Harmonie Mutuelle s’engage sur les finalités exclusives, contrôlées et modérées de la collecte et de l’utilisation des données personnelles de ses adhérents. 
 

Etre utile

Harmonie Mutuelle s’engage à utiliser les données de ses adhérents pour leur proposer un meilleur accompagnement, dans une optique d’émancipation individuelle et d’enrichissement de la connaissance au service du bien commun. Elle ne vendra jamais leurs données. Elle se dote d’un responsable des données, dont la fonction est l'animation de l’usage et de valorisation de la donnée.

Agir au bon moment et identifier les besoins 

Pour offrir le meilleur service, la meilleure protection et le meilleur accompagnement au moment où il est le plus utile, l’utilisation des données personnelles peut servir à identifier des moments de vie qui suscitent des besoins particuliers d’accompagnement tels que par exemple une naissance, une hospitalisation, un départ en retraite, etc. Harmonie Mutuelle s’engage à ce qu’aucune discrimination dans l’accès à ses services ne puisse être pratiquée à partir des données dont elle dispose.

Garantir la meilleure expérience relationnelle

Attentive et respectueuse de ses adhérents, Harmonie Mutuelle s’engage à recueillir et à utiliser des données pour garantir le meilleur traitement et le meilleur suivi de leurs dossiers ; et construire une relation fluide, personnalisée et de confiance quel que soit le c anal de communication (agence, téléphone, web, courrier…).

Harmonie Mutuelle s’engage dans le cadre de la réglementation en cours à mettre en œuvre des standards élevés de protection des données de ses adhérents.
 

Sécuriser l’hébergement

Harmonie Mutuelle s’engage à héberger les données de ses adhérents prioritairement en France et en Europe, et là où la CNIL estime que la législation est au moins aussi protectrice pour eux.

Garantir un contrôle indépendant et rendre compte

Harmonie Mutuelle se dote de fonctions de contrôle indépendantes en interne (nomination d’un Data Protection Officer – DPO, d’un Responsable de la Sécurité des Systèmes d’Information – RSSI, fonction clé conformité…) en capacité de saisir les dirigeants de la mutuelle à tout moment. Elle met en place les conditions d’une communication publique régulière sur l’utilisation des données.

Choisir des tiers de confiance

Harmonie Mutuelle impose contractuellement à ses prestataires les mêmes règles éthiques qu’elle se fixe concernant la gestion des données de ses adhérents. Elle promeut la mise en place de labels éthiques et contribue le cas échéant à leur définition.

Harmonie Mutuelle s’engage à ce que ses adhérents puissent à tout moment être en situation de comprendre et de décider de l’usage qui est fait de leurs données personnelles.
 

Participer et contribuer

Harmonie Mutuelle s’engage à consulter régulièrement et directement ses adhérents pour recueillir leurs préconisations sur les garanties apportées par la mutuelle sur leurs données personnelles.

Comprendre avant de consentir

Harmonie Mutuelle s’engage à développer la pratique du consentement le plus éclairé possible en proposant à ses adhérents des formulations simples, claires et lisibles. Elle développe une pédagogie.

Accéder à ses données et changer d’avis

À tout moment, les adhérents d’Harmonie Mutuelle doivent pouvoir accéder à leurs données et savoir ce qui en est fait. Ils doivent pouvoir, en totale autonomie, modifier leur consentement.

Harmonie Mutuelle est un acteur engagé. Elle soutient les initiatives qui permettent de mobiliser la société pour un numérique éthique, responsable et juste.
 

Permettre aux adhérents de développer leur culture numérique

Harmonie Mutuelle accompagne ses adhérents dans leur émancipation personnelle et tient à les impliquer, les informer et les sensibiliser pour les rendre acteurs dans la maîtrise de leurs données personnelles.

Lutter contre la fracture numérique

Harmonie Mutuelle ne se résout pas à voir le numérique augmenter les inégalités sociales et territoriales. Elle soutient et met en œuvre des actions pour les résorber.

Soutenir les acteurs éthiques

Il est paritaire et composé sur la base du volontariat, de la motivation et de critères de diversité en termes d’origine géographique, de parité, d’âge et de profession. 
 

10 adhérents de la mutuelle + 5 représentants des délégués de la mutuelle

Vaste processus de réflexion participatif, la conférence de consensus s’est soldée par une 1ère réponse structurante aux recommandations faites par le jury, une charte éthique reposant sur 3 piliers :

Pour bâtir un cadre de confiance, la mutuelle a composé en 2018 un « collectif » d’adhérents et d’élus recrutés sur la base du volontariat, de la motivation et de critères de diversité en termes d’origine géographique, de parité, d’âge et de profession.

Afin d’appuyer cette démarche, Harmonie Mutuelle a sollicité deux référents dans le cadre de cette conférence inédite : 

Dominique Polton, présidente de l’Institut national des données de santé (INDS) et vice-présidente du conseil stratégique de l’innovation en santé, ainsi qu’Étienne Caniard, militant mutualiste et ancien président de la Fédération nationale de la Mutualité Française. 

« Je suis ravi qu’on nous demande notre avis », commente Charly, adhérent Harmonie Mutuelle et membre du jury. 

« On est quinze à se réunir, je suis ravi de voir qu’il y a une telle diversité de gens, d’origines sociales et professionnelles différentes, d’avis qui se confrontent pour en arriver à des préconisations communes, partagées par l’ensemble des adhérents. »

À l’issue de cette première phase, le jury a auditionné plusieurs experts, afin de mettre en balance les attentes des adhérents, la réglementation et tous les impacts socioéconomiques du sujet. Parmi ces experts, Judith Rochfeld, enseignante chercheuse en droit (Paris 1), spécialiste du droit du numérique, ainsi que Jacques Priol, consultant en digital et expert du big data. Une phase de synthèse a permis la rédaction d’un rapport, remis au Président d’Harmonie Mutuelle. Les élus ont débattu de ces recommandations pendant plusieurs mois et finalement voté une charte éthique des données, pendant l’assemblée générale 2019 de la mutuelle.

Cette charte est la première réponse structurante des recommandations faites par le jury de la Conférence de Consensus. À travers ce site, la mutuelle continuera de communiquer son plan d’actions et ses engagements autour de la donnée.

Votée par les élus à l’Assemblée générale de juin 2019, elle inscrit les engagements d’Harmonie Mutuelle en matière de gestion des données pour les années à venir.

Lire la charte éthique 

• Qu'est-ce que le RGPD ?
• Qu'est-ce qu'une donnée personnelle ?
• Qu'est-ce qu'un traitement de données personnelles ?
• Quelles catégories de données sont collectées par Harmonie Mutuelle et dans quel but ?
• Quelles sont les responsabilités respectives  pour les entreprises qui souscrivent au nom de leurs salariés ?
• Quelle utilisation Harmonie Mutuelle fait-elle des données personnelles ?
• Que fait déjà Harmonie Mutuelle pour assurer la sécurité et la confidentialité des données personnelles ?
• Où en est Harmonie Mutuelle dans sa mise en conformité avec le RGPD ?
• Concrètement, quels sont les droits des adhérents et de leurs bénéficiaires ?
• Comment exercer ces droits ?

Qu'est-ce que le RGPD ?

Pour s'adapter aux enjeux du numérique et garantir une meilleure maîtrise des données personnelles, le Règlement général sur la protection des données (RGPD), est entré en application le 25 mai 2018. Il renforce les droits des personnes et responsabilise davantage les organismes publics et privés qui traitent leurs données. Ce nouveau règlement européen s'inscrit dans la continuité de la Loi française « Informatique et Libertés » de 1978 et renforce le contrôle, par les citoyens, de l'utilisation qui peut être faite des données les concernant.

Qu'est-ce qu'une donnée personnelle ?

Une « donnée personnelle » est constituée de « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut être identifiée :

• directement (exemple : nom, prénom) ;

• indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l'image).

L'identification d'une personne physique peut être réalisée :

• à partir d'une seule donnée (exemple : numéro de sécurité sociale, ADN) ;

• à partir du croisement d'un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association).

Qu'est-ce qu'un traitement de données personnelles ?

Un « traitement de données personnelles » est une opération, ou un ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition.

Quelles catégories de données sont collectées par Harmonie Mutuelle et dans quel but ?

Pour délivrer les services et prestations souscrits au profit des bénéficiaires et gérer la relation avec les adhérents et clients, Harmonie Mutuelle a besoin de certaines données personnelles. Elles peuvent être de nature différente en fonction des différentes activités exercées par Harmonie Mutuelle (Complémentaire santé, Prévoyance, Assurance emprunteur, Epargne retraite, Prévention…).

Ces données collectées directement auprès des Bénéficiaires sont principalement des données d'identification, de situation professionnelle et familiale, des données économiques et bancaires. S'y ajoutent les données générées lors de l'utilisation de nos services ou de la navigation sur nos environnements digitaux, ainsi que celles générées par la gestion du contrat (remboursements de soins, versements d'indemnités, délivrance d'un service).

À noter, certaines activités telles que la prévoyance et l'assurance emprunteur justifient le traitement de données médicales. Elles sont collectées au moment de la souscription, selon un processus spécifique et strictement encadré pour permettre le respect du secret médical. Ces données ne sont traitées qu'avec le consentement de l'assuré et destinées exclusivement au médecin conseil, pour la gestion du contrat.

Quelles sont les responsabilités respectives  pour les entreprises qui souscrivent au nom de leurs salariés ?

L'entreprise reste responsable des traitements RH de ses collaborateurs, parmi lesquels figure la mise en place des régimes de protection sociale complémentaire. De ce fait, l'entreprise détient la responsabilité du traitement des données relatif à la mise en place et au déploiement du contrat, ainsi que la mise à jour des informations transmises, afin d'ouvrir les droits de ses salariés auprès de la mutuelle. L'entreprise est donc légitime à transmettre à la mutuelle, soit directement, soit en collectant les bulletins individuels d'affiliation de ses salariés, les données personnelles nécessaires à leur affiliation.

Dès que l'affiliation est effectuée, Harmonie Mutuelle rentre en lien juridique et contractuel direct avec les collaborateurs de l'entreprise, qui deviennent ainsi nos adhérents. À ce stade du processus, et pour la totalité de l'exécution du contrat souscrit, la mutuelle prend la responsabilité du traitement des données.

Quelle utilisation Harmonie Mutuelle fait-elle des données personnelles ?

Harmonie Mutuelle ne collecte et ne traite que les données personnelles qui lui sont strictement nécessaires dans le cadre de ses activités, afin de proposer des produits et services de qualité, et adaptés aux besoins de chacun.

Nous utilisons les données pour :

• Assurer efficacement nos missions, de la phase précontractuelle à l'exécution de nos engagements. Il s'agit d'effectuer toutes les opérations nécessaires à la passation, la gestion (y compris commerciale) et l'exécution de nos engagements contractuels, ainsi que toute opération relative à l'organisation de la vie institutionnelle relevant de nos statuts.

• Proposer un accompagnement et des offres utiles et adaptées. Il s'agit d'être en mesure d'identifier les besoins de chacun, afin de personnaliser davantage la relation avec nos adhérents et clients, en leur proposant des offres adaptées.

• Remplir nos obligations légales et règlementaires et préserver nos intérêts légitimes. Il s'agit de respecter nos obligations relatives à la lutte contre la fraude, contre le blanchiment ou le financement du terrorisme, ainsi que de nous mettre en mesure de défendre nos intérêts en justice en conservant les preuves correspondantes.

Nous ne communiquons aucune donnée personnelle à des tiers en dehors du cadre contractuel, sans votre consentement. Les données sont uniquement destinées aux personnels habilités de la Mutuelle. Dans la stricte limite des usages cités ci-dessus, elles sont également susceptibles d'être transmises aux sous-traitants, partenaires et organismes professionnels habilités par la Mutuelle et contribuant à la réalisation de ces usages. Elles peuvent également, pour satisfaire aux obligations légales et règlementaires, être communiquées, à leur requête, aux organismes officiels et aux autorités administratives ou judiciaires, notamment dans le cadre de la lutte contre le blanchiment des capitaux ou de la lutte contre le financement du terrorisme, en application des dispositions légales.

Nous les hébergeons  exclusivement sur le territoire d'un pays membre de l'Union Européenne ou dans un pays présentant des garanties suffisantes au sens de la Commission européenne.

Nous ne conservons les données que le temps nécessaire à la réalisation des différentes finalités et utilisations décrites ci-dessus et dans le respect des différentes dispositions légales relatives à la prescription ou à toute autre durée spécifique fixée par l'autorité de contrôle, dans un référentiel sectoriel (normes pour le secteur assurance).

Que fait déjà Harmonie Mutuelle pour assurer la sécurité et la confidentialité des données personnelles ?

Harmonie Mutuelle s'est dotée des dispositifs organisationnels et techniques suivants afin de maîtriser les risques de sécurité informatique :

En matière de sécurité

• Organisation de la sécurité
  La sécurisation des systèmes d'information Harmonie Mutuelle est pilotée par le RSSI, et mise en œuvre opérationnellement par la direction informatique d'Harmonie Mutuelle. Harmonie Mutuelle dispose également d'une équipe dédiée de sécurité opérationnelle, en charge de l'administration technique et de la gestion opérationnelle des incidents de sécurité.

• Politiques de sécurité
  Harmonie Mutuelle dispose d'une politique de sécurité générale validée par le Direction Générale, ainsi que de plusieurs standards de sécurité définissant les objectifs de sécurité à atteindre. Cette politique de sécurité s'appuie sur les normes ISO 27001 et 27002.

• Plan de reprise d'activité (PRA)
  Harmonie Mutuelle dispose d'un PRA piloté par une équipe dédiée, visant à s'assurer de la bonne disponibilité et reprise des données en cas de sinistre majeur sur ses équipements informatiques. Ce plan de reprise d'activité s'appuie notamment sur des capacités de virtualisation.

En matière de confidentialité

Tous les utilisateurs d'Harmonie Mutuelle disposent de comptes nominatifs permettant d'assurer la traçabilité des opérations. Pour les administrateurs techniques, une solution de gestion des droits d'accès à privilèges est mise en œuvre. Une revue des droits privilégiés est réalisée annuellement par l'équipe Sécurité.

La chaîne d'opérateurs intervenant sur les données confiées à Harmonie Mutuelle est soumise à un engagement de confidentialité matérialisé dans le contrat qui nous lie à l'opérateur et, pour des opérations critiques et/ou pour des intervenants externes, dans un document d'engagement en sus.

Tous les utilisateurs d'Harmonie Mutuelle (internes et externes) utilisent des comptes nominatifs, ce qui permet d'octroyer des accès aux seules personnes concernées par le processus en question.

Pour les administrateurs techniques, une solution de gestion de droits d'accès à privilèges est mise en œuvre. Une revue des droits privilégiés est réalisée annuellement par l'équipe Sécurité.

En matière d'intégrité

Harmonie Mutuelle veille à l'intégrité des données qui lui sont confiées et qu'elle manipule, pour des raisons de qualité de service et de continuité d'activité. Chaque nouveau processus fait l'objet d'une analyse qui peut conduire à mettre en place des systèmes contrôlant l'intégrité des données échangées et enregistrées. Les accès aux systèmes d'information sont restreints, de sorte à limiter le risque d'erreur humaine affectant l'intégrité des données.

En matière d'hébergement

Harmonie Mutuelle dispose de son propre Datacenter sécurisé (accès au bâtiment protégé, redondance de l'alimentation électrique et des systèmes télécoms, alarme et vidéoprotection) en France (salle Lampertz), directement administré par des équipes internes Harmonie Mutuelle, suivant un ensemble de procédures formalisées. Ce datacenter se situe dans une zone dépourvue des risques environnementaux. Il est accessible aux équipes Harmonie Mutuelle en moins de 20 minutes. Ce datacenter est équipé de ses propres moyens de destruction sécurisée des données (effacement logique sécurisé ou destruction sécurisée des disques durs en fonction des types de média).

Les prestataires de service auxquels a recours Harmonie Mutuelle sont soumis aux mêmes exigences en terme d'hébergement : les datacenters doivent se situer en Europe, et nous privilégions ceux qui sont installés en France ; aussi, ils doivent être à un niveau de sécurisation adéquat (tant en termes de sécurisation logique que physique).

En matière de transparence

Harmonie Mutuelle travaille sur deux axes :

• Le premier consiste à améliorer la détection des incidents de sécurité et leur qualification,

• Le second axe consiste à rédiger et déployer une procédure de notification des failles de sécurité à la CNIL, dans le délai imparti de 72 heures et le cas échéant, aux personnes concernées, afin de répondre à nos obligations règlementaires.

Un dispositif complémentaire pour les entreprises clientes
Harmonie Mutuelle dispose de plusieurs environnements suivant les bonnes pratiques de sécurité (Production / Pré-production) et peut proposer à ses clients plusieurs moyens d'échanges sécurisés en fonction de la nature des données à transmettre (par ex. : solution de containerisation) et dispose de sa propre infrastructure de gestion des certificats (PKI).  

En matière de sensibilisation

Des sessions de sensibilisation trimestrielles en présentiel, sur des thèmes choisis par l'équipe RSSI en fonction de l'actualité d'Harmonie Mutuelle et de la veille sécurité assurée par l'équipe, sont réalisées et sont accompagnées d'une lettre de sensibilisation elle aussi trimestrielle, touchant l'ensemble des collaborateurs intervenant sur le SI.

Des modules de E-learning (l'un dédié à la sécurité informatique et un autre dédié au RGPD) ont été mis en place sur la plateforme interne d'e-learning d'Harmonie Mutuelle. Ils font partie des formations obligatoires pour l'ensemble des collaborateurs.

Parallèlement, différents dispositifs de sensibilisation ponctuels nationale (affiches, flyers, kakémonos…) sont également déployés sur ces thématiques à l'échelle nationale.

Où en est Harmonie Mutuelle dans sa mise en conformité avec le RGPD ?

Harmonie Mutuelle a mené une démarche active de mise en conformité avec le RGPD autour de 5 grands chantiers (Conformité, sécurité-infrastructures, sous-traitance et partenariats, consentement et transparence, accompagnement au changement).

Dans ce cadre, plusieurs actions ont été réalisées, telles que la désignation d'un Data Protection Officer en avril 2018, la constitution d'une équipe opérationnelle chargée du pilotage et de la mise en œuvre des différents chantiers, et la constitution d'une équipe juridique chargée de la mise en conformité contractuelle.

Plusieurs autres actions ont été priorisées sur la fin d'année 2018 et le premier semestre 2019 et sont désormais largement initiées : la cartographie et le registre des traitements, le renforcement de la transparence à travers la révision des mentions d'informations légales, la sensibilisation de nos collaborateurs, ainsi que la revue des conventions de sous-traitance et de partenariats.

Parallèlement, d'autres actions complétant cette démarche de conformité sont initiées ou programmées, telles que notamment la rédaction des procédures de notification des failles de sécurité ou celles relatives à l'exercice des droits des personnes.

Nos engagements complémentaires vis-à-vis des entreprises clientes
Outre le fait d'apporter les garanties nécessaires en matière de protection des données des collaborateurs des entreprises clientes, Harmonie Mutuelle s'engage également vis-à-vis des entreprises souscriptrices :

• A porter assistance au Client souscripteur afin de répondre aux autorités pour les traitements dont il reste responsable.

• A coopérer avec le Client souscripteur pour respecter le RGPD, à collaborer avec lui pour réaliser d'éventuelles PIA, ou l'accompagner pour faciliter l'exercice de leurs droits par les personnes concernées.

• A autoriser le Client souscripteur, selon des modalités à convenir contractuellement avec dernier, à procéder à des audits RGPD.

Pour cela, des points de contact dédiés
Concernant les données personnelles et le RGPD : dpo@harmonie-mutuelle.fr
Concernant la sécurité des systèmes d'informations : rssi@harmonie-mutuelle.fr

Concrètement, quels sont les droits des adhérents et de leurs bénéficiaires ?

L'adhérent et ses ayants droit disposent :

• Sur leurs données personnelles : d'un droit d'accès, de rectification, d'effacement ou de portabilité de leurs données, ainsi que du droit de définir des directives relatives à leur sort après leur décès.

• Sur les traitements : dans les limites des intérêts légitimes de la Mutuelle, d'un droit à la limitation et d'un droit d'opposition (par ex. le droit de s'opposer à l'utilisation de ses données personnelles à des fins de prospection commerciale et/ou de profilage).

• Sur les consentements : du droit de maîtriser ses consentements en contactant la mutuelle afin de demander la désinscription de toute sollicitation commerciale ou, en retirant son consentement à l'envoi d'e-mails d'informations et d'actualités provenant de la mutuelle via le lien de désinscription prévu dans chaque envoi.

• En cas de réclamation relative au traitement de leurs données personnelles, du droit de saisir la Commission Nationale Informatique et Libertés (CNIL).

Comment exercer ces droits ?

Un point de contact unique, le Responsable Protection des données - Data Protection Officer - de la Mutuelle :

• par mail : dpo@harmonie-mutuelle.fr (Responsable Protection des données de la Mutuelle)
• par courrier postal : Harmonie Mutuelle - Service DPO - 29 quai François Mitterrand – 44273 Nantes Cedex 2