Protection des données

Directive de Protection des Données

 

La CMCM, établie et ayant son siège au 32-34, rue de Hollerich, L-1740 Luxembourg, traite des données à caractère personnel (DCP) relatives à des personnes physiques dans le cadre de ses activités statutaires. En sa qualité de responsable du traitement des données, la CMCM souscrit au respect des règles de protection des données.


La présente politique en matière de protection des DCP entend décrire la manière dont les données sont utilisées et protégées par la CMCM. Cette politique est revue annuellement.

 

Champ d'application

La politique de protection des données de la CMCM énonce les principes et lignes directrices de ses obligations en tant que « responsable du traitement » (personne qui détermine les finalités et les moyens de traitement des données) découlant du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des DCP et à la libre circulation de ces données, entré en vigueur le 25 mai 2018.


Données collectées

Les données collectées se limitent à celles nécessaires à la réalisation des finalités identifiées par la CMCM, notamment le remboursement des frais médicaux.

Elles sont notamment recueillies :

  • lors de l'affiliation à la CMCM ;
  • lors de l'entrée en relation avec la CMCM ;
  • lors des mises à jour de vos données ;
  • lorsque vous remettez des factures pour remboursement ;
  • lorsqu'un tiers (hôpital luxembourgeois, hôpital à l'étranger, etc.) nous transmet votre dossier pour un remboursement par la voie du tiers payant respectivement d'une prise en charge ;
  • lors d'un accident ou d'une maladie soudaine lors d'un déplacement à l'étranger (CMCM-Assistance) ;
  • lorsque vous remettez un dossier de candidature pour un emploi à la CMCM.

Différentes catégories de DCP sont collectées dans le respect des dispositions légales :

  • les données d'identification personnelle (p. ex. le nom, le prénom, la date et le lieu de naissance, l'adresse, le numéro de téléphone, l'adresse e-mail, etc.) ;
  • les données d'identification nationale (le matricule) ;
  • les données relatives aux remboursements (mémoires d'honoraires médicaux) ;
  • les informations relatives à un dossier de candidature (p. ex. diplômes, expériences professionnelles, etc.).

Les DCP que vous communiquez concernant des tiers (membres de la famille, employeur, etc.) sont traitées au même titre que vos DCP, en fonction des prestations et finalités correspondantes. Il vous incombe d'en informer les personnes concernées.

 

Conditions de licéité des traitements de DCP

L'ensemble des traitements de DCP effectués par la CMCM se base sur une des conditions
de licéité suivantes :

  • les obligations légales et réglementaires ainsi que statutaires ;
  • l'exécution d'un contrat, y compris les mesures précontractuelles, p. ex. le remboursement de vos frais médicaux et d'hospitalisation ;
  • les intérêts légitimes de la CMCM, p. ex. l'information de nouveaux services aux affiliés, la prospection, la gestion d'événements.

 

Transfert de vos données vers des tiers

La CMCM transfère des DCP à des tiers (p. ex. : émetteurs de cartes de membres, CNS, imprimerie, hôpitaux, etc.) dans le cadre de ses activités, lorsque des dispositions légales, réglementaires ou contractuelles l'y autorisent ou l'y obligent. Ces tiers sont par ailleurs eux-mêmes tenus de respecter les obligations légales ou contractuelles en matière de protection des données personnelles en tant que responsable du traitement ou sous-traitant.

 

Transfert de vos données hors de l'Espace Économique Européen

La CMCM ne transfère jamais des DCP en dehors de l'Espace Économique Européen (« EEE »), sauf si l'affilié nous indique une adresse de courrier dans un pays hors EEE ou lors d'une prise en charge requise par l'affilié dans un pays hors EEE.

 

Durée de conservation de vos données

La CMCM conserve vos DCP conformément à ses obligations légales ou pour la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées.

 

Sécurité de vos données

La CMCM s'engage à protéger et sécuriser vos DCP afin d'assurer leur confidentialité et d'empêcher leur destruction, leur perte, leur modification ou leur divulgation.

 

À cette fin, la CMCM a mis en place des mesures de protection physiques, techniques, organisationnelles et procédurales : 

  • le personnel de la CMCM est sensibilisé à la protection des DCP via des formations internes, des notes régulières, la diffusion de bonnes pratiques ;
  • la CMCM veille à ce que toutes les mesures nécessaires à la protection des DCP soient intégrées dès la conception (« Privacy by Design »), que ce soit dans les nouvelles applications, ou dans des applications existantes pour lesquelles des fonctionnalités sont ajoutées, remplacées ou modifiées ;
  • la CMCM assure par défaut le plus haut niveau possible de protection des DCP qu'elle traite (« Privacy by Default »). Par défaut, seules les données susceptibles d'être réellement utilisées doivent être collectées et stockées. Cette règle s'étend à la quantité de DCP, l'étendue du traitement, la durée de conservation des données et l'accessibilité des données. Les catégories particulières de DCP (données sensibles) font l'objet de mesures de sécurité renforcées ;
  • en matière de sous-traitance de traitements de DCP, la CMCM exige de ses sous-traitants qu'ils présentent les mêmes garanties de sécurité des DCP ;
  • la Politique de Sécurité de la CMCM garantit un niveau de protection des DCP conforme au Règlement relatif à la protection des personnes physiques.

Toutes ces mesures sont revues régulièrement, actualisées et améliorées.

 

Notification

En cas de violation de DCP, la CMCM notifie ce fait à la Commission Nationale pour la Protection des Données (CNPD) dans les meilleurs délais et, au plus tard, dans les 72 heures après en avoir pris connaissance. Au cas où cette violation concernerait vos DCP et si l'incident est susceptible d'engendrer un risque élevé pour vos droits et libertés, la CMCM vous en informera, dans les meilleurs délais.

 

Vos droits

Le Règlement vous confère une série de droits sur vos DCP traitées par la CMCM :

  • droit d'accéder à vos DCP et, le cas échéant, d'obtenir une copie de ces données ;
  • droit de rectification de vos DCP, si vous jugez qu'elles sont inexactes ;
  • droit à l'effacement (droit à l'oubli) de vos DCP, à moins qu'un motif légitime (obligation légale) ne justifie leur conservation ;
  • droit à la limitation du traitement ;
  • droit à la portabilité de vos DCP, c'est-à-dire de les recevoir dans un format structuré, couramment utilisé et lisible par machine afin de les transmettre à un autre responsable du traitement ;
  • droit de vous opposer à tout moment aux traitements de vos DCP ;
  • droits liés à la prise de décision automatique.

 

Si vous souhaitez exercer l'un des droits cités ci-dessus, vous pouvez envoyer votre demande par message, e-mail ou courrier à l'adresse suivante :
 

CMCM
Data Protection Officer
32-34 rue de Hollerich
L-1740 Luxembourg
dataprotection@cmcm.lu

 

Dans un souci de confidentialité et de protection des données, la CMCM doit s'assurer de votre identité avant de répondre à votre demande. Ainsi, toute demande devra être accompagnée d'une copie d'une pièce d'identité.


La CMCM s'efforcera de donner suite à votre demande dans les meilleurs délais et dans un délai d'un mois à compter de la réception de la demande. Selon la complexité de la demande ou le nombre de demandes à traiter, la CMCM a la possibilité de prolonger ce délai de deux mois. Vous serez informé de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande. 

 

La CMCM se réserve le droit, en cas de demande manifestement non fondée ou excessive (demande répétée, etc.), de refuser de répondre à la requête. En cas de refus, la CMCM s'engage à indiquer les raisons du refus et les possibilités de recours auprès de l'autorité supérieure.
 

Si vous n'êtes pas satisfait de la suite donnée à votre demande, vous pouvez introduire une réclamation auprès de la Commission Nationale pour la Protection des Données (davantage d'informations sont disponibles sur le site www.cnpd.public.lu).