NOTICE D’INFORMATION RELATIVE AUX DONNEES PERSONNELLES
MyCMCM
2. Qui est le responsable du traitement de vos données personnelles ?. 1
3. Quelles sont les données personnelles que nous collectons ?. 1
4. Dans quels buts collectons-nous vos données personnelles et combien de temps les conservons-nous ?. 2
5. A qui pouvons-nous transmettre vos données personnelles ?. 5
6. Vos données sont-elles transférées en dehors de l’Union européenne ?. 5
7. Que se passe-t-il en cas d’incident de sécurité ?. 6
8. Vos droits sur vos données. 6
9. Comment nous contacter, exercer vos droits ou introduire une réclamation ?. 6
Cette Notice a pour objet d’exposer pourquoi et comment nous, en tant que Responsable du traitement, traitons vos Données Personnelles quand vous utilisez plateforme de gestion des demandes de remboursement MyCMCM, dont l’accès est régi par nos Conditions Générales d’Utilisation.
Elle utilise certains termes spécifiques que vous retrouverez ci-après avec une majuscule. N’hésitez pas à consulter notre index ci-dessous en cas de difficultés de compréhension.
Cette Notice peut être modifiée pour tenir compte des évolutions de la Législation Applicable ou de nos pratiques. En cas de modification, vous serez informés par les moyens appropriés. La date de dernière mise à jour figure en haut du document, ce qui vous permet de naviguer facilement entre les différentes versions.
Pour les Traitements de Données Personnelles visés par cette Notice, le Responsable du Traitement est :
la Caisse Médico-Complémentaire Mutualiste (CMCM)
Mutuelle agréée par arrêté ministériel du 20 septembre 2024
32-34, rue de Hollerich, L-1740 Luxembourg
RCS Luxembourg : M9
Les Données Personnelles que nous traitons dans le cadre de MyCMCM sont collectées directement auprès de vous, ou auprès de la personne qui est affiliée à la CMCM, notamment lorsqu’elle vous invite à créer un Compte Utilisateur coaffilié sur MyCMCM. Dans le cadre du processus de création de Compte Utilisateur, vos noms, prénoms et dates de naissance nous sont transmis par notre prestataire tiers de solution de vérification d’identité. Nous n’avons pas accès à vos pièces d’identité ni à vos selfies pris dans le cadre de l’utilisation de cette solution de vérification d’identité.
Plus précisément, nous traitons les catégories de Données Personnelles suivantes :
Données d’identification personnelle et de contact :prénom, nom, numéro de matricule nationale, numéro d’affiliation et/ou numéro de Contrat de mutualité, date de naissance, situation familiale, actes relatifs à la situations familiale, identifiants de connexion* (adresse e-mail, mot de passe), etc.Données d’identification électroniquelogs de connexion tels que adresse IP/moments de connexion au MyCMCM / système d’exploitation utilisé, informations relatives à l’appareil utilisé (type d’appareil, système d’exploitation, version de l’application), etc.Données de géolocalisation (en cas d’activation du service de géolocalisation de votre terminal)position géographique du terminal utilisé pour se connecter à MyCMCM.Données relatives à l’activité du compte utilisateurlangue préférée, inscription à la newsletter et/ou aux notifications, fréquence d’utilisation du MyCMCM, etc.Données relatives aux demandes de remboursementinformations relatives aux prestations de santé, motifs de rejet le cas échéant, factures, ordonnances, attestations médicales, certificat médicaux, documents relatifs à une assistance ou un rapatriement, tout document nécessaire au traitement d’une demande de remboursement, d’un sinistre ou à la gestion des garanties souscrites etc.Données relatives au Contrat de mutualitétype de couverture, statut d’affiliation, historique contractuel (adhésion, résiliation, suppression), etc.Données financièrescoordonnées bancaires, titulaire du compte bancaire, informations nécessaires à l’exécution des paiements et remboursements, etc.Données de communicationcorrespondances échangées avec CMCM (courriers électroniques, courriers postaux, messages via la plateforme), notifications envoyées (push, e-mail), invitations envoyées aux potentiels coaffiliés.Autres donnéestoute autre information que vous nous communiquez volontairement (ex : dans le cadre d’une réclamation ou demande spécifique, de partage de documents avec nous).
Nous ne traiterons pas obligatoirement l’ensemble des toutes les Données Personnelles décrites ci-dessus. En effet, à l’exception de celles qui sont obligatoires pour la création d’un compte utilisateur (identifiées ci-dessus par *), les Données Personnelles traitées par CMCM dépendent des informations que vous fournissez volontairement sur MyCMCM : elles peuvent donc évoluer en fonction de l’usage que vous faites de ce service.
Le fondement juridique et le but du Traitement de vos Données Personnelles sont en premier lieu l’exécution des Conditions Générales d’Utilisation de la plateforme MyCMCM et du Contrat de mutualité.
Le tableau ci-dessous liste les différentes finalités pour lesquelles sont traitées vos différentes catégories de Données Personnelles, les bases légales de leur traitement et leur durée de conservation.
FinalitésBase légaleCatégorie de Données Personnelles traitéesDurées de conservationGestion et mise à disposition des services du MyCMCMCréation et administration du Compte UtilisateurExécution du contrat(Article 6. 1. b. du RGPD)
Données d’identification personnelle et de contact 2 ans à compter de la fin de relation, du dernier contact ou de la dernière activité sur votre compte Personnalisation/adaptation de votre compte et des services à vos besoins et préférences, notamment en matière d’affiliationExécution du contrat(Article 6. 1. b. du RGPD)Données d’identification personnelle et de contact Données relatives à l’activité du compte utilisateur Consentement(Article 6. 1. a. du RGPD)Données de géolocalisation Dépôt de demandes de remboursement et upload de documents via MyCMCMExécution du contrat(Article 6. 1. b. du RGPD)
Gestion des données de santés (Article 9. 2. du RGPD)Données d’identification personnelle et de contact Données relatives aux demandes de remboursement Données relatives au contrat de mutualité Données financières10 ans après clôture du dossier de remboursement Suivi des demandes (en attente / remboursé / rejeté)Exécution du contrat(Article 6. 1. b. du RGPD) Gestion du contrat de mutualité (adhésion, résiliation, suppression, appel annuel)Exécution du contrat(Article 6. 1. b. du RGPD)Données d’identification Données relatives au contrat de mutualité Durée de la relation contractuelle + 10 ans (obligations comptables et sociales) Opérations marketingpar voie électronique[1] portant sur des biens et services non encore fournisConsentement(Article 6. 1. a. du RGPD)
Données d’identification personnelle et de contact
Données d’identification électronique
Données relatives à l’activité du compte utilisateur 2 ans à compter de la fin de relation, du dernier contact ou de la dernière activité sur votre compte par voie électronique portant sur des biens et services analogues à ceux déjà fournisIntérêt légitime(Article 6. 1. f. du RGPD)Envoyer des nouveautés pertinentes et des communications personnalisées, faire connaître nos services, promouvoir nos activités personnaliséesConsentement(Article 6. 1. a. du RGPD)
Communication non-publicitaire avec les utilisateurs et gestion de leurs demandes de services et questions
Notifications (push, e-mail)
Sur des sujets contractuels et techniques/sécuritaires notammentVia application ou site web MyCMCM (ex : notifications push, formulaire de contact, centre d’aide, onglet de signalisation de problème)Mesures précontractuelles/Exécution du contrat(Article 6. 1. b. du RGPD)
Intérêt légitime(Article 6. 1. f. du RGPD)Communication avec les utilisateurs hors sujets contractuelsDonnées d’identification personnelle et de contact
Données d’identification électronique
Autres données Durée nécessaire au traitement de la demande ou maximum 2 ans à compter de la fin de relation, du dernier contact ou de la dernière activité sur votre compte Via mail Analyses de données, élaboration de statistiques sous forme pseudonyme ou anonyme et recherches scientifiques (apprentissage automatique,intelligence artificielle)
Analyses sur les fréquentations du MyCMCM et le succès des actions marketing (ex : campagnes e-mail), développement de solutions techniques optimisant les services personnalisés du MyCMCM
Intérêt légitime(Article 6. 1. f. du RGPD)Améliorer la performance et qualité de nos contenus et services
Données d’identification personnelle et de contact
Données d’identification électronique
18 mois
Conservation permanente des statistiques anonymiséesGestion des réclamations et du contentieuxExécution du contrat(Article 6. 1. b. du RGPD)Autres données
Toutes les données pouvant permettre la constatation, la défense ou l’exercice de droits en justiceDurée nécessaire au traitement de la réclamation ou du contentieux.
À compter de la clôture du dossier, les données y relatives seront gardées jusqu’à l’expiration des délais de prescription légaux applicables (en principe 10 ans).Intérêt légitime(Article 6. 1. f. du RGPD)Gérer de manière convenable des conflits éventuels non-contractuelsGestion des demandes d’exercice de droits RGPDObligation légale(Article 6. 1. c. du RGPD)Dispositions du RGPD imposant l’exercice et la gestion de ces droits (articles 15 et s. entre autres)Autres données
Toutes les données nécessaires au traitement de la demandeDurée nécessaire au traitement de la demande et à la preuve de ce dernier.
Vos Données Personnelles sont traitées en interne pour la réalisation des finalités susvisées par les personnes dûment habilitées, dans la limite de leurs attributions respectives et selon le principe du « besoin de savoir » (need to know). Toutes ces personnes sont tenues par une obligation de confidentialité dont le non-respect peut entrainer la mise en œuvre de mesures disciplinaires.
Nous pouvons également transmettre certaines de vos Données Personnelles dans la stricte mesure du nécessaire et pour la réalisation des finalités précitées aux entités listées ci-dessous :
Nous ne transférons pas vos Données Personnelles en dehors de l’Union européenne ou de pays qui ne bénéficient pas d’une règlementation considérée comme adéquate par la Commission Européenne.
CMCM met en œuvre et maintient, conformément à l’état de l’art et à la nature des traitements effectués, des mesures techniques et organisationnelles appropriées destinées à garantir la confidentialité, l’intégrité, la disponibilité et la traçabilité des Données Personnelles.
Ces mesures visent notamment à :
En cas de Violation de Données Personnelles de nature à créer un risque élevé pour vos droits et libertés, nous vous en informerons conformément aux règles prescrites par le RGPD.
Vos droitsCe que cela veut direExemples / actions possiblesAccèsObtenir les détails du traitement de vos donnéesConsulter vos données, comprendre leur usage, demander une copie.RectificationCorriger les données erronéesModifier une donnée incorrecte, compléter une information manquante.PortabilitéReprendre vos donnéesTélécharger vos données pour les transférer ailleurs.EffacementSupprimer vos donnéesFaire effacer vos données si elles ne sont plus utiles ou ont été collectées à tort.LimitationGeler temporairement l’utilisationSuspendre temporairement le traitement en cas de litige ou de vérification.OppositionDire « non » à certains traitementsRefuser l’utilisation de vos données pour des intérêts légitimes ou pour du marketing.Retrait du consentementChanger d’avisRetirer un accord donné, par exemple pour recevoir des newsletters.Stop pub !Bloquer les messages commerciauxSe désabonner facilement via le lien dans les emails marketing.
Ces droits peuvent, conformément à la Législation Applicable et dans les limites y prévues, être exercés à tout moment et sans frais, sauf en cas de demandes manifestement infondées ou excessives
SituationCe que vous pouvez faireComment procéderVous avez une question, une remarque ou une réclamationContacter notre équipe en charge de la protection des données personnellesPar courrier : dataprotection@cmcm.lu ; ou par voie postale à l’adresse suivante : CMCM, Data Protection Officer, 32-34 rue de Hollerich L-1740 Luxembourg.Vous avez une question, une remarque ou une réclamationIntroduire une demande spécifique Utiliser les mêmes canaux (courrier ou e-mail) en précisant votre demande.Vous souhaitez exercer vos droits (accès, rectification, etc.)Introduire une demande spécifique Utiliser les mêmes canaux (courrier ou e-mail) en précisant votre demande.Notre réponse ne vous satisfait pas ou reste sans suitePorter réclamation auprès de la CNPDAdresse : CNPD - Service des réclamations, 15 Boulevard du Jazz, L-4370 Belvaux Formulaire en ligne recommandé.
En cas de doute raisonnable, nous pourrons vous demander un justificatif d’identité (ex. : copie de votre pièce d'identité) avant de traiter votre demande.
Tout litige relatif à l'interprétation ou à l'exécution de la présente notice est soumis au droit luxembourgeois et à la compétence exclusive des juridictions luxembourgeoises.
Conditions Générales d’Utilisationles conditions générales d’utilisation régissant l’accès à la plateforme MyCMCM.Contrat de Mutualitéle contrat conclu entre la CMCM et le Client, en vertu duquel ce dernier devient affilié à la mutualité et bénéficie, en contrepartie du paiement de cotisations, des prestations prévues par les statuts, règlements et conditions applicables.Donnée Personnelletoute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou socialeLégislation ApplicableLe RGPD, la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en œuvre du RGPD, ainsi que toute disposition législative ou réglementaire applicable en matière de protection des données à caractère personnel, telle que modifiée ou remplacée ultérieurement.Noticela présente notice d’information relative au traitement des Données Personnelles.Responsable de Traitementla personne qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement.RGPDle règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces donnéesTraitementtoute opération, effectuée ou non à l'aide de procédés automatisés, et appliquée à des Données Personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.Violation de Données Personnellesune violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
[1] Les services compris dans la notion de prospection par voie électronique sont : le courrier électronique classique (SMTP), le service de messages courts (SMS), le service de messages multimédia (MMS), les automates d’appel et les télécopieurs (fax).