Finalités et caractéristiques des traitements.
Dans le cadre des activités relatives à la passation, à la gestion et à l'exécution des contrats d'assurance, de capitalisation, de réassurance, et d'assistance (ci après désignés « contrats »), peuvent faire l'objet d'un engagement de conformité à la présente autorisation unique, les traitements automatisés de données à caractère personnel ayant pour finalités la lutte contre la fraude à l'assurance externe ou interne correspondant à un acte ou omission commis intentionnellement par une ou plusieurs personnes afin d'obtenir un avantage ou un bénéfice de façon illégitime, illicite ou illégale.
Au titre de ces traitements sont visés :
- l'analyse et la détection des actes réalisés dans le cadre de la passation, la gestion et l'exécution des contrats présentant une anomalie, une incohérence, ou ayant fait l'objet d'un signalement pouvant révéler une fraude à l'assurance,
- la gestion des alertes en cas d'anomalies, d'incohérences ou de signalements,
- la constitution de listes des personnes dûment identifiées comme auteurs d'actes pouvant être constitutifs d'une fraude,
- la gestion des procédures amiables, contentieuses, et disciplinaires consécutives à un cas de fraude,
- l'exécution des dispositions contractuelles, législatives, réglementaires ou administratives en vigueur applicables consécutivement à une fraude.
Ces traitements permettent de prévenir, de détecter ou de gérer les opérations, actes, ou omissions présentant un risque de fraude et émanant soit :
- pour la fraude externe : des personnes parties, intéressées ou intervenant au contrat ;
- pour la fraude interne : des personnels salariés, des prestataires, des agents généraux, des mandataires, des intermédiaires, des administrateurs, mandataires sociaux, ou des élus des organismes.
Des requêtes individuelles et ponctuelles peuvent être effectuées par l'employeur, dans le cadre de son pouvoir d'enquête interne, sur les données collectées au titre de la gestion administrative du personnel.
L'objectif de lutte contre la fraude à l'assurance peut donner lieu à des interconnexions entre les traitements de données mis en œuvre par le responsable de traitement ou par le groupe auquel il appartient, répondant aux finalités suivantes :
- la gestion commerciale de clients et de prospects telle qu'elle est prévue par la norme simplifiée n° 56 ;
- la passation, la gestion et l'exécution des contrats prévue par la norme simplifiée n° 16 ;
- la lutte contre le blanchiment et le financement du terrorisme telle que prévue par l'AU 003, pour les cas de fraude relevant également de cette finalité ;
- la collecte et le traitement des données relatives aux infractions, aux condamnations et mesures de sûreté prévus par les dispositions légales, règlementaires et administratives en vigueur, ainsi que dans le cadre des contentieux liés à l'activité et permettant notamment à l'entreprise d'assurer la constatation, l'exercice ou la défense de ses droits en justice ou la défense des personnes concernées ;
- la gestion des relations contractuelles avec les intermédiaires, les prestataires, les sous-traitants, les délégataires, et les partenaires.
Aucune décision produisant des effets juridiques à l'égard des personnes concernées par des données traitées dans le cadre de la lutte contre la fraude à l'assurance ne peut être prise sur le seul fondement de ces traitements automatisés. Dès lors, les requêtes ou alertes détectées automatiquement doivent donner lieu à une analyse non automatisée par le personnel habilité de l'organisme ou du groupe auquel il appartient, le cas échéant des investigations complémentaires pourront être diligentées. Enfin, la personne concernée doit être mise en mesure de présenter ses observations si une décision produisant des effets juridiques est prise à son égard dans le cadre de la conclusion ou de l'exécution d'un contrat.