a
M

Politique relative à la Protection des Données à Caractère Personnel

1.  CONTEXTE

 

1.1.  CONTEXTE REGLEMENTAIRE

 

 La Loi Informatique et Libertés puis le RGPD, entré en application le 25 mai 2018, ont mis en place un cadre règlementaire fort visant à la protection des Données à caractère personnel au sein de l’Union européenne. Dans cette lignée, la plupart des Etats ont adopté des réglementations relatives à la protection des données.

Les personnes sont aujourd’hui très attentives à leurs Données (notamment les Données financières ou de santé) et à leur protection afin d’en préserver la confidentialité. Elles attendent que leur vie privée soit respectée et que les entreprises auxquelles elles confient leurs Données soient en mesure de les protéger.

C’est pour ces raisons que le Groupe Diot Siaci (ci-après désigné par le « Groupe ») travaille à garantir la sécurité des Données qui lui sont confiées. Au-delà du respect de la réglementation en la matière, il s’agit de l’essence même des activités qui lui sont confiées.

La présente Politique de protection des Données à caractère personnel s’appuie donc principalement sur le Règlement Général sur la Protection des Données (RGPD), qui constitue le cadre juridique de référence pour le traitement des Données à caractère personnel au sein de l’Union européenne.

Les Entités du Groupe Diot Siaci, situées en dehors de l’Union européenne, doivent mettre en œuvre, en complément des mesures stipulées dans la présente Politique, les mesures nécessaires à leur conformité aux réglementations locales qui leur sont applicables en matière de protection des Données à caractère personnel.

Pour garantir une conformité rigoureuse, la présente Politique intègre les pratiques et recommandations définies au sein des corpus documentaires suivants :

  • Les recommandations de la CNIL : en particulier, les bonnes pratiques définies au sein du Pack de conformité Assurance spécifiquement conçu pour les activités et besoins des acteurs du secteur de l’assurance.
  • Les publications du Comité Européen de la Protection des Données (« CEPD », ou European Data Protection Board).
  • La Politique de Sécurité de l’Information du Groupe (« PSI Groupe »), qui énonce et définit les objectifs de sécurité de l’information ainsi que les moyens techniques et organisationnels mis en œuvre pour les atteindre.

 

1.2.  CONTEXTE INTERNE

 

Le Groupe Diot Siaci est un leader européen du conseil et de courtage en assurance de biens et de personnes notamment pour les entreprises.

Dans le cadre de ses activités, le Groupe Diot Siaci est amené à collecter et traiter des Données à caractère personnel y compris des Données sensibles, pour son propre compte (en qualité de Responsable de traitement), en association avec d’autres Responsables de traitement (en qualité de Responsable conjoint de traitement) ou pour le compte de Responsables de traitements (en qualité de Sous-traitant).

Son activité est exercée en France, dans l’Union Européenne et dans le monde entier.

Le Groupe Diot Siaci est organisé en Business Unit (« BU ») (regroupant les activités similaires de plusieurs Entités du Groupe) et Directions (pour plus d’information : https://www.diot-siaci.com/fr/notre-groupe/) :

  • Diot Siaci Corporate Solutions (« DSCS ») (y compris l’activité PRRA et Mid Market) ;
  • Protection Sociale France et Internationale (« PSFI ») ;
  • Mobilité Internationale (« MSH ») ;
  • Conseil RH et Epargne Retraite (« Conseil ») ;
  • Diot Siaci Trade Finance (« DSTF ») ;
  • International ;
  • Corporate (incluant la DSI, les fonctions Juridique, Risques et Conformité et DPO) ;
  • Ressources Humaines (« RH »).

Grâce à la mise en œuvre rigoureuse de cette Politique et aux mesures mises en place à cet effet, le Groupe Diot Siaci maitrise pleinement les risques liés à la gestion des Données. Cette démarche proactive permet de préserver l’image et la réputation du Groupe Diot Siaci, de garantir la confiance des clients et des collaborateurs, et de sécuriser sa position sur le marché.

En assurant la conformité avec les exigences réglementaires et les bonnes pratiques et en appliquant ces principes à ses activités quotidiennes, le Groupe Diot Siaci minimise significativement les risques juridiques et financiers, tout en renforçant sa crédibilité et sa pérennité ainsi que le respect de la vie privée des personnes.

2.  DOMAINE D’APPLICATION

 

Il est précisé que la présente Politique couvre l’ensemble des traitements de Données à caractère personnel réalisés par les Entités du Groupe.

Des procédures spécifiques à chaque Entité peuvent compléter les principes définis dans la présente Politique.

La présente Politique s’applique à l’ensemble des collaborateurs du Groupe Diot Siaci.

En outre, le Groupe Diot Siaci s’engage à ce que l’ensemble des principes exposés au sein de la présente Politique soient rigoureusement respectés par ses Sous-traitants, partenaires et fournisseurs de prestations de services. Ces derniers s’engagent à appliquer ces principes conformément aux instructions du Groupe, agissant en qualité de Responsable de traitement, garantissant ainsi une gestion conforme et sécurisée des Données à caractère personnel traitées.

3.  OBJET DE LA POLITIQUE

 

La présente Politique vise à établir un cadre global et harmonisé de règles et d’actions en matière de protection des Données à caractère personnel, applicable à l’ensemble des Entités du Groupe.

Elle intègre également l’organisation des spécificités propres à chaque Business Unit, tenant compte des risques inhérents ainsi que des lois et contextes locaux qui leur sont applicables.

La présente Politique vise à respecter les grands principes de la protection des Données, définis à l’Article 5 du RGPD, à savoir :

  • La licéité des traitements ;
  • La loyauté dans la collecte des Données ;
  • Un usage des Données collectées uniquement pour des finalités déterminées ; 
  • Le traitement de Données exactes, complètes et adéquates ;
  • Une durée de conservation limitée dans le temps en fonction des exigences légales ;
  • La sécurité des Données grâce à un niveau de sécurité adapté au risque ;
  • Une démarche de responsabilisation « Accountability » visant à démontrer la conformité de l’ensemble des mesures techniques et organisationnelles mises en œuvre ;
  • Le respect des principes de protection des Données dès la conception (« Privacy by design ») et par défaut (« Privacy by default ») ;
  • Le respect des droits des personnes dont les Données sont collectées.

 

4.  ORGANISATION DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL DU GROUPE DIOT SIACI

 

L’organisation de la protection des Données à caractère personnel au sein du Groupe repose sur une gouvernance clairement définie.

Le Délégué à la Protection des Données (DPO) est chargé de veiller au respect du cadre légal et réglementaire applicable et d’assurer la cohérence des actions menées à l’échelle du Groupe.

Pour exercer ses missions, il s’appuie sur un réseau de Correspondants à la Protection des Données (CPD), présents au sein des différentes Business Units (BU), et sur un réseau de Compliance Officers pour les Entités à l’international, lesquels constituent des relais opérationnels de la conformité aux réglementations en vigueur en matière de protection des Données à caractère personnel.

La sécurité des systèmes d’information est, quant à elle, placée sous la responsabilité du Directeur de la Sécurité des Systèmes d’Information (DSSI), en lien étroit avec le DPO, afin de garantir la mise en œuvre de mesures techniques et opérationnelles adaptées conformément à l’article 32 du RGPD.

Afin d’assurer une coordination efficace et un suivi régulier, un comité Données Personnelles se réunit chaque trimestre. Il constitue l’instance de pilotage et de supervision des actions menées en matière de protection des Données.

 

4.1. GOUVERNANCE DE LA PROTECTION DES DONNEES

 

4.1.1.  Le DPO

 

Le pilotage de la conformité au Règlement Général sur la Protection des Données (RGPD) est assuré par le Délégué à la Protection des Données (DPO) du Groupe (ci-après “DPO” ou “DPO Groupe”).

Conformément à l’article 37 du RGPD, le DPO a été désigné en raison de la nature des activités du Groupe Diot Siaci, qui impliquent un suivi régulier et systématique des personnes à grande échelle ainsi que le traitement à grande échelle de Données sensibles.

Le Groupe s’est assuré que la désignation de ce DPO respecte pleinement les critères définis par le RGPD, notamment :

  • L’absence de conflit d’intérêts dans l’exercice de ses missions ;
  • Les compétences professionnelles nécessaires pour exercer les missions de DPO, incluant des connaissances juridiques, techniques et une bonne compréhension du secteur de l’assurance;
  • L’indépendance dans l’exercice de ses fonctions ;
  • Les qualités personnelles indispensables, telles que la probité et la loyauté.

Le DPO est rattaché au Directeur Juridique Groupe et placé sous l’autorité du Directeur Général Corporate, membre du Comité Exécutif du Groupe Diot Siaci, garantissant ainsi son autonomie et son accès aux plus hauts niveaux de gouvernance.

La Direction du Groupe Diot Siaci doit s’assurer que les moyens mis à la disposition du DPO, des CPD et des Compliance Officers permettent d’assurer les missions qui leur sont assignées.

Il est à noter que le DPO, conformément aux dispositions légales en vigueur, notamment l’article 38.3 du RGPD, n’est pas personnellement responsable en cas de non-conformité de son organisme avec le RGPD.

 

4.1.2.  L’équipe Data Privacy

 

De manière générale, l’équipe Data Privacy, rattachée à la Direction Juridique Groupe, assiste le DPO dans l’ensemble de ses missions relatives à la protection des Données à caractère personnel au sein du Groupe.

Cette équipe a notamment pour mission de contribuer à la mise à jour de la documentation interne centrale et de fournir son expertise, au besoin, aux Correspondants à la Protection des Données afin de garantir l’actualisation rigoureuse de chaque registre des traitements au sein du Groupe.

Elle étudie les analyses d’impact sur la protection des Données (AIPD), relatives aux traitements existants et nouveaux, réalisées par les Correspondants à la Protection des Données.

Par ailleurs, l’équipe Data Privacy prend en charge l’analyse des incidents liés aux Données à caractère personnel ainsi que le traitement des demandes d’exercice des droits des personnes concernées.

De manière générale, l’équipe Data Privacy apporte son support et son expertise juridique pour la réalisation des missions du DPO. Elle participe notamment à la mise à jour des procédures de contractualisation et de pré-contractualisation ou encore à la rédaction des clauses contractuelles relatives à la protection des Données.

Enfin, l’équipe Data Privacy a la charge de suivre les évolutions réglementaires et législatives en France en matière de protection des Données.

Dans les Entités à l’international, cette veille réglementaire doit être organisée par les Compliance Officers.

 

4.1.3.  Les Correspondants à la « Protection des Données » (CPD)

 

Les Correspondants à la Protection des Données sont nommés au sein de chaque Business Unit. Leur nombre peut être adapté en fonction de la taille, de l’organisation ou des enjeux spécifiques de certaines activités.

Leur mission principale est d’animer la démarche de protection des Données à caractère personnel au sein de leur Business Unit ou de leur périmètre d’activité. Ainsi, ils jouent un rôle essentiel dans le déploiement et l’animation de la Politique au sein de leur Business Unit.

À ce titre, les CPD constituent le point de contact privilégié du DPO sur leur périmètre de responsabilité et sont les premiers interlocuteurs sollicités par les équipes opérationnelles en matière de protection des Données notamment pour les questions liées au traitement de Données, aux analyses d’impact ou à la gestion des droits des personnes.

Ces derniers contribuent activement à la sensibilisation, à la remontée des incidents potentiels, au suivi des actions de conformité, et à la mise en œuvre des bonnes pratiques en matière de protection des Données à caractère personnel.

Les CPD sont également membres du Comité Données Personnelles du Groupe.

 

4.1.4.  Les Compliance Officers des filiales à l’international

 

Les Compliance Officers sont responsables de la conformité des filiales internationales sous leur responsabilité à toute législation locale relative à la protection des Données à caractère personnel.

À ce titre, ils constituent le point de contact privilégié du DPO Groupe sur leur périmètre de responsabilité et sont les interlocuteurs sollicités par les équipes opérationnelles des filiales de leurs périmètre en matière de protection des données.

Ils sont également responsables des remontées d’information au DPO Groupe de tout évènement significatif en matière de protection des Données à caractère personnel.

 

4.1.5.  Le Directeur de la Sécurité des Systèmes d’Information (DSSI)

 

Le DSSI pilote la sécurité de l’information et des systèmes d’information du Groupe. Il est hiérarchiquement rattaché au Directeur des Systèmes d’Information (DSI) qui reporte au Directeur Général des fonctions Corporate ainsi qu’au Directeur Général du Groupe Diot Siaci.

Un point d’échange mensuel régulier avec le DPO et l’équipe Data Privacy est mis en œuvre pour permettre le partage des informations et la meilleure mise en œuvre de la protection des Données à caractère personnel.

Vous pouvez accéder à notre Politique de Protection des Données à Caractère Personnel dans son intégralité en cliquant ICI.