Date de dernière mise à jour : 12/06/2024
 

I. Objet et champ d'application

Le Comité National d’Action Sociale (ci-après « CNAS ») est une association, loi 1901 à but non lucratif, d’action sociale de portée nationale pour le personnel des collectivités locales, de leurs établissements et de toutes structures associées.

Soucieux de la vie privée de ses bénéficiaires et adhérents, le CNAS est engagé dans une démarche continue de protection des données à caractère personnel (ci-après « Données personnelles »), en conformité avec la réglementation en vigueur applicable en matière de protection des données, et notamment le Règlement Général sur la Protection des Données du 27 avril 2016 (ci-après le « Règlement ») et la loi Informatique et Libertés du 6 janvier 1978 modifiée.

Dans le cadre de la gestion des prestations d’action sociale directes, de sa relation avec ses adhérents et ses bénéficiaires, le responsable de traitement est le CNAS, dont le représentant légal est son Président René RÉGNAULT.

Cette politique de protection des données (ci-après la « Politique ») est régulièrement mise à jour afin notamment d’informer ses bénéficiaires et adhérents sur les nouveaux services du CNAS ou de se conformer à toute nouvelle règlementation applicable.

La Politique applicable est celle en vigueur à la date de connexion d’accès à l’un des sites du CNAS (https://www.cnas.fr ou https://le.cnas.fr ci-après « Site »).

Elle vise à indiquer quelles sont les personnes concernées, quels sont leurs droits et comment elles peuvent les exercer, de quelle manière les données sont collectées, quels sont les traitements réalisés sur ces données et pourquoi ils sont réalisés, si les données sont susceptibles d’être partagées, ainsi que les mesures prises pour en assurer la sécurité.

La Politique fait partie intégrante des conditions générales d'utilisation (ci-après « CGU ») du Site.

Cette Politique s’inscrit aussi dans la volonté du CNAS de développer des échanges numériques et de promouvoir de nouveaux outils digitalisés dans un cadre loyal et transparent.

Le CNAS a désigné un délégué à la protection des données personnelles (ci-après le « DPO »), déclaré auprès de la CNIL.
 

II. Les personnes concernées

La Politique s’adresse et s’applique aux bénéficiaires et adhérents du CNAS ainsi qu’aux correspondants, aux délégués, aux membres des bureaux départementaux et membres du conseil d’administration (ci-après « Membres des instances ») et aux visiteurs du Site (ci-après les « Personnes concernées »).

Cette Politique peut également concerner les Données personnelles des collaborateurs des prestataires et sous-traitants du CNAS pour la gestion des relations commerciales, contractuelles, ou lors de la réalisation de missions pour le CNAS.
 

III. Les droits en matière de protection des données

Conformément à la réglementation européenne en vigueur, les personnes concernées disposent des droits suivants : droit d'accès, de rectification et d’effacement de leurs Données personnelles, droit à la limitation du traitement, droit d’opposition au traitement, droit à la portabilité de leurs Données personnelles. Elles peuvent également retirer leur consentement et organiser le sort de leurs Données après leur mort.
 

Droit d'accès et droit de rectification

Les personnes concernées peuvent demander : à connaître les Données personnelles que le CNAS détient sur elles ; que des informations inexactes les concernant soit modifiées ou que des informations incomplètes soient complétées. Pour cela, il leur sera demandé de fournir au CNAS, le cas échéant, des justificatifs pour répondre à leur demande.

À noter que les bénéficiaires des prestations et services du CNAS peuvent à tout moment consulter leurs données personnelles, renseigner et modifier certaines d’entre elles via leur compte CNAS. Pour les informations qui ne sont pas modifiables directement par les bénéficiaires, ces derniers doivent se rapprocher de leur antenne via le formulaire de contact prévu à cet effet sur le site, par mail ou encore par téléphone.
Le formulaire est disponible à l'adresse : https://www.cnas.fr/contact. Le bénéficiaire doit sélectionner son antenne puis le sujet « Prestation vie quotidienne ».
 

Droit d'effacement (« droit à l'oubli »)

Les personnes concernées peuvent demander l’effacement de leurs Données personnelles qui n’ont plus de motif fondé à être conservées :

• les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ou traitées ;
• il n’existe pas de fondement juridique imposant leur conservation ;
• le consentement pour leur traitement a été retiré ;
• après opposition à leur traitement et s’il n’existe pas de motif impérieux imposant au CNAS de le poursuivre ;
• ces données ont fait l’objet d’un traitement illicite ;
• ces données doivent être effacées pour respecter une obligation légale prévue par le droit de l’Union Européenne ou le droit français auquel le CNAS est soumis.
   

Droit à la limitation

Les personnes concernées peuvent demander la limitation des traitements de Données personnelles que le CNAS met en œuvre à leur égard.
Il est important de noter que ce droit ne s’applique que s’il existe un motif légitime à faire valoir. À titre d’exemple : contestation de l’exactitude de Données personnelles, défense ou exercice de droits en justice.
 

Droit d'opposition

Dans les conditions prévues par la réglementation, les personnes concernées peuvent s’opposer au traitement de leurs Données personnelles pour des raisons qui leurs sont propres. Cette opposition peut toutefois entraîner l’impossibilité pour le CNAS de fournir le produit ou service proposé.
Les personnes destinataires d’informations de la part du CNAS par email peuvent également se désabonner des newsletters et/ou des emailings, en cliquant sur le lien hypertexte présent dans chaque communication.
 

Droit à la portabilité

Dans le cadre de l’exercice du droit à la portabilité, les personnes concernées disposent du droit de recevoir les Données personnelles qui les concernent, dans un format informatique structuré et couramment utilisé. Elles peuvent également être transmises à un tiers si la technique du CNAS le permet. Les données sont celles fournies par les personnes concernées et qui sont traitées avec leur consentement ou qui sont nécessaires à l’exécution d’un contrat.
 

Droit de retrait du consentement

Lorsque les traitements de Données personnelles sont fondés sur le consentement, il peut être retiré à tout moment. Le CNAS cesse alors de traiter les Données personnelles concernées sans que les opérations antérieures consenties ne soient remises en cause.
 

Droit d'organiser le sort de Données personnelles après la mort

Les Personnes concernées disposent du droit de définir des directives générales et particulières définissant la manière dont elles entendent que soient exercés leurs droits concernant leurs Données personnelles après leur décès.
 

Démarchage téléphonique

Toute personne qui ne souhaite pas faire l’objet de prospection commerciale par voie téléphonique peut s’inscrire gratuitement sur la liste d’opposition au démarchage téléphonique directement sur le site Internet www.bloctel.gouv.fr ou par courrier adressé à : Worldline – Service Bloctel – CS 61311 – 41013 Blois Cedex.
 

Exercice du droit des personnes concernées

Pour pouvoir exercer leurs droits, qui peuvent être exercés à tout moment, la demande d’exercice devra être envoyée au CNAS en indiquant les nom, prénom et, le cas échéant, le numéro de bénéficiaire CNAS de l'une des manières suivantes :

• par voie électronique via le formulaire en cliquant ici ;
• par voie postale accompagnée d’un justificatif d’identité à l’adresse :
  CNAS – Service protection des données - 3 rue Gustave Eiffel - CS 30406 – 78284 GUYANCOURT Cedex.

Les demandes faites par mail doivent être adressées au CNAS via l’adresse email communiquée au CNAS. Une copie d’un justificatif d’identité sera obligatoire pour traiter les demandes adressées via une adresse email différente de celle communiquée au CNAS ou si cette dernière ne lui a jamais été communiquée.

Une réponse est adressée dans un délai d’un (1) mois suivant la date de réception de la demande. Dans certains cas, liés à la complexité de la demande ou du nombre de demandes, ce délai peut être prolongé de deux (2) mois.

Pour toute question ou réclamation concernant la protection des données personnelles, il est possible de s’adresser au DPO du CNAS par email à dpo@cnas.fr. Si les personnes concernées estiment que le traitement de leurs Données personnelles ne respecte pas la réglementation en vigueur, elles peuvent à tout moment faire une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL).
 

IV. La collecte des données personnelles

Le CNAS collecte les Données personnelles de façon indirecte, pour :

1. les bénéficiaires auprès :
   • des structures adhérentes lors de l’inscription des bénéficiaires puis par la suite, pour certaines données, leurs mises à jour et ce pendant toute la durée où la personne concernée est bénéficiaire du CNAS.
   • des prestataires de services du CNAS pour selon les cas contrôler et assurer le paiement de la prestation réalisée et enregistrer la prestation dans le compte du bénéficiaire concerné.
      
2. les correspondants et délégués auprès :
   • des structures adhérentes après désignation de ces derniers. Cette collecte est réalisée via le renseignement d’un formulaire qui leur est dédié.

Lors de la mise à jour de leurs données personnelles, le CNAS collecte de façon directe auprès :

1. des bénéficiaires les données nécessaires à la délivrance de certaines prestations ou la mise à jour de leurs données personnelles.
   Pour le traitement de certaines demandes de prestation, des Données personnelles sont obligatoires : elles sont identifiées par un astérisque (* champ obligatoire) ou sont indiquées par tout autre procédé équivalent. Le défaut de réponse peut entraîner l’impossibilité de traiter une demande. C’est également le cas lorsque la collecte conditionne l’adhésion, le versement d’une prestation du CNAS ou si ces données sont collectées à des fins légales ou réglementaires.
    
2. des correspondants et des délégués.
    
   Le CNAS collecte également les Données personnelles de façon directe, pour :
    
3. Les adhérents et prospects, notamment lors :
   • du renseignement d’un formulaire de contact ;
   • d’un questionnaire ;
   • de la participation à un jeu concours, à une des animations organisées par le CNAS ;
   • lors de contact téléphonique ;
   • lors de l’adhésion au CNAS et de la mise à jour des données du prospect ou adhérent.
      
4. Les Membres des instances. Cette collecte est réalisée via le renseignement d’un formulaire qui leur est dédié.
    
5. Les collaborateurs des prestataires du CNAS.
    

V. Catégories des Données personnelles traitées

Le CNAS collecte différentes catégories de Données personnelles conformément aux dispositions du paragraphe IV (4) et en adéquation avec les finalités décrites dans le paragraphe VII (7).

Les catégories de données qui peuvent être concernées sont :

• Données nominatives : civilité, nom (usage et naissance), prénom.
• Donnée d’état civil pour les bénéficiaires : date de naissance, décès.
  Pour les membres du conseil d’administration : date de naissance, nationalité et lieu de naissance.
• Données d’identification pour les bénéficiaires, correspondants et adhérents : numéro de connexion, numéro de compte.
• Données de contact : adresse postale, courriel, numéros de téléphone.
• Données contractuelles : signature.
• Données liées à la situation personnelle pour les bénéficiaires : statut marital, ayants droit (noms, prénoms et dates de naissance des enfants, conjoints et ascendants).
• Données liées à la situation professionnelle pour les bénéficiaires : fonction, service/établissement, nom de l’employeur, matricule, lieu de travail, catégorie FPT (A, B ou C), régimes du bénéficiaire (sécurité sociale, retraite), situation professionnelle (actif ou retraité).
• Données liées aux prestations de service pour les bénéficiaires : prestation de service demandée et consommée, montant, réclamation ainsi qu’abonnements et justificatifs présentés pour bénéficier de certaines prestations (par exemple : factures EDF, bulletins de salaire, quittances de loyer, crédits en cours, revenus, avis d’impôt).
• Données issues des correspondances et communications : appels téléphoniques (voix), messages électroniques, communications sur les réseaux sociaux ou tout autre type de communication.
• Données d’opérations et de transactions bancaires pour les bénéficiaires : par exemple, coordonnées bancaires (RIB/IBAN…), relevés bancaires, incidents de paiement, etc.
• Données sensibles ou assimilées pour les bénéficiaires : données de santé pour certaines prestations (par exemple : taux de handicap).
• Données de connexion liées à la navigation sur le Site pour les visiteurs : adresse IP, données d’identification et d’authentification, logs, données de navigation.
  Consultez la politique de gestion des cookies pour plus de détails sur l’utilisation qui en est faite.

Peuvent aussi être concernées toutes informations contenues dans les formulaires renseignés, dans les documents communiqués ou informations données aux CNAS par les personnes concernées.

Un RIB est demandé pour effectuer le paiement des prestations, prélèvements et/ou un remboursement. Dès lors que la personne concernée renseigne son RIB, elle accepte l'enregistrement de ce dernier et sa transmission à l’établissement bancaire du CNAS.
Le CNAS peut être amené à collecter des données sensibles telles que des données de santé pour vérifier l’éligibilité de la personne concernée aux prestations ou services qu’elle demande. Les conditions strictes de confidentialité définies par la règlementation sont alors appliquées.
 

VI. L'utilisation des Données personnelles

Le CNAS utilise les Données personnelles des personnes concernées uniquement sur des fondements ci-après prévus par la loi :

• Le consentement.
• L’exécution d’un contrat (ou les mesures précontractuelles).
• L’obligation légale (ou règlementaire).
• L’intérêt légitime (du CNAS).
   

VII. Objet du traitement de Données personnelles

La collecte des données personnelles a pour finalité principale de délivrer des prestations d’action sociale répondant à la définition de la loi n°2007-148 du 2 février 2007.

1. Les bénéficiaires

   Finalité du traitement	Base légale
   Enregistrer l’inscription des bénéficiaires au CNAS	Exécution d’un contrat
   Activer l’espace en ligne du bénéficiaire	Consentement
   Assurer le traitement des demandes de prestations souscrites (suivi des versements ; informations ; réclamations)	Exécution d’un contrat
   Assuré par le correspondant : suivre les prestations demandées par le bénéficiaire (accéder aux données ; conseiller le bénéficiaire)	Consentement
   Mettre à jour les droits des bénéficiaires (actif, radié, retraité…)	Exécution d’un contrat
   Enregistrer les conversations téléphoniques avec le CNAS (aux fins de formation et d’amélioration)	Intérêt légitime
   Enregistrer les communications (e-mails, courriers, documents, formulaires…)	Exécution d’un contrat
   Étudier les demandes de financement pour évaluer la capacité de remboursement	Exécution d’un contrat
   Assurer le recouvrement des créances (courriers/appels téléphoniques/SMS/courriels)	Exécution d’un contrat
   Envoyer vers les bénéficiaires des communications nécessaires à l’exécution du contrat (par ex. : confirmation du changement de mot de passe, prestations enregistrées…)	Exécution d’un contrat
   Réaliser des enquêtes de satisfaction (emails, SMS, appels)	Intérêt légitime
   Contrôler les consommations réalisées chez les prestataires pour paiement de la participation du CNAS	Exécution d’un contrat
   Informer des offres, services et prestations du CNAS (lettres d’information)	Intérêt légitime
   Respecter les obligations comptables, sociales et fiscales	Obligation légale

    

2. Prospects et adhérents (leurs représentants)

   Finalité du traitement	Base légale
   Faire part d’informations, d’offres d’action sociale et envoyer des campagnes publicitaires ciblées concernant les prestations et services via différents supports (e-mails, courriers, téléphones, réseaux sociaux, plus généralement tout type de communication)	Intérêt légitime
   Organiser des événements, des animations	Intérêt légitime
   Organiser des jeux concours	Intérêt légitime
   Gérer l’adhésion pour les adhérents (parcours d'adhésion, actualisation)	Exécution d’un contrat

    

3. Les correspondants

   Finalité du traitement	Base légale
   Enregistrer leur désignation	Exécution d’un contrat
   Informer des offres et services du CNAS (lettre d’information) pour permettre de conseiller et accompagner les bénéficiaires	Exécution d’un contrat
   Organiser des réunions de correspondants	Exécution d’un contrat
   Réaliser des enquêtes de satisfaction auprès des adhérents et leurs représentants (emails, SMS, appels)	Intérêt légitime

    

4. Les délégués et Membres des instances

   Finalité du traitement	Base légale
   Enregistrer leur désignation	Exécution d’un contrat
   Publier leur nomination dans l’annuaire (Annuaire délégué et/ou annuaire Membre des instances selon le mandat ; liste de diffusion)	Exécution d’un contrat
   Publier leur photo (par ex : trombinoscope)	Consentement
   Organiser des réunions dont les réunions statutaires (invitations, convocations, PV)	Exécution d’un contrat
   Rembourser des frais	Exécution d’un contrat
   Accomplir des formalités juridiques, le cas échéant	Obligation légale
   Informer sur la vie du CNAS (lettres d’information)	Exécution d’un contrat

    

5. Les prestataires

   Finalité du traitement	Base légale
   Gérer la relation commerciale	Exécution d’un contrat

    

6. Pour tous

   Finalité du traitement	Base légale
   Assurer le traitement des demandes d’exercice de droit des personnes (informatique et libertés) ; réception, instruction, suivi, historisation et statistique	Obligation légale
   Assurer la sécurité du système d’information du CNAS et son maintien en condition opérationnelle	Obligation légale
   Mesurer l’audience des sites (cookies)	Intérêt légitime
   Réaliser des études statistiques, marketing et d'analyse afin d'améliorer les produits et les services proposés par le CNAS et mettre des rapports à la disposition des adhérents	Intérêt légitime
   Assurer la cohérence des données dans le système d'information (SI)	Obligation légale
   Gérer les contentieux (conservation des preuves des échanges, opérations et transactions)	Exécution d’un contrat
   Lutter contre la fraude (contrôle des processus, vérification de l'identité des personnes et des justificatifs fournis, constitution de dossier de preuves dans le cadre d’investigations en cas de fraude)	Exécution d’un contrat
   Gérer les risques dont les investigations et contrôles internes	Obligation légale

    

VIII. Durée de conservation des données

Les Données personnelles relatives aux bénéficiaires dans le cadre :

• de l’exécution du contrat sont conservées Six (6) ans à compter de la date de radiation du compte du bénéficiaire et au-delà si des prestations sont toujours en cours (ex : prêts, créances) et ce jusqu’à expiration de l’ensemble des délais liés aux obligations comptables, sociales et fiscales ;
• du consentement sont conservées pendant toute la durée de l’adhésion sauf retrait du consentement, hormis pour les conversations orales enregistrées de manière aléatoire et conserver maximum Trois (3) mois ;
• de l’obligation légale sont conservées Six (6) ans à compter de la clôture de l’exercice comptable ;
• de l’intérêt légitime sont conservées :
  • Au maximum Trois (3) mois à compter de la fin de l’enquête de satisfaction puis anonymisation des données personnelles.
  • Pour les cookies de mesure d’audience ne nécessitant pas de consentement la durée maximale est de Treize (13) mois. Pour en savoir plus consulter la politique de gestion des cookies.
  • Pour les analyses, études statistiques, marketing et à des fins de rapports aux adhérents, de connaissance des personnes concernées et d'amélioration des produits et services au maximum un (1) an plus l’année en cours (selon l’objet de l’étude) puis anonymisation des données personnelles.
  • Les données sont conservées tant que le contentieux est actif et jusqu’à l’expiration de l’ensemble des voies de recours
  • Douze (12) mois à compter de l'émission des alertes de fraude pour les qualifier. Les alertes non qualifiées sont supprimées directement. Les données d’alerte en cas de fraude avérée sont conservées pour une durée maximale de Cinq (5) ans à compter de la clôture du dossier de fraude.
  • Six (6) ans pour les résultats des contrôles internes.
  • Un (1) an pour la journalisation des traces et Cinq (5) ans pour les incidents à compter de la date de leur clôture.

Les Données personnelles relatives aux adhérents dans le cadre :

• de l’exécution du contrat sont conservées Dix (10) ans à compter de la fin de l’adhésion ;
• du consentement sont conservées pendant toute la durée de l’adhésion sauf retrait du consentement ;
• de l’obligation légale sont conservées Dix (10) ans à compter de la clôture de l’exercice comptable ;
• de l’intérêt légitime sont conservées pendant les mêmes durées que celles des bénéficiaires.

Les Données personnelles relatives aux correspondants dans le cadre :

• de l’exécution du contrat sont conservées Cinq (5) ans à compter de la cessation de l’adhésion ;
• du consentement sont conservées pendant toute la durée du mandat sauf retrait du consentement ;
• de l’intérêt légitime sont conservées pendant les mêmes durées que celles des bénéficiaires.

Les Données personnelles relatives aux Membres des instances dans le cadre :

• de l’exécution du contrat sont conservées Dix (10) ans à compter de la fin du mandat puis supprimées, à l’exception des données nominatives, comptes-rendus de commission et mandats conservés dans une base archive pendant la durée de vie de l’association ;
• du consentement sont conservées pendant toute la durée du mandat sauf retrait du consentement.

Les données relatives aux échanges avec les prestataires sont conservées Cinq (5) ans au terme du contrat concerné. Dans l’hypothèse où une Donnée personnelle serait collectée pour plusieurs finalités, elle est conservée jusqu’à épuisement du délai de conservation le plus long.

Les données à caractère personnel pourront éventuellement faire l’objet de mesures de pseudonymisation ou d’anonymisation.
 

IX. Les destinataires des Données personnelles

Les Données personnelles collectées par le CNAS sont susceptibles d’être communiquées à ses sous-traitants et prestataires dans la limite nécessaire à l’accomplissement des tâches qui leurs sont confiées. Ces communications peuvent également avoir pour objet d’assurer la sécurité des réseaux informatiques et des transmissions.

Catégories des destinataires

1. Prestataires d’offres de prestations au catalogue du CNAS afin de vérifier l’éligibilité des bénéficiaires aux offres demandées ainsi que leurs droits, qui sont spécifiques aux situations des personnes concernées et aux conditions négociées par le CNAS, et prévenir les fraudes. Ce cadre d’échange n’est appliqué qu’à l’initiative des bénéficiaires, répondant à une demande de prestation chez un prestataire qu’il a identifié.
2. Prestataires en charge de l’hébergement de données, de l’infogérance des Systèmes d’informations, ainsi que ceux en charge de l’enregistrement de documents.
3. Prestataires d’outils externes : marketing, éditiques, Finance, CRM, enquête de satisfaction, centre de contacts.
4. Prestataires pour traiter les demandes de prestation en période de forte activité, livrer les produits commandés.
5. Sous-traitants et prestataires pour assurer la cybersécurité du Site et son maintien en condition opérationnelle, la gestion des offres de prêts, les relances des impayés.

Des Données personnelles peuvent également être communiquées à des autorités publiques habilitées en application de la réglementation en vigueur ainsi qu’à des avocats, auditeurs, huissiers, cabinet de recouvrement, commissaires aux comptes, préfectures, chambres régionales des comptes pour respecter les obligations légales, réglementaires, sociales et fiscales ainsi qu’assurer la défense des droits du CNAS.

Seuls les destinataires dûment habilités peuvent accéder aux informations nécessaires à leur activité. Les données personnelles des bénéficiaires ne sont pas transmises à des acteurs commerciaux ou publicitaires à des fins de prospection.

Dans le cadre de la Convention d’adhésion, le CNAS et ses adhérents peuvent s’échanger des informations pour permettre la mise à jour des éléments et données concernant les bénéficiaires de l’adhérent et le respect des dispositions réglementaires en vigueur.

Avec le consentement du bénéficiaire, le détail des prestations est accessible au correspondant de la structure employeur adhérente et exportable, le bénéficiaire pouvant à tout moment réviser sa position concernant ce consentement :

• via son compte en ligne, rubrique Vos informations personnelles > Préférences
• ou en utilisant le formulaire de consentement — à télécharger :
  Consentez-vous à ce que votre correspondant puisse accéder au suivi de vos demandes de prestations ?

Dans le cadre de certaines demandes de prestations d’accompagnement de personnes en difficulté, le service social du CNAS peut échanger avec les travailleurs sociaux soumis au secret professionnel. Le bénéficiaire est alors personnellement informé de la démarche.

Liens vers des sites tiers

L’attention des personnes concernées est attirée sur le fait que le Site du CNAS peut contenir des liens dirigeant vers d’autres sites. Ces sites auront leur propre politique de protection des Données personnelles et conditions générales d’utilisation. Le CNAS ne peut être tenu responsable de la disponibilité vers ces sites, des dommages de toute nature, directs ou indirects, résultant du contenu et/ou de l’utilisation de ces sites tiers par les personnes concernées.
 

X. Les transferts de données hors Union européenne

Dans la mesure du possible, les Données personnelles sont traitées dans l’Espace Économique Européen (EEE).

En cas de transfert de données à caractère personnel vers des pays non-membres de l’Espace Économique Européen, dont les législations en matière de protection des données personnelles diffèrent de celles de l’Union européenne et n’apportent pas un niveau de protection équivalent à celui de l’Union européenne, le CNAS met en œuvre des mesures destinées à sécuriser et à encadrer ce transfert, qui peuvent être :

• la signature de clauses contractuelles types approuvée par la Commission européenne qui sont consultables sur le site de la CNIL (www.cnil.fr) ;
• des règles d’entreprise contraignantes également appelées « BCR » pour Binding Corporate Rules. Ces règles bénéficient d’une reconnaissance internationale et traduisent l’exemplarité en matière de transferts de données entre leurs entités pour les groupes ayant décidé de les mettre en œuvre.
   

XI. La sécurité des données

Le CNAS met en œuvre des mesures techniques, physiques et organisationnelles afin de protéger les Données personnelles qu’il collecte contre la perte, la destruction accidentelle, l’altération et l’accès non autorisé.
À ce titre, le CNAS diligente régulièrement des audits (internes et externes) afin de s’assurer de la sécurité des données à caractère personnel et de se prémunir de tout accès non autorisé à ses systèmes. Toutefois, la sécurité des données à caractère personnel repose sur les bonnes pratiques de chacun consultables sur le site de la CNIL à l’adresse : https://www.cnil.fr/fr/mon-quotidien/ma-securite-numerique.
En cas de violation de Données personnelles présentant un risque pour les droits et libertés, le CNAS informera dans les meilleurs délais les personnes concernées de la nature de cette violation et des mesures prises pour y remédier.