Article 1er
Responsables des traitements
Les responsables de traitement sont :
1. L'AGIRA en qualité de mandataire des organismes professionnels visés aux articles 3 et 6 de la loi n° 2007-1775 du 17 décembre 2007.
2. Les entreprises d'assurance, les institutions de prévoyance et leurs unions et les mutuelles et leurs unions qui proposent des contrats d'assurance-vie qui, seules, peuvent se référer à la présente autorisation unique.
Article 2
Finalités et caractéristiques des traitements
1. Le traitement mis en œuvre par l'AGIRA a pour objet :
― la tenue d'une base de données relatives aux personnes dont le décès est connu de l'INSEE, qui fera l'objet d'une mise à jour chaque mois ;
― la mise en place d'une plate-forme sécurisée permettant l'interrogation de cette base par les seules entreprises d'assurance, institutions de prévoyance et leurs unions, et mutuelles et leurs unions qui interviennent dans le secteur de l'assurance sur la vie.
2. Les traitements mis en œuvre par les entreprises d'assurance, les institutions de prévoyance et leurs unions, et les mutuelles et leurs unions ont pour finalité exclusive la recherche tant des assurés que des bénéficiaires des contrats d'assurance sur la vie qui seraient décédés. Sont également visés par la présente autorisation les traitements visant à assurer la journalisation des requêtes et à réaliser des analyses statistiques sur l'interrogation de la base de données.
Les entreprises d'assurances, institutions de prévoyance et leurs unions, et les mutuelles et leurs unions pourront consulter la base de données selon deux modalités :
― par voie d'interrogation ponctuelle sur un assuré ou un bénéficiaire ;
― par voie d'interrogations groupées, par l'envoi de fichiers portant sur tout ou partie de leurs assurés ou bénéficiaires ; ces interrogations groupées pourront porter sur la totalité de la base ou sur les seuls signalements de décès reçus durant la dernière année.
Toute interrogation doit indiquer au minimum les nom, prénom, date de naissance et sexe de la personne recherchée.
Les organismes susvisés à l'article 1er s'engagent à ne pas utiliser les données figurant sur la base AGIRA à d'autres fins que celles prévues par la loi du 17 décembre 2007.
Article 3
Données traitées
Les catégories de données enregistrées dans la base tenue par l'AGIRA, susceptibles d'être communiquées aux organismes précités, concernent les personnes dont le décès est connu de l'INSEE :
― nom patronymique, prénoms ;
― sexe ;
― date et lieu de naissance ;
― date et lieu du décès ;
― numéro d'acte de décès.
Article 4
Durée de conservation
Le fichier AGIRA est mis à jour chaque mois sur la base des éléments transmis par l'INSEE.
Les données communiquées aux entreprises d'assurance, institutions de prévoyance et leurs unions, et les mutuelles et leurs unions et relatives aux assurés et aux bénéficiaires d'un contrat d'assurance sur la vie sont conservées dans les traitements de gestion conformément à la durée nécessaire à l'exécution du contrat.
Ces données sont ensuite archivées pour une durée qui correspond à la prescription légale de trente ans à compter du décès de l'assuré.
Les données personnelles enregistrées sont effacées lorsqu'il apparaît avec certitude au gestionnaire d'un dossier d'assurance sur la vie qu'elles se rapportent à un homonyme de l'assuré ou d'un bénéficiaire du contrat.
Article 5
Destinataires
Les personnes habilitées à recevoir communication des données relatives aux personnes décédées sont :
― au sein des services de l'AGIRA, les gestionnaires habilités chargés de l'exploitation des fichiers de réponses issus des interrogations par lots ;
― au sein des entreprises d'assurance, des institutions de prévoyance et leurs unions, et des mutuelles et leurs unions, les interrogations ponctuelles de la base de l'AGIRA ne peuvent être effectuées que par un nombre limité ― au maximum cinq personnes par établissement ― de gestionnaires habilités, disposant de certificats individuels et ayant vérifié la motivation des demandes d'interrogation. Les données issues des interrogations de la base de l'AGIRA sont utilisées par les personnels habilités à intervenir dans la gestion des contrats d'assurance sur la vie.
Article 6
Mesures de sécurité
Les responsables de traitement prennent toutes précautions utiles pour empêcher que les données ne soient détournées des finalités pour lesquelles elles ont été collectées et pour préserver leur sécurité et leur confidentialité, notamment, pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.
Les accès individuels à la base AGIRA s'effectuent après authentification mutuelle du système hébergeant le traitement et de l'utilisateur par le biais de certificats délivrés par le réseau d'accès aux données de l'assurance et de la messagerie sécurisée (RADAMESS). L'identification des machines connectées au traitement est également faite par des certificats de même nature.
Le certificat doit être nominatif et les mesures appropriées doivent être prises de manière à garantir qu'il ne sera utilisé que par son titulaire.
Les entreprises d'assurances, institutions de prévoyance et leurs unions, et les mutuelles et leurs unions conservent l'historique des requêtes ponctuelles effectuées sous leur responsabilité et pourront accéder aux interrogations conservées par l'AGIRA. Celle-ci garde une trace de toute interrogation pendant un an.
Toutes les connexions au traitement de données à caractère personnel font l'objet d'un chiffrement.
Tous les envois dématérialisés entre l'INSEE et l'AGIRA font l'objet d'un chiffrement dont la clé est fournie sous pli séparé, en recommandé, avec accusé de réception. Les transmissions de la clé et des données se font successivement, en deux plis distincts, les données n'étant envoyées qu'après retour à l'INSEE de l'accusé de réception du courrier contenant la clé.
Article 7
La présente délibération sera publiée au Journal officiel de la République française.