Préambule

Dans un contexte de marché en profonde mutation, le groupe MGP fait vivre et respecte des principes fondamentaux qui s'articulent autour de 4 valeurs : proximité, solidarité, responsabilité et démocratie.

Pour tenir compte du Règlement européen relatif à la protection des données personnelles (RGPD) entré en vigueur le 25 mai 2018 et de la loi Informatique et Libertés modifiée, le groupe MGP a mis à jour toutes ses procédures relatives aux Données à caractère personnel à des fins de mise en conformité avec la nouvelle règlementation.

La réforme européenne de la protection des données poursuit trois objectifs principaux :

  • Harmoniser les législations européennes en matière de protection des données personnelles et rendre le texte applicable à tout acteur traitant des données personnelles de citoyens européens ;
  • Renforcer les droits des personnes (droit d'accès, rectification, suppression, portabilité, minimisation…) ;
  • Responsabiliser les acteurs qui traitent des données personnelles (responsables de traitement et sous-traitants). C'est ce qu'on appelle l'Accountability ;

Le RGPD s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. Dans le cadre de cette politique, le groupe MGP vous informe sur les mesures prises pour se conformer à cette règlementation.

* * *

Définitions

Données à caractère personnel :
toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Catégories particulières de données à caractère personnel :
tout traitement de données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
Traitement :
toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
Sous-traitant :
la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Consentement de la personne concernée :
toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.
Violation de données à caractère personnel :
une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

* * *

Lors de votre relation avec le groupe MGP et lorsque vous visitez notre site internet, vous serez amenés à nous communiquer des informations vous concernant. Ces informations nécessaires au traitement de votre demande, sont recueillies par le groupe MGP et sont destinées aux entités du groupe MGP, et à leurs éventuels prestataires et partenaires.

* * *

  1. 1. Les principes relatifs aux données à caractère personnel

    Le groupe MGP traite vos données à caractère personnel dans le respect des lois en vigueur. Il garantit également un certain nombre de droits pour les personnes concernées.

    1. 1.1 Finalité explicite et légitime

      Les informations recueillies ont toutes une finalité claire et légitime, telle que, notamment, la gestion de la relation contractuelle entre vous et une ou plusieurs entités du groupe MGP ou vos demandes d'informations concernant une nouvelle offre.

    2. 1.2 Base légale

      Les traitements du groupe MGP s'appuient sur l'une des bases légales suivantes :

      • l'exécution d'un contrat conclu ou des mesures pré contractuelles prises suite à votre demande ;
      • le respect d'une obligation légale du groupe MGP ;
      • le consentement que vous avez donné ;
      • la protection d'un intérêt légitime du groupe MGP.
    3. 1.3 Pertinence et limitation des données collectées eu égard à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées

      1.  
      2. 1.3.1. Dans le cadre d'une relation contractuelle

        Seules les données strictement nécessaires à la relation contractuelle qui vous lie avec une ou plusieurs entités du groupe MGP peuvent être collectées et traitées (principe de minimisation). Le groupe MGP ne collecte pas plus de données que ce dont il a vraiment besoin et accorde une attention particulière au caractère sensible de certaines données telles que les données de santé. Leur traitement n'intervient que dans les cas strictement prévus par la législation en vigueur.

      3. 1.3.2. Dans le cadre d'opérations de prospection

        Le groupe MGP mène des opérations de prospection afin de se faire connaitre et de vous faire découvrir ses offres. Vous pouvez ainsi être invités à nous transmettre des données personnelles vous concernant lors d'opérations de prospection ou par le biais de formulaires à remplir sur notre site internet. Ces informations nous permettront de vous proposer des offres correspondant à vos besoins. Elles sont conservées pour la durée nécessaire à l'instruction de la demande de souscription puis sont supprimées. Vous disposez d'un droit de retirer votre consentement à tout moment en vous adressant au service juridique du groupe MGP ou sur mgp.fr, rubrique « Écrivez-nous ».

    4. 1.4 Durée de conservation des données limitée

      Le groupe MGP ne conserve pas les données au-delà de la durée nécessaire pour les opérations pour lesquelles elles ont été collectées, ou de celles prévues par les normes et autorisations de la CNIL ou par la loi (telles que les prescriptions légales).

      Les durées de conservation varient et dépendent notamment de la nature des données personnelles et de leurs finalités. À titre d'exemple, les données personnelles traitées dans le cadre de la prospection commerciale ne sont conservées que trois (3) ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect.

    5. 1.5 Sécurité et confidentialité des données

      Le groupe MGP met tout en œuvre pour garantir la sécurité et la confidentialité de vos données. Sa politique de sécurité du système d'information (PSSI) définit le cadre et le périmètre de son action en la matière. Elle s'appuie sur les Normes et Standards de Sécurité et d'Exploitation (NSSE), qui traduisent de manière opérationnelle les mesures techniques à appliquer au quotidien.

      Un comité de sécurité trimestriel vérifie l'efficacité de son application.

      Des audits de sécurité et des tests d'intrusion sont réalisés annuellement, sur la base des exigences de la norme ISO 27002. Un plan de continuité informatique (PCI) permet d'assurer une continuité du système d'information en cas d'incident majeur, sans délai de mise en œuvre. Une charte informatique est remise à l'ensemble des utilisateurs du système d'information. Elle régit l'utilisation qu'ils doivent faire des moyens informatiques mis à leur disposition. Des campagnes de sensibilisation sont réalisées régulièrement. Des revues d'habilitations ont lieu une fois par an.

    6. 1.6 Registre des traitements

      Dans le cadre du respect de ses engagements, le groupe MGP tient une documentation interne complète sur les traitements de données personnelles auxquels il procède et s'assure que ces traitements respectent bien les obligations légales. Ce registre est mis à jour à chaque évolution de traitement.

    7. 1.7 Traitement du risque en amont

      Le groupe MGP s'assure de prendre en compte les droits et intérêts des individus le plus en amont possible, à savoir, dès la conception du produit ou du service impliquant un traitement de données et dans le cadre des paramétrages par défaut de l'outil. Ainsi, le groupe MGP adopte des mesures consistant à limiter par défaut le traitement de données à ce qui est strictement nécessaire à la finalité définie.

    8. 1.8 Sensibilisation et formation des collaborateurs

      Le groupe MGP veille depuis toujours à ce que ses collaborateurs soient au fait de la législation relative à la protection des données en vigueur. Ainsi, les collaborateurs sont sensibilisés par des sessions de formations. L'objectif est que chacun soit informé des enjeux de la réglementation et applique, à son niveau, les bonnes pratiques diffusées par le groupe MGP.

      La présente politique de confidentialité contribue à garantir l'effectivité de l'engagement du groupe MGP en matière de protection des droits des personnes sur leurs données à caractère personnel.

    9. 1.9 Catégories particulières de données à caractère personnel

      La réglementation identifie de manière spécifique des données à caractère personnel : l'origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale, la santé ou la vie sexuelle. Compte tenu de la sensibilité de ces traitements de données, elle exige des mesures particulières afin que soient limités les risques pour la protection des données.

      Pour sa part, le groupe MGP peut être amené à traiter des données de santé.

    10. 1.10 Traitement d'incidents

      Pour garantir un haut niveau de protection des données personnelles en permanence, le groupe MGP a mis en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l'ensemble des événements qui peuvent survenir au cours de la vie d'un traitement. Tout incident impliquant des données personnelles sera traité avec la plus grande attention. En cas de faille impliquant un risque pour les droits et libertés des personnes, le groupe MGP la notifiera à la CNIL dans les meilleurs délais. En cas de risque élevé pour les droits et libertés des personnes concernées, celles-ci en seront également informées.

  2. 2. Délégué à la protection des données (DPO)

    Le groupe MGP a désigné un délégué à la protection des données (DPO) qui exerce une mission d'information et de conseil auprès de celui-ci sur la conformité des traitements de données personnelles vis-à-vis du RGPD et de toute législation et règles internes applicables en la matière. Le DPO contrôle leur application pratique en tenant compte des risques pour les personnes et s'assure du maintien en conformité dans le temps. Vous pouvez le contacter en écrivant à dpo@mgp.fr.

  3. 3. Cookies

    Un cookie est un fichier texte déposé sur votre ordinateur lors de votre visite sur le site. Le cookie ne nous permet pas de vous identifier mais il a pour but de collecter des informations relatives à votre navigation afin de vous offrir une meilleure expérience de navigation sécurisée et personnalisée.

    La durée de conservation des cookies est de 13 mois maximum.

    Pour plus d'informations concernant les cookies émis sur le site internet de la MGP, rendez-vous sur nos Mentions légales.

  4. 4. Vos droits

    Vous disposez des droits cités ci-dessous, que vous pouvez exercer en vous adressant au service juridique du groupe MGP ou sur mgp.fr, rubrique « Écrivez-nous » :

    • Droit d'accès à vos données
    • Droit de vous opposer pour des motifs légitimes au traitement de vos données
    • Droit de demander la rectification de vos données en cas d'erreur
    • Droit de demander l'effacement de vos données
    • Droit de demander la limitation des traitements de vos données vous concernant
    • Droit de définir des directives relatives au sort de vos données après votre décès
    • Droit de demander la portabilité de vos données
    • Le cas échéant, le droit de demander le retrait à tout moment du consentement au traitement des données (lorsque la base légale du traitement est le consentement de la personne)

    Nous prenons la protection de vos données personnelles très au sérieux et nous nous engageons à traiter vos demandes conformément à la réglementation française et européenne.

    N.B S'il n'est pas fait droit à vos demandes, vous avez la possibilité d'introduire une réclamation auprès de la CNIL :

    • sur le site internet de la CNIL (www.cnil.fr)
    • par voie postale : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX