Skip to main content

Politique de confidentialité

Marsh, membre de Marsh McLennan (MMC), s’efforce de protéger la confidentialité des Données personnelles que la société traite en lien avec les services qu’elle fournit à ses clients. Marsh offre principalement des services en tant que consultant en risque et intermédiaire en assurance, ce qui facilite l’étude de services d’assurance, leur accès, leur gestion et la réalisation de déclaration de sinistre à leur égard.

L’assurance est le regroupement et le partage des risques par rapport à un événement incertain et aléatoire. Pour ce faire, des informations, y compris des Données personnelles de différentes catégories d’individus, doivent être partagées entre différents acteurs du marché de l’assurance, tout au long du cycle de vie de l’assurance.

Afin de clarifier les termes utilisés dans cette politique de respect de la vie privée (ci-après la Politique), nous avons précisé les rôles des principaux Acteurs du marché de l’assurance ci-dessous :

  • Les Assurés : sollicitent une assurance pour se protéger contre les risques qui pourraient avoir une incidence sur eux. Ils peuvent contacter un Intermédiaire (comme Marsh) pour souscrire une assurance ou se mettre en relation avec un Assureur, directement ou via un site internet de comparaison de prix.
  • Les Intermédiaires : aident les Assurés et les Assureurs à planifier une couverture d’assurance. Ils peuvent offrir des conseils et traiter des déclarations de sinistre. De nombreuses polices d’assurance et de réassurance sont obtenues par l’entremise d’Intermédiaires.
  • Les Assureurs : fournissent une couverture d’assurance aux Assurés moyennant paiement (prime).
  • Les Réassureurs : fournissent une couverture d’assurance à un autre Assureur ou Réassureur. Cette assurance est connue sous le nom de réassurance.

Au cours du cycle de vie de l’assurance, Marsh peut recevoir des Données personnelles relatives à des Assurés potentiels ou réels, des bénéficiaires en vertu d’une police, des membres de leur famille, des demandeurs d’indemnisation et autres parties impliquées dans une demande d’indemnisation. Par conséquent, les références aux « particuliers » dans la présente Politique incluent toute personne physique de la liste précédente, dont les Données personnelles sont reçues par Marsh en liaison avec les services qu’elle fournit au titre de ses engagements auprès de ses clients. La présente Politique énonce les utilisations par Marsh de ces Données personnelles et les informations qu’elle divulgue à d’autres Acteurs du marché de l’assurance et à d’autres tierces parties.

Un glossaire des termes clés utilisés dans la présente Politique se trouve ici.

IDENTITÉ ET COORDONNEES DU RESPONSABLE DU TRAITEMENT 

Marsh S.A.S., Tour Ariane - La Défense, 5 place de la pyramide - 92800 Puteaux (Marsh ou Nous) désigne le responsable de traitement à l’égard des Données personnelles qu’elle reçoit en lien avec les services fournis dans le cadre de l’engagement approprié auprès de ses clients.  

Dans certains cas, et pour permettre l’exécution de certains services que Marsh propose à ses clients, Marsh et ses clients ont convenu que Marsh devait être considéré comme sous-traitant. Lorsque Marsh agit en tant que sous-traitant, Marsh applique et respecte l’ensemble des obligations telles que prévues par l’accord ou le contrat conclu avec son client.

Données personnelles traitées

Marsh est susceptible de collecter et de traiter les Données personnelles suivantes :

  • Informations personnelles : nom, adresse (et justificatif de domicile), autres cordonnées (par ex., e-mail et numéros de téléphone), sexe, statut matrimonial, informations sur la famille, date et lieu de naissance, employeur, intitulé de poste et expérience professionnelle, relations avec l’assuré, le bénéficiaire ou le demandeur d’indemnisation.
  • Informations d’identification : numéros d’identification émis par des organismes ou des agences publics (par ex., selon le pays dans lequel vous vous trouvez, le numéro de sécurité sociale ou d’assurance nationale, le numéro de passeport, le numéro de carte d’identité, le numéro d’identification fiscale, le numéro de permis de conduire).
  • Informations financières : numéro de carte de paiement, numéro de compte bancaire et détails du compte, revenu et autres informations financières.
  • Risque assuré : informations sur le risque assuré, qui contiennent des données personnelles et peuvent inclure, seulement dans la mesure où elles sont appropriées au risque assuré :
    •  Données médicales : conditions médicales physiques ou mentales actuelles ou antérieures, état de santé, informations sur des blessures ou des invalidités, procédures médicales effectuées, habitudes personnelles pertinentes (par ex., tabagisme ou consommation d’alcool), informations sur des prescriptions médicales, antécédents médicaux.
    • Données d’infraction : condamnations pénales, y compris des infractions au Code de la route.
    • Autres catégories spéciales de données personnelles : origine ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance à un syndicat, données génétiques, données biométriques, données concernant la vie sexuelle ou l’orientation sexuelle d’une personne.
  • Informations sur les polices d’assurance : informations sur les devis que reçoivent les particuliers et sur les polices qu’ils obtiennent.
  • Données liées à la solvabilité et à la lutte contre la fraude : antécédents de solvabilité et cote de solvabilité, renseignements sur les condamnations pour fraude, les allégations d’infractions et les informations sur les sanctions provenant de diverses bases de données en matière de sanctions et de lutte contre la fraude, ou provenant de régulateurs ou d’organismes d’application de la loi.
  • Déclarations de sinistres antérieures : informations sur les précédentes demandes d’indemnisation, qui peuvent inclure des données médicales, des données d’infraction, et d’autres catégories spéciales de données personnelles (comme décrit dans la définition du Risque assuré ci-dessus).
  • Déclarations de sinistres en cours : informations sur les demandes d’indemnisation en cours, qui peuvent inclure des données médicales, des données d’infraction, et d’Autres catégories spéciales de données personnelles (comme décrit dans la définition du Risque assuré ci-dessus).
  • Photos/images : dans le cadre d’une déclaration de sinistre, nous pouvons être amenés à vous demander de nous fournir des photos ou images du bien sinistré.
  • Données marketing : seulement si le particulier a consenti à recevoir de la publicité de notre part et de tierces parties.

Lorsque Marsh recueille ces informations directement auprès des particuliers, Marsh leur précise si les informations sont obligatoirement requises ou facultatives et les conséquences de ne pas fournir ces informations, directement sur le formulaire correspondant.

Sources de Données personnelles 

Nous recueillons les Données personnelles auprès de diverses sources, y compris (selon le pays dans lequel vous vous trouvez) provenant :

  • des particuliers et les membres de leur famille, sur Internet, par téléphone ou dans une correspondance écrite ;
  • des employeurs des particuliers ;
  • En cas de sinistre, les tiers, y compris l'autre partie au sinistre (demandeur/défendeur), les témoins, les experts (y compris les experts médicaux), les experts en sinistres, les avocats et les gestionnaires de sinistres ;
  • d’autres acteurs du marché de l’assurance, tels que les Assureurs, les Réassureurs et autres Intermédiaires ;
  • des agences d’évaluation de crédit (dans la mesure où Marsh prend tout risque de crédit) ;
  • de toute base de données en matière de lutte contre la fraude et autre base de données de tiers, y compris des listes de sanctions ;
  • des organismes gouvernementaux, tels que les services chargés de l’immatriculation des véhicules et les autorités fiscales ;
  • des formulaires de déclaration de sinistres.

Comment nous utilisons vos Données personnelles

Dans cette section, nous exposons les finalités pour lesquelles nous utilisons des Données personnelles, nous expliquons comment nous partageons les informations et identifions les « bases légales » sur lesquelles nous nous appuyons pour traiter les informations.

Ces « bases légales » sont énoncées dans le Règlement général sur la protection des données (RGPD), qui permet aux entreprises de traiter des données personnelles uniquement lorsque le traitement est autorisé par les « bases légales » spécifiques décrits dans la réglementation (Annexe 3 : liste des bases juridiques).

Veuillez noter qu'en plus des divulgations que nous avons  décrites dans ce tableau, nous divulguerons les Données personnelles aux fins que nous expliquons dans la présente politique aux prestataires de services, co-contractants, conseillers, agents et sociétés du groupe MMC qui exercent des activités en notre nom.

Consentement

Afin de faciliter la mise en place d’une couverture d’assurance et de gérer les déclarations de sinistre, nous nous appuyons sur le consentement de la personne concernée pour traiter les Données médicales, les Autres catégories spéciales de données ainsi que les Données d’infraction, telles que les dossiers médicaux et les dossiers de condamnations pénales, comme indiqué dans le tableau ci-dessus, et pour l’établissement du profil, tel qu’énoncé dans la section suivante. Ce consentement nous permet de partager avec d’autres Assureurs, Intermédiaires et Réassureurs les informations dont ils peuvent avoir besoin afin d’assumer leur rôle sur le marché de l’assurance (ce qui facilite ainsi le regroupement et la tarification du risque de façon durable).

Le consentement de la personne concernée pour le traitement des Données médicales, des Autres catégories spéciales de données personnelles ainsi que les Données d’infraction est une condition nécessaire pour Marsh afin d’être en mesure de fournir les services que le client demande.

Lorsque vous nous fournissez des renseignements au sujet d’une personne autre que vous-même, vous vous engagez à l’informer de notre utilisation de ses Données personnelles et à obtenir un tel consentement en notre nom.

Les particuliers peuvent à tout moment retirer leur consentement relatif au traitement de leurs données personnelles. Toutefois, cela peut empêcher Marsh de continuer à offrir ses services. En outre, si un particulier retire son accord pour le traitement par un Assureur ou un Réassureur des Données médicales, des Autres catégories spéciales de données personnelles ainsi que les Données d’infraction, la couverture d’assurance pourrait prendre fin.

Profilage et prise de décision automatisée

Les primes d’assurance sont calculées par les Acteurs du marché de l’assurance en effectuant une analyse comparative des caractéristiques de clients et de bénéficiaires par rapport aux caractéristiques d’autres clients et bénéficiaires, ainsi que des risques pour que des événements assurés surviennent. Cette analyse comparative exige que Marsh et d’autres Acteurs du marché de l’assurance étudient et compilent les informations reçues de tous les assurés, bénéficiaires ou requérants, afin de modéliser ces tendances. En conséquence, nous pouvons utiliser les Données personnelles pour qu’elles correspondent aux informations des modèles et pour créer des modèles qui déterminent la tarification des primes en général et pour d’autres assurés. Marsh et d’autres Acteurs du marché de l’assurance peuvent utiliser les Données médicales, d’Autres catégories spéciales de données personnelles ainsi que les Données d’infraction pour cette modélisation, dans la mesure où elles sont pertinentes, comme les antécédents médicaux pour l’assurance-vie ou les condamnations passées concernant un véhicule à moteur pour l’assurance automobile.

Marsh et d’autres Acteurs du marché de l’assurance utilisent des techniques prédictives similaires pour évaluer les informations que les clients et les particuliers fournissent afin de comprendre les schémas de fraude et la probabilité que les pertes futures se produisent réellement dans des scénarios de sinistres et comme indiqué ci-dessous.

Nous utilisons ces modèles uniquement pour les fins mentionnées dans la présente politique de confidentialité. Dans la plupart des cas, notre personnel prend des décisions fondées sur ces modèles.

Plate-forme de courtage automatisé

Lorsque les clients utilisent une plate-forme de courtage automatisé, des devis d’assurance sont proposés en examinant si les caractéristiques que le client a fournies correspondent aux critères fixés par les assureurs. Cette plate-forme détermine ainsi (a) si un devis sera fait ; (b) à quelles conditions ; et (c) à quel prix. Chaque Assureur utilisera différents algorithmes pour déterminer ses tarifs, et les clients doivent consulter la politique de confidentialité de chaque assureur pour obtenir plus de détails. Notre plate-forme vérifie simplement si les caractéristiques des assurés potentiels satisfont les modèles des assureurs, puis renvoie les résultats. Si les caractéristiques des Assurés potentiels ne satisfont pas les modèles des Assureurs, la demande de devis est renvoyée pour examen par une équipe dotée d’une autorité de souscription. Nous appliquons également des algorithmes de prédiction de fraudes aux informations que les clients fournissent, pour nous aider dans la détection et la prévention de fraudes. Nous examinons régulièrement tous les algorithmes de profilage et les algorithmes associés, par rapport à des inexactitudes et à des tendances.

Ces processus partiellement automatisés peuvent aboutir à ce qu’un client ne reçoive pas de proposition d’assurance ou peuvent influer sur le prix ou les conditions de l’assurance.

Les clients peuvent exiger que nous fournissions des informations sur la méthodologie de prise de décision et nous demander de vérifier que la décision automatisée a été correctement effectuée. Nous pouvons rejeter la demande, tel qu’autorisé par la législation applicable, y compris dans le cas où fournir des informations entraînerait la divulgation d’un secret commercial ou porterait atteinte à la prévention ou à la détection des fraudes ou d’un autre délit. Toutefois, dans ces circonstances, nous vérifierons généralement que l’algorithme et les données sources fonctionnent comme prévu, sans erreur ou partialité.

Mesures de sécurité

Nous avons mis en place des mesures de protection physiques, électroniques et procédurales appropriées à la sensibilité des informations que nous conservons. Ces mesures de sécurité varient en fonction de la sensibilité, du format, de l'emplacement, de la quantité, de la distribution et du stockage des Données personnelles. Elles incluent des mesures visant à protéger les Données personnelles contre tout accès non autorisé. Le cas échéant, les mesures de sécurité comprennent le chiffrement des communications via SSL, le chiffrement des informations pendant le stockage, les pare-feu, les contrôles d'accès, la séparation des tâches et les protocoles de sécurité similaires. Nous limitons l'accès aux Données personnelles au personnel et aux tiers qui nécessitent l'accès à de telles informations, à des fins légitimes, pertinentes et professionnelles.

Limitation de la collecte et de la conservation des données personnelles

Nous collectons, utilisons, divulguons et traitons des Données personnelles qui sont nécessaires aux fins déterminées dans la présente Politique ou dans la mesure permise par la loi. Si nous avons besoin de Données personnelles pour des finalités incompatibles avec celles que nous avons identifiées dans la présente Politique, nous aviserons les clients de la nouvelle finalité et, le cas échéant, demanderons le consentement des personnes concernées (ou demanderons à d’autres parties de le faire au nom de Marsh) pour traiter des Données personnelles en vue de cette nouvelle finalité.

Nos durées de conservation des Données personnelles sont basées sur les besoins de l’entreprise ainsi que sur les exigences légales et règlementaires. Nous conservons les Données Personnelles aussi longtemps que nécessaire aux finalités de traitement pour lesquelles les informations ont été recueillies et pour toute autre finalité permise et liée ou légalement requise. Par exemple, nous pouvons conserver certaines informations de transaction et la correspondance associée, jusqu’à ce que le délai pour des déclarations de sinistre découlant de la transaction ait expiré ou pour se conformer aux exigences règlementaires concernant la conservation de ces données. Lorsque des Données personnelles ne sont plus nécessaires, soit nous les dépersonnalisons ou les regroupons (auquel cas nous pouvons conserver et utiliser les informations dépersonnalisées ou regroupées à des fins d'analyse) ou les détruisons en toute sécurité.

Transfert transfrontalier de Données personnelles

Marsh transmet des Données personnelles à des pays non membres de l’Espace économique européen (EEE) ou permet l’accès à des Données personnelles provenant de ces pays. Les lois sur la protection des données de ces pays n’offrent pas toujours le même niveau de protection des Données personnelles que celui de l’EEE. Nous protégerons, en toutes circonstances, les Données personnelles telles que définies dans la présente Politique.

Certains pays en dehors de l’EEE dits adéquats ont été approuvés par la Commission européenne comme fournissant des protections essentiellement équivalentes aux lois de protection des données de l’EEE. La règlementation européenne sur la protection des données permet à Marsh de transmettre librement des Données personnelles vers ces pays. Afin de couvrir d’éventuels transferts de Données personnelles envers des entités du groupe MMC situées en dehors de l’EEE, nous avons mis en place les règles d’entreprise contraignantes du groupe MMC. Par ailleurs, dans l’hypothèse où nous transmettrions des Données personnelles à d’autres pays en dehors de l’EEE, nous établirons des fondements juridiques justifiant cette transmission, tels que les clauses contractuelles types, le consentement des particuliers, ou toute autre base juridique permise par la règlementation européenne.

Les particuliers peuvent demander des informations supplémentaires sur les mesures de protection spécifiques appliquées à l’exportation de leurs Données personnelles en contactant le délégué à la protection des données à l’adresse indiquée ci-dessous.

Exactitude, responsabilité, ouverture et vos droits

Nous nous efforçons de conserver des Données personnelles qui sont exactes, complètes et actuelles. Les particuliers doivent nous contacter à l'aide du formulaire Droits d'accès à vos données personnelles pour mettre à jour leurs informations.

Les questions concernant les pratiques de respect de la vie privée de Marsh doivent en premier lieu être adressées au délégué à la protection des données de Marsh.

Sous certaines conditions, les particuliers ont le droit de demander à Marsh de :

  • fournir de plus amples détails sur la manière dont nous utilisons et traitons leurs Données personnelles ;
  • fournir une copie des Données personnelles que nous conservons à leur sujet ;
  • mettre à jour toutes les inexactitudes figurant dans les Données personnelles que nous détenons ;
  • supprimer les Données personnelles pour lesquelles nous n’avons plus de fondement juridique justifiant leur traitement ;
  • retirer leur consentement, lorsque le traitement est basé sur le consentement ;
  • s’opposer à tout traitement de Données personnelles que Marsh justifie par le fondement juridique de « l’intérêt légitime », à moins que nos raisons d’entreprendre ce traitement l’emportent sur tout préjudice causé aux droits du respect de la vie privée de la personne concernée ; et
  • restreindre la façon dont nous traitons les Données personnelles pendant que nous examinons votre demande.

Ces droits peuvent faire l’objet de certaines dérogations pour protéger l’intérêt public (par ex., la prévention ou la détection d’une activité délictueuse) et nos intérêts (par ex., le maintien du secret professionnel). Nous répondrons à la plupart des demandes dans un délai de 30 jours.

Si nous sommes dans l’incapacité de répondre à une demande ou à une plainte, les personnes concernées ont le droit d’introduire une réclamation auprès de la CNIL :

Commission nationale de l’informatique et des libertés
3 Place de Fontenoy
TSA 80715
75334 PARIS CEDEX 07
France
Tél. : +33 (0)1 53 73 22 22
Fax : +33 (0)1 53 73 22 00

Questions, demandes ou plaintes

Pour soumettre vos questions ou demandes concernant cette politique de confidentialité de la vie privée ou les pratiques de respect de la vie privée chez Marsh, vous pouvez contacter le représentant local du délégué à la protection des données de Marsh à l’adresse suivante :

Responsable de la conformité
Marsh
Tour Ariane
92088 Paris La Défense

 

Vous pouvez également compléter le formulaire  Droits d'accès à vos données personnelles.

 

Modifications apportées à la présente politique de confidentialité

Cette politique de confidentialité est susceptible de changer à tout moment. Elle a été modifiée pour la dernière fois le 11 décembre 2023. Si nous apportons des modifications à cette Politique, nous mettrons à jour la date de sa dernière modification. Toute modification que nous apportons à cette Politique entre immédiatement en vigueur.