La Caisse nationale de retraite complémentaire des artistes-auteurs (ci-après « IRCEC ») place la protection des données personnelles au cœur de son activité et des missions dont elle est investie. La présente politique énonce les principes et lignes directrices pour la protection des données personnelles vous concernant et a pour objectif de vous informer sur :
- Les données personnelles que l’IRCEC traite et les raisons des traitements mis en œuvre dans le cadre de son activité ;
- La façon dont sont utilisées ces données personnelles ;
- Vos droits sur les données personnelles vous concernant.
La présente politique s’applique aux traitements de données personnelles opérés par l’IRCEC dans le cadre de son activité destinée aux adhérents et des missions dont elle est investie. Toutes les opérations de traitement sur les données personnelles vous concernant sont réalisées dans le respect de la réglementation en vigueur et notamment du Règlement Général sur la Protection des Données personnelles (RGPD), de la loi n°78-17 « Informatique, Fichiers et Libertés » du 6 janvier 1978 modifiée ainsi que ses décrets d’application.
Les termes commençant par une majuscule sont définis dans le glossaire de la présente politique (cf. « Glossaire » de la politique).
Identité du responsable du traitement
Cette politique a pour objet de vous informer des traitements de données personnelles vous concernant mis en œuvre par l’IRCEC, 30 rue de la Victoire, 75009 Paris, en qualité de responsable de traitement.
Pour information, l’IRCEC est instituée par le décret n°2011-2074 du 30 décembre 2011, désignée par l’appellation “institution de retraite complémentaire de l’enseignement et de la création” (IRCEC), et définie comme la Caisse nationale de retraite complémentaire des artistes-auteurs. L’IRCEC est un organisme de droit privé doté d’une mission de service public. Sont affiliées à l’IRCEC, à titre obligatoire, les personnes visées à l’article L. 382-1 du Code de la Sécurité sociale, auteurs et compositeurs de musique, auteurs et compositeurs dramatiques et auteurs de films, personnes exerçant leur activité dans le domaine des arts graphiques, plastiques et photographiques, écrivains ou traducteurs littéraires et toutes autres personnes percevant des droits d’auteur.
Comment l’IRCEC prend-elle en compte la protection des Données Personnelles ?
L’IRCEC s’engage à prendre en compte la protection des données personnelles vous concernant et de votre vie privée dès la conception des services qui vous sont proposés. Pour assurer la sécurité et garantir le respect et le bon exercice de vos droits, des mesures permettant d’assurer la protection des données personnelles vous concernant sont mises en œuvre (ces mesures sont stipulées dans ladite politique).
Quelles données personnelles sont traitées dans le cadre des missions de l’IRCEC, sur quelle base légale, pour quelle finalité et pendant combien de temps sont-elles conservées ?
L’IRCEC s’engage à ne collecter que les données strictement nécessaires à la réalisation de ses missions. Dans le cas où des données facultatives vous seraient demandées, l’IRCEC vous informe clairement sur les données personnelles indispensables à la réalisation du service.
Vous trouverez ci-dessous un récapitulatif vous fournissant une information exhaustive concernant les traitements de données personnelles effectués par l’IRCEC :
Traitements de gestion des adhésions et des cotisations
- Finalités (objectifs du traitement) : identification et affiliation des adhérents, établissement de statistiques ; paiement et recouvrement des cotisations ; gestion des comptes personnels sur le portail adhérents.
- Catégories de données personnelles : données d’identification ; données professionnelles ; données financières ; données de connexion.
- Bases légales : exécution d’une mission de service public dont est dotée l’IRCEC.
- Durées de conservation : jusqu’à l’extinction des droits de l’assuré et de ses ayants-droits, puis pendant dix ans.
Traitements de gestion des demandes et des réclamations des adhérents (y compris gestion des contentieux)
- Finalités (objectifs du traitement) : réponses aux demandes reçues par voies électronique, postale et téléphonique ; historisation des demandes et réponses ; gestion de la prise de rendez-vous ; renseigner et orienter les adhérents ; préparation, gestion et suivi des dossiers contentieux.
- Catégories de données personnelles : données d’identification ; données relatives aux demandes des adhérents (objet de la demande, date de la demande) ; données financières ; données de connexion.
- Bases légales : exécution d’une mission de service public dont est dotée l’IRCEC.
- Durées de conservation : jusqu’à l’extinction des droits de l’assuré et de ses ayants-droits, puis pendant dix ans.Conservation pendant la durée du contentieux jusqu’à épuisement des délais de recours et délais d’exécution.
Traitements de gestion des prestations de retraite
- Finalités (objectifs du traitement) : instruction des demandes de liquidation des droits à la retraite ; gestion des réversions.
- Catégories de données personnelles : données d’identification ; données liées au statut familial (données époux) ; données professionnelles ; données financières.
- Bases légales : exécution d’une mission de service public dont est dotée l’IRCEC.
- Durées de conservation : jusqu’à l’extinction des droits de l’assuré et de ses ayants-droits, puis pendant dix ans.
Traitements de gestion de la communication avec les adhérents de l’IRCEC
- Finalités (objectifs du traitement) : envoi d’informations relatives à l’IRCEC, notamment par le biais d’une infolettre ; gestion du site internet institutionnel et du portail adhérent.
- Catégories de données personnelles : données d’identification.
- Bases légales : exécution d’une mission de service public dont est dotée l’IRCEC.
- Durées de conservation : le temps de l’adhésion auprès de l’IRCEC (sauf opposition à la réception de cette infolettre).
Traitements de tenue de la comptabilité générale et auxiliaire
- Finalités (objectifs du traitement) : suivi et tenue de la comptabilité conformément aux obligations légales ; conservation des factures et autres documents obligatoires relatifs aux paiements conformément aux obligations légales et réglementaires.
- Catégories de données personnelles : données d’identification ; données financières.
- Bases légales : exécution d’une mission de service public et obligations légales.
- Durées de conservation : jusqu’à l’extinction des droits de l’assuré et de ses ayants-droits, puis pendant dix ans.
Traitements de demandes officielles d’autorités publiques ou judiciaires habilitées à cet effet
- Finalités (objectifs du traitement) : répondre aux demandes des autorités publiques ou judiciaires (procédures, contentieux, etc.).
- Catégories de données personnelles : données nécessaires à la gestion de la demande.
- Bases légales : obligations légales.
- Durées de conservation : pendant toute la durée de la procédure, augmentée de la durée d’acquisition des prescriptions légales.
Traitements de demandes officielles d’autorités publiques ou judiciaires habilitées à cet effet
- Finalités (objectifs du traitement) : répondre aux demandes des autorités publiques ou judiciaires (procédures, contentieux, etc.).
- Catégories de données personnelles : données nécessaires à la gestion de la demande.
- Bases légales : obligations légales.
- Durées de conservation : pendant toute la durée de la procédure, augmentée de la durée d’acquisition des prescriptions légales.
Traitements de gestion des demandes d’exercice des droits (protection des données personnelles)
- Finalités (objectifs du traitement) : traitement des demandes d’exercice des droits effectuées auprès de l’IRCEC.
- Catégories de données personnelles : données d’identification.
- Bases légales : obligations légales.
- Durées de conservation : cinq ans à compter de la réception de la demande d’exercice des droits.
Traitements de détection, prévention et lutte contre la fraude et la cybercriminalité
- Finalités (objectifs du traitement) : assurer la protection du système d’information de l’IRCEC, des utilisateurs de ses systèmes d’information et des adhérents de l’IRCEC.
- Catégories de données personnelles : données de connexion.
- Bases légales : intérêt légitime de l’IRCEC à la protection de ses systèmes d’Information et de lutte contre la fraude.
- Durées de conservation : douze mois à compter de la date de l’alerte ; les alertes non qualifiées à l’issue du délai de douze mois sont supprimées. Les alertes qualifiées sont conservées pour une durée maximale de cinq ans à compter de la clôture du dossier de fraude.
Quels sont les destinataires des données personnelles vous concernant ?
Les données personnelles traitées dans le cadre de l’activité de l’IRCEC sont susceptibles d’être transmises aux destinataires suivants :
- Les services habilités à accéder à ces informations et ayant besoin d’en connaitre ;
- Les membres et personnels de l’IRCEC ;
- Les sous-traitants de l’IRCEC, y compris ses prestataires techniques, dans le cadre strict des missions qui leur sont confiées (exemple : dans le cadre de l’hébergement du site internet, de la gestion des paiements, ou l’envoi des newsletters) ;
- Les organismes publics, les auxiliaires de justice, les avocats, les autorités administratives ou judiciaires, afin de se conformer à toute loi ou réglementation en vigueur, ou pour répondre à toute demande judiciaire ou administrative, dans le cadre du respect des obligations légales incombant à l’IRCEC ou pour permettre à l’IRCEC d’assurer la défense de ses droits et intérêts.
Les données personnelles vous concernant peuvent-elles être transférées en dehors de l’espace économique européen ?
Les données personnelles traitées par l’IRCEC dans le cadre de ses activités sont hébergées et traitées au sein de l’Espace économique européen (EEE).
Si l’IRCEC est amenée, dans la stricte limite nécessaire à l’exécution de certaines prestations spécifiques à effectuer de tels transferts, dans ce cas et préalablement à tout transfert, l’IRCEC s’engage à conclure avec ces sous-traitants des clauses contractuelles types de la Commission européenne ou toutes autres garanties appropriées nécessaires à l’encadrement et à la sécurisation de ces transferts de données personnelles.
Pour plus d’information sur le sujet, nous vous invitons à nous contacter aux coordonnées stipulées au sein de ladite politique.
Les données personnelles vous concernant sont-elles protégées ?
L’IRCEC s’engage à prendre toutes mesures afin d’assurer la sécurité et la confidentialité des données personnelles.
En particulier, l’IRCEC met en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir la sécurité et la confidentialité des données personnelles traitées et à empêcher qu’elles soient déformées, endommagées ou communiquées à des tiers non autorisés, en assurant un niveau de sécurité adapté aux risques liés au traitement et à la nature des données personnelles à protéger.
Sont incluses dans les mesures techniques et organisationnelles mises en œuvre les mesures suivantes :
- La protection des systèmes d’information par un ensemble de système de protection (exemple : firewall) ;
- La surveillance des flux pour détecter d’éventuelles anomalies ;
- La journalisation des évènements ;
- La formation et la sensibilisation des collaborateurs ayant accès aux données personnelles ;
- La sécurisation des postes de travail des agents ;
- La mise en place d’un système de sauvegarde (back-up) ;
- La sécurisation physique des bâtiments ;
- La sécurisation des matériels (dont l’accès n’est possible qu’avec l’usage d’un identifiant et d’un mot de passe) ;
Les traitements réalisés peuvent être soumis à audit.
Par ailleurs, en cas de violation de données personnelles au sens de l’article 4 du RGPD affectant les données personnelles vous concernant (destruction, perte, altération ou divulgation), l’IRCEC s’engage à respecter l’obligation de notification des violations de données personnelles, notamment auprès de la Commission nationale de l’informatique et des libertés (CNIL).
Quels sont vos droits sur les Données Personnelles vous concernant et comment les exercer ?
Vous disposez à tout moment de la faculté d’exercer auprès de l’IRCEC les droits prévus par la réglementation applicable en matière de protection des données personnelles, sous réserve d’en remplir les conditions (ces droits peuvent également être exercés par les ayants droits) :
- Droit d’accès : vous pouvez obtenir communication des données personnelles vous concernant faisant l’objet d’un traitement ;
- Droit de rectification : vous pouvez mettre à jour les données personnelles vous concernant ou faire rectifier ces données personnelles traitées ;
- Droit d’opposition : vous pouvez exprimer votre souhait de ne plus recevoir de communication commerciale ou non commerciale ou demander que les données personnelles vous concernant ne fassent plus l’objet d’un traitement ;
- Droit à l’effacement : vous pouvez demander la suppression des données personnelles vous concernant ;
- Droit à la limitation : vous pouvez demander la suspension du traitement des données personnelles vous concernant ;
- Droit à la portabilité : vous pouvez demander à récupérer les données personnelles vous concernant afin d’en disposer.
Ces droits peuvent être exercés :
- Soit en envoyant un e-mail à dpo@ircec.fr
- Soit en adressant un courrier postal au Data privacy officer, à l’adresse suivante :
IRCEC – DPO
Service juridique
30 rue de la Victoire
CS 51245
75440 Paris Cedex 09
L’IRCEC s’engage à répondre à vos demandes d’exercice de vos droits dans les meilleurs délais et en tout état de cause dans le respect des délais légaux (art. 12.3. du RGPD).
Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation à la Commission nationale de l’informatique et des libertés, à l’adresse suivante :
CNIL
3 place de Fontenoy
TSA 80715
75334 Paris cedex 07
Glossaire
« Destinataire » : désigne le service ou l’entreprise ou l’organisme qui reçoit communication et peut accéder à vos données personnelles.
« Données personnelles » : désigne toute information se rapportant à une personne physique identifiée ou identifiable.
« Politique de confidentialité » et « politique » : désigne la présente politique décrivant les mesures prises pour le traitement, l’exploitation et la gestion des données personnelles vous concernant et vos droits en tant que personne concernée par le traitement. Ce document permet de vous informer sur les traitements de données effectués par notre organisme.
« Responsable du traitement » : désigne la personne physique qui détermine les finalités et les moyens d’un traitement (soit l’objectif et la façon de le réaliser).
« Traitement » : désigne toute opération ou tout ensemble d’opérations portant sur des données personnelles.
« Violation de données à caractère personnel » : désigne un incident de sécurité se caractérisant, de manière accidentelle ou illicite, par la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données personnelles.
« Sous-traitant » : désigne toute personne physique ou morale qui traite des données personnelles pour le compte du responsable de traitement.
