Registre des traitements (art. 30 du RGPD)

Le Règlement général sur la protection des données (RGPD) prévoit que chaque responsable du traitement tienne un registre de l’ensemble des activités de traitement effectuées sous sa responsabilité. Ce registre des traitements comprend les informations suivantes :

  1. Nom et adresse de l’instance responsable
  2. Présidents-directeurs généraux
  3. Délégué(e) à la protection des données
  4. Finalité de la collecte, du traitement ou de l’exploitation des données
  5. Groupe(s) de personnes concernées, données ou catégories de données
  6. Destinataire des données
  7. Mesures techniques et organisationnelles
  8. Délai de l’effacement des données
  9. Transferts éventuels de données vers un pays tiers

1. Nom et adresse de l’instance responsable

DR-WALTER Unternehmensgruppe (en abrégé DR-WALTER). Le groupe comprend les sociétés DR-WALTER GmbH et DR-WALTER Versicherungsmakler GmbH.

DR-WALTER GmbH
Eisenerzstr. 34
53819 Neunkirchen-Seelscheid
Germany

T +49 2247 9194 -0
F +49 2247 9194 -40
info@dr-walter.com
www.dr-walter.com

Registre du commerce : Siegburg HRB 4701
No d’id. TVA : DE 212252105

DR-WALTER Versicherungsmakler GmbH
Eisenerzstr. 34
53819 Neunkirchen-Seelscheid
Germany

T +49 2247 9194 -0
F +49 2247 9194 -40
info@dr-walter.com
www.dr-walter.com

Registre du commerce : Siegburg HRB 14554
No d’id. TVA : DE 314696745

2. Présidents-directeurs généraux du groupe

Dipl.-Kfm. Reinhard Bellinghausen (CEO)

Timo Dreger (COO)

3. Déléguée à la protection des données (art. 37 du RGPD)

Sandra Karnstedt-Panienka

4. Finalité et base juridique de la collecte, du traitement ou de l’exploitation des données (art. 5 du RGPD)

Exécution d’activités d’assurance ; distribution, vente, administration et traitement de contrats d’assurance en Allemagne et à l’étranger et ensemble des activités annexes : réalisation et enregistrement du traitement des données à caractère personnel pour son propre compte et pour le compte et au nom de compagnies d’assurance intéressées.

Base juridique du traitement des données à caractère personnel à des fins contractuelles et de préparation des contrats : article 6 par. 1 lettre b du RGPD. Au cas où ceci implique des catégories de données à caractère personnel (par ex. données relatives à la santé), DR-WALTER doit obtenir un consentement conformément à l’art. 9 par. 2 lettre j du RGPD. Il est possible de revenir à tout moment sur un consentement donné conformément à l’art. 21 du RGPD.

5. Groupe(s) de personnes concernées, données ou catégories de données

Les données à caractère personnel des groupes de personnes suivants sont collectées, traitées et exploitées :

  • données des personnes intéressées (personne intéressée à un produit, coordonnées, adresses IP anonymisées, données démographiques et géographiques catégorisées),
  • données relatives aux clients (coordonnées, adresses IP anonymisées, données démographiques et géographiques catégorisées, données relatives au contrat d’assurance, données relatives aux prestations d’assurance, références bancaires, le cas échéant données d’experts, d’opérations et de réclamation),
  • données relatives aux médecins, aux établissements hospitaliers et à la santé,
  • données relatives aux collaborateurs, aux candidats, (données de profilage), données relatives aux intermédiaires, courtiers, agences (données relatives au personnel de l’administration, de la gestion et de la comptabilité),
  • Données relatives aux partenaires commerciaux et agences, aux intermédiaires et courtiers (adresse, comptabilité, prestations), et ce, pour peu que cela s’avère nécessaire aux objectifs mentionnés dans le point 4.

6. Destinataires des données ou catégories de destinataires (art. 28 du RGPD)

  • Instances internes du groupe DR-WALTER Unternehmensgruppe, qui participent à l’exécution des processus d’activité.
  • Instances publiques qui reçoivent des données en raison de dispositions légales (par ex. organismes d’assurance sociale, services des Finances, tribunaux, Autorité fédérale de supervision financière).
  • Mandataires externes (compagnies d’assurance et entreprises de prestation de services).
  • Autres instances externes comme des instituts de crédit (prestations d’assurance et recouvrement de primes d’assurance), des courtiers et agences d’assurance dans le cadre de l’activité d’intermédiaire, des services centraux de conseil des associations d’assurances.

7. Mesures techniques et organisationnelles (art. 32 du RGPD)

Nous avons pris toute une série de mesures techniques et organisationnelles afin de garantir la protection de vos données à caractère personnel. Vous pouvez obtenir ici un aperçu de ces dispositifs de protection.

1. Confidentialité

a) Contrôle des entrées

L’accès aux dispositifs de traitement des données avec lesquels des données à caractère personnel sont traitées ou exploitées doit être refusé aux personnes non autorisées.

  • Il s’ensuit un contrôle permanent de l’accès aux bâtiments de bureau par les collègues se trouvant à l’accueil. Tous les locaux sont soumis à un contrôle de l’accès effectué par les collègues se trouvant dans le bâtiment.
  • Une réglementation différenciée de l’accès autorise les collaborateurs à accéder uniquement à certains locaux de l’entreprise.
  • L’accès aux personnes non autorisées, et en particulier aux personnes externes, doit être systématiquement refusé. L’accès est uniquement permis sur autorisation expresse d’un collaborateur avec notification du motif.
  • Des serrures de sécurité et des règles de sécurité concernant les clés sont mises en place.
  • Les serveurs se trouvent dans des locaux verrouillés.
  • Les sauvegardes sur supports mobiles (par ex. CD/DVD, bandes) sont conservées dans les locaux dont l’accès est protégé.
  • Les bâtiments et le site de l’entreprise sont protégés par des systèmes d’alarme, de vidéosurveillance, d’éclairage et par des capteurs de mouvements.

INFORMATIONS RELATIVES AUX DROITS DES PERSONNES CONCERNÉES PAR LA VIDÉOSURVEILLANCE

Toute personne concernée est en droit de demander au responsable de confirmer le traitement ou non de données à caractère personnel la concernant ; si tel est le cas, elle dispose du droit d’être informée desdites données à caractère personnel et de recevoir les informations détaillées dans l’art. 15 du RGPD.

La personne concernée est en droit de demander au responsable une correction immédiate de toutes les données à caractère personnel erronée la concernant et, le cas échéant, de compléter lesdites données lorsqu’elles sont incomplètes (art. 16 du RGDP).

La personne concernée est en droit de demander au responsable de supprimer immédiatement les données à caractère personnel la concernant au cas où elles relèvent d’un motif mentionné dans l’article 17 du RGPD, par ex. lorsque les données ne sont plus utilisées pour les finalités visées (droit de suppression).

La personne concernée est en droit de demander au responsable une limitation du traitement desdites données si une des conditions mentionnées dans l’article 18 du RGPD s’applique, par ex. lorsque la personne concernée s’est opposée au traitement desdites données pendant la durée de la vérification par le responsable.

La personne concernée est à tout moment en droit de s’opposer au traitement des données à caractère personnel la concernant pour des raisons découlant de sa situation particulière. Dès lors, le responsable ne traitera plus les données à caractère personnel à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou qui servent la constatation, l’exercice ou la défense de droits en justice (art. 21 du RGPD).

Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du RGPD (art. 77 du RGPD). La personne concernée peut exercer ce droit auprès d’une autorité de contrôle dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou dans le lieu où la violation supposée aurait été commise.

Les données de contact avec l’autorité de contrôle compétente sont les suivantes :

Landesbeauftragte fuer Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Frau Bettina Gayk
Postfach 20 04 44
40213 Düsseldorf
Germany

E-Mail: poststelle@ldi.nrw.de

b) Contrôle de la connexion aux données

L’accès et donc l’usage des systèmes de traitement des données est refusé aux personnes non autorisées.

  • L’exploitation du système requiert des données de connexion individuelles comme un identifiant et un mot de passe.
  • Une directive relative aux mots de passe a été définie.
  • Les autorisations d’accès qui ne sont plus nécessaires sont immédiatement retirées.
  • Un journal de bord des connexions utilisateurs est établi.
  • Les ordinateurs des postes de travail sont protégés par des logiciels antivirus.
  • Le personnel de nettoyage est choisi scrupuleusement et tenu à la protection des données par l’employeur.

c) Contrôle de l’accès

Mesures garantissant que les personnes autorisées à utiliser un système de traitement des données peuvent exclusivement accéder aux données concernés par leur autorisation d’accès, et que les données à caractère personnel ne puissent être ni lues, ni copiées, ni modifiées ni effacées sans autorisation lors de leur traitement ou leur exploitation ou après leur enregistrement.

  • Seules les personnes familiarisées avec la collecte, l’exploitation et le traitement des données dans le cadre de l’exécution convenue des ordres sont autorisées à lire, copier, modifier ou effacer les données. Dans ce contexte, des réglementations claires ont été mises en place concernant l’octroi des autorisations d’accès, tenant compte d’un accès différencié (lecture, modification, effacement) et réglementant l’accès aux différents niveaux.
  • Lorsque personne n’occupe le poste de travail, des armoires ou des tiroirs verrouillables offrent la possibilité de protéger les documents papier de prises de connaissance ou d’accès non autorisés.
  • Un pare-feu protège vos données d’un accès à partir de réseaux non fiables (par ex. Internet).
  • L’efficacité des dispositifs techniques de sécurité fait l’objet de contrôles réguliers.
  • Les documents papier et les enregistreurs mobiles de données sont conservés dans les meubles verrouillables (principe du bureau bien rangé).

d) Contrôle de la séparation

Mesures garantissant que des données collectées à des fins différentes puissent être traitées de manière séparée.

  • Une séparation logique des données (principe du mandant) est appliquée pour les données à caractère personnel de différents mandants.

2. Intégrité

a) Contrôle de la transmission

Mesures garantissant que les données à caractère personnel ne puissent être ni lues ni copiées ni modifiées ni effacées sans autorisation lors de leur transfert électronique ou de leur transport, ou lors de l’enregistrement sur des supports de données, et qu’elles puissent être contrôlées pour identifier à quel endroit une transmission des données à caractère personnel est prévue par des dispositifs de transfert des données.

  • L’utilisation de supports de données externes (clés USB, disques durs externes, CD, DVD) est interdite en dehors de l’environnement protégé de l’entreprise.
  • La destruction des données est garantie selon les exigences de la protection des données. Les documents papier sont détruits par un broyeur à un niveau de protection prescrit. Les supports de données (par ex. disques durs défectueux) sont détruits physiquement.

b) Contrôle des saisies

Mesures garantissant que l’on peut vérifier et identifier ultérieurement si des données ont été saisies, modifiées ou effacées dans les systèmes de traitement des données, et par qui elles l’ont été.

  • Un enregistrement ad hoc dans un procès-verbal permet de garantir que l’on est en mesure a posteriori de vérifier si des données à caractère personnel ont été saisies, modifiées ou effacées dans les systèmes de traitement des données, par qui et quand elles l’ont été.
  • Les tâches administratives sont elles aussi enregistrées dans des procès-verbaux.
  • La protection contre l’écriture empêche l’écrasement des données.

3. Disponibilité et capacité

a) Contrôle de la disponibilité

Mesures garantissant que les données à caractère personnel sont protégées contre la destruction ou la perte accidentelles.

  • Pour peu que cela soit convenu contractuellement, les données sont protégées d’une destruction ou d’une perte accidentelles.
  • Un principe de sauvegarde et de restauration a été mis en place.
  • Une vérification régulière permet de savoir si les sauvegardes peuvent être restaurées sans problème.
  • Des exercices ont lieu à intervalles réguliers dans lesquels des situations d’urgence (par ex. un incendie) sont simulées et la restauration des données testée.

b) Capacité de restauration immédiate

Mesures garantissant que des données à caractère personnel peuvent être restaurées immédiatement en cas d’incident physique ou technique.

  • Un concept de restauration de l’activité de l’entreprise après un cas d’urgence a été établi.

4. Procédures en vue du contrôle, de l’analyse et de l’évaluation à intervalles réguliers

a) Gestion de la protection des données

  • Un concept de protection des données et de sécurité est établi et régulièrement contrôlé.
  • Le concept de protection des données et de sécurité est adapté à l’évolution des conditions.

b) Contrôle des ordres

Mesures garantissant que les données à caractère personnel traités dans le cadre d’un ordre ne puissent être traitées que selon les instructions du mandant.

  • La nature, la portée et l’objectif du traitement des données doivent être clairement établis par la description de la prestation convenue comme base de l’exécution de l’ordre entre le mandataire et le mandant.
  • Les collaborateurs concernés par l’exécution de l’ordre doivent être informés de la portée de la prestation.
  • Des solutions de cloud peuvent éventuellement être mise en œuvre pour le traitement de l’ordre convenu. Les centres de calcul utilisés se trouvent dans l’Union européenne. La communication des données par le cloud est chiffrée.
  • Le mandataire désigne un(e) délégué(e) à la protection des données.

8. Délais généraux pour l’effacement des données (art. 17 du RGPD)

Le législateur a défini une série obligations et délais de conservation. Une fois le délai expiré, les données concernées sont effacées de manière courante lorsqu’elles ne sont plus nécessaires à l’exécution du contrat. Les données non concernés par cette disposition sont effacées lorsque les objectifs mentionnés dans le point 4 cessent.

9. Transfert éventuel de données à des pays tiers (art. 20 du RGPD)

Un transfert à un pays tiers est effectué (Google Analytics, voir https://www.google.de/policies/privacy/).

Si vous avez des questions concernant le registre des traitements, veuillez vous adresser directement au/à la délégué(e) à la protection des données.

Bianca Mahlberg
DR-WALTER
Eisenerzstr. 34
53819 Neunkirchen-Seelscheid
Germany

E-Mail: datenschutz@dr-walter.com
T +49 2247 9194-822
F +49 2247 9194-40

Bianca Mahlberg