la prise en charge par l’assurance maladie obligatoire y compris vers les professionnels de santé ;
    • L’information sur les droits à la retraite ;
    • La gestion, le calcul et le service des droits à la retraite ;
    • La gestion et la mise à jour de la carrière ;
    • La gestion des espaces personnels ameli ou Cavimac via notre site internet ;
    • Les comptes assurés et collectivités ;
    • La gestion de l’action sanitaire et sociale auprès des populations fragiles concrétisée par le versement d'aides individuelles ou collectives ;
    • La prévention et l’accompagnement en santé des assurés sociaux ;
    • Le service médical ;
    • La gestion des prestations maladies soumises à avis médical préalable ;
    • Le recensement des collectivités religieuses ;
    • Le recouvrement et l’encaissement des cotisations et contributions sociales ;
    • La gestion des contestations, recours et contentieux ;
    • Le contrôle et la lutte contre la fraude ;
    • La gestion de la relation avec le public ;
    • La promotion des offres de services ;
    • La gestion des ressources humaines ;
    • La gestion de la comptabilité ;
    • La gestion de la communication interne et externe ;
    • La réalisation d’enquêtes afin de parfaire les services proposés ;
    • La réalisation de requêtes sur les bases de données de la Cavimac, notamment pour la production de projections financières et de statistiques et la programmation d’actions en cohérence avec la population couverte. 

    2.3   Nos missions d’intérêt public peuvent conduire à des échanges d’informations avec nos partenaires, notamment la Caisse Nationale d’Assurance Maladie et les Caisses Primaires d’Assurance Maladie, la Caisse Nationale des Allocations Familiales et les Caisses d’Allocation Familiales, l’Urssaf Caisse nationake et les Unions de Recouvrement des cotisations de Sécurité Sociale et d’Allocations Familiales,  la Caisse Nationale d’Assurance Vieillesse et les Caisses d’Assurance Retraite et de Santé au Travail, les Caisses Générales de Sécurité Sociale, les organismes obligatoires de sécurité sociale français ou étranger,  l’Agirc-Arcco, Malakoff Humanis, Groupement d’intérêt public Union Retraite, la Direction de la Sécurité Sociale, la Direction Générale des Finances Publiques, la Caisse des Dépôts et Consignation, le Groupement d’intérêt public Modernisation des Déclarations Sociales, le Ministère de l’Intérieur et notamment le Bureau Central des Cultes,…

    2.4   La collecte et le traitement des données peuvent être opérés à partir des outils inter-régimes, notamment le répertoire de gestion des carrières unique dans les conditions fixées aux articles R161-69-7 du code de la sécurité sociale.

     

    2.5   La collecte et le traitement des données peut finalement se faire au travers des échanges entre les assurés, les responsables administratifs d’associations, congrégations ou collectivités religieuses ou les administrateurs et les différents services de la Cavimac au travers du compte ameli.fr ou du compte personnel sur le site internet de la Cavimac

La pertinence et la nature des données collectées

  • 3.1   Toute collecte et tout traitement de données à caractère personnel sont réalisés de manière loyale et licite.

    3.2   Les données collectées sont strictement nécessaires à l’objectif poursuivi par la collecte. Les données collectées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées en application du principe de minimisation des données.

    3.3   Les données collectées et traitées sont notamment le nom, le prénom, la date et le lieu de naissance, l’appartenance cultuelle, le numéro de sécurité sociale, les éléments de carrière de l’assuré au sein du régime de sécurité sociale des cultes et au sein de ses autres régimes de sécurité sociale, le montant de ses ressources, l’adresse, le numéro de téléphone, l’adresse mail, le RIB, les pièces d’identité et justificatifs de situation régulière sur le territoire français, les éléments médicaux nécessaires à l’ouverture de droits et au service de certaines prestations, la composition de la famille, la situation fiscale,…

La durée de conservation des données

  • 4.1   Les données à caractère personnel collectées sont conservées pendant une durée limitée à la finalité poursuivie dans le respect de la législation en vigueur. Elles sont ensuite archivées conformément à la politique d’archivage de la Cavimac permettant de garantir la justification des droits.

    4.2    La durée de conservation des données personnelles par la Cavimac est variable et déterminée par différents critères, dont :

    • la finalité pour laquelle elle les utilise : la Cavimac doit conserver les données pendant la période nécessaire à l’accomplissement de la finalité liée au traitement ;
    • les obligations légales : la législation ou la réglementation peut fixer une durée minimale pendant laquelle la Cavimac doit conserver les données personnelles.

    4.3    Le cycle de vie des données et documents contenant des données à caractère personnel :

    Les données ou documents « courants » :     

    Correspondent à ceux nécessaires à la gestion d’un dossier en cours. La durée de conservation doit être limitée au temps nécessaire à l’accomplissement de la finalité poursuivie.

    L’évènement déclencheur de l’opération d’archivage, de suppression ou d’anonymisation doit être prédéterminé pour tout traitement.

    Les données ou documents « intermédiaires » ou « archivés » :

    Correspondent à ceux conservés pour des raisons d’utilité administrative avec un accès restreint (conservation à des fins probatoires, obligation légale ou réglementaire ou sollicitation d’autorité de contrôle…)

    Un tri préalable avant l’archivage doit être réalisé afin de ne pas archiver des documents ou informations inutiles ou pléthoriques.

    Les données ou documents supprimés, anonymisés ou pseudonymisés :

    Au-delà de l’utilité administrative, à l’exclusion des archives définitives conservées pour un intérêt historique, scientifique ou statistique, les données à caractère personnel doivent être supprimées. En cas de non faisabilité technique, une anonymisation ou pseudonymisation est réalisée.

     

Le transfert de données personnelles hors Union européenne

  • 5.1  Dans le cadre de l’ouverture des droits et du service des prestations au bénéfice de ses assurés, en application des règlements européens et des conventions internationales de sécurité sociale, la Cavimac est amenée à échanger certaines données personnelles de ses assurés avec les organismes étrangers de sécurité sociale dont ils ont relevé.

    5.2   Les échanges se font de manière sécurisée, notamment au travers de l’outil EESSI (Electronic Exchange of Social Security Information).

    5.3   Si la Cavimac privilégie des solutions souveraines, dans le cadre de ses activités et afin de fournir ses services, la Cavimac ou ses sous-traitants peuvent avoir recours à des outils en provenance d’entreprises se situant en-dehors de l’Union européenne.

    5.4   Le cas échéant, la Cavimac s’assure que les mesures de sécurité et de confidentialité ont été prises afin de garantir le même niveau de protection des données personnelles, notamment qu’il existe une décision d’adéquation ou des accords contraignants d’entreprise.

La confidentialité des données

  • 6.1   Seul le personnel dûment habilité peut accéder, dans le cadre d’une politique de gestion des accès, aux informations nécessaires à son activité.

    6.2    L’accès des informations par des sous-traitants est maitrisé et encadré par des clauses spécifiques dans les contrats, conventions et partenariats.

    6.3    D’une manière générale, chaque personne (salariés, sous-traitants, partenaires) doit strictement respecter la confidentialité des données à caractère personnel et ne pas divulguer ces informations.

    6.4   Seuls peuvent avoir accès aux données les concernant les assurés et les responsables administratifs des associations, congrégations et collectivités religieuses dont ils relèvent.

La sécurité

  • 7.1   Les moyens nécessaires à la protection des traitements des données à caractère personnel sont identifiés et mis en œuvre pour éviter tout accès par un tiers non autorisé et prévenir toute perte, altération ou divulgation de données.

    7.2    Les principes de sécurité sont anticipés à l’occasion de tout projet de traitement et appliqués par chacun dans le cadre de ses missions.

    7.3    Les mesures de sécurité sont mises en œuvre en tenant compte des risques et de la sensibilité de certaines données (ex : données de santé, données cultuelles, etc…).

    7.4    Les mesures de sécurité mises en œuvre sont de types organisationnels, techniques et physiques. Par exemple :

    • Les mesures organisationnelles (gestions des risques et des projets, sensibilisation du personnel, recourir à des sous-traitants qui présentent des garanties appropriées pour assurer la confidentialité et la sécurité des données personnelles, ne pas sous-traiter les données hors Union européenne…) ;
    • Les mesures techniques (contrôle d’accès aux données à caractère personnel par authentification et règles d’habilitation, archivage, effacement, contrôle de l’intégrité des données, sauvegardes, réseaux sécurisés, protection des canaux informatiques) ;
    • Les mesures de sécurité physique (dispositif de contrôle d’accès physique des locaux, badge d’accès, vidéo surveillance, accès limité aux salles serveurs et aux archives papier …).

Violation des données à caractère personnel

  • 8.1   Définition : incident entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation des données à caractère personnel à des tiers non autorisés.

    8.2    Tout constat de violations de données à caractère personnel doit être signalé sans délai au Délégué à la protection des données (DPO).

    8.3    L’objectif étant d’identifier s’il existe un risque sur la vie privée de la personne concernée et en fonction du risque de mettre en œuvre les mesures appropriées (information de la personne concernée, notification auprès de l’Autorité de contrôle, actions correctives…).

    8.4    Dans tous les cas, les violations de données font l’objet d’une déclaration auprès de la Cnil et sont répertoriées dans un registre spécifique.

L’information et les droits des personnes concernées

  • Toute personne concernée par un traitement dispose :

    • D’un droit à l’information sur les traitements de données personnelles mis en œuvre par la Cavimac ;
    • D’un droit d’accès aux données personnelles la concernant, d’obtenir la rectification, l’effacement, ou la limitation de ses données qui sont inexactes ou incomplètes, ou dont le traitement n’est plus justifié ;
    • D’un droit d’opposition au traitement de ses données à caractère personnel pour des raisons tenant à sa situation personnelle. Toutefois une grande partie des traitements reposent sur notre mission de service public définie par le législateur et le pouvoir réglementaire. Ce droit est donc limité et encadré selon le traitement ;
    • Du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des libertés ;
    • Du droit de saisir le Délégué à la protection des données de toute réclamation ou demande concernant l’exercice des droits précités.

Le Délégué à la protection des données (DPO)

  • 10.1    La Cavimac a désigné un DPO qui est le référent en matière de conformité liée à la protection des données à caractère personnel.

    10.2    Les missions du DPO :

    • Informer et conseiller le Responsable de traitement et les salariés sur les obligations et bonnes pratiques ;
    • Contrôler le respect de la législation et la règlementation sur la protection des données ;
    • Coopèrer avec l’autorité de contrôle ;
    • Conseiller et informer les personnes concernées par un traitement de leurs droits ;

    10.3    Pour contacter le DPO :

    • Par courrier électronique

    dpo@cavimac.fr

    • Par courrier postale

    Cavimac

    Le Tryalis

    Déléguée à la protection des données

    9 rue de Rosny

    93100 MONTREUIL

    10.4    Une copie d’un titre d’identité doit être jointe à la demande (sauf pour les salariés de la Cavimac qui n’ont pas à joindre ce document).

Responsable de traitement

  • 11.1  Le Responsable de traitement détermine les finalités et les moyens du traitement.

    11.2  Identité du Responsable de traitement de la Cavimac : Monsieur Laurent VARNIER, directeur général de la Cavimac.

Diffusion

  • Cette politique est diffusée sur le site institutionnel de la Cavimac et peut être communiquée au format papier sur demande adressée au DPO.

Haut de page