Privacy policy

POLITIQUE DE CONFIDENTIALITE DES DONNEES

Date de la dernière mise à jour : 12/05/2025

Introduction

La Société de Gestion et de Courtage d’Assurance CPMS, immatriculée au RCS de Paris sous le numéro 414 357 889 et dont le siège social est situé au 4 rue Auber – 75 009 Paris, est le responsable du traitement des Données personnelles réalisé via l’Application et, en cette qualité, s’engage à respecter la loi n°78-17 du 6 janvier 1978 (dite loi « Informatique et Libertés ») modifiée et le Règlement général sur la protection des données (dit « RGPD »).

La société CPMS a désigné un Délégué à la Protection des Données (« DPO »), lequel peut être contacté en écrivant à : ou : DPO CPMS – CPMS – 4 rue Auber – 75 009 Paris.

La société EVEREST HC, société par actions simplifiée immatriculée au RCS de Marseille sous le numéro 830 506 473 et dont le siège social est sis 33 bis, avenue du 24 avril 1915 - 13012 Marseille, est le co-responsable du traitement des Données personnelles réalisé via l’Application et, en cette qualité, s’engage à respecter la loi n°78-17 du 6 janvier 1978 (dite loi « Informatique et Libertés ») modifiée et le Règlement général sur la protection des données (dit « RGPD »).

La société EVEREST HC a désigné un Délégué à la Protection des Données (« DPO »), lequel peut être contacté en écrivant à : ou : DPO mySofie – EVEREST HC - 33 bis, avenue du 24 avril 1915 - 13012 Marseille.

Les sociétés CPMS et Everest HC sont considérées comme co-responsables de traitement au sens du RGPD.

Les co-responsables de traitement s’engagent à traiter de manière licite, loyale et transparente les Données personnelles de l’Utilisateur sur la base des fondements prévus par le règlementation : votre consentement, le contrat, le respect d’une obligation légale ou l’intérêt légitime.

Les co-responsables de traitement ne collectent que les données à caractère personnel pour des finalités déterminées, explicites, légitimes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Les co-responsables de traitement mettent en place des mesures de sécurité appropriées pour la protection des données à caractère personnel et prennent en compte ce risque dès la conception du traitement.

Les co-responsables de traitement ne conservent pas les données personnelles au-delà de la dure nécessaire conformément aux durées prévues par la loi et les réglementations applicables.

Les co-responsables de traitement garantissent l’exercice des différents droits sur les données personnelles des Utilisateurs et sur les traitements.

DEFINITIONS

« DONNEE A CARACTERE PERSONNEL » OU « DONNEE PERSONNELLE» : désigne toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propre à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

"LEGISLATION EN VIGUEUR SUR LA PROTECTION DES DONNEES » OU « REGLEMENTATION APPLICABLE EN MATIERE DE DONNEES A CARACTERE PERSONNEL » : L’ensemble des lois et règlements applicables en matière de traitement des Données à caractère personnel, y compris la loi relative à l’informatique, aux fichiers et aux libertés (loi n° 78-17 du 6 janvier 1978), le règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 CE (règlement général sur le protection de données (règlement UE) 2016/679 du 27 avril 2016 ci-après « RGPD »), la directive concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (directive 2002/58/CE du 12 juillet 2002), le futur règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement « vie privée et communications électroniques »)(projet de règlement (UE) 2017/003), ainsi que les autres lois et règlements transposant, dérogeant ou émanent de ceux-ci et des délibérations, lignes directrices et recommandations établies par les Autorités de contrôle compétentes, le cas échéant, dans chaque cas, tels que modifiés ou adoptés à nouveau et en vigueur à tout moment.

RESPONSABLE DE TRAITEMENT : Conformément au RGPD, il s’agit de la personne physique ou morale qui détermine les finalités et les moyens d’un traitement de donnée à caractère personnel.

DELEGUE A LA PROTECTION DES DONNEES OU DPO: Conformément au RGPD il s’agit de l’interlocuteur privilégié à contacter pour toutes questions relatives au traitement de vos données mais également lorsque vous souhaitez exercer vos droits tels que précisés ci-dessous.

TRAITEMENT : toute opération ou ensemble d'opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou à des ensembles de Données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

UTILISATEUR : désigne une personne physique ayant conclu un contrat d’assurance frais de santé auprès d’un Assureur lui permettant d’utiliser la présente application pour l’exécution de son contrat d’assurance.

FINALITÉS

Les Données personnelles communiquées par l’Utilisateur dans le cadre de l’utilisation de l’Application et de ses fonctionnalités et services font l’objet d’un traitement informatique et sont conservées et utilisées par CPMS et EVEREST HC, et le cas échéant par les partenaires visés ci-dessus, pendant toute la durée de l’inscription de l’Utilisateur à l’Application, pour les finalités suivantes :

Permettre l’accès à l’Application et son utilisation par l’Utilisateur pour simplifier ses démarches de santé au quotidien, et notamment lui permettre d’assurer la gestion et le suivi personnalisés de ses contrats d’assurance santé et de ses remboursements payés et en cours de traitement.
Accéder à sa carte de tiers-payant dématérialisée afin de la présenter aux professionnels de santé (cette fonctionnalité n’est accessible qu’aux utilisateurs dont le contrat d’assurance santé est géré par une entité — société d’assurance / mutuelle / institution de prévoyance / délégataire de gestion / courtier — ayant contractualisé avec CPMS).
Transmettre une facture ou un devis à l'opérateur qui gère la complémentaire santé (cette fonctionnalité n’est accessible qu’aux utilisateurs dont le contrat d’assurance santé est géré par une entité — société d’assurance / mutuelle / institution de prévoyance / délégataire de gestion / courtier — ayant contractualisé avec CPMS).
Vérifier et utiliser les données et éléments d’identification fournis et permettre leur utilisation via l’Application pour accéder aux informations sollicitées par l’Utilisateur, notamment auprès de son assurance maladie ou de sa mutuelle ; partager et/ou renseigner les données d’identification et les demandes et requêtes de l’Utilisateur avec l’assureur ou la mutuelle désignée par l’Utilisateur.
Améliorer les différents services proposés par l’Application et fournir à l’Utilisateur des informations pertinentes et à jour, répondre aux questions de l’Utilisateur ou à ses demandes en cas d’assistance, procéder à des statistiques sur la base d’informations ou de données non nominatives et utiliser ces statistiques pour améliorer l’Application et ses services.
Envoyer à l’Utilisateur des notifications pour l’informer d’un remboursement, d’un problème sur un remboursement, le conseiller dans l’optimisation de ses remboursements, ou la bonne transmission d'une facture ou d'un devis.
Adresser à l’Utilisateur, avec son accord préalable exprès, des newsletters et des messages d’informations.
Envoyer à l’Utilisateur des notifications afin de vérifier la sécurité des accès à l’Application et aux informations ou données transmises à la requête de l’Utilisateur ou à son profit.
Envoyer à l’Utilisateur des emails pour l’informer d’un incident lors de la création du compte ou lors de l'utilisation de l'Application, de la résolution d'un incident ou de la mise à disposition d'une nouvelle fonctionnalité ou d'un nouveau service.
Établir toutes déclarations obligatoires auprès des autorités et administrations publiques, comme les déclarations fiscales ou cotisations sociales.
Lutter contre le blanchiment de capitaux et contre le financement du terrorisme en vertu du Code Monétaire et Financier.
Lutter contre la fraude à l’assurance.

L’Utilisateur autorise et mandate expressément CPMS, directement ou par l’intermédiaire de EVEREST HC, dans le cadre de l’utilisation de l’Application pour les finalités ci-dessus décrites, à accéder en son nom et pour son compte à toutes données le concernant, y compris des Données personnelles, qui seraient détenues ou conservées par un tiers prestataire de l’Utilisateur en matière d’assurances de santé et/ou de mutuelles, et ce notamment en application de son droit à la portabilité rappelé à l’article 8.5 ci-après.

Cette autorisation donnée par l'Utilisateur à CPMS d'accéder en son nom et pour son compte aux données le concernant, y compris des Données personnelles, est limitée aux seules données relatives à ses assurances de santé et/ou mutuelles et exclut de fait toutes données et opérations relatives à d'autres contrats d'assurance, assurance Vie ou compte bancaire accessibles depuis l'espace client.

Par ailleurs, lorsque l’Utilisateur se connecte à l’Application, des données de navigation peuvent être collectées et traitées par CPMS ou tout prestataire de son choix à des fins statistiques afin d’améliorer l’ergonomie de l’Application et de mesurer le nombre de pages vues, le nombre de visites, ainsi que l’activité et le parcours de l’Utilisateur sur l’Application.

Sécurité des Données personnelles

CPMS prend toutes les mesures adéquates sur le plan technique et organisationnel pour assurer la sécurité des données personnelles des Utilisateurs et, en particulier, interdire l’accès non autorisé et/ou la divulgation des Données personnelles de l’Utilisateur.

Les Données personnelles de l’Utilisateur sont stockées sur des serveurs sécurisés hébergés en France auprès de la société Amazon Web Services (AWS) EMEA SARL, société commerciale étrangère immatriculée au RCS sous le numéro 352 2789 0057 et dont le siège social est 38 avenue John F. Kennedy, L-1855 - LUXEMBOURG, hébergeur agréé données de santé.

CPMS invite l’Utilisateur à la plus grande prudence dans la communication de ses données personnelles à des tiers, et en particulier à ne pas répondre à des sollicitations ou messages (email, SMS…) présentés sous les marques et logos MyCPMS qui seraient reçus en dehors de l’Application. De tels messages ou sollicitations peuvent provenir de personnes mal intentionnées cherchant à obtenir des informations personnelles vous concernant en vue d’une utilisation frauduleuse (pratique du phishing). Si vous recevez un message qui paraît être une tentative de phishing, ne répondez pas et n’ouvrez pas les pièces jointes, les images ou les liens contenus dans le message. Signalez-le nous à

Caractère obligatoire ou facultatif des informations

Les informations présentées comme obligatoires sont nécessaires à la bonne exécution de votre contrat.

CPMS vous tient informé du caractère facultatif ou obligatoire de vos réponses dans les formulaires.

Destinataires des Données

Les données des Utilisateurs sont susceptibles d’être communiquées à toutes personnes intervenant dans l’exécution de votre contrat d’assurance : les porteurs de risque, les professionnels de santé, les intermédiaires en assurance, les sous-traitants pour les seuls besoins de la sous-traitance, ainsi que les autorités administratives et judiciaires pour satisfaire aux obligations légales et réglementaires.

Les données des Utilisateurs sont également communiquées en interne et traitées par les collaborateurs de notre centre de gestion, par notre service commerciale et service de la relation client et tout autre département interne ayant besoin d’en connaître.

Sous-traitance - Transferts

Les données de l’Utilisateur pourront être communiquées à des tiers sous-traitants de CPMS [situés en France ou dans l’Union Européenne] pour assurer l’accès et l’utilisation de l’Application et de ses fonctionnalités et services.

Les Données personnelles de l’Utilisateur ne font pas l’objet de communication ou de transfert à des tiers à des fins commerciales ou promotionnelles, sauf accord préalable et exprès de l’Utilisateur.

Le choix par l’Utilisateur de recevoir des offres ou messages de prospection commerciale de la part de CPMS et/ou de ses partenaires est subordonné à son accord préalable et exprès au moyen d’une case à cocher correspondante accessible lors de son inscription. Si l’Utilisateur ne souhaite plus les recevoir, il pourra se désinscrire à tout moment via le lien situé au bas de chacun des messages reçus.

Durée de conservation des données

Les Données personnelles de l’Utilisateur ne seront pas conservées au-delà de la durée d’inscription de l’Utilisateur à l’Application pour les finalités visées à la section « Finalités » ci-dessus.

Cette durée est déterminée en fonction de la finalité du traitement et des règles issues des durées de prescription applicables.

L’Utilisateur peut, à tout moment, demander la suppression de ses données personnelles conservées via l’application myCPMS en adressant sa demande à . Les informations seront alors définitivement supprimées de la base de données de myCPMS.

Au-delà, les Données personnelles seront archivées pour une durée de 2 (deux) années.

Les comptes des Utilisateurs inactifs ainsi que l’ensemble des Données personnelles s’y rapportant seront supprimés dans un délai de 18 mois à compter du jour de dernière connexion de l’Utilisateur.

Droits de l’Utilisateur

Conformément à la loi « Informatique et Libertés » et au « RGPD », l’Utilisateur dispose d’un droit d’information, d’accès, d’opposition, de rectification, d’effacement et de suppression de tout ou partie des Données personnelles le concernant, et d’un droit à la limitation du traitement et à la portabilité des Données personnelles, qu’il peut exercer en écrivant à : ou DPO CPMS – CPMS - 4 rue Auber – 75 009 Paris.

De telles demandes devront être présentées par l’Utilisateur personnellement et par écrit, signées et accompagnées de la photocopie d’un titre d’identité portant la signature de son titulaire. Ces informations ne seront communiquées qu’à des fins d’identification de l’Utilisateur et ne seront pas conservées pour une durée excédant celle nécessaire au traitement de la réponse. La demande précisera l’adresse email ou postale à laquelle devra parvenir l’éventuelle réponse. CPMS disposera d’un délai de 1 (un) mois pour répondre suivant réception de la demande.

L’Utilisateur dispose également du droit de définir des directives générales relatives à la conservation, à l’effacement et à la communication de ses Données personnelles après son décès, qui peuvent être enregistrées auprès d’un tiers de confiance numérique certifié par la CNIL (), ainsi que des directives particulières relatives à l’Application et pouvant être enregistrées auprès de CPMS, à l’adresse susmentionnée.

L’Utilisateur dispose par ailleurs du droit de formuler une réclamation auprès des autorités, et en particulier de la CNIL.