Règlement général sur la protection des données (RGPD)

Le RGPD chez Cigna

Cigna a étudié l’impact du RGPD sur ses activités et met actuellement en place toutes les mesures nécessaires à des fins de conformité.

L’entrée en vigueur du Règlement général sur la protection des données (« RGPD ») modifie le droit européen en matière de protection des données. Nous sommes conscients que vous pouvez avoir des questions quant au rôle de Cigna en matière de protection des données, et quant aux obligations lui incombant en vertu du RGPD.

Cigna a étudié l’impact du RGPD sur ses activités et met actuellement en place toutes les mesures nécessaires à des fins de conformité. Par conséquent, et compte tenu de notre qualité de responsable du traitement des données à caractère personnel en vertu du droit applicable, il n’est pas nécessaire de mettre en place des dispositions contractuelles supplémentaires entre Cigna et ses clients. Cela comprend toutes les exigences en matière de diligence raisonnable (ou due diligence) et toutes les dispositions concernant les audits, qui ne sont pas prévues par le droit applicable dans la situation considérée.

Néanmoins, nous demeurons déterminés à travailler de manière coopérative et efficace avec nos clients et partenaires pour garantir la confidentialité et la sécurité de leurs données sensibles.

Portée du règlement

Les notions de « responsable du traitement » et de « sous-traitant » renforcent le droit européen existant en matière de protection des données. Ces termes sont utilisés pour définir le rôle des entités prenant part au traitement de données à caractère personnel et sont au cœur du RGPD.

Un « responsable du traitement » est l’entité qui détermine les finalités et les moyens du traitement des données à caractère personnel ; en d’autres termes, qui décide de la façon dont les données à caractère personnel sont traitées et des raisons pour lesquelles elles le sont. En revanche, un « sous-traitant » traite uniquement les données à caractère personnel pour le compte du responsable du traitement et conformément aux instructions de ce dernier. Bien que le RGPD impose directement certaines obligations aux sous-traitants, l’essentiel des exigences qu’il contient s’applique aux responsables du traitement.

Sauf dans le cas où nous vous aurions informé du contraire dans le contrat que nous avons conclu avec vous, nous traitons les données à caractère personnel nécessaires aux fins de vous fournir nos services en notre qualité de responsable du traitement.

Nous avons conscience que vous avez, notamment, choisi de travailler avec nous du fait de la protection que nous vous offrons pour les données à caractère personnel très sensibles vous concernant et concernant vos employés. À cet égard, soyez assuré que nous sommes assujettis au RGPD et que nous nous engageons fermement à respecter l’ensemble des obligations nous incombant en notre qualité de responsable du traitement.

Par conséquent, conformément à nos obligations au titre du RGPD :

  • Nous traiterons les données personnelles de manière loyale et transparente et pour des motifs licites. Nous nous assurerons que les personnes physiques soient informées de la collecte et de l’utilisation de leurs données personnelles, que nous nous appuyons sur une base juridique licite pour le traitement desdites données, et que nous traitons les catégories particulières de données personnelles (telles que les informations relatives à la santé des personnes physiques) conformément aux exigences du droit applicable à la protection des données. Par exemple, si nous sommes tenus d’obtenir le consentement explicite d’une personne physique pour le traitement des données relatives à sa santé, nous l’obtiendrons. Cependant, veuillez noter que les lois de certains États membres autorisent le traitement de certains types de catégories particulières de données à caractère personnel à des fins d’assurance sans qu’un consentement explicite soit nécessaire.
  • Nous traiterons les données personnelles uniquement pour les finalités pour lesquelles elles ont été collectées et ne les traitons en aucun cas d’une manière incompatible avec lesdites finalités. Si nous traitons les données personnelles pour une nouvelle finalité, nous nous assurerons que le traitement en question est conforme au RGPD. En pratique, cela signifie que nous obtiendrons le consentement des personnes physiques concernées pour toute nouvelle activité de traitement.
  • Nous prendrons des mesures pour garantir que les données à caractère personnel sont adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées et qu’elles sont exactes et actualisées si nécessaire.
  • Nous mettrons en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles que nous traitons. Les mesures de sécurité que nous mettons en place tiennent compte de différents facteurs y compris, notamment, l’état des connaissances, la nature, la portée, le contexte et les finalités de nos traitements, ainsi que les risques que lesdits traitements présentent pour les personnes physiques, etc. Les garanties techniques que nous mettons en place sont également conformes aux normes de l’industrie en matière de sécurité. En outre, nous nous assurerons que nos sous-traitants mettent en place les mesures de sécurité appropriées, et qu’ils sont liés par des contrats conformes aux exigences du RGPD.
  • Nous appliquerons les principes de protection des données dès la conception et par défaut et réaliserons, le cas échéant, des analyses d’impact relatives à la protection des données.
  • Nous nous assurerons que les données personnelles soient protégées de manière adéquate lorsqu’elles sont transférées vers des destinations en dehors de l’Espace économique européen. Par exemple, Cigna a mis en place des accords intra-groupe relatifs aux transferts de données comprenant les clauses contractuelles types approuvées par la Commission européenne aux fins de légitimer le transfert de données personnelles entre les membres du groupe de sociétés Cigna.
  • Nous conserverons les données à caractère personnel uniquement pendant la durée nécessaire pour les finalités pour lesquelles nous les traitons.
  • Nous respecterons les droits des individus concernant leurs données personnelles. Par exemple, si nous traitons les données personnelles d’une personne physique dans le cadre de la prestation de nos services, nous donnerons suite à toute demande reçue de la part de la personne physique en question liée à ses données personnelles.
  • Nous nous assurerons de pouvoir démontrer notre « responsabilité ». Nous maintenons des politiques et des procédures en vigueur nous permettant de respecter les normes légales et réglementaires applicables. Les politiques principales sont maintenues dans l’ensemble du groupe et, le cas échéant, les divisions de Cigna mettent en place et maintiennent des politiques et procédures en matière de conformité propres à chaque département, qui sont régulièrement contrôlées et mises à jour.
     

Protection des données personnelles

Voir notre déclaration de protection des données personnelles