Politique de sécurité et de confidentialité

Politique de sécurité et de confidentialité

Un dispositif de mise en conformité à la réglementation RGPD

Groupama Gan Vie est une compagnie d'assurance vie régie par le Code des Assurances et par la réglementation en matière de protection des données personnelles. A ce titre, les processus faisant l'objet de traitements de données personnelles ont déjà été mis en conformité, avec les obligations prévues par la loi « Informatique et Libertés » du 06 janvier 1978 modifiée et par la directive 95/46/CE.

Dans le cadre de la nouvelle réglementation « RGPD », entrée en vigueur le 25 mai 2018, Groupama Gan Vie a adopté un certain nombre de mesures prévues par ce Règlement européen : désignation du Délégué Relais à la Protection des Données (« DPOR ») et revue du registre des traitements.

Groupama Gan Vie s'est également doté d'une Politique de Sécurité des SI (« PSSI »), dont les grands principes sont rappelés ci-dessous, ainsi que d'une Politique de Gouvernance des Données personnelles.

En complément, un plan d'actions, visant à mettre les processus internes et/ou délégués en conformité avec les nouveaux principes, a été défini :
  • Programmation des campagnes de revue de conformité des traitements effectifs (ante et post-entrée en vigueur de la nouvelle réglementation) ;
  • Mise en conformité et adaptation de l'exhaustivité de la documentation devant intégrer les nouvelles mentions réglementaires : sites Internet, documentation précontractuelle et contractuelle ;
  • Mise en conformité et adaptation des dispositions contractuelles avec l'ensemble des sous-traitants et prestataires de la société.

 

En sa qualité de fournisseur de solutions d'assurance de personnes, Groupama Gan Vie ne peut être considéré comme un prestataire, au sens donné par le RGPD. Dans le cadre des relations commerciales unissant Groupama Gan Vie à ses clients, qu’ils s’agissent d’entreprises ou de particuliers, cette information a pour objet d’informer que notre société a d'ores et déjà intégré les évolutions réglementaires, en prévoyant un ensemble de mesures qui visent à mettre ses pratiques en conformité.

 

Les grands principes de la PSSI

Groupama Gan Vie s’est dotée d’une Politique de Sécurité des Systèmes d’Information conforme à celle du Groupe Groupama, dont les principales dispositions définissent les exigences et bonnes pratiques de sécurité dans le respect du cadre légal et réglementaire et des référentiels en vigueur.

Elles permettent l’exploitation, l’archivage et l’utilisation de ces données dans des conditions de sécurité optimales.

La sécurité est portée par la société Groupama Supports & Services, pour l’ensemble du Groupe Groupama.

Par sécurité, on entend l’ensemble des précautions utiles, au regard de la nature des données et des risques présentés par le traitement de ces dernières, pour notamment empêcher que les données ne soient déformées, endommagées, volées ou que des tiers non autorisés y aient accès.


  • Au titre de la prévention des intrusions et du piratage, avec les principes fédérateurs suivants :
    • L’environnement de production informatique est isolé de tout autre environnement ;
    • L’attribution des droits respecte la stricte application du « besoin d’en connaître » ;
    • Aucune action particulière n’est menée à la demande d’un client dès lors qu’elle peut mettre en péril les autres clients ;
    • Chaque prestataire externe est supervisé et suivi par Groupama Gan Vie. Les actions réalisées par les prestataires font l’objet d’un contrôle spécifique et d’une traçabilité systématique conforme aux dispositions du RGPD ;
    • Toutes les demandes relatives à l’administration des bases de données, applications ou réseaux font l’objet d’une demande officielle et sont réalisées dans le respect de la législation en vigueur ;
    • Par défaut, les exigences de sécurité exprimées sont maximales dès lors qu’un environnement n’est pas considéré comme environnement de confiance ;
    • Dès lors qu’un environnement est considéré comme un environnement de confiance, les barrières et autres mesures de filtrage sont réduites à un minimum acceptable.

  • Recours à des bulles réseaux : l’ensemble du système d’information est découpé en « bulles réseaux » dont l’étanchéité est assurée par des Firewall. Ce dispositif permet d’isoler certaines applications, voire le Système d’Information complet.

  • Protection contre les attaques
    La protection contre les attaques repose sur le déploiement de sondes analysant en temps réel les flux en provenance d’Internet et de nos partenaires, permettent d’identifier les flux d’attaques.
    Les pare-feux (firewalls) positionnés au-delà de ces sondes permettent de stopper ces flux indésirables. Si un flux indésirable aux dires de la sonde n’était pas intercepté par le pare-feu, une alerte serait émise en temps réel par le système de surveillance qui rapproche les traces des sondes et des pare-feux, et détecte les éventuels écarts.
    Ce dispositif est opérationnel 7j/7 et 24h/24.

  • Contrôles d’accès logiques (contrôles d’accès aux systèmes d’information)
    Le contrôle d’accès aux SI est assuré par un système d’habilitations prévoyant l’attribution d’un ou plusieurs identifiants à chaque collaborateur ; à chaque identifiant étant associés des droits d’accès à des fonctions de un ou plusieurs systèmes applicatifs. Chaque collaborateur a le devoir et l’obligation de protéger ses identifiants par un mot de passe.
    La PSSI propose des règles de gestion de ces mots de passe en termes de durée de vie, de complexité, de réutilisation et recommande la mise en place de cette gestion sur l’ensemble des systèmes applicatifs.
    Une charte d’utilisation des moyens informatiques est annexée au règlement intérieur de l’entreprise.

  • Contrôles d’accès physiques (contrôles d’accès aux systèmes d’information)
    Sur chaque site de l’entreprise, tout collaborateur et tout intervenant extérieur se voit attribuer un badge lui permettant d’accéder aux locaux de travail.
    Les bâtiments ou salles de bâtiments hébergeant les composants d’infrastructure techniques, sont tous à accès protégé.

  • Les ordinateurs portables bénéficient de protections complémentaires
    Des protections antivol sont livrées avec chaque ordinateur.
    Un firewall embarqué qui garantit la sécurité du poste de travail, même dans le cas où il est connecté à des réseaux non maîtrisés par Groupama Supports & Services.
    Un client « VPN », qui permet de se connecter sur le SI de Groupama Supports & Services depuis n’importe quel réseau ayant accès à Internet et ce en toute sécurité, et en assurant la confidentialité des données échangées.

  • Confidentialité : Groupama Gan Vie dispose d’une charte éthique applicable par tous les collaborateurs définissant les règles strictes de confidentialité.