Politique de confidentialité

Le Prévention Retraite Île de France (Prif) s’engage à assurer la protection des informations et le respect de la vie privée des utilisateurs de son site https://prif.fr/.

La présente politique de confidentialité est conforme à la Loi Informatique et Libertés du 6 janvier 1978 et de toutes les modifications dont elle a fait l’objet, ainsi qu’au Règlement UE 2016/ 679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).

Le responsable de traitement du Prif est Madame Christiane Flouquet, administratrice du Prif, situé au 131, avenue Paul Vaillant Couturier, 94250 Gentilly.

La présente politique de confidentialité a pour objet d’informer les utilisateurs sur le traitement de leurs données personnelles.

Cette politique est complétée par une politique de gestion des cookies.

Qu’est-ce que le Règlement Général sur la Protection des données (RGPD) ?

Le règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données est aussi appelé le Règlement Général sur la Protection des Données (RGPD). Il est entré en vigueur en France le 25 mai 2018.

 

Il apporte des modifications à la législation française, notamment à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, également appelée la Loi Informatique et libertés.

 

Il a pour objectif de protéger la vie privée et assurer la sécurité des données à caractère personnel pour les personnes vivant au sein de l’Union Européenne.

 

Les données à caractère personnel sont définies comme toutes les informations qui concernent une personne, c’est-à-dire toute information qui permet de l’identifier directement ou indirectement en tant que personne physique.

 

Le RGPD a été créé pour que les personnes concernées puissent avoir un meilleur contrôle de leurs données personnelles en renforçant leurs droits, responsabiliser les acteurs traitant des données à caractère personnel (responsables de traitement et sous-traitants), et enfin établir une régulation des dites données grâce à une coopération renforcée entre les autorités nationales de protection des données au sein de l’Union européenne.

 

Ainsi, les entités amenées à collecter, héberger, traiter et analyser des données personnelles se voient affecter de nouvelles responsabilités au niveau organisationnel, technique et juridique.

 

Le Prif étant un groupement de coopération sociale et médico-sociale (GCSMS) ; fondé par la Mutualité Sociale Agricole d’Île-de-France (MSA), la Caisse nationale d’assurance vieillesse en Île-de-France (CNAV) et la Sécurité sociale des indépendants (ex-RSI) ; il met en place des parcours de prévention et collecte des données à caractère personnel afin d’améliorer ou de renforcer la qualité de vie des personnes à la retraite.

 

C’est à ce titre que le Prif applique le RGPD, convaincu que la transparence contribue à un traitement loyal des données et permet d’instaurer une relation de confiance avec les personnes à la retraite.

Qu’est-ce que le Prif met en place pour être en conformité avec le RGPD et la cybersécurité ?

En premier lieu, le Prif a déclaré un Délégué à la protection des données (DPD) auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) sous la désignation n°DPO-102724.

 

 

Ensuite, le responsable de traitement et l’équipe du Prif ont suivi une sensibilisation au RGPD et ont passé un test individuel d’évaluation.

Cette sensibilisation avait pour objectif d’apprendre aux équipes à se conformer aux nouvelles obligations règlementaires et a porté sur des aspects organisationnels, techniques, et juridiques.

Chaque nouvel entrant au Prif suit une sensibilisation RGPD annuelle et passe un test d’évaluation.

En outre, en 2022, l’ensemble du Prif va suivre une sensibilisation à la cybersécurité, également complétée par un test d’évaluation individuel.

 

En outre, le Prif met à disposition de ses opérateurs une sensibilisation au RGPD

 

Le Prif s’est également doté d’une direction des systèmes d’informations externalisée et d’une assurance cybersécurité.

 

Le Prif a aussi réalisé des analyses d’impact (AIPD) sur les transferts de données avec ses organismes fondateurs.

 

Le Prif a mis en place une procédure de réponse aux demandes d’exercice de droits afin de traiter au mieux les besoins de ses interlocuteurs.

 

Le Prif a mis à jour son site internet en se dotant d’une politique de confidentialité et d’une politique de gestion des cookies.

 

Le Prif a mis en place la signature électronique et applique le principe du Privacy by Design en intégrant le RGPD dès la conception des projets y compris dans les cahiers des charges, appels à projets, etc.

 

Par ailleurs, un plan d’actions RGPD 2022 a été établi afin de prioriser les mesures à prendre et de se conformer aux exigences de ce règlement. Ce qui implique :

  • la mutualisation d’outils et la vérification préalable de leur conformité au RGPD ;
  • le respect du principe de minimisation des données et des droits d’accès ;
  • la mise en place de procédure commune d’exercice de droits ;
  • de s’assurer que les conditions contractuelles appropriées sont mises en place notamment avec les opérateurs et partenaires locaux (Annexe RGPD) ;
  • de rester à jour sur la règlementation et suivre les conseils concernant le respect du RGPD de la part de la CNIL.

Comment le Prif collecte-il les données et dans quel intérêt ?

En étroite collaboration avec des organismes de santé ayant une mission de service public (CNAV, MSA, Sécurité sociale des indépendants, OMS, ARS, etc.), le Prif a pour objectif de créer, de coordonner, de développer et de financer des actions de prévention santé à l’attention des personnes retraitées en Île-de-France. Cette démarche de prévention vise à diminuer ou ralentir l’incidence de maladie ou d’altérations physiques.

 

Le Prif ne traite que les données personnelles adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la réalisation de l’objectif pour lequel elles ont été collectées. L’ensemble de ces données sont traitées selon des finalités déterminées, claires, explicites et légitimes, conformément au RGPD. Ainsi, le Prif traite différentes catégories de données collectées directement auprès de vous ou indirectement auprès de ses opérateurs et partenaires.

 

En effet, les données traitées par le Prif sont collectées de plusieurs manières :

– Lors des ateliers : à la première et la dernière séance de chaque atelier via un questionnaire remis à chaque participant.

Les données personnelles collectées ont plusieurs finalités :

o connaître les habitudes participants et savoir si le public cible de ces actions est bien celui mobilisé ;

o évaluer le niveau de connaissance des participants ;

o mesurer l’impact des actions menées ;

o évaluer les changements de comportements.

 

– Aux Forums et salons auxquels le Prif participe. Les données collectées permettent de contacter les séniors, notamment ceux ne disposant pas d’un accès internet afin de les informer des dates et lieux des ateliers à venir.

 

– Site internet : les informations contenues par les cookies techniques. Les données collectées permettent de faire fonctionner le site.

 

– Mails :

* Campagne d’emailings : les personnes âgées pouvant être intéressées par un atelier du Prif. Les données collectées permettent de toucher les personnes âgées ayant des besoins en termes de mieux vieillir

* Mails et demandes d’exercice de droits : l’appel ou l’envoi d’un e-mail à l’un de nos services ou l’appel. Les données collectées permettent de répondre aux demandes notamment d’exercice de droits.

* Newsletter : l’abonnement à notre newsletter. Les données collectées permettent d’informer les personnes le souhaitant des événements organisés par le Prif et ses .

 

– Organismes fondateurs : Lors des échanges sur des demandes d’exercice de droits conjointes ou opérations de sollicitation pour le compte de ces organismes. Les données collectées permettent d’effectuer des opérations relatives à la prospection visant à la participation à des ateliers ou à répondre aux demandes d’exercice de droits conjointes.

Quelles données le Prif traite-il et qui sont les personnes concernées ?

Le Prif ne collecte que les données à caractère personnel des personnes retraitées en Île-de-France ou utilisateurs de son site internet, à savoir :

  • Données recueillies via les cookies :
  • Données de navigation ;
  • Données de contact des personnes concernées :
  • Données relatives aux habitudes et préférences des personnes concernées ;
  • Données recueillies dans le cadre du recrutement :
    • Données d’identification : nom, prénom, date et lieu de naissance, adresse postale, adresse de messagerie électronique, numéros de téléphone ;
    • Données de vie personnelle : statut marital, régime matrimonial, nombre d’enfants ;
    • Données de vie professionnelle : employeur, fonction, rémunération.

 

En tout état de cause, si le Prif avait l’intention d’effectuer un traitement ultérieur de vos données à caractère personnel pour une finalité autre que celle précisée précédemment, vous en seriez informés préalablement.

Sur quelles bases juridiques le Prif est-il autorisé à collecter ces données ?

Chaque traitement effectué par le Prif est fondé sur l’une des bases juridiques du RGPD à savoir :

Le consentement de la personne concernée pour une ou plusieurs finalités spécifiques ;

L’exécution d’un contrat ou l’exécution de mesures précontractuelles ;

L’exécution d’une obligation légale à laquelle le Prif est soumis ;

L’exécution d’une mission d’intérêt public ;

Les intérêts légitimes poursuivis par le Prif.

 

A savoir : Un intérêt légitime du responsable de traitement ne doit pas aller à l’encontre des droits et libertés des personnes concernées. Le traitement de ces données personnelles peut également se reposer sur le consentement de ladite personne, notamment dans le cas de la transmission d’informations via les questionnaires. La personne concernée peut retirer son consentement à tout moment. Un tel retrait ne remettra pas en cause la licéité du traitement effectué avant le retrait.

Qui peut accéder à ces données ?

Le Prif vous informe que les données personnelles que vous pourriez lui communiquer sont destinées au seul usage du Prif, qui est responsable de leur traitement et leur conservation. Ces données ne seront pas communiquées à des tiers à l’exclusion des tiers hébergeant le site ou intervenant dans son contenu ou la gestion des ateliers. Ces tiers sont tenus de respecter la confidentialité de ces données et ne peuvent en aucun cas les utiliser dans un but autre que le fonctionnement ; la gestion du site, le recrutement ou la tenue d’un atelier

 

Ces tiers sont :

– Les partenaires experts en prévention

– Les salariés du Prif

– La société Sphinx

– Les prestataires du Prif.

 

Aucune information personnelle collectée par le Prif n’est publiée, ni échangée, transférée, cédée à des tiers, sauf à ce qu’un droit à l’information n’ait été dispensé et qu’un consentement n’ait été recueilli.

De même, le Prif s’oppose à toute revente d’informations personnelles et agit dans un but non lucratif.

Qui traite ces données ?

Les données sont traitées par les équipes internes du Prif et peuvent être transmises à des partenaires qui peuvent traiter les données pour le compte et selon les instructions du Prif. Lorsque la réglementation applicable l’exige, le Prif est susceptible de transmettre les données collectées aux organismes et autorités légalement autorisés à y accéder (notamment les autorités judiciaires et administratives).

 

Ces partenaires sont :

– Le chargé d’étude développement du Prif qui travaille sur l’évaluation des actions ;

– Sphinx qui traite la base de données ;

– Les partenaires experts en prévention. Ils saisissent les données recueillies dans la plateforme Sphinx.

– Les partenaires scientifiques avec qui le Prif est amené à travailler afin d’améliorer ses pratiques et la qualité de ses actions (Gérond’if, FuturAge, l’UPEC, Yce Partners)

À noter : les partenaires avec lesquels le Prif travaille se sont également engagés à respecter la règlementation en vigueur concernant le RGPD.

 

Dans le cas où les données seraient transmises au Prif par ses organismes fondateurs tels que la , la MSA et la Sécurité sociale des indépendants, le Prif vous invite à consulter leurs politiques de confidentialité et les conditions générales d’utilisation de leurs services et de leurs sites internet.

 

 

Où ces données sont-elles conservées et où sont-elles transférées ?

Les données sont conservées dans des fichiers du réseau du Prif (version papier et dématérialisée) sécurisés (mot de passe, accès limité).

 

Le Prif traite l’ensemble des données personnelles collectées sur le territoire de l’Union européenne.

Toutefois, en cas de transfert hors UE, le Prif s’engage à mettre en place toutes les garanties nécessaires permettant d’assurer un niveau de protection adéquat ou équivalent de vos données au sens du RGPD (Clauses Contractuelles Types, BCR, etc.).

Comment le Prif sécurise-t-il ces données ?

Le Prif prend toutes précautions utiles afin de préserver la sécurité et la confidentialité des données collectées afin, notamment, d’empêcher qu’elles soient déformées, endommagées, perdues, volées, divulguées et que des tiers non-autorisés y aient accès.

 

Conformément à l’article 32 du RGPD, le Prif s’engage à déployer « toutes les mesures techniques et organisationnelles appropriées afin de garantir à vos données personnelles un niveau de sécurité adapté » telles que les contrôles d’accès des utilisateurs, les mesures de protection des logiciels (antivirus) et le respect Le Prif tient compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des utilisateurs.

 

Enfin, le Prif a mis en place des mesures de sécurité appropriées pour protéger et éviter la perte, l’usage abusif ou l’altération des informations reçues sur son site internet.

 

 

Combien de temps ces données sont-elles conservées ? Pourquoi ?

Le Prif conserve vos données à caractère personnel pendant une durée qui n’excède par la durée nécessaire aux finalités exposées ci-dessus. Au-delà, vos données sont susceptibles d’être archivées pour respecter les obligations légales auxquelles le PRIF est soumis. Les données permettant d’établir la preuve d’un droit ou d’un contrat, ou conservées au titre du respect d’une obligation légale par le Prif sont archivées conformément aux dispositions en vigueur.

 

Le Prif conserve vos données personnelles pour la durée strictement nécessaire aux finalités de leur collecte, à savoir :

Concernant  ;

Concernant les cookies : 30 jours sans activité ;

Concernant les autres traitements : durée imposée par les contraintes légales et réglementaires, notamment en matière de gestion de contentieux, mission d’intérêt public et pour ce faire, ces données sont conservées par le Prif pour une durée indéterminée afin :

– de pouvoir informer de façon continue les retraités des actions à venir ;

– de mobiliser les participants dans le cadre de l’organisation des ateliers ;

– de mesurer l’évolution de la participation et des changements de comportements sur plusieurs années.

 

 

Puis-je annuler mon consentement à l’utilisation de ces données ?

Oui, toute personne concernée en a le droit et ce, à tout moment. Ces différents droits sont exposés ci- dessous.

Pour toute information ou demande d’exercice des droits sur les traitements de données personnelles gérés par le Prif, la personne concernée ou ses héritiers peuvent :

  • transmettre un courrier au Prif : 131, Avenue Paul Vaillant Couturier 94250 Gentilly; cette demande devra être accompagnée d’une copie recto/verso de la pièce d’identité, en précisant l’adresse à laquelle la réponse doit être envoyée,
  • s’adresser au Prif par e-mail à l’adresse suivante : rgpd-prif@prif.fr, cette demande devra être accompagnée d’une copie recto/verso de la pièce d’identité, en précisant l’atelier concerné et sa date.

 

La personne concernée ou ses héritiers disposent également du droit d’introduire une réclamation auprès de la CNIL.

 

Les droits des personnes concernées et directives en cas de décès

La personne concernée est informée qu’elle dispose d’un droit d’accès, de rectification, de suppression, de limitation, de portabilité (lorsqu’il s’applique) et d’opposition sur les données la concernant.

La personne concernée dispose également d’un droit de définir des directives relatives au sort de ses données personnelles après son décès. Dès lors, la personne concernée a le droit de prévoir, avec le DPD du Prif, des directives relatives à la conservation, à l’effacement et à la communication de ses données après son décès.

En l’absence de directives ou de mention contraire dans ces directives, les héritiers de la personne concernée pourront, après son décès et en produisant un certificat de décès, exercer lesdits droits sur ses données personnelles.

Les héritiers pourront faire procéder à la clôture des comptes utilisateurs du défunt, s’opposer à la poursuite des traitements de données à caractère personnel le concernant où faire procéder à leur mise à jour.

En outre, les utilisateurs du site internet du Prif sont tenus de respecter les dispositions de la loi Informatique et Libertés et du RGPD, notamment en s’abstenant de toute collecte ou utilisation détournée des données à caractère personnel auxquelles ils accèdent.

Exercice des droits

 

Conformément au RGPD, le Prif a désigné un Délégué à la protection des données à caractère personnel qui peut être saisi à tout moment à l’adresse : rgpd-prif@prif.fr.

A chaque collecte de vos données personnelles, des mentions d’informations vous fourniront une information claire sur les traitements effectués et les modalités d’exercice de vos droits auprès du Prif.

En sus, vous bénéficiez d’un :

  • Droit d’accès : vous disposez du droit d’obtenir la confirmation que le Prif dispose de certaines données vous concernant et éventuellement une copie, si cela ne constitue pas un effort disproportionné. ;
  • Droit de rectification : vous avez le droit de modifier, rectifier, mettre à jour et compléter vos données lorsque celles-ci sont incorrectes, inexactes ou incomplètes ;
  • Droit d’opposition : vous pouvez vous opposer à ce que vos données soient utilisées par le Prif, pour des raisons tenant à votre situation particulière, sauf lorsque le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont serait investi le responsable du traitement ou lorsque lesdites données sont traitées à des fins de recherche scientifique ;
  • Droit à la portabilité : vous pouvez récupérer certaines des informations vous concernant de la part du Prif dans un format lisible par machine si le traitement de données est effectué à l’aide de procédés automatisés ;
  • Droit à la limitation : vous pouvez demander le gel temporaire de vos informations par le Prif ;
  • Droit à l’effacement : vous pouvez demander l’effacement de vos données personnelles, sous réserve du respect d’une obligation légale par le Prif ;
  • Droit au retrait du consentement : vous avez également le droit de retirer votre consentement à tout moment que vous l’ayez donné au préalable ou non ;
  • Droit post-mortem : il vous est possible de définir des durées relatives à la conservation, à l’effacement et à la communication de vos données à caractère personnel après votre décès.

Il est toutefois rappelé que l’exercice de ces droits n’est pas absolu et peut être limité pour des motifs légaux ou s’ils constituent des efforts disproportionnés au sens du Considérant 62 du RGPD.

Modification de la politique de protection des données du Prif

Toute modification par le Prif de la présente politique de confidentialité fera l’objet d’une mise à jour sur le site internet du Prif. Vous êtes invité à consulter régulièrement la présente politique de confidentialité afin de prendre connaissance de toute mise à jour ou modification. Si l’une quelconque des clauses de la présente politique est déclarée nulle ou contraire à la réglementation, elle sera réputée non écrite, mais n’entraînera pas la nullité des uses de cette politique.