Le Comité national d’action sociale, association loi 1901 à but non lucratif, est un organisme d’action sociale de portée nationale pour le personnel des collectivités locales, de leurs établissements et de toutes structures associées.
Il construit via ses instances paritaires des relations fortes et durables avec ses adhérents, fondées sur la confiance réciproque. Le CNAS s’est donc engagé dans une démarche continue de protection des données personnelles de ses bénéficiaires, en conformité avec la Loi Informatique et Libertés du 6 janvier 1978 modifiée et du Règlement général sur la protection des données (RGPD) du 27 avril 2016.
Le CNAS dispose d’un groupe projet dédié à la protection des données personnelles associant de manière transversale les différents métiers concernés et le délégué à la protection des données déclaré auprès de la CNIL.
Cette politique s’inscrit aussi dans la volonté du CNAS de développer des échanges numériques et de promouvoir de nouveaux outils digitalisés dans un cadre loyal et transparent.
Les responsables de traitement
Dans le cadre de la gestion des prestations d’action sociale directes, de sa relation avec ses adhérents, ses correspondants, ses délégués et ses bénéficiaires, le responsable de traitement est le CNAS, représenté par son Président René Régnault.
Délégué à la protection des données (Data Protection Officer « DPO »)
Pour toute question ou réclamation concernant la protection des données personnelles ou la mise en œuvre du droit d'accès, de rectification ou droit d’effacement des données à caractère personnel, droit à la limitation du traitement, droit d’opposition au traitement ou droit à la portabilité des données, une seule adresse pour contacter le DPO : donneespersonnelles@cnas.fr.
Collecte et origine des données personnelles
Les données strictement nécessaires à l’inscription des bénéficiaires sont collectées auprès des structures employeurs adhérentes.
Les données nécessaires à l’accès à l’offre de prestations du CNAS sont collectées par la suite directement auprès des bénéficiaires.
Les données de commandes ou de facturation des prestations indirectes ou des offres partenaires sont collectées auprès des partenaires, lesquels sont identifiés des bénéficiaires.
Finalités du traitement et base juridique
La collecte des données personnelles a pour finalité principale d’offrir des prestations d’action sociale répondant à la définition de la loi n°2007-148 du 2 février 2007 et s’appuie sur la base juridique des intérêts légitimes du CNAS (article 6 du RGPD). Les données de santé collectées directement dans le cadre de certaines prestations sont soumises au consentement explicite du bénéficiaire (article 9 du RGPD). Répondant à des finalités secondaires, les données collectées permettront de gérer :
- l’inscription des bénéficiaires
- la relation avec le bénéficiaire
- les réclamations
- les recouvrements et contentieux
- la lutte contre la fraude et les impayés
- des statistiques, des études internes et des enquêtes de satisfaction.
Destinataires des données personnelles
Les destinataires sont, dans la limite de leurs attributions respectives et suivant les finalités : le personnel de l’association et, le cas échéant, ses sous-traitants. Seuls les destinataires dûment habilités peuvent accéder aux informations nécessaires à leur activité. Les données personnelles des bénéficiaires ne sont pas transmises à des acteurs commerciaux ou publicitaires à des fins de prospection.
Avec le consentement du bénéficiaire, le détail des prestations est transmis au correspondant de la structure employeur adhérente, le bénéficiaire pouvant à tout moment réviser sa position concernant ce consentement :
- via son compte en ligne, rubrique Vos informations personnelles / Vos préférences
- ou en utilisant le formulaire de consentement — à télécharger :
Consentez-vous à ce que votre correspondant puisse accéder au suivi de vos demandes de prestations ?
Dans le cadre de certaines demandes de prestations d’accompagnement de personnes en difficulté, le service social du CNAS peut échanger avec les travailleurs sociaux soumis au secret professionnel. Le bénéficiaire est alors personnellement informé de la démarche.
Des données sont transmises aux partenaires d’offres de prestations indirectes afin de vérifier l’éligibilité des bénéficiaires aux offres demandées, prévenir de fraudes et engager une correspondance. Ce cadre d’échange n’est appliqué que sur l’initiative des bénéficiaires, répondant à une demande de prestation chez un partenaire identifié.
Certains justificatifs liés aux demandes de prestation peuvent être transmis auprès des services émetteurs afin d'en vérifier l'authenticité.
Toutes les données sont aussi potentiellement mises à disposition des commissaires aux comptes, ainsi que leurs collaborateurs, intervenant au titre de la mission légale de certification des comptes.
Aucune donnée à caractère personnel n'est transférée vers un destinataire en dehors de l'Union européenne.
Durées de conservation
Le CNAS s’engage à conserver les données personnelles des bénéficiaires pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées. Ces durées de conservation sont définies en fonction des finalités du traitement et tiennent notamment compte des critères d’octroi des prestations et des dispositions légales applicables (action en répétition de l’indu, délais de prescription).
Droits des bénéficiaires
Conformément à la réglementation européenne en vigueur, les bénéficiaires disposent des droits suivants : droit d'accès, de rectification, droit d’effacement des données à caractère personnel, droit à la limitation du traitement, droit d’opposition au traitement, droit à la portabilité des données.
Si le bénéficiaire souhaite faire valoir ses droits relatifs à ses données personnelles, il peut le faire à l’adresse donneespersonnelles@cnas.fr.
Si, au-delà des réponses obtenues, les bénéficiaires souhaitent déposer une réclamation auprès de l’autorité de contrôle, représentée en France par la CNIL, ils peuvent contacter cette dernière.