Politique de confidentialité

I. Objet

La présente politique de confidentialité informe les utilisateurs du site www.surtea.fr, édité par Surtea (marque commerciale de Tutassur), des modalités de collecte, traitement et protection de leurs données personnelles, conformément au RGPD et à la loi n° 78-17 du 6 janvier 1978 modifiée.

Surtea, responsable de traitement, s'engage à respecter la vie privée et protéger les données confiées via le Site, par téléphone, email ou lors d'échanges directs avec ses conseillers.

En naviguant sur le Site, l'utilisateur accepte les termes de cette politique. Surtea se réserve le droit de la modifier pour se conformer aux évolutions législatives.

II. Données collectées

Surtea collecte les catégories de données suivantes :

• Données d'identification : nom, prénom, date de naissance, adresse postale
• Données de contact : adresse e-mail, numéro de téléphone
• Données professionnelles : situation familiale, profession, revenus
• Données assurantielles : besoins en assurance, biens à assurer, antécédents, sinistralité
• Données techniques : adresse IP, type/version navigateur, système d'exploitation, pages consultées, durée de visite, données de connexion, identifiants de session

Ces données techniques sont collectées automatiquement via cookies et technologies similaires. Les données collectées sont strictement nécessaires et traitées de manière licite, loyale et transparente. Le caractère obligatoire ou facultatif est indiqué lors de la collecte.

III. Méthodes de collecte

Les données sont collectées par :

• Formulaires en ligne : contact, demande de devis, souscription
• Cookies et technologies de traçage (voir Politique de cookies)
• Échanges téléphoniques avec les conseillers
• Courriers électroniques
• Espaces clients sécurisés sur le Site
• Transmission de partenaires assureurs dans le cadre de gestion contractuelle
• Sources publiques ou tiers autorisés

L'utilisateur est informé de toute collecte indirecte dans les meilleurs délais, au plus tard au premier contact.

IV. Finalités du traitement

Les données sont traitées pour :

• Établissement de devis et propositions d'assurance adaptées
• Gestion des contrats : souscription, modification, renouvellement, résiliation
• Gestion de la relation client : suivi des demandes, assistance, réclamations
• Respect des obligations légales : lutte contre le blanchiment, conservation documentaire
• Prévention de la fraude assurantielle
• Prospection commerciale et marketing (sous consentement préalable) : newsletters, offres promotionnelles, nouveaux produits, événements
• Amélioration du Site : statistiques anonymes, analyse comportementale, optimisation UX

V. Base légale

Conformément à l'article 6 du RGPD :

• Exécution d'un contrat : devis, souscription, gestion contractuelle, relation client
• Respect d'obligations légales : conservation documentaire, déclarations aux autorités, lutte anti-blanchiment, réquisitions judiciaires
• Consentement : prospection électronique, cookies non essentiels, autres finalités nécessitant consentement préalable (retirable à tout moment)
• Intérêt légitime : sécurisation du Site, prévention fraude, statistiques, amélioration services (mis en balance avec droits/libertés)

VI. Durée de conservation

• Prospects (sans contrat souscrit) : 3 ans maximum à compter du dernier contact actif
• Clients (données contractuelles) : durée du contrat + 5 ans après fin de relation, conformément aux obligations légales assurance
• Données de navigation/cookies : 13 mois maximum (recommandations CNIL)
• Données de prospection : jusqu'à retrait consentement, maximum 3 ans après dernier contact

À l'expiration, suppression ou anonymisation irréversible. Exceptions : obligations légales, contentieux en cours, nécessité probatoire, dans les limites réglementaires.

VII. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez de :

• Droit d'accès
• Droit de rectification
• Droit d'opposition
• Droit à la limitation du traitement
• Droit à l'effacement (« droit à l'oubli »)
• Droit à la portabilité

Pour exercer ces droits, contactez le DPO :

• Email : dpo@surtea.fr
• Adresse postale : Surtea — DPO, 4 Boulevard Gambetta, 38000 Grenoble

Toute demande doit être accompagnée d'un justificatif d'identité valide. Surtea répond dans un mois (prolongeable de 2 mois supplémentaires pour complexité ou volume).

Vous pouvez introduire réclamation auprès de la CNIL et définir directives relatives au sort de vos données après décès.

VIII. Droit d'accès

Conformément à l'article 15 du RGPD, vous pouvez obtenir confirmation si des données vous concernant sont traitées et accéder à :

• Finalités du traitement
• Catégories de données
• Destinataires
• Durée de conservation envisagée
• Existence de vos droits
• Droit de réclamation CNIL

Surtea fournit une copie des données. Copies supplémentaires : frais raisonnables basés sur coûts administratifs. Demandes électroniques : format électronique courant (sauf demande contraire).

Ce droit ne porte pas atteinte aux droits/libertés d'autrui. Refus possible pour demandes manifestement infondées, excessives ou répétitives.

IX. Droit de rectification

Conformément à l'article 16 du RGPD, vous pouvez obtenir rectification des données inexactes, incomplètes ou obsolètes, ou demander complétude.

Adressez demande à dpo@surtea.fr en précisant les données et corrections souhaitées. Surtea rectifie et vous informe de la mise à jour.

Si données transmises à des tiers, Surtea les notifie de la rectification, sauf impossibilité ou efforts disproportionnés. Vous pouvez demander la liste des destinataires.

X. Droit d'opposition

Conformément à l'article 21 du RGPD, vous pouvez vous opposer, pour raisons tenant à votre situation particulière, au traitement fondé sur intérêt légitime de Surtea. Celle-ci cessera le traitement sauf motifs légitimes impérieux prévalant.

Vous pouvez vous opposer sans frais à tout moment à la prospection commerciale, y compris profilage associé. Vos données ne seront plus traitées à cette fin.

Adressez demande à dpo@surtea.fr ou utilisez le lien désinscription dans chaque communication commerciale. Traitement dans les meilleurs délais.

XI. Droit à la limitation

Conformément à l'article 18 du RGPD, vous pouvez obtenir limitation du traitement dans les cas suivants :

• Contestation de l'exactitude des données (pendant vérification)
• Traitement illicite (préférence limitation à effacement)
• Surtea n'a plus besoin des données mais vous les nécessitez pour constatation/exercice/défense de droits
• Opposition au traitement par intérêt légitime (pendant vérification de la prévalence des motifs)

En limitation, les données ne peuvent être traitées (sauf conservation) qu'avec consentement, pour droits en justice ou protection droits tiers. Surtea vous informe avant levée de la limitation.

XII. Droit à l'effacement

Conformément à l'article 17 du RGPD (« droit à l'oubli »), vous pouvez obtenir effacement dans les cas suivants :

• Données non plus nécessaires aux finalités
• Retrait consentement sans base légale alternative
• Exercice droit d'opposition sans motif légitime impérieux
• Traitement illicite
• Respect obligation légale
• Collecte dans cadre de services à un mineur

Ce droit ne s'applique pas si traitement nécessaire pour : liberté d'expression/information, obligation légale, intérêt public en matière de santé publique, fins archivistiques, droits en justice. Surtea informe de sa décision dans un délai d'un mois.

XIII. Droit à la portabilité

Conformément à l'article 20 du RGPD, vous pouvez recevoir les données personnelles vous concernant fournies à Surtea dans un format structuré, couramment utilisé et lisible par machine.

S'applique si traitement fondé sur consentement ou contrat, effectué par procédés automatisés. Vous pouvez demander transmission directe à un autre responsable de traitement (si techniquement possible). Ne porte pas atteinte aux droits/libertés des tiers.

Adressez demande à dpo@surtea.fr. Surtea transmet les données en format courant (CSV, JSON, XML) dans un délai d'un mois.

XIV. Destinataires

Les données peuvent être communiquées à :

• Compagnies d'assurance partenaires : devis, souscription, gestion contrats, sinistres
• Prestataires techniques (hébergement, maintenance, e-mail transactionnel, paiement) : sous-traitants liés contractuellement à Surtea
• Autorités administratives et judiciaires : ACPR, ORIAS, TRACFIN, administration fiscale, tribunaux (obligations légales et réquisitions)
• Organismes professionnels du secteur : lutte contre la fraude à l'assurance (Agira)

Surtea veille à ce que ses sous-traitants offrent des garanties suffisantes en matière de mesures techniques et organisationnelles. Les contrats de sous-traitance sont conformes à l'article 28 du RGPD.

XV. Sous-traitants et transferts internationaux de données

Conformément aux articles 28 et 44 et suivants du RGPD, Surtea recourt aux sous-traitants ci-dessous. Pour tout transfert hors Union européenne, Surtea s'appuie sur les Clauses Contractuelles Types (CCT / SCC) adoptées par la Commission européenne (décision d'exécution (UE) 2021/914 du 4 juin 2021), conformément à l'arrêt Schrems II (CJUE, 16 juillet 2020, C-311/18). Des mesures supplémentaires (chiffrement, pseudonymisation, analyse d'impact) sont mises en œuvre lorsque cela est nécessaire.

Principe général : Surtea privilégie les sous-traitants hébergeant les données au sein de l'Union européenne. Lorsqu'un transfert hors UE est nécessaire, il est encadré par une décision d'adéquation de la Commission européenne, des Clauses Contractuelles Types, des règles d'entreprise contraignantes (BCR) ou tout autre mécanisme prévu au chapitre V du RGPD, complétés au besoin de mesures supplémentaires techniques et organisationnelles.

La liste à jour des sous-traitants ainsi qu'une copie des garanties applicables peuvent être obtenues sur simple demande à dpo@surtea.fr.

XVI. Sécurité

Surtea met en œuvre des mesures techniques/organisationnelles appropriées garantissant un niveau de sécurité adapté au risque (article 32 RGPD).

Le Site utilise le protocole SSL/TLS chiffrant les communications navigateur-serveurs Surtea, garantissant la confidentialité des données transmises.

Données stockées sur serveurs sécurisés, protégés par pare-feux, systèmes de détection d'intrusion, antivirus régulièrement mis à jour. Accès strictement limité aux personnes habilitées par leurs fonctions, via authentification individuelle et politiques de droits d'accès.

Mises en place : sauvegardes régulières, chiffrement des données sensibles, pseudonymisation. Collaborateurs accédant aux données personnelles soumis à obligation de confidentialité et formation régulière à la protection des données.

En cas de violation engendrant un risque pour les droits/libertés : notification à la CNIL dans 72 heures et information de l'utilisateur si le risque est élevé (articles 33-34 RGPD).

XVII. Réclamation

Si vos droits relatifs à la protection des données personnelles ne sont pas respectés après contact, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle compétente en France.

CNIL — Coordonnées :

3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site web : www.cnil.fr

Nous vous encourageons à nous contacter d'abord pour résolution amiable. Le DPO est disponible pour toute question relative au traitement des données et au respect des droits.

XVIII. Contact du Délégué à la Protection des Données (DPO)

Pour toute question relative à la présente politique ou pour l'exercice de vos droits relatifs à la protection des données, vous pouvez contacter notre Délégué à la Protection des Données :

Surtea — Délégué à la Protection des Données

• E-mail (canal principal recommandé) : dpo@surtea.fr
• Adresse postale : Surtea — DPO, Tutassur, 4 Boulevard Gambetta, 38000 Grenoble
• Téléphone : non communiqué — contact par e-mail à dpo@surtea.fr

Le DPO accuse réception de toute demande dans les meilleurs délais et y répond dans un délai d'un mois à compter de sa réception, prolongeable de deux mois supplémentaires en cas de complexité ou de volume des demandes (article 12 du RGPD). Toute demande d'exercice de droit doit être accompagnée d'une copie d'un justificatif d'identité en cours de validité.

XIX. Modification

Surtea se réserve le droit de modifier cette politique à tout moment, notamment pour conformité avec les évolutions législatives, réglementaires, jurisprudentielles, techniques. Les modifications substantielles sont portées à la connaissance des utilisateurs via mention visible sur le Site ou autre moyen de communication approprié.

Date de dernière mise à jour en haut de la politique. Recommandation : consultation régulière pour éventuelles modifications. L'utilisation continue du Site après publication vaut acceptation de la politique mise à jour.

Modification substantielle affectant les droits utilisateurs : Surtea recueille un nouveau consentement si nécessaire et informe par email ou autre moyen assurant une prise de connaissance effective.