Politique de protection des données


Date de dernière mise à jour : 10/06/2021

Le Comité de Gestion des Œuvres Sociales des Établissements Hospitaliers publics (C.G.O.S.) respecte la vie privée et assure la protection des données de ses agents bénéficiaires et s’attache particulièrement au respect des libertés et droits fondamentaux de chacun.

La présente politique de protection des données témoigne des engagements du C.G.O.S. dans le cadre de ses activités quotidiennes pour une utilisation responsable des données à caractère personnel (ci-après nommées « données personnelles »).

Une donnée personnelle désigne toute information susceptible de se rapporter à une personne physique identifiée ou identifiable directement ou indirectement.

Cette politique informe sur la manière dont le C.G.O.S. recueille, utilise et partage les données de ses agents bénéficiaires. La présente politique de protection des données précise également les droits dont disposent les agents bénéficiaires et les utilisateurs des sites Internet du C.G.O.S.

Notez que cette politique de protection des données est susceptible d’être modifiée ou complétée à tout moment par le C.G.O.S., notamment en vue de se conformer à toute évolution législative, réglementaire, jurisprudentielle ou technologique ou pour prendre en compte tout changement dans l’organisation du C.G.O.S. ou dans les offres, produits et service proposés. Dans un tel cas, la date de sa mise à jour sera clairement identifiée en tête de la présente politique. Il convient par conséquent de consulter régulièrement la présente politique de protection des données afin de prendre connaissance de ses éventuelles modifications.

 

I. Coordonnées du responsable des traitements et du délégué à la protection des données
 

1.Coordonnées du responsable des traitements
Le responsable des traitements est le C.G.O.S., dont les coordonnées sont :

C.G.O.S 101, rue de Tolbiac - 75013 Paris FRANCE

2. Coordonnées du délégué à la protection des données
Le C.G.O.S. a désigné un délégué à la protection des données, dont les coordonnées sont :

C.G.O.S : Déléguée à la Protection des Données 101, rue de Tolbiac - 75013 Paris FRANCE

Adresse de courrier électronique : dpd@cgos.asso.fr

II. Finalités du traitement
 

Toutes les données personnelles sont collectées dans un objectif précis (aussi appelé « finalité ») tel que détaillé ci-après.

 Le C.G.O.S. utilise les données personnelles dans le cadre de la gestion des demandes d’action et de prestation des agents bénéficiaires et pour leur adresser régulièrement des informations sur son offre et celles de ses partenaires.

Le C.G.O.S. collecte ainsi les données personnelles afin de :

  • Gérer la relation avec les établissements hospitaliers adhérant du C.G.O.S.
  • Gérer l'ouverture des droits des agents bénéficiaires
  • Gérer l'attribution des prestations et actions sociales servies par le C.G.O.S. aux agents bénéficiaires et leur famille 
  • Gérer l'attribution des prestations maladie
  • Gérer le versement des cotisations sociales dues sur les prestations versées et autres prélèvements obligatoires à la source
  • Gérer les demandes et règlements au titre de l'action sociale et les recours éventuels
  • Mettre en œuvre les recours contre les tiers et les impayés 
  • Effectuer de la prospection pour la distribution du contrat « Complémentaire Retraite des Hospitaliers »
  • Assurer la communication et l'information aux établissements, aux agents bénéficiaires et aux prestataires externes

III. Catégorie de données collectées
 

Les données personnelles peuvent être collectées directement auprès des agents bénéficiaires ou des utilisateurs des sites du C.G.O.S. ou indirectement.

On parle de collecte indirecte de données personnelles lorsque les données ne sont pas recueillies immédiatement auprès de l’agent, mais auprès de tiers habilités. Les principaux types de tiers collecteurs de données personnelles auxquels le C.G.O.S. s’adresse sont les suivants :

  • Etablissements hospitaliers membres du C.G.O.S.
  • Administration fiscale et organismes sociaux
  • Fournisseurs
  • Partenaires commerciaux

1. Données personnelles courantes
Dans le cadre de son activité, le C.G.O.S. est amené à collecter différents types de données :

1)Informations relatives à l’agent bénéficiaire et sa situation

  • Identification (état civil, identité, coordonnée, adresse)
  • Vie personnelle (situation familiale, identité des enfants et autres personnes vivant au foyer)
  • Informations professionnelles
  • Informations d’ordre économique et financier (revenus, situation financière, situation fiscale…)

2) Données techniques d’utilisation informatique (cookies)

  • cgos.info
  • crh.cgos.info
  • vacances.cgos.info
  • avantages-loisirs.cgos.info
  • vosvacances.cgos.info
  • agent.cgos.info
  • tv.cgos.info
  • institution.cgos.info
  • m.cgos.info
  • cgosetvous.cgos.info
  • mag.cgos.info
  • vacances.cgos.infoservicesplus.cgos.info
  • cgosetvous.cgos.info

Les cookies sont des petits fichiers texte placés sur l’ordinateur de l’utilisateur ou sur son mobile lorsqu’il visite la plupart des sites Internet. Ils sont utilisés pour améliorer la visite.

Le C.G.O.S. utilise des cookies lorsqu’ils sont essentiels pour améliorer l’interactivité de ses sites. Ces derniers permettent de fournir à l’utilisateur une expérience de navigation personnalisée à l’occasion de chacune de ses visites et de mesurer l’audience de ses sites. Par ailleurs, les cookies aident le C.G.O.S. à optimiser, personnaliser et fournir ses services.

 

Lors de la navigation sur les sites du C.G.O.S. les cookies suivants sont utilisés :

  • Cookies fonctionnels nécessaires à la navigation : ces cookies permettent d’adapter la présentation des sites du C.G.O.S. aux préférences d’affichage du terminal de leur utilisateur, de mémoriser des informations relatives à un formulaire que l’utilisateur a rempli, de permettre à l’utilisateur d'accéder à des espaces réservés et personnels des sites, de mettre en œuvre des mesures de sécurité. Sur les sites du CGOS des cookies permettent d’enregistrer le département et la région de l’agent. Sans ces cookies nécessaires, la navigation de base et certaines fonctions essentielles peuvent être bloquées.
  • Cookies de mesure d’audience : ces cookies sont utilisés par les sites du C.G.O.S. pour servir à la production de statistiques anonymes. Ils permettent de compter le nombre de visiteurs et d'identifier la façon dont ils se déplacent sur le site lorsqu'ils l'utilisent. Cela permet ainsi d’améliorer le fonctionnement des sites, par exemple en s’assurant que les utilisateurs trouvent facilement ce qu'ils cherchent. Il s’agit des cookies suivants :
    • _ga : Cookie de mesure d’audience émis par le site, il permet d’obtenir des informations sur le trafic et les pages visitées. Durée de vie de 13 mois
    • _gat : Cookie utilisé par Google Analytics pour diminuer radicalement le nombre de requêtes. Utilisé uniquement le temps d'une session
    • _gid : Cookie enregistrant un identifiant unique utilisé pour générer des données statistiques sur la façon dont le visiteur utilise le site. Utilisé uniquement le temps d'une session
  • Cookies de réseaux sociaux : ces cookies permettent aux utilisateurs de partager des contenus des sites du C.G.O.S avec d’autres personnes ou de faire connaitre à ces autres personnes leur consultation des sites ou leur opinion.

Les cookies utilisés sur les sites du C.G.O.S permettent de collecter les informations suivantes : le type de navigateur utilisé, le système d’exploitation, le terminal, le langage sélectionné.

Lorsque vous vous rendez sur ce site, vous êtes informés par un bandeau vous permettant :

  • De connaître les cookies utilisés et les finalités précises ;
  • D’accepter ou de s’opposer à chacune des différentes familles de cookies le cas échéant.

2.Données sensibles
Le C.G.O.S. collecte également des données sensibles dans le cadre de son activité pour l’exécution des demandes d’actions et de prestations des agents bénéficiaires :

  • Données concernant la santé
  • Numéro d’identification nationale (NIR)

Les données collectées à l’occasion de la navigation pour la mesure d’audience des sites du C.G.O.S (notamment les cookies) présentent un caractère facultatif.

Les données collectées pour la réalisation des autres finalités sont recueillies de façon obligatoire sauf mention contraire dans le formulaire concerné.

IV. Les fondements juridiques des traitements mis en œuvre
 

Le C.G.O.S. utilise les données personnelles des agents bénéficiaires uniquement dans les limites autorisées par la loi. Les fondements juridiques de l’utilisation par le C.G.O.S. des données des agents bénéficiaires aux fins énoncées dans la présente Politique de Protection des Données, sont principalement les suivants :

(i) L’utilisation des renseignements personnels des agents bénéficiaires, à laquelle ils ont consenti dans le dossier d'ouverture de droits, est nécessaire au C.G.O.S pour le traitement des demandes d’actions et de prestations et leur exécution, article 6 1. (b) du Règlement UE 2016/679 (« RGPD »);

(ii) L’utilisation des informations personnelles des agents bénéficiaires est nécessaire aux fins de la mission d’intérêt public du C.G.O.S

(iii) Le consentement de la personne concernée, au traitement de ses données à caractère personnel, article 6. 1. (a) du RGPD. Lorsque le C.G.O.S. a demandé le consentement de ses agents bénéficiaires à la collecte ou à l’utilisation de certains types d’informations personnelles, ceux-ci peuvent retirer leur consentement et ce à tout moment, en communiquant avec le Délégué à la protection des données personnelles dont les coordonnées sont indiquées à l’article 1.

(iv) L’utilisation des informations personnelles des agents bénéficiaires est nécessaire aux fins des intérêts légitimes poursuivis par le C.G.O.S., à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection de ses données, article 6 1. (f) du RGPD.

Veuillez-vous reporter à l’Annexe 1 de la présente Politique de protection des données qui expose plus en détail les fondements légaux des traitement invoqués pour différents types de données et les raisons du traitement.

Lorsque le C.G.O.S. requiert le consentement des agents bénéficiaires à la collecte et à l’utilisation de certains types d’informations personnelles, les agents bénéficiaires peuvent retirer leur consentement à tout moment en adressant leur demande au Délégué à la Protection des Données dont les coordonnées sont indiquées à l’article I.2. de la présente Politique.

V. Destinataires des données personnelles
 

Pour l'exécution des demandes d'actions et de prestations et pour le respect par le C.G.O.S. de ses obligations légales et règlementaires, le C.G.O.S peut être amené à communiquer les données des agents bénéficiaires à des tiers : fournisseurs des actions et prestations, sous-traitants du C.G.O.S. notamment pour la gestion informatique et financière, en cas d'obligation légale aux autorités publiques, commissaires aux comptes, avocats, experts-comptables. Ces tiers peuvent agir au nom du C.G.O.S. notamment en matière de traitement des données ou de diffusion de communication. Le C.G.O.S. peut également autoriser des tiers à collecter des informations en son nom. Les prestataires tiers ont accès aux informations et peuvent les collecter dans la mesure où cela est nécessaire pour leur permettre de remplir leurs fonctions.

VI. Transferts de données personnelles en dehors de l’Union Européenne
 

Le C.G.O.S. ne procède directement à aucun transfert de données personnelles en dehors de l’Union Européenne.

Si certains des destinataires des données personnelles transmises par le C.G.O.S. devaient se situer en dehors de l’Union Européenne, le C.G.O.S. concevra des garanties spécifiques pour assurer la protection de vos données.

VII. Utilisation des données
 

Les données personnelles collectées par C.G.O.S. ne peuvent être utilisées de manière incompatible avec les finalités présentées précédemment.

VIII. Durée de conservation
 

La durée de conservation des données dépend des finalités pour lesquelles elles sont traitées.

Les données personnelles sont conservées tant qu'elles sont nécessaires pour l’exécution du contrat ou pour répondre à des obligations légales.

Pour déterminer la durée de conservation appropriée des données personnelles, le C.G.O.S. tient compte de la quantité, de la nature et de la sensibilité des données personnelles, du risque potentiel de préjudice résultant de l’utilisation ou de la divulgation non autorisée des données personnelles des agents bénéficiaires, des objectifs pour lesquels le C.G.O.S. traite vos données personnelles et de la possibilité d’atteindre ces objectifs par d’autres moyens, ainsi que les exigences légales applicables.

Dans certains cas, le C.G.O.S. peut anonymiser les données personnelles des agents bénéficiaires afin qu’elles ne puissent plus leur être associées, auquel cas le C.G.O.S. peut utiliser ces informations indéfiniment et sans préavis.

Les informations collectées concernant les agents bénéficiaires et le cas échéant, leur famille, sont conservées tout au long de l'adhésion de l'agent bénéficiaire puis, à l’expiration de celle-ci, pendant le délai de prescription.

Les détails concernant les périodes de conservation de vos différentes données sont précisés en Annexe 2.

 

IX. Droits des personnes
 

La réglementation en matière de protection des données personnelles impose de respecter les droits des personnes concernées. Le C.G.O.S. assure le respect de ces droits de la manière suivante :

1. Droit à l’information
Le C.G.O.S. communique par la présente politique de protection des données les informations relatives à ses modalités de collecte et de traitement des données personnelles : finalité du traitement, catégorie de données collectées, information relative à la source des données, destinataires, durée de conservation des données personnelles, droits.

2. Droit d’accès
Le droit d’accès permet d’obtenir de la part du C.G.O.S la confirmation du traitement effectué ou non par le C.G.O.S.  s’agissant des données personnelles des personnes concernées.

Le droit d’accès permet également à toute personne concernée par le traitement de demander copie des données personnelles traitées. La fourniture de cette copie des données personnelles traitées peut être refusée lorsque cela pourrait révéler des informations personnelles concernant une autre personne ou aurait un impact négatif sur les droits d’une autre personne.

3. Droit de rectification
Il s’agit du droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données personnelles de la personne concernée qui sont inexactes ou incomplètes. Compte tenu des finalités du traitement, la personne a le droit d’obtenir que ses données personnelles incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

4. Droit à l’effacement (droit à l’oubli)
Il s’agit du droit d’obtenir du responsable du traitement l’effacement ou la suppression, dans les meilleurs délais, de données à caractère personnel de la personne concernée.

Il ne s’agit toutefois pas d’un droit d’effacement général et il existe des exceptions notamment lorsque le responsable de traitement a besoin d’utiliser les informations concernées afin d’assurer sa défense dans le cadre d’une demande d’ordre juridique portée à son encontre ou afin d’être en mesure de respecter une obligation légale.

5. Droit à la limitation
Il s’agit du droit de demander la limitation du traitement, ce qui implique que, dans certains cas, la personne concernée peut demander au C.G.O.S. de suspendre momentanément le traitement de ses données ou, à l'inverse, lui demander de les conserver au-delà du temps nécessaire si le C.G.O.S. entendait les effacer.

Lorsque le traitement est restreint, le C.G.O.S peut quand même stocker les données personnelles de la personne concernée mais ne peut pas continuer à les utiliser.

6. Droit d’opposition
Le droit d’opposition est le droit de s’opposer à tout moment à certains types de traitement des données personnelles, pour des motifs liés à la situation spécifique de la personne concernée, dès lors que le traitement concerné se fonde sur des raisons d’intérêt légitime. Le C.G.O.S est autorisé à continuer à traiter les données personnelles s’il est en mesure de démontrer qu’il existe des motifs d’intérêt légitime impérieux, aux fins du traitement, qui l’emportent sur les intérêts, droits et libertés de la personne concernée, ou s’il en a besoin afin d’établir, exercer ou défendre ses droits dans le cadre de poursuites judiciaires.

Si la personne concernée s’oppose au traitement de ses données personnelles à des fins de prospection commerciale, le C.G.O.S ne traitera plus ses données personnelles à de telles fins.

7. Droit à la portabilité
Il s’agit du droit d’obtenir certaines données personnelles pour des besoins personnels.

Ce droit à la portabilité ne peut s’exercer que sur les données personnelles fournies personnellement au C.G.O.S. et qui sont traitées par des moyens automatisés (absence de portabilité des éventuels registres papier). Ce droit ne concerne que les traitements reposant sur un consentement ou lorsque les données sont traitées aux fins d’exécution d’un contrat ou de mise en œuvre de mesures précontractuelles.

Les données sont fournies dans un format structuré, communément utilisé et lisible par une machine. De plus, il est possible d’obtenir du responsable de traitement qu’il transmette les données personnelles directement à un autre responsable de traitement.

Enfin, ce droit ne doit pas porter atteinte aux droits et liberté de tiers.

8. Droit de fournir des directives concernant l’utilisation des données personnelles après le décès de la personne concernée
Il s’agit du droit de fournir des instructions sur la gestion (par exemple : conservation, effacement et communication) des données personnelles de la personne concernée après son décès. Ces instructions peuvent être modifiées ou révoquées à tout moment.

X. Exercice des droits et délai de réponse
 

Il est possible, à tout moment, de contacter le C.G.O.S. par courrier postal ou par courrier électronique (cf. les coordonnées indiquées dans à l’article 1 « Coordonnées du responsable des traitements et du délégué à la protection des données ») pour exercer ses droits.

Le C.G.O.S. s’engage à répondre aux demandes d’exercice de droits dans un délai raisonnable qui ne saurait dépasser un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. En cas de prolongation du délai de réponse, le C.G.O.S. le notifiera au préalable.

Le C.G.O.S pourra demander à toute personne de lui fournir les informations nécessaires afin de confirmer son identité et exercer ses droits. Il s’agit d’une mesure de sécurité additionnelle et appropriée, visant à garantir que les données personnelles ne sont pas divulguées à une personne qui n’a pas le droit de les recevoir.

La personne exerçant ses droits (tels qu’énumérés précédemment) n’aura pas à payer de frais afin d’accéder à ses données personnelles (ou pour exercer tout autre droit). Cependant, des frais pourront être appliqués, de manière raisonnable, pour le cas où la demande s’avérerait, de manière indéniable, non fondée, répétitive ou excessive. Dans de telles circonstances, il est possible de refuser de donner suite à la demande.

 

XI. Sécurité des données
 

Des mesures de sécurité physiques, logiques et organisationnelles appropriées ont été prévues par le C.G.O.S. pour garantir la confidentialité des données, et notamment éviter tout accès non autorisé.

Vos données personnelles sont maintenues sur des réseaux sécurisés et accessibles par un nombre limité de collaborateurs et de tiers ayant des droits d’accès spécifiques sur de tels systèmes.

Le C.G.O.S. veille également à ce que ses sous-traitants présentent des garanties appropriées pour assurer la sécurité et la confidentialité de vos données personnelles.

 

XII. Divers
 

1. Notification des violations de données personnelles
Le C.G.O.S. se doit de notifier aux autorités de contrôle, dans les meilleurs délais, et si possible, 72 heures après en avoir pris connaissance dès lors qu’il y a destruction, perte, altération, divulgation ou accès non autorisé, qu’ils soient accidentels ou illicites des données personnelles sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

 

Cette notification doit également être faite sauf si :

  • La violation des données personnelles n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés
  • Des mesures appropriées de protection techniques et organisationnelles étaient en place au moment de l’incident
  • Cette communication impliquerait des efforts disproportionnés

2. Dépôt de plainte auprès de la CNIL
Vous pouvez également déposer plainte auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), l’autorité française de surveillance de la protection des données.

 

ANNEXE 1 – Fondements légaux des traitements des Données Personnelles

Finalité du traitement Fondement légal du traitement
Gestion de l’ouverture des droits des agents et retraités bénéficiaires du C.G.O.S. Consentement des personnes concernées
Gestion des prestations et actions sociales du C.G.O.S. (hors maladie et CRH) Mission d’intérêt public
Gestion de l’activité Complémentaire Retraite Hospitalière (CRH) du C.G.O.S. Consentement des personnes concernées
Gestion des prestations maladies du C.G.O.S. Consentement des personnes concernées
Communication ciblée sur les prestations et actions fournies par le C.G.O.S Intérêt légitime du C.G.O.S.

 

ANNEXE 2 – Durées de conservation des données

Type de données Durée de conservation
Données contenues dans le dossier d’ouverture de droits et pièces justificatives Pour le dossier d’ouverture de droits de l’année N, 6 ans à compter du 31 décembre de l’année N
Données contenues dans les formulaires de demande de prestations et actions sociales (hors maladie et CRH) 6 ans à compter de la date de la dernière délivrance de la prestation/de l’action ou de la date de connaissance d’un fait intervenu pendant le délai de prescription révélant le caractère indu de la prestation versée
Données contenues dans les formulaires de demandes d’aides remboursables et pièces justificatives 6 ans à compter de la date de remboursement ou de refus
Données de connexion, de navigation 1 an à compter de la date de connexion
Données contenues dans les formulaires nécessaires à la gestion des prestations maladie et pièces justificatives 6 ans à compter de la date du dernier versement des prestations ou de la date de réception par le C.G.O.S. du courrier de l’établissement de l’agent concerné informant de la décision de requalification de la maladie, si il a été reçu avant l’expiration du délai de prescription
Données nécessaires pour l’envoi des communications relatives aux prestations autres que la CRH Consentement recueilli au sein du dossier d’ouverture de droits, conservation jusqu’au 30 juin de l’année N+1 sauf en cas de retrait du consentement avant cette date
Données contenues dans la demande d’affiliation ou de préafiliation de l’agent ou du conjoint 6 ans à compter de la clôture du contrat
Données contenues dans la demande de prise en charge des cotisations CRH pour cause de situation de maladie 6 ans à compter de la date de signature du contrat CRH
Données de connexion, de navigation sur le site de la CRH 1 an à compter de la date de connexion