Groupe Kereis

Depuis 30 ans, nous ouvrons la voie de l’assurance de personnes pour nos partenaires et nos clients. Découvrez le site de la marque !

Kereis France Kereis Iberia Kereis Italia Kereis Deutschland
Kereis Solutions Kereis Technologies Kereis Expertises Kereis Formation

Informations RGPD

Accueil » Webinaires, tutos et vidéos ! » Informations RGPD

RGPD, qu’est-ce que c’est ?

RGPD veut dire Règlement Général de Protection des Données (ou General Data Protection Regulation, GDPR).

Le RGPD s’applique à toute organisation établie dans l’Union européenne mais aussi à toute organisation située hors de l’UE mais ciblant les données personnelles de résidents européens ou de personnes situées dans l’UE.

Qu’entend-on par données personnelles ?

Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable.

Une donnée est donc à caractère personnel dès lors qu’elle permet d’identifier ou de rendre identifiable une personne physique, directement ou indirectement, par exemple par référence à un identifiant (adresse IP, numéro de sécurité sociale, numéro d’adhérent, identifiant professionnel…) ou à un ou plusieurs éléments qui lui sont propres ou qui, combinés, peuvent être rattachés à une personne physique (numéro de téléphone, numéro de plaque d’immatriculation, numéro de série d’un véhicule…)

Pour qui ?

Le RGPD concerne tous les acteurs économiques et sociaux proposant des biens et des services sur le marché européen dès lors que leur activité traite des données personnelles sur les résidents de l’Union européenne.

Sont donc concernées :

  • les entreprises
  • les associations
  • les services publics
  • les entreprises dont le siège est hors Union Européenne mais opérant sur de la donnée de citoyens de l’Union Européenne
  • les sous-traitants dont les activités rentrent dans ce cadre

Pourquoi ?

L’objectif est de donner aux citoyens de l’Union européenne davantage de contrôle et de visibilité sur leurs données personnelles.

  • quelles sont les données collectées ?
  • à quelles fins ?
  • quelles sont les durées de conservation ?

Le principal enjeu pour les entreprises est donc de savoir où et comment sont traitées les données et comment pouvoir, sur simple demande, les collecter et les transmettre à la personne concernée.

Cela suppose donc qu’une entreprise doit à tout moment savoir de quelles données elle dispose, leur localisation, l’objectif de leur collecte et aussi leur mode de gestion, de stockage et d’effacement de ces données.

Le RGPD introduit une fonction de Responsable de Traitement (RT), en général incarnée par le représentant de la personne morale ou par une personne désignée par ses soins. C’est à ce responsable qu’il appartient de mettre en œuvre toutes les mesures appropriées pour démontrer que le ou les traitements dont il a la responsabilité sont effectués en conformité avec le RGPD.

Le RGPD prévoit également la possibilité de désigner un Data Protection Officer (DPO), ou Délégué à la Protection des Données. Ce n’est pas une obligation pour toutes les entreprises.

Que faire ?

Une personne ou un individu peut demander au responsable du traitement l’accès à ses données personnelles qui font l’objet d’un traitement et d’en obtenir la communication dans un format compréhensible

Exemples :

  • Un salarié qui demande l’accès à son dossier professionnel
  • Un client qui veut savoir quelles données détient une entreprise sur lui…

Que doit faire le RT ?

  • Prendre les mesures raisonnables pour vérifier l’identité de la personne qui demande l’accès à ses données personnelles
  • Confirmer à la personne s’il traite ou non les données la concernant
  • Fournir une copie des données faisant l’objet de la demande, dans un format compréhensible et accessible
  • Si la demande est présentée par voie électronique, fournir les informations sous forme sécurisée (sauf demande contraire de la personne)

La personne peut demander au responsable du traitement de corriger des données inexactes ou de compléter des données la concernant.

Que doit faire le RT ?

  • Le responsable du traitement doit demander une pièce d’identité en cas de doutes raisonnables sur l’identité de la personne ; comparer les informations fournies avec la base de données ; mettre à jour les informations ; Si la demande est fournie par voie électronique, informer l’individu que ses données ont été rectifiées.
  • Il doit alors compléter ou rectifier les données inexactes dans les meilleurs délais

La personne concernée peut demander au responsable du traitement l’effacement de ses données (« droit à l’oubli ») :

  • Les données ne sont plus nécessaires
  • Les données ont été traitées de manière illicite (absence de consentement par exemple)
  • La personne a retiré son consentement ou s’oppose au traitement, à condition toutefois qu’il n’existe pas de motif légitime impérieux pour le traitement (par exemple exécution d’un contrat ou recouvrement d’une créance)
  • Les données ont été collectées dans le cadre de service de la société de l’information (réseaux sociaux par exemple)

Que doit faire le RT ?

  • Vérifier l’identité en cas de doutes raisonnables
  • Effacer les données dans les meilleurs délais ou justifier les cas de refus (les cas de refus possibles : certaines données peuvent être exemptées de l’effacement si elles sont nécessaires pour des finalités pour lesquelles elles ont été collectées ou traitées ; pour le respect du délai de conservation des données ; les données ont déjà été effacées).
  • Si la demande est fournie par voie électronique, informer l’individu que ses données ont été effacées (attention : le responsable du traitement doit répondre à la personne concernée dans un délai d’un mois, en cas de demande complexe le délai est prolongé à deux mois maximum)
  • Vérifier que les données ne sont plus nécessaires (par exemple pour le recouvrement d’une facture impayée)
  • Indiquer au destinataire auquel ces données ont été communiquées la demande d’effacement formulée par la personne concernée (sauf impossibilité ou efforts disproportionnés)

La personne concernée peut obtenir la limitation du traitement de ses données personnelles si :

  • l’exactitude des données est contestée (le traitement est alors « gelé » le temps pour le RT de vérifier l’exactitude des données)
  • le traitement est illicite mais la personne concernée n’exige pas l’effacement des données ;
  • le RT n’a plus besoin des données, mais celles-ci sont nécessaires pour la constatation , l’exercice ou la défense des droits de la personne concernée en justice
  • la personne concernée s’est opposée au traitement (le traitement est alors « gelé » le temps pour le RT de démontrer les motifs légitimes qu’il poursuit)

Que doit faire le RT ?

  • Limiter le traitement si l’une de ces conditions est présente
  • Ne plus traiter les données personnelles concernées sauf avec le consentement de la personne concernée ou pour la constatation, l’exercice ou la défense de droits en justice, ou pour la protestation des droits d’une autre personne, ou pour des motifs importants d’intérêt public.
  • Informer la personne en cas de levée de la limitation du traitement (une fois l’exactitude des données vérifiée par exemple)
  • Notifier au destinataire auquel les données ont été communiquées la limitation du traitement (sauf impossibilité ou effort disproportionné)

Lorsque le traitement est automatisé et qu’il est fondé sur le consentement ou sur un contrat, la personne peut :

  • Demander à recevoir les données la concernant qu’elle a fournies au RT dans un format structuré, couramment utilisé et lisible par une machine
  • Demander, sans que le RT ne puisse y faire obstacle, à ce que ses données personnelles soient transmises directement à un autre RT, lorsque cela est techniquement possible

A noter que le droit à la portabilité ne doit pas créer d’obligation d’adopter ou de maintenir des systèmes techniquement compatibles. La transmission directe doit avoir lieu lorsque le système récepteur est techniquement en mesure de recevoir les données entrantes.

En principe, la personne concernée a le droit de s’opposer à tout moment au traitement des données la concernant. Le RT ne pourra alors plus traiter ces données sauf :

  • S’il démontre qu’il a des motifs légitimes et impérieux pour le traitement qui prévalent (en-dehors de la prospection)
  • Si les données sont traitées à des fins de recherche scientifique, historique ou statistique pour l’exécution d’une mission d’intérêt public

Que doit faire le RT ?

  • Au plus tard lors de la première communication, il doit explicitement informer la personne de son droit d’opposition, en présentant cette information de manière claire et séparée de toute autre information
  • En matière de prospection, la personne concernée a un droit discrétionnaire de s’opposer au traitement de ses données, sans que le RT ne puisse refuser. Celui-ci ne peut alors plus utiliser ou conserver les données à des fins de prospection.

Découvez le tutoriel RGPD réalisé par l’IFCM

Fiches pratiques Cifacil

Lors de la création de vos nouvelles opportunités commerciales ou la reprise de précédentes déjà créées, depuis l’entrée en vigueur du RGPD, vous disposez de nouvelles fonctionnalités dans la version Cifacil 5.0.68 ou 5.1.21 du 25 mai.

Paramétrage « Profils utilisateur »

Vous disposez d’une nouvelle rubrique dans les ’Profils d’utilisateur (menu « Paramétrage »> « Utilisateurs et commerciaux » > « Profils d’utilisateur » > onglet « Divers ») pour gérer les habilitations des utilisateurs à la suppression des données.

Fonctionnalités RGPD Cifacil

Recueil du consentement : vous disposez d’une case à cocher sur l’écran « Prospect » ou « Client ».

Ces informations sont à préciser pour chaque emprunteur et sont historisées.

Vous pourrez formaliser cette entrée en relation avec l’édition d’une attestation type présente dans les modèles livrés (« d_LettreClientAcceptRDP »).

Limitation des traitements : vous disposez de cases à cocher dédiées.

Droit à l’oubli : dans l’écran ’Liste des dossiers + prospects’, vous pouvez sélectionner un dossier, puis faire un « clic droit » afin d’accéder au choix « Droit à l’oubli »> « Effacer les données personnelles du dossier » (si le profil utilisateur est habilité).

Cette action est irréversible !

Une attestation de suppression des données sera automatiquement générée après la validation. Nous vous invitons à en remettre une copie à votre emprunteur et à conserver un enregistrement.

Droit de communication et de portabilité des données personnelles : dans l’écran « Liste des dossiers + prospects », vous sélectionnez un dossier puis cliquez sur « Exporter ».

Puis vous recherchez le lot de données « ExportDonneesRecueillies.ldr » en cliquant sur la loupe.

Seules les données personnelles saisies seront présentes dans ce fichier. Les plans de financement ne sont pas intégrés, conformément au RGPD. Vous pourrez remettre ce fichier à votre prospect ou client.

 

Mandat de recherche en capitaux : intégration de mentions spécifiques au RGPD (Article 7). Nous vous invitons à mettre à jour le modèle par défaut dans Cifacil ou à réaliser une adaptation de votre propre modèle.

Mettre à jour le modèle de mandat par défaut de Cifacil
Attention : Avant de procéder à cette action, vous pouvez sauvegarder votre modèle actuel (en le renommant par exemple, avec une extension _old, ou en l’enregistrant dans un autre répertoire).

– Ouvrir le répertoire (par défaut lecteur C:\ ou suivant votre choix lors de l’installation), C:\cifacil\modele

– Rechercher le courrier : « d_LettreClient_Mandat »

– Copier le fichier
– Ouvrir C:\cifacil\doc

– Coller le fichier pour remplacer le précédent modèle utilisé par défaut

Pour aller plus loin

Nous avons créé cette page dédiée au RGPD sur notre site Internet pour vous accompagner dans la mise en œuvre de ce nouveau Règlement.

Nous complétons cette page au fil des jours avec vos retours, vos demandes.

Fiches pratiques AltOffice

Lors de la création de vos nouvelles opportunités commerciales ou la reprise de précédentes déjà créées, depuis l’entrée en vigueur du RGPD, vous disposez de nouvelles fonctionnalités dans la version AltOffice 9.1 Build 39.

Paramétrage d’une mention

Vous disposez d’un onglet « Mentions » dans le menu « Paramétrage » > « Pilotage Marketing » > « Paramètres divers (1) »

 

Dans l’onglet « Mention », vous pourrez intégrer un texte qui sera repris dans la « Page de garde », et qui pourra être remise à l’emprunteur en même temps qu’une simulation ou demande de prêt.

Sortie Client > « Page de garde »

Vous avez également la possibilité de paramétrer une mention de pied de page qui sera reprise sur les sorties client

La CNIL propose une aide en ligne pour la rédaction de mention,
https://www.cnil.fr/fr/modele/mention/formulaire-de-collecte-de-donnees-personnelles

 

Fonctionnalités RGPD AltOffice

Pour préciser avoir recueilli le consentement et préciser les choix de chaque emprunteur, compléter les informations dans l’onglet « Compléments » de la « Fiche personnelle ».

Ces informations sont à préciser pour chaque emprunteur et sont historisées.

Pour aller plus loin

Nous avons créé cette page dédiée au RGPD sur notre site internet pour vous accompagner dans la mise en œuvre de ce nouveau Règlement.

Nous complétons cette page au fil des jours avec vos retours, vos demandes.

Nos dernières publications

image api arkea
Ressources

Envoi dossier API Cifacil.io vers le Crédit Mutuel Arkéa 

(Tutoriel)
En savoir plus
image creation parcours
Ressources

Dossier courtier Cifacil.io – Création et parcours

(Tutoriel)
En savoir plus
image dossier emprunteur
Ressources

Assurance prêt Cifacil.io – Constituer un dossier

(Webinaires)
En savoir plus
image Modifier un courrier
Ressources

Modifier un courrier avant la signature électronique Cifacil.io

(Tutoriel)
En savoir plus
image questionnaire de connaissance
Ressources

Le questionnaire de connaissance crédit Cifacil.io

(Tutoriel)
En savoir plus
Toutes les ressources