La loi relative à la protection des données personnelles pour respecter vos droits et vos obligations.

Responsable des traitements : David Clair 
dgprotectiondonnees.cramif@assurance-maladie.fr

Délégué à la protection des données : Yveline Pinot  
dpo.cramif@assurance-maladie.fr

SNTRP

  • Nom du traitement : SNTRP ( ex base SGE/TAPR)
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Tarification et prévention des AT/MP
  • Secteur d'activité : Direction régionale risques professionnels
  • Données à caractère personnel : Suivant décision Cnam
  • Destinataire(s) des données :
    • Interne : Service AT/MP Cramif
    • Externe : DRP Cnam, URSSAF, INRS, Adjuvance partenaire BVA uniquement en septembre/octobre 2016 et pour des fichiers d'entreprises TPE-PME (réalisation d'un sondage)
    • Transfert : non
  • Durée de conservation : 20 ans + 3 ans à l’issue de dernier enregistrement de données financières liées à un accident du travail (ou maladie professionnelle) de plus de 20 ans
  • Sous-traitant(s) : non
  • Mesures de sécurité : Accès par mot de passe sécurité
  • Droit d'accès : DTE
  • Date de mise en œuvre : 6 décembre 1993
  • Acte réglementaire pdf - 119.09 Ko

Gestion des dossiers oppositions

  • Nom du traitement : Gestion des dossiers oppositions
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Assurer le suivi des demandes d'opposition reçues (ALIOPP) Calculer la quotité saisissable à retenir sur les prestations
  • Secteur d'activité : Direction financière et comptable
  • Données à caractère personnel : Assuré/Débiteur : nom, prénom, NIR, adresse, date de naissance, date de décès, ouverture des droits, montant de la créance et détails de la procédure liée à l'opposition, organisme de rattachement (CPAM). Agent : nom, prénom, numéros de dossiers gérés, date de saisie et date de traitement. Opposant/Tiers saisisseur : dénomination, civilité, adresse, référence, type d'opposant, coordonnées bancaires et de contact.
  • Destinataire(s) des données :
    • Interne : agents habilités de la Direction Comptable et Financière, agents du Département des Affaires Juridiques le cas échéant
    • Externes : les assurés et les tiers saisisseurs pour les courriers envoyés
    • Transfert : non
  • Durée de conservation : en adéquation avec la conservation des pièces justificatives. 6 ans à partir du solde de la créance.
  • Sous-traitant(s) : non
  • Mesures de sécurité : Techniques : sécurisation PASSEPORT. Organisationnelles : habilitations spécifiques.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er mars 1994
  • Acte réglementaire pdf - 75.47 Ko

AGATA

  • Nom du traitement : AGATA
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion des dossiers de demandes d'allocation de cessation anticipée d'activité des travailleurs de l'amiante. Suivi statistique des étapes de l'instruction des demandes
  • Secteur d'activité : Direction relation client et prestations
  • Données à caractère personnel : Base AGATA : décision Cnam ; Identification de l'assuré : numéro de sécurité sociale, numéro d'allocataire, nom, nom de naissance, prénom, adresse postale, adresse mail, date de naissance ; Consultation des paiements et suivi de l'instruction: nom, n° de Sécurité Sociale, n° d'allocataire, date d'échéance, mensualité des 12 derniers mois, nature du paiement, montants réglés (Brut, Net, imposable), étapes du dossier d'instruction. A partir du site ameli.fr, l'assuré a la possibilité d'éditer une attestation de versement de son allocation générée au format PDF, de modifier son code personnel et son adresse mail, de se déconnecter du site via un lien de déconnexion.
  • Destinataire(s) des données :
    • Interne : Agents du service réparation
    • Externe : décision Cnam ; Consultation des paiements : les assurés bénéficiaires d'une allocation amiante pour leurs propres données
    • Transfert : non
  • Durée de conservation : décision Cnam ; Consultation des paiements : les paiements des 12 derniers mois sont accessibles sur le site Internet. 2 ans pour le suivi de l'instruction.
  • Sous-traitant(s) : non
  • Mesures de sécurité : Consultation des paiements : espace sécurisé du site ameli.fr. L'accès à l'espace sécurité nécessite une identification de l'assuré sur le site. Après identification, un mot de passe est adressé par messagerie à l'adresse indiquée par l'assuré. Ce mot de passe doit être changé à la première connexion de l'assuré. Le tableau de bord n'est accessible qu'aux seuls agents habilités du service réparation.
  • Droit d'accès : délégué à la protection des données (DPO) 
  • Date de mise en œuvre : 4 avril 2000
  • Acte réglementaire pdf - 637.16 Ko

Fichier annuel des stagiaires

  • Nom du traitement : Fichier annuel des stagiaires
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Contrôle des bénéficiaires de la convention régionale pour le financement des activités de formation pour la prévention des AT/MP
  • Secteur d'activité : Direction régionale risques professionnels
  • Données à caractère personnel : /
  • Destinataire(s) des données :
    • Interne : agents du service formation prévention AT/MP
    • Externe : non
    • Transfert : non 
  • Durée de conservation : /
  • Sous-traitant(s) : non
  • Mesures de sécurité : /
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 17 janvier 2001 
  • Acte réglementaire pdf - 317.49 Ko

Gestion de la relation client

  • Nom du traitement : Gestion de la relation client
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Prendre en charge les flux d'accueil physique avec une gestion automatique des files d'attente (logiciel E-SIRIUS). Permettre aux assurés, pour la prestation Invalidité, de prendre rendez-vous en ligne (applicatif ESPACE RDV) et aux demandeurs de l'allocation amiante également, avec un outil connecté sur le site internet (WEBACCUEIL), des échanges par SKYPE. Gérer les mails des assurés via leur compte ameli.fr (applicatif EPTICA)
  • Secteur d'activité : Direction relation client et prestations
  • Données à caractère personnel : Assurés : nom, prénom, date de naissance, adresse mail, numéro de téléphone (portable ou fixe obligatoire), NIR (sauf pour ESPACE RDV). Visite de l'assuré : nature, date, temps d'attente, heure début/fin, durée, motif. Agents : nom, prénom, service d'appartenance
  • Destinataire(s) des données :
    • Interne : Agents chargés de l’accueil Invalidité et encadrement du Pôle relations clients prestations.
    • Externe : Agents habilités des CPAM partenaires, assurés pour leurs propres données
    • Transfert : non
  • Durée de conservation : 12 mois dans ESPACE RDV - 2 ans pour les données statistiques de l'accueil physique - 1 an pour WEBACCUEIL
  • Sous-traitant(s) : prestataire OVEA
  • Mesures de sécurité : Techniques : sécurité Passeport, hébergement Cramif pour E-SIRIUS et WEBACCUEIL, plateforme sécurisée pour ESPACE RDV, sécurité de l'outil de communication SKYPE Organisationnelles : habilitations spécifiques.
  • Droit d'accès : délégué à la protection des données (DPO) 
  • Date de mise en œuvre : 5 septembre 2002

Site internet cramif.fr

  • Nom du traitement : Site internet cramif.fr
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion du site Internet de la Cramif, avec diffusion d'informations et de conseils et avec la collecte d'inscriptions à des évènements, des concours ou stages professionnels, ainsi qu'à une ou plusieurs newsletters.
  • Secteur d'activité : Direction de la communication
  • Données à caractère personnel : Identification des personnes : nom, prénom, adresse professionnelle, téléphone, fax, email professionnel, fonction, profession, service. Traçabilité : provenance géographique du visiteur, adresse IP, date de la visite, durée de la visite, pages consultées et enchaînement des pages consultées.
  • Destinataire(s) des données :
    • Interne : Uniquement le secteur professionnel de la Cramif concerné par une demande. Cellule web pour les données de navigation
    • Externe : non
    • Transfert : non
  • Durée de conservation : La durée de conservation des données d'inscription est de 3 ans maximum  et de 13 mois pour les cookies.
  • Sous-traitant(s) : non
  • Mesures de sécurité : s'agissant d'un accès public sur Internet, aucune limitation d'accès par ARAMIS ou habilitation n'est activée. Google pour les données de traçabilité.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 10 juin 2003

Gestion des chèques déjeuner et des accès aux restaurants d'entreprise

  • Nom du traitement : Gestion des chèques déjeuner et des accès aux restaurants d'entreprise
  • Co-responsable(s) de traitement : non
  • Finalité du traitement : Gérer le droit effectif aux chèques déjeuner pour chaque agent de la Cramif. Mettre en place un circuit d’informations normalisé pour le calcul de la part patronale de la contribution déjeuner et le calcul des droits aux chèques déjeuner entre le département du personnel, le restaurant d’entreprise, les secrétariats gestionnaires et la direction financière et comptable. Intégrer la répartition des agents sur 2 sites de restauration (Flandre et Argonne). Gérer les conventions d’accès aux restaurants d’entreprise de la Cramif (à Flandre et en copropriété avec la DRFIP à l'Argonne), passées avec des organismes tiers, pour la restauration de leurs salariés (DRSMIF, DRFIP, CNAV et autres organismes extérieurs).
  • Secteur d'activité : Direction ressources et relations sociales
  • Données à caractère personnel : Identification des personnes : nom, prénom, n° agent, et numéro de la puce RFID. Vie professionnelle : Organisme d'appartenance, code service, nom du service, adresse du lieu de livraison, typologie des absences, droit à titre restaurant, gestionnaire titulaire ou suppléant. Fréquentation des restaurants : date de passage et rang du passage, coût des repas, nombre de passages, données globales de fréquentation par entreprise et par Site de restauration.
  • Destinataire(s) des données :
    • Interne : Agents habilités de la trésorerie et du contrôle de la paie, du département du personnel, gestionnaires des commandes de titre restaurant des différents services pour les agents du service, de la gestion administrative (SIAM) pour le nombre de passages par entité (Cramif, DRSM, DRFIP, CNAV, Extérieurs).
    • Externe : La société "Up-Chèque Déjeuner" pour les agent de la Cramif et de la DRSM, les prestataires gérant les restaurants d'entreprise pour l'ensemble des clients, les organismes sous convention pour leur personnel.
    • Transfert : non
  • Durée de conservation : 3 ans pour les contenus des bases de données (possibilité de re-calculs sur 3 ans des éléments du bulletin de salaire) 6 mois pour les éventuels documents papiers, 3 ans pour les données statistiques de fréquentation.
  • Sous-traitant(s) : non
  • Mesures de sécurité : Les postes de travail utilisés à la Cramif et à la DRSMIF tout au long du dispositif sont sécurisés ARAMIS, les accès sont possibles après authentification.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 27 novembre 2003
  • Affiche pdf - 60.63 Ko

e-LISA

  • Nom du traitement : e-LISA
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion administrative du centre médical Stalingrad
  • Secteur d'activité : Centre médical Stalingrad
  • Données à caractère personnel : Assurés : Identification du patient : nom de l'assuré, prénom, date de naissance, adresse, n° de téléphone, adresse de messagerie ; Couverture sociale : numéro de Sécurité sociale, organisme de Sécurité sociale d'affiliation, organisme complémentaire, qualité du patient (assuré, ayant droit) ; Dossier médical restreint : nom et spécialité du praticien consulté, date, heure et motif du rendez-vous, date et heure de la consultation (si report du RDV), saisie et codification des actes, éléments financiers de la facturation, planning des praticiens ; Dossier administratif, gestion des créances : rejet des remboursements (régime obligatoire ou régime complémentaire), tarification postérieure à l'acte, échelonnement des paiements pour certains actes (dentaire).
  • Destinataire(s) des données :
    • Interne : Personnel habilité du centre médical Stalingrad et de la direction financière et comptable, du département des affaires juridiques
    • Externe : Organismes de protection sociale d'affiliation du patient ou de ses ayants droit, Prestataire chargé de la prise des rendez-vous pour l'identification patient et les RDV
    • Transfert : non
  • Durée de conservation : 5 ans sans mouvement sur le dossier ; 5 ans après épuration en cas de créance
  • Sous-traitant(s) : Prestataire qui accède au seul module LISAGENDA, chargé de la prise de rendez-vous. Prestataire ODYSSEY SERVICES, envoi de SMS auprès des patients pour rappel de RDV.
  • Mesures de sécurité : Sécurité ARAMIS, serveur d'application protégé et sauvegardé conformément à la politique de sécurité mise en place dans l'entreprise.
  • Droit d'accès : directeur du centre médical Stalingrad, sur rendez-vous ; délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er décembre 2004

JLB Net

  • Nom du traitement : JLB Net
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion automatisée des fonds documentaires des différents sites de documentation de la Cramif comprenant la gestion des prêts, le bulletinage, la circulation des périodiques et la gestion des clients
  • Secteur d'activité : Direction générale déléguée
  • Données à caractère personnel : Identification des personnes : nom, prénom, branche, service, fonction, civilités ou titre, coordonnées professionnelles ou personnelles suivant la catégorie d'emprunteurs/lecteurs (localisation géographique, adresse, téléphone, messagerie électronique) ; Identification des entreprises : raison sociale, n° SIRET, nom et prénom de la personne à contacter dans l'entreprise, adresse de la société.
  • Destinataire(s) des données :
    • Interne : Agents habilités du site documentaire concerné, pour l'ensemble des données enregistrées dans l'application
    • Externe : Tout public via le réseau interne de l'entreprise, pour la consultation des données bibliographiques et du fond documentaire
    • Transfert : non
  • Durée de conservation : Présence du personnel (agents Cramif). 3 ans + année en cours (mouvements). Épuration tous les 3 ans (personnes ext.). Tous les ouvrages rendus (stagiaires/étudiants). Durée de vie de l'ouvrage dans le centre de documentation (info bilbliographiques)
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, habilitations spécifiques, serveur implanté en salle d'ordinateur sauvegardé conformément à la politique de sécurité mise en place dans l'entreprise.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 27 juillet 2004

LAGON

  • Nom du traitement : LAGON
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Effectuer avec précision et rapidité les examens de santé liés à la vision des salariés, pour le service santé au travail. Enregistrer des données para cliniques issues des examens périodiques de santé prévus à l'article L321-3 du code de la Sécurité sociale, pour des assurés affiliés à la CPAM de Paris, au Centre Médical Stalingrad
  • Secteur d'activité : Direction ressources et relations sociales
  • Données à caractère personnel : Salariés : SST : Identification des salariés : nom, prénom, service, emploi, date de naissance ; Vision : résultats des tests de vision. Assurés : CMS : Identification des assurés : NIR, nom, prénom, adresse ; Données relatives à la santé des assurés : données paracliniques liées aux examens réalisés
  • Destinataire(s) des données :
    • Interne : Personnel habilité du service santé au travail pour les salariés de la Cramif ; Personnel habilité du Centre Médical Stalingrad pour les assurés affiliés à la CPAM de Paris
    • Externe : Personnel habilité de la CPAM de Paris pour les assurés affiliés à la CPAM de Paris
    • Transfert : non
  • Durée de conservation : 5 ans
  • Sous-traitant(s) : non
  • Mesures de sécurité : L’accès aux postes de travail est sécurisé via ARAMIS. Les ordinateurs portables fonctionnent avec login/mot de passe. Le serveur utilisé pour LAGON/CMS est installé en salle informatique et sauvegardé quotidiennement conformément à la politique de sécurité applicable au sein de l’organisme.
  • Droit d'accès : responsable SST pour salariés Cramif ; directeur CMS pour assurés CPAM 75 ; délégué à la protection des données (DPO)
  • Date de mise en œuvre : 26 septembre 2005

Téléphonie sur IP

  • Nom du traitement : Téléphonie sur IP
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion du système de téléphonie
  • Secteur d'activité : Direction des systèmes d'information
  • Données à caractère personnel : Salariés : Nom, prénom, tél, email, direction, service, N° Patrimoine tél, adresse mac du poste, N° appelés (interne vers externe et externe vers interne); Appelants : la totalité du numéro appelé est enregistrée dans le fichier N° téléphones appelants ; poste interne vers externe (la totalité du numéro appelant est enregistrée dans le fichier), poste externe vers poste durée des communications - contenu des fax envoyés et des fax reçus (appelants)
  • Destinataire(s) des données :
    • Interne : ensemble du personnel pour le répertoire entreprise, Direction de branche et responsables de centres d'appels pour les statistiques, administrateurs de la téléphonie pour la gestion des lignes et les statistiques
    • Externe : non
    • Transfert : non
  • Durée de conservation : Identification des personnes dans le répertoire conservation tant que présence dans l'entreprise, puis conservation de 6 mois après le départ du salarié Suppression des fax stockés sur le serveur de fax chaque soir à minuit
  • Sous-traitant(s) : non
  • Mesures de sécurité : Protection des accès physiques aux serveurs, supervisée par une fonction administrateur de réseau. Application de la politique interne de sauvegarde aux serveurs de téléphonie.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 30 août 2005
  • Acte réglementaire pdf - 225.28 Ko

Vidéoprotection - Vidéosurveillance

  • Nom du traitement : Vidéoprotection - Vidéosurveillance
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Assurer la sécurité des personnes et des biens. Assurer la protection incendie et vols dans les bâtiments. Prévenir les actes de terrorisme en renforçant le plan Vigipirate
  • Secteur d'activité : Direction des ressources opérationnelles
  • Données à caractère personnel : Salariés et visiteurs : Images en mouvement des personnes dans le champ des caméras actives
  • Destinataire des données :
    • Interne : Visionnage des images transmises sans enregistrement : personnel du PC Sécurité ; Visionnage et traitement des images enregistrées : responsable de la sécurité et son adjoint, mandataire sécurité et son suppléant, directeur général ou son représentant
    • Externe : Visionnage et traitement des images enregistrées : représentant de l'autorité publique.
    • Transfert : non
  • Durée de conservation : 30 jours sur serveur dédié. En cas de besoin, une copie du DVD gravé peut être conservée 30 jours dans un coffre au PCS conformément à l'autorisation donnée par la Préfecture de Police.
  • Sous-traitant(s) : non
  • Mesures de sécurité : Le PC sécurité et la salle serveur sont accessibles aux seules personnes habilitées.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 2008

SCAPIN

  • Nom du traitement : SCAPIN
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Enregistrement des informations nécessaires à la gestion et au paiement des pensions d'invalidité. Consultation des paiements Invalidité, via Internet : permettre aux assurés bénéficiaires d'une pension d'invalidité, d'accéder à la consultation des versements de leur pension sur le site Internet de la Cramif en remplacement de la consultation de ceux-ci via le minitel
  • Secteur d'activité : Direction relation client et prestation
  • Données à caractère personnel : Assurés : Base SCAPIN : décision Cnam. Identification de l'assuré : numéro de pension, numéro de Sécurité sociale, nom de famille, nom marital (donnée non obligatoire), adresse mail, téléphone. 
  • Destinataire(s) des données :
    • Interne : agents habilités des services gestionnaires
    • Externe : Consultation des paiements : assurés bénéficiaires d'une pension d'invalidité pour leurs propres données ; Service du personnel de la CCIP : (notification et paiement) pour les assurés invalides dont l'employeur est la CCIP
    • Transfert : non
  • Durée de conservation : Base SCAPIN : 5 ans après extinction du dossier ; Consultation 12 derniers paiements sur Internet
  • Sous-traitant(s) : le prestataire ODYSSEY SERVICES. Envoi de SMS pour rappel d'évènement
  • Mesures de sécurité : Mise en place de la sécurité ARAMIS sur les postes de travail des agents de la Cramif. Accès à la base en fonction d'habilitations métiers délivrées dans l'application SCAPIN. Protection des bases de données suivant la politique de sécurité mise en place au sein du centre de traitement informatique (CESTIF). Consultation des paiements : Portail Ameli.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er mars 2009
  • Acte réglementaire pdf - 329.47 Ko

Demande d'intervention au Service social

  • Nom du traitement : Demande d'intervention au Service social
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Etablir un circuit d'échange d'informations entre le département Invalidité et le Service Social Régional de la Cramif, afin de permettre au département Invalidité d'instruire les dossiers de demande de pension invalidité, pour lesquels tous les éléments nécessaires à l'ouverture des droits, n'ont pas été transmis par les assurés concernés. Raccourcir le délai de traitement de l'ouverture des droits à l'Assurance Invalidité, par un contact direct pris par le SSR auprès de l'assuré. Permettre au SSR de détecter des situations à prendre en charge par le service social notamment en terme de maintien dans l'emploi ou de réinsertion professionnelle.
  • Secteur d'activité : Direction relation client et prestations
  • Données à caractère personnel : Assurés : Données transmises au SSR : données d'identification des assurés concernés (nom, prénom, adresse et n° de Sécurité sociale) ; identification CPAM et centre de paiement de rattachement ; n° de dossier invalidité ; catégorie d'invalidité retenue par le service médical d'Île-de-France.
  • Destinataire(s) des données :
    • Interne : Secrétariats invalidité et SSR, assistantes sociales du SSR (destinataires finales des demandes)
    • Externe : non
    • Transfert : non
  • Durée de conservation : 6 mois maximum, par le Service social
  • Sous-traitant(s) : non
  • Mesures de sécurité : Les données relatives aux personnes ne sont accessibles qu'à partir d'un poste de travail dont l'accès est sécurisé via ARAMIS. Pour les échanges le réseau privé RAMAGE de l'Assurance Maladie est utilisé.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 2 mars 2009

Démarche d'évaluation qualitative des offres de service du Service social

  • Nom du traitement : Démarche d'évaluation qualitative des offres de service du Service social
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Apprécier l'impact des interventions du Service social dans le cadre des offres de service mises en place
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Données à caractère personnel : Assurés : Pour le second niveau d'évaluation des programmes nationaux : nom, prénom, adresses des assurés pour l'envoi des questionnaires par les CRAM.
  • Destinataire(s) des données :
    • Interne : /
    • Externe : Les CRAM envoient des questionnaires aux bénéficiaires concernés. Les questionnaires remplis par les bénéficiaires sont adressés directement à la Cnam et centralisés à la DCM de la Cnam. Ces questionnaires ne comportent pas de données nominatives.
    • Transfert : non
  • Durée de conservation : 3 mois pour les documents papiers retournés
  • Sous-traitant(s) : non
  • Mesures de sécurité : Les postes de travail qui accèdents aux fichiers relatifs aux résultats des études sont protégés par la sécurité ARAMIS. Les fichiers, ne sont accessibles qu'aux seuls agents du Projets, Etudes et Prospectives du SSR. Le serveur implanté en salle ordinateur est sauvegardé conformément à la politique de sécurité applicable au sein de l'entreprise.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : avril 2009

Gestion des fournisseurs de biens médicaux

  • Nom du traitement : Gestion des fournisseurs de biens médicaux
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Mise en place d'une application web afin de permettre l'administration des habilitations et conventionnements délivrés par la Cramif aux fournisseurs de biens médicaux et autorisant le remboursement des prestations par l'Assurance Maladie
  • Secteur d'activité : Direction générale déléguée
  • Données à caractère personnel : Entreprises : raison sociale ou nom de l'exploitant, forme juridique, adresse du siège et n° SIRET, adresse des établissements secondaires et n° SIRET, n° de téléphone, adresse courriel ; Responsables juridiques et techniques : nom, prénom, diplômes, n°RPPS (remplace le n° ADELI) ou NNI ; Habilitation et conventionnement du professionnel de santé : attribution du n° FNPS, date de début et de fin, catégorie d'activité, date des contrôles, état d'avancement du dossier, correspondances générées ; Assurés : NNI, nom, prénom, adresse, téléphone, adresse de messagerie, n° de facture ; Agents GRAPA : nom, prénom, n° identifiant enquêteur
  • Destinataire(s) des données :
    • Interne : Personnel habilité du GRAPA : responsable du secteur, contrôleurs assermentés, secrétaires ; Partenaires internes : Agence comptable, centre appareillage, DRSM, ESCAVIE
    • Externe : Service Médical, entreprises concernées, Caisses Primaires d'Assurance Maladie
    • Transfert : non
  • Durée de conservation : 5 ans après la cessation d'activité de l'entreprise pour la gestion des professionnels de santé
  • Sous-traitant(s) : non
  • Mesures de sécurité : Les postes de travail qui accèdent aux fichiers de gestion des fournisseurs de biens médicaux sont protégés par la sécurisé ARAMIS et des habilitations spécifiques. Le serveur implanté en salle ordinateur est sauvegardé conformément à la politique de sécurité applicable au sein de l’organisme.
  • Droit d'accès : Auprès du GRAPA ; Délégué à la Protection des Données 
  • Date de mise en œuvre : 1998

Campagnes de mailing et/ou d'inscriptions à des évènements

  • Nom du traitement : Campagnes de mailing et/ou d'inscriptions à des évènements
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Automatiser les démarches de marketing. Faciliter la recherche d'une audience
  • Secteur d'activité : Direction de la communication
  • Données à caractère personnel : Entreprises, partenaires, fournisseurs : nom, prénom, adresse mail, raison sociale/nom de l'entreprise, fonction, localisation professionnelle, siret, secteur d'activité, effectif, catégorie, numéro risque SE, libellé risque, numéro CTN, complément adresse SE. Salariés : nom, prénom, adresse mail professionnelle, secteur d'appartenance/direction, profession.
  • Destinataire(s) des données :
    • Interne : Direction de la communication
    • Externe : non
    • Transfert : oui
  • Durée de conservation : actualisation régulière et à l'expiration du contrat
  • Sous-traitant(s) : Rocket Science Group
  • Mesures de sécurité : Techniques : le sous-traitant est inscrit sur la liste du Privacy Shield et s'engage ainsi à respecter les exigences du RGPD. Organisationnelles : double opt-in (possibilité de refuser les mails)
  • Droit d'accès : délégué(e) à la protection des données (DPO)
  • Date de mise en œuvre : 2004

Fournisseurs CICAT

  • Nom du traitement : Fournisseurs CICAT
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Enregistrement des fournisseurs en lien avec les activités des Centres d'Information et de Conseil sur les Aides Techniques (CICAT), afin de pouvoir offrir aux personnes en situation de handicap une information indépendante et objective sur les solutions techniques de compensation
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Données à caractère personnel : Personnels fournisseurs : nom, prénom, numéro de téléphone, nom de la société, adresse du service. Équipement : numéro de matériel
  • Destinataire(s) des données :
    • Interne : ergothérapeutes de GUIDE / ESCAVIE
    • Externe : non
    • Transfert : non
  • Durée de conservation : 5 ans maximum après la suppression des références du fournisseur
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, habilitations spécifiques, serveur implanté en salle ordinateur sauvegardé conformément à la politique de sécurité applicable au sein de l'entreprise.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : Janvier 2005
  • Acte réglementaire pdf - 37.39 Ko

Suivi des inscriptions à l'École de Service Social

  • Nom du traitement : Suivi des inscriptions à l'École de Service Social
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Suivi des inscriptions à l'École de Service Social de la Cramif : Concours d'entrée à l'école et publication des résultats (accès au DEASS) ; "PREPA" délivrée par l'École pour préparer aux épreuves de sélection d'entrée des centres de formation en travail social.
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Données à caractère personnel : Élèves : Identification des personnes : nom, prénom, date de naissance, nationalité (française, CEE, autres), adresse, téléphone, adresse mail ; Scolarité et formations : niveau d'études, formations suivies, diplômes obtenus, dates d'obtention ; Vie professionnelle : activités professionnelles, engagements bénévoles, structure accueillante, fonction dans le bénévolat, durée d'engagement, métier visé ; Publication des résultats au concours DEASS : nom, prénom (sous réserve de l'accord du candidat) et décision.
  • Destinataire des données :
    • Interne : secrétariat administratif de l'École
    • Externe : les candidats, les internautes
    • Transfert : non
  • Durée de conservation : 1 an pour le concours au DEASS ; 6 mois pour les inscriptions PREPA.
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, habilitations spécifiques, serveur sauvegardé conformément à la politique de sécurité applicable au sein de l'entreprise.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : janvier 2008

Enquête de satisfaction, enquêtes clients

  • Nom du traitement : Enquête de satisfaction, enquêtes clients
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Évaluer un niveau de satisfaction, réaliser une mesure d'impact, une préparation et/ou un suivi de projet (format papier, numérique ou téléphonique).
  • Secteur d'activité : Direction relation client et prestations
  • Données à caractère personnel : Assurés/Clients : adresse mail, nom, prénom, organisme, service, date d'enquête, date réponse, numéro de téléphone portable ou fixe, adresse postale, profession, prestation concernée par l'enquête, potentiellement toutes les données qui servent l'enquête en cours. Professionnels de santé : adresse mail, nom, prénom, organisme, service, date d'enquête, date réponse, numéro de téléphone portable ou fixe, adresse postale, profession, prestation concernée par l'enquête, potentiellement toutes les données qui servent l'enquête en cours. Contacts employeurs ou partenaires : adresse mail, nom, prénom, téléphone, fonction, adresse postale, prestations et toutes les données qui servent l'enquête en cours.
  • Destinataire(s) des données :
    • Interne : la mission pilotage GRC marketing, services demandeurs internes.
    • Externe : non
    • Transfert : non
  • Durée de conservation : 18 mois : fichier source. 3 ans : résultats de l'enquête. Sous-traitant : données non conservées après transmission des résultats.
  • Sous-traitant(s) : oui. Si besoin, sociétés externes spécialisées dans la réalisation d'enquêtes.
  • Mesures de sécurité : Les postes de travail qui accèdent aux outils NETSURVEY, SURVEY MANAGER, ETHNOS et aux résultats d'enquêtes sont protégés par la sécurité ARAMIS. L'espace réseau, dans lesquels sont implantés les fichiers, n'est accessible qu'aux seuls agents habilités des secteurs demandeurs ou de la mission pilotage GRC marketing. Le serveur implanté en salle ordinateur, est sauvegardé conformément à la politique de sécurité applicable au sein de l'entreprise.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 2007

SUivi des CREances (SUCRE)

  • Nom du traitement : Suivi des créances
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gérer les créances de la notification au recouvrement amiable et contentieux.
  • Secteur d'activité : Direction financière et comptable
  • Données à caractère personnel : Assurés : NIR de l’assuré social, nom, prénom, adresse, n° téléphone, date de décès, n° de la créance DETTES, montant de la créance, état de la créance (en cours de remboursement, en cours sans remboursement, soldée), zone de commentaires et état du suivi.
  • Destinataire(s) des données :
    • Interne : personnel habilité du secteur créances de la Direction Comptable et Financière, personnel habilité du département des affaires juridiques en charge des créances
    • Externe : les assurés pour leurs propres données, la CNAM pour la certification des comptes.
    • Transfert : non
  • Durée de conservation : conservation le temps de la gestion de la créance + 7 ans après que la créance soit soldée.
  • Sous-traitant(s) : non
  • Mesures de sécurité : Techniques : sécurité PASSEPORT. Organisationnelles : habilitations spécifiques.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 2005

Portail DFC - Duplicata Appareillage

  • Nom du traitement : Portail DFC - Duplicata Appareillage
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Edition de duplicata de factures des assurés du centre appareillage en vue de récupération des avances Tiers Payant effectuées par la Cramif.
  • Secteur d'activité : Direction financière et comptable
  • Données à caractère personnel : Assurés : Identification des personnes : NIR, nom et prénom de l'assuré social, nom et prénom du bénéficiaire, date de naissance, lien avec l'assuré. Praticien : Prestation : n° de prescripteur et code spécialité, n° de facture, codification de la prestation. S'il s'agit d'un AT : la date de l'accident et le n° de sinistre. Prescripteur : date de la prescription, acte (codé), date de l'acte, coût, participation organisme de prise en charge, date de la facture. Fournisseur appareillage : nom du fournisseur, n° Siret, N° FNPS. Identification du prestataire : Centre appareillage. Organismes de prise en charge : libellé et code de l'organisme, risque et régime d'appartenance.
  • Destinataire(s) des données :
    • Interne : Personnel habilité en charge du contrôle des créances, oppositions et gestion technique
    • Externe : Caisses Primaires d'Assurance Maladie et mutuelles
    • Transfert : non
  • Durée de conservation : 2 ans + année en cours
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, habilitations spécifiques, serveur implanté en salle ordinateur sauvegardé conformément à la politique de sécurité applicable au sein de l'entreprise.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 2006

Gestion des sollicitations "cramif.fr"

  • Nom du traitement : Gestion des sollicitations "cramif.fr"
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Dans le cadre de l'amélioration du service rendu à nos clients, mise en place d'une procédure de centralisation des sollicitations effectuées via le site Internet de la Cramif par les assurés ou les partenaires, grâce à un accès unique des assurés au service social de la Cramif
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Données à caractère personnel : Assurés : Identification des personnes : NIR, nom, prénom, adresse, téléphone, adresse courriel (Le NIR est collecté sur le formulaire de contact SSR, mais n'est pas exploité dans le tableau de suivi).
  • Destinataire(s) des données :
    • Interne : Service social implanté dans les départements, départements invalidité, amiante, risques professionnels pour les seules demandes qui les concernent
    • Externe : le demandeur est orienté vers le service compétent (demandes d'information sur : relevé de carrière, carte vitale, attestations diverses) ; des Caisses primaires, de la Caisse Nationale d'Assurance Vieillesse, Service Médical ou tout autre organisme ou institution
    • Transfert : non
  • Durée de conservation : 3 mois pour les données d'identification des personnes, les mails reçus et les réponses apportées par le SSR
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, habilitations spécifiques, espace bureautique implanté en salle ordinateur sauvegardé conformément à la politique de sécurité applicable au sein de l'entreprise.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er février 2010

GIRDAT

  • Nom du traitement : GIRDAT
  • Co-responsable(s) de traitement : non
  • Secteur d'activité : Direction régionale risques professionnels
  • Finalité(s) du traitement : Gérer la liste des entreprises autorisées à tenir un registre des AT bénins conformément au décret du 22 octobre 1985. Permettre la consultation de cette liste par les CPAM de la région Île-de-France.
  • Données à caractère personnel : Contacts entreprises : Identification des entreprises : raison sociale, SIRET, adresse, point de livraison (lieu où se situe l'infirmerie voire identification) ; Identification des personnes contacts dans l'entreprise : nom, prénom, fonction exercée dans l'entreprise, horaires de présence, n° téléphone
  • Destinataire(s) des données :
    • Interne : agents habilités du service réparation et de la prévention
    • Externe : agents habilités des CPAM d'Île-de-France pour les seules données d'identification des entreprises et état des autorisations délivrées par la Cramif
    • Transfert : non
  • Durée de conservation : Pas de conservation des contacts lorsque le registre des AT bénins n'est pas autorisé. Pas d'épuration des données "entreprise".
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, utilisation du réseau RAMAGE de l'Assurance Maladie avec les CPAM, habilitations spécifiques, serveurs implantés en salle ordinateur sauvegardés conformément à la politique de sécurité applicable au sein de l'entreprise.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1991

Conventions Contrats

  • Nom du traitement : Conventions Contrats
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion des contrats de prévention signés entre la Cramif et les entreprises qui ont souscrit à une convention nationale d'objectifs qui fixe un programme de prévention spécifique à la branche d'activité dont elle relève
  • Secteur d'activité : Direction régionale risques professionnels
  • Données à caractère personnel : Contacts entreprises : Identification des entreprises : raison sociale, SIRET, adresse de l'établissement ; Identification des personnes : nom du responsable de l'entreprise, données financières : coût du contrat, montants des aides financières allouées par la Cramif en fonction des engagements de l'entreprise. Salariés : nom de l'ingénieur conseil en charge du dossier ;
  • Destinataire(s) des données :
    • Interne : agents habilités de la Prévention, agence comptable Cramif
    • Externe (transmission uniquement de documents papier) : Entreprises pour les données qui les concernent, Direction Régionale des Entreprises, de la Concurrence, de la Consommation, du Travail et de l'Emploi (DIRECCTE), Cnam
    • Transfert : non
  • Durée de conservation : Pas de suppression des données
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, habilitations spécifiques, hébergement des données au CNPI. La politique de sécurité mise en place au CNPI s'applique aux bases de données hébergées. Un contrat d'interface définit les obligations et engagements de chacune des parties.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 2002

Honoraires

  • Nom du traitement : Honoraires
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Produire à l'administration fiscale un fichier magnétique de la déclaration des honoraires réglés aux tiers ou aux administrateurs et comités techniques. Produire aux tiers bénéficiaires la notification des sommes à déclarer aux impôts. Permettre un ajustement manuel plus aisé des comptes relatifs aux honoraires
  • Secteur d'activité : Direction financière et comptable
  • Données à caractère personnel : Tiers ou administrateurs : civilité, nom, prénom, raison sociale, adresse de correspondance, SIRET, profession, adresse de messagerie, n° de facture, date de règlement et montant. Pour les signataires des courriers : N° agent, civilité, nom, prénom, fonction, secteur, adresse de messagerie, téléphone et signature numérisée. Pour les organismes déclarants : N° d'organisme, nom, adresse et SIRET
  • Destinataire(s) des données :
    • Interne : Agents des services de la direction financière et comptable dûment habilités
    • Externe : Administration fiscale, tiers pour ses données propres
    • Transfert : non
  • Durée de conservation : 3 ans
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, habilitations spécifiques, serveur installé en salle informatique et  sauvegardé quotidiennement conformément à la politique de sécurité applicable au sein de l'entreprise.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 15 avril 2009

Système Automatisé de Gestion des Examens de Santé (SAGES)

  • Nom du traitement : Système Automatisé de Gestion des Examens de Santé (SAGES)
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Permettre à la Cramif de réaliser, pour le compte de la CPAM de PARIS, au bénéfice des assurés affiliés à la CPAM de PARIS, les examens de santé prévus par les articles L. 321-3 et R. 321-5 du code de la Sécurité sociale. Transmettre à la CPAM de PARIS les résultats de ces examens
  • Secteur d'activité : centre médical Stalingrad
  • Données à caractère personnel : Suivant déclaration CNIL de la CPAM de Paris
  • Destinataire des données :
    • Interne : /
    • Externe : La CPAM de Paris en tant que Responsable de traitement
    • Transfert : non
  • Durée de conservation : Pas de conservation des données par la Cramif
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, habilitations médecins du centre médical Stalingrad, infirmiers du centre d'examens de santé.
  • Droit d'accès : directeur du centre d'examens de santé ou Directeur en charge du centre d'examens de santé, délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1994
  • Questionnaire examen de santé pdf - 333.48 Ko

GED Cramif

  • Nom du traitement : GED Cramif
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Mettre en œuvre à la Cramif, à travers une solution intégrée, une base documentaire globale, comprenant les documents des métiers de l'entreprise (Assurés, Entreprises...) ainsi que les documents de service. Cette solution est élaborée autour du document numérique, depuis son acquisition jusqu'à sa conservation. Elle doit permettre la distribution et la consultation des documents par les utilisateurs dans leur activité habituelle. Les courriers portant sur l'enveloppe la mention "confidentiel" ou "personnel", ceux à destination des IRP, du Conseil d'Administration, du Conseil de discipline, de la santé au travail et de l'assistante sociale du personnel ne font pas l'objet d'une intégration dans la GED. D'autres documents d'ordre conventionnel, financier ou préalablement définis comme confidentiels ne font pas l'objet d'une intégration dans la GED
  • Secteur d'activité : Direction des ressources opérationnelles
  • Données à caractère personnel : Salariés : Utilisateurs de la GED : nom, prénom, n° agent, service d'appartenance, profil utilisateur. Clients (assurés, professionnel de santé, employeur, fournisseurs) : Données entrées dans le traitement par la GED : identification des personnes, des entreprises : NIR, n°identification, nom, prénom, adresse, téléphone, adresse mail, raison sociale, profession. Autres données potentielles issues des correspondances : situation financière, situation sociale, situation familiale, état de santé (hors dossier médical). Constitution de dossier clients (assurés, professionnel de santé, employeur, fournisseurs) comprenant l'ensemble des pièces nécessaires au métier et indexées par type document
  • Destinataire(s) des données :
    • Interne : Le traitement des documents dans le cadre de la GED ne modifie pas les règles d'habilitation pour l'accès aux informations. Les documents sont accessibles aux métiers concernés en fonction de leur habilitation
    • Externe : non
    • Transfert : non
  • Durée de conservation : Purge automatique des documents archivés en fonction de la durée de vie définie par chaque secteur
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, profils utilisateurs gérés par l'administrateur GED dans le système GED.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : janvier 2011

Container des Données et Paiements Invalidité (CDPI)

  • Nom du traitement : Container des Données et Paiements Invalidité (CDPI)
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Permettre de visualiser dans sa totalité le paiement effectif à l'assuré invalide (paiement, retenues, virement banque). Permettre aux assurés de consulter les données essentielles de leur dossier (télé service compte AMELI) Permettre aux partenaires internes et externes d'optimiser la relation client (visualisation du dossier).
  • Secteur d'activité : Direction relation client et prestations
  • Données à caractère personnel : Assuré : nom, prénom, NIR, adresse, RIB, montants payés, informations sur le calcul de la mensualité. Agent : nom, prénom, numéro agent, connexions, organisme, profil
  • Destinataire(s) des données :
    • Interne : secteur de la relation client, service prestations, service social, médiation, secteur contrôle DCF
    • Externe : service médical, techniciens prestations des caisses primaires, assurés pour leurs propres données
    • Transfert : non
  • Durée de conservation : 5 ans
  • Sous-traitant(s) : non
  • Mesures de sécurité : Techniques : sécurisations internes, échanges sécurisés avec la Cnam Organisationnelles : habilitations spécifiques
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : janvier 2011

VISIODENT

  • Nom du traitement : VISIODENT
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion administrative du centre dentaire implanté au sein du Centre Médical Stalingrad. Gestion du dossier dentaire personnel informatisé intégrant les flux d'imagerie (panoramique dentaire...) et le suivi du plan de traitement.
  • Secteur d'activité : Centre Médical Stalingrad
  • Données à caractère personnel : Salariés : Personnel du centre dentaire : nom, prénom, métier ; Assurés : Patient (données issues de Sésame Vitale et saisies manuelles) : NIR, nom, prénom, date de naissance, âge, téléphone, adresse, adresse mail, profession, médecin traitant, dates des première et dernière visites, qualité assuré ou identité du payeur ; Dossier médical dentaire : bilan médical, contre indications médicamenteuses, plan de traitement (devis, réalisations des actes et ordonnances)
  • Destinataire(s) des données :
    • Interne : Personnel médical du centre dentaire (chirurgiens dentistes et assistantes dentaires) pour l'ensemble des dossiers patients du dentaire
    • Externe : non
    • Transfert : non
  • Durée de conservation : cinq ans à compter de la dernière intervention sur le dossier du patient conformément aux recommandations de la CNIL, puis archivage.
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS pour les chirurgiens-dentistes et assistants dentaires, serveur installé en salle informatique et sauvegardé quotidiennement conformément à la politique de sécurité applicable au sein de l'organisme.
  • Droit d'accès : directeur du centre médical Stalingrad ; délégué à la protection des données (DPO)
  • Date de mise en œuvre : mai 2011
  • Affiche pdf - 2.04 Mo

HIPPOCAMP - HIPPOCPAM

  • Nom du traitement : HIPPOCAMP - HIPPOCPAM
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Mise à disposition des données d'analyse et de classement des maladies professionnelles concernant les employeurs situés en Île-de-France, tant en interne que pour les Caisses primaires de la Région parisienne
  • Secteur d'activité : Direction régionale risques professionnels
  • Données à caractère personnel : Assurés : Identification des personnes : nom, prénom, NIR ; Maladie Professionnelle : codification MP et nuisances métiers ; Entreprises : n° SIRET, raison sociale, adresse.
  • Destinataire(s) des données :
    • Interne : Les agents de la DST et SIP (conseillers médicaux, ingénieurs conseils et contrôleurs de sécurité) et les agents du service réparation
    • Externe : Les agents habilités par les CPAM dans le cadre de leur fonction en lien avec la reconnaissance des Maladies Professionnelles
    • Transfert : non
  • Durée de conservation : 5 ans + l'année en cours (6 ans)
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, serveur implanté en salle ordinateur sauvegardé conformément à la politique de sécurité applicable au sein de l'entreprise.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 2001
  • Acte réglementaire pdf - 54.24 Ko

Gestion des dossiers faute inexcusable de l'employeur

  • Nom du traitement : Gestion des dossiers faute inexcusable de l'employeur
  • Secteur d'activité : Direction régionale risques professionnels
  • Co-responsable(s) de traitement : OUI. Caisse Primaire d'Assurance Maladie
  • Finalité(s) du traitement : Permettre de communiquer aux assurés le rapport d'enquête réalisé par le service prévention de la Cramif (article L 455-3 du code de la Sécurité sociale).
  • Données à caractère personnel : Assuré : prénom de l'assuré, NIR, données relatives à l'AT ou à la MP (dossier descriptif des circonstances : causes, enquête, document de déclaration de l'AT ou de la MP). Contact entreprise : nom, prénom, raison sociale, SIRET, adresse, descriptif des circonstances de l'AT ou de la MP.
  • Destinataire(s) des données :
    • Interne : agents du service reconnaissance et du service prévention
    • Externe : assuré ou ayant droit pour ses propres données, CPAM pour les données de son assuré
    • Transfert : non
  • Durée de conservation : mise en place à compter du 1er janvier 2019 d'une épuration des données du dossier informatisé tous les 5 ans (informations nominatives). 5 ans pour le dossier papier.
  • Sous-traitant(s) : non
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 2009
  • Mesures de sécurité : Sécurité ARAMIS sur les postes de travail. L'espace bureautique n'est accessible qu'aux seuls agents du département reconnaissance habilités. Les serveurs implantés en salle ordinateur, sont sauvegardés conformément à la politique de sécurité applicable au sein de l'entreprise. Les dossiers papier sont conservés dans des armoires fermées.

Suivi des paiements

  • Nom du traitement : Suivi des paiements
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Suivre l'ensemble des paiements France assurés par le partenaire financier la "Caisse des Dépôts et Consignations" pour le compte de la Cramif et de la DRSMIF
  • Secteur d'activité : Direction financière et comptable
  • Données à caractère personnel : Assurés : Bénéficiaires des paiements : nom, prénom, coordonnées bancaires, date, nature et montant du règlement ; Salariés : Agents utilisateurs de la DFC : nom, prénom, n° d'agent et service de rattachement ; Émetteur des paiements (Cramif ou DRSMIF) : nom de l'émetteur, coordonnées bancaires et références de paiement
  • Destinataire(s) des données :
    • Interne : Agents de la direction financière et comptable dûment habilités
    • Externe : /
    • Transfert : non
  • Durée de conservation : Année en cours + 2 ans
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, habilitations spécifiques.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : juin 2011

Gestion des fournisseurs et traitement des achats

  • Nom du traitement : Gestion des fournisseurs et traitement des achats
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Effectuer les opérations administratives liées aux contrats, aux commandes, aux réceptions, aux factures, aux règlements, à la comptabilité pour ce qui a trait à la gestion des comptes fournisseurs ; Éditer les titres de paiement (traites, LCR, chèques, billets à ordre) ; Établir des statistiques financières et de chiffre d'affaires par fournisseur ; Fournir des sélections de fournisseurs pour les besoins de l'entreprise ou de l'organisme ; Entretenir une documentation sur les fournisseurs. Aucune donnée n'est réutilisée à des fins de prospection commerciale
  • Secteur d'activité : Direction des ressources opérationnelles
  • Données à caractère personnel : Fournisseurs, contacts entreprises : identité : nom ou raison sociale, prénoms, adresse (siège social, lieu de facturation), code d'identification comptable, téléphone, fax, adresse de courrier électronique, numéro SIREN ; vie professionnelle : profession, catégorie économique, activité.
  • Destinataire des données :
    • Interne : les agents habilités du secteur métier et du contrôle de la Direction financière et comptable
    • Externe : les personnes chargées du contrôle des organismes publics ; les entreprises extérieures liées contractuellement pour l’exécution du marché ; les organismes publics, exclusivement pour répondre aux obligations légales ; les auxiliaires de justice et les officiers ministériels dans le cadre de leur mission de recouvrement de créances ; les organismes financiers teneurs des comptes mouvementés
    • Transfert : non
  • Durée de conservation : Conformément aux dispositions légales.
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, habilitations spécifiques, serveurs implantés en salle informatique sauvegardés conformément à la politique de sécurité applicable au sein de l'entreprise.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1995
  • Acte réglementaire pdf - 37.39 Ko

Dématérialisation des marchés 

  • Nom du traitement :Dématérialisation des marchés
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Dans le cadre de l'application de la législation relative aux marchés publics sont mis en place des traitements nécessaires à : la publication, la transmission et la mise à disposition par voie électronique des documents relatifs aux offres de marchés publics réalisées par la Cramif, organisme soumis au code des marchés publics.
  • Secteur d'activité : Direction des ressources opérationnelles
  • Données à caractère personnel : Salariés : nom, prénom, adresse professionnelle, fonctions, numéro de téléphone et de télécopie, adresse de courrier électronique. Contacts entreprises : nom, prénom, adresse professionnelle, fonctions, numéros de téléphone et de télécopie, adresse de courrier électronique et, le cas échéant, le certificat électronique et les éléments de signature de la ou des personne(s) répondant à une offre de marché public.
  •  Destinataire(s) des données :
    • Interne : les agents du secteur métier et du Contrôle de la Direction Financière et Comptable habilités
    • Externe : les personnes morales de droit privé ou de droit public ou les personnes privées auxquelles sont destinées ces offres, à l’exclusion des données relatives aux autres personnes répondant à des offres de marchés publics ; les organismes publics, exclusivement pour répondre aux obligations légales
    • Transfert : non
  • Durée de conservation : Durée nécessaire à la passation du marché public, puis archivage conformément aux délais de prescription légaux applicables aux documents des dossiers de marchés publics. 
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, habilitations spécifiques, serveurs implantés en salle informatique sauvegardés conformément à la politique de sécurité applicable au sein de l’entreprise. La sécurité des données enregistrées sur les plateformes institutionnelles est assurée par les organismes responsables de leur gestion (CTI institutionnels).
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 30 janvier 2005
  • Acte réglementaire pdf - 41.31 Ko

FORM@WAY Gestion et suivi des formations dispensées à l'École de Service Social

  • Nom du traitement : FORM@WAY Gestion et suivi des formations dispensées à l'École de Service Social
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Mettre en place un outil informatique commun à l'ensemble des agents de l'École pour faciliter la gestion et le suivi des formations proposées. 
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie 
  • Données à caractère personnel : Stagiaires : nom, prénom, adresse, date et lieu de naissance, téléphone, email, photo ; Formateurs : nom, prénom, adresse, date et lieu de naissance, téléphone, email, photo ; Scolarité : diplômes, parcours professionnel et scolaire, planning formation, présences, absences, évaluations, résultats d'examen, durée de la formation, type de formation, bilans, notes ; Clients / Organismes : Siret, raison sociale, adresse, contacts téléphone, emails ; Données financières : coûts des formations, type de financement.
  • Destinataire(s) des données :
    • Interne : les agents habilités de l'École de Service Social
    • Externe : Les personnes et organismes liés par contrat ou convention à l'École de Service Social, pour les seules données liées à ces contrats ou conventions ; Les données de sortie de l'application (lettre, conventions, devis, factures...) sont possible au format PDF, bureautique et/ou papier. Les documents sont ensuite transmis aux contacts (utilisateur final)
    • Transfert : non
  • Durée de conservation : Maximum 10 ans.
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, habilitations spécifiques.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : septembre 2011

Gestion Suivi Clientèle - GSC

  • Nom du traitement : Gestion Suivi Clientèle - GSC
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Module de gestion et de suivi des signalements et des contacts entre le Service social de la Cramif et les personnes qui sont en relation avec lui afin d'assurer une meilleure qualité de réponse et de traitement aux assurés suivis par le Service social. Établissement de statistiques et suivi de l'activité du Service Social Régional.
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Données à caractère personnel : Assurés : nom, prénom, sexe, date de naissance, NIR, qualité (ouvrant-droit, ayant-droit), adresse (digicode), téléphone, courriel, avantages (ex : N° Caf...) ; Dossier de suivi : motifs des signalements, demandes d'intervention et d'évaluation, contacts clientèle (messages internes), RDV et séances ; Salariés : nom, prénom (affichage)
  • Destinataire(s) des données :
    • Interne : personnes habilitées du Service Social Régional
    • Externe : assurés pour leurs propres données
    • Transfert : non
  • Durée de conservation : 6 mois si non réponse de l'assuré, 6 mois après la clôture du dossier dans ANAISS, Suppression immédiate possible sur demande de l'assuré.
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, habilitations spécifiques, application de la politique de sécurité applicable au sein du réseau vieillesse.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 16 septembre 2011

MEDIALOG+

  • Nom du traitement : MEDIALOG+
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Dans le but d'améliorer la qualité de services rendus au public, améliorer la gestion de la relation avec les bénéficiaires de l'assurance maladie, les professionnels de santé, les établissements de soins, la Cnam a déployé un outil de la relation client MEDIALOG + destiné aux agents de l'assurance maladie en relation directe avec le public. L'accès est autorisé aux agents du département invalidité, du Service Social Régional et du centre appareillage, afin d'assurer une prise en charge complète et maitrisée des demandes de ses publics par la traçabilité des contacts.
  • Secteur d'activité : Direction relation client et prestations
  • Données à caractère personnel : Celles indiquées dans l'engagement de conformité Cnam du 19 novembre 2015 dans le respect du décret n°2015-390 du 3 avril 2015
  • Destinataire(s) des données :
    • Interne : les agents habilités des secteurs métier
    • Externe : les agents habilités de l'Assurance Maladie
    • Transfert : non
  • Durée de conservation : article 5 de l'engagement de conformité Cnam du 19 novembre 2015 dans le respect du décret n°2015-390 du 3 avril 2015.
  • Sous-traitant(s) : non
  • Mesures de sécurité : l’accès à MEDIALOG s’effectue via le réseau RAMAGE. Mise en place des sécurités ARAMIS : déclaration du service et des systèmes liés à l’outil, déclaration des agents Cramif ayant en charge le processus invalidité, le processus Accompagnement Social et le processus appareillage. 
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 14 novembre 2011
  • Actes réglementaires Medialog pdf - 70.37 KoEngagement de conformité pdf - 1.57 Mo

LM2A - Automatisation des Liaisons Médico Administratives

  • Nom du traitement : LM2A - Automatisation des Liaisons Médico Administratives
  • Co-responsable(s) de traitement : Service Médical
  • Finalité(s) du traitement : Pour le traitement de la prestation invalidité par la Cramif : organisation de la transmission dématérialisée des échanges entre le Service Médical et le département invalidité
  • Secteur d'activité : Direction relation client et prestations
  • Données à caractère personnel : Assurés : Identifiant du bénéficiaire : nom et prénom, date de naissance, rang de naissance, adresse de l'assuré ou du bénéficiaire ; taux d'invalidité permanente ; texte libre saisi par les utilisateurs. Ces messages ne doivent pas comporter d'informations de nature médicale ; Lien vers la pièce justificative dématérialisée. Salariés : Identification de l'agent : numéro d'agent ; Avis du service médical : avis sur la prestation identification de l'agent signataire, numéro de la liaison médico administrative, date d'envoi ; Identification de l'unité de travail (UGE), n° de message. 
  • Destinataire des données :
    • Interne : Agents du département invalidité en fonction de leurs habilitations. Manageurs du département invalidité et du contrôle médical en fonction de leurs habilitations
    • Externe : Agents du service du contrôle médical en fonction de leurs habilitations. Manageurs du service du contrôle médical en fonction de leurs habilitations
    • Transfert : non
  • Durée de conservation : Jusqu'à l'âge légal de départ à la retraite du pensionné ou du bénéficiaire de la réversion, ou jusqu'à 65 ans pour raison d'activité professionnelle
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS et habilitations spécifiques pour les droits d'accès dans l'application SCAPIN.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er janvier 2013

DIADEME + Sous-traitement SPIDI

  • Nom du traitement : DIADEME + Sous-traitement SPIDI
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion électronique des documents papier, reçus par la Cramif, dans le cadre du traitement et de l'attribution d'une pension d'invalidité, avec priorisation des données et constitution d'un échéancier permettant de s'assurer du service rendu.
  • Secteur d'activité : Direction relation client et prestations
  • Données à caractère personnel : Salariés : Identification de l'organisme : code organisme ; Identification des agents de la Cramif : n° agent. Assurés : Ensemble des données relatives aux assurés et aux CPAM de rattachement telles que décrites dans la déclaration nationale SCAPIN. Ensemble des données statistiques liées au traitement individuel des demandes DIADEME et SPIDI
  • Destinataire(s) des données :
    • Interne : Service du Courrier Général, SSR, Département des Affaires Juridiques, Département Invalidité et Direction Financière et Comptable
    • Externe : non
    • Transfert : non
  • Durée de conservation : DIADEME : selon le dispositif national SPIDI : 2 ans de conservation avec système d'épuration automatique
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, habilitations spécifiques.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 8 avril 2013
  • Actes réglementaires Conformité pdf - 164.24 Ko, Décision RFI pdf - 329.47 Ko, DIADEME pdf - 376.91 Ko

Gestion des événements

  • Nom du traitement : Gestion des événements
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion des événements organisés auprès des entreprises de la région, des bénéficiaires et organisation des rencontres.
  • Secteur d'activité : Direction régionale des risques professionnels
  • Données à caractère personnel : Assurés ou Contacts entreprises : Identification des personnes : civilité, nom, prénom, fonction, courriel, téléphone, fax ; Identification des organismes : SIREN, raison sociale, adresse.
  • Destinataire(s) des données :
    • Interne : services Tarification et Prévention de la Cramif pour tous les événements
    • Externe : CPAM partenaires d'Île-de-France, Cnam et DIRECCTE (Directions Régionales des Entreprises, de la Concurrence, de la Consommation, du Travail et de l'Emploi) pour les Matinées Employeurs uniquement
    • Transfert : non
  • Durée de conservation : 5 ans conformément aux instructions de la Cnam
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS, habilitations spécifiques.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : septembre 2013

Gestion des signalements de fraudes et anomalies

  • Nom du traitement : Gestion des signalements de fraudes et anomalies
  • Co-responsable(s) de traitement : Cnam
  • Finalité(s) du traitement : Intégrer dans un outil national (OG3S) les signalements de fraudes et d'anomalies y compris pour les suites contentieuses. Formaliser le suivi de la procédure relative aux fraudes internes
  • Secteur d'activité : Département des affaires juridiques
  • Données à caractère personnel : Auteur du signalement : identité, éléments concrets remontés sur la fraude ou le signalement Auteur présumé : identité, coordonnées personnelles, suivi des actions contentieuses menées Professionnels de santé, établissements, fournisseurs, prestataires de service : numéro d'identification, catégorie, spécialité, raison sociale, adresse, numéro SIRET, suivi des actions contentieuses menées.
  • Destinataire(s) des données :
    • Interne : enquêteurs, juristes chargés de la répression des fraudes, responsable du secteur répression des fraudes, responsable des affaires juridiques, directeur du pilotage, responsable de la lutte contre la fraude (département de la GDR), directeur général, directeur comptable et financier
    • Externe : directeur coordonnateur de la gestion du risque, directeur de la lutte contre la fraude, agent de direction de la cellule MNC, chargés de mission cellule MNC, direction du contrôle contentieux et de la répression des fraudes (DCCRF), direction déléguée aux opérations (DDO) pour les données de synthèse et directeur comptable et financier de la Cnam
    • Transfert : non
  • Durée de conservation : 5 ans à compter de la date de clôture du dossier ou de la date d’extinction du délai légal de la dernière possibilité contentieuse
  • Sous-traitant(s) : non
  • Mesures de sécurité : Techniques : dossier central de sécurité réalisé par la MOAD CNAMTS Organisationnelles : habilitations spécifiques, sécurisations spéciales pour les documents "papier".
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : juin 2013
  • Acte réglementaire pdf - 45.97 Ko

Observatoire Régional Francilien des situations de fragilité

  • Nom du traitement : Observatoire Régional Francilien des situations de fragilité
  • Co-responsable(s) de traitement : Caisse Nationale d'Assurance Vieillesse
  • Finalité(s) du traitement : Mettre en place un repérage des situations de fragilité sur le territoire afin de proposer une offre globale d'accompagnement dans le cadre des programmes locaux et nationaux. Mettre à disposition de la Cramif, de la CNAV et acteurs sociaux concernés, des données socio-économiques et institutionnelles pertinentes afin de travailler à la mise en place d'offres de service (individuelles, collectives...) adaptées aux publics potentiels
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Données à caractère personnel : Assurés : Fichiers anonymisés permettant d'établir des catégories de population à partir de données : - Géographiques : département/commune (code postal) - Economiques : prestations perçues (minimas sociaux, retraité, montant IJ, catégorie pension d'invalidité) demandeur d'emploi, salarié - Administratives : sexe (H/F), âge - Sanitaires : autonomie (grille AGGIR), invalidité, handicap, médecin traitant, hospitalisation, maladie (IJ) - Sociales : situation familiale (isolé, nb personnes à charge), assurance sociale, complémentaire santé, conditions de vie (habitat individuel, collectivité) Cartographie des situations de fragilité en région Île-de-France
  • Destinataire(s) des données :
    • Interne : Agents habilités de la Cramif en charge du traitement des situations de fragilité
    • Externe : Agents habilités de la CNAV en charge du traitement des situations de fragilité
    • Transfert : non
  • Durée de conservation : Les données issues des requêtes sont conservées 18 mois
  • Sous-traitant(s) : non
  • Mesures de sécurité : seuls les utilisateurs habilités (membres des groupes projet) ont accès aux données
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : janvier 2013

CHORUS

  • Nom du traitement : CHORUS
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion automatisée du dossier médical patient au Centre Médical Stalingrad.
  • Secteur d'activité : Centre Médical Stalingrad
  • Données à caractère personnel :Patients : Données de santé : données médicales recueillies par les médecins du CMS, diagnostics, prescriptions ; Connaissance du patient : sexe, nom patronymique, nom marital, prénoms, date de naissance, âge, profession, numéro permanent (IPP), numéro de dossier local, adresse, numéros de téléphone, adresse mail, alerte anniversaire, membres de la même famille, mode de prise en charge (service de soins infirmiers à domicile, hospitalisation à domicile, tutelle...), consentement du patient. Professionnels de santé : nom prénom du praticien, spécialité ; Gestion des consultations : date et heure de la consultation ; Traçabilité : date et heure d'accès aux documents
  • Destinataire(s) des données :
    • interne : Les professionnels de santé du CMS ; La direction du Centre pour les données d'administration et de pilotage
    • Externe : Le patient pour ses données propres, auprès du médecin responsable de l'information médicale par l'intermédiaire du praticien ayant constitué le dossier ; International Cross Talk (ICT) : hébergement du dossier médical numérique
    • Transfert : non
  • Durée de conservation : 5 ans après le dernier passage puis archivage
  • Sous-traitant(s) : International Cross Talk (ICT). Hébergement du dossier médical numérique. 
  • Mesures de sécurité : Document Central de Sécurité  réalisé.  PMF aux normes Cnam/Cramif sécurisés Aramis. 
  • Droit d'accès : délégué à la protection des données (DPO), médecins du centre
  • Date de mise en œuvre : 1er septembre 2013

Sécurisation des Accès au Bâtiment Flandre

  • Nom du traitement : Sécurisation des Accès au Bâtiment Flandre
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Mise en place du contrôle d'accès physique dans le cadre de la politique de sécurisation du bâtiment
  • Secteur d'activité : Direction des ressources opérationnelles
  • Données à caractère personnel : Salariés et visiteurs :Identification des personnes : nom, prénom, n° agent, n° du badge, difficulté de déplacement (avec accord de la personne concernée). Vie professionnelle : organisme d'appartenance, zone de passages autorisées, plages horaires autorisées, heures et dates de passages statistiques anonymes sur 7 jours.
  • Destinataire(s) des données :
    • Interne : Personnel du PCS, sur demande le MSSI et agents de direction pour les données statistiques
    • Externe : non
    • Transfert : non
  • Durée de conservation : 7 jours, puis destruction. Les données relatives aux personnes : présence du personnel à la Cramif, à la DRSMIF et dans les établissements partenaires du restaurant
  • Sous-traitant(s) : non
  • Mesures de sécurité: Gestion par le PC de Sécurité et sécurités ARAMIS. 
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 27 janvier 2014

DAL Gestion Des Accès aux Locaux

  • Nom du traitement : GDAL Gestion Des Accès aux Locaux
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Mise en conformité avec la PSSI, en traçant dans un outil web les entrées et sorties des locaux Cramif et DRSMIF pour le bâtiment Flandre
  • Secteur d'activité : Direction des ressources opérationnelles
  • Données à caractère personnel : Salariés et visiteurs :Identification des personnes : nom, prénom, n° agent, coordonnées de l'agent visité (téléphone et email), liste des visiteurs (nom, prénom, organisme / société d'appartenance, marque et immatriculation du véhicule). Gestion des visites : date prévue de visite, motif de la visite, lieu de rendez-vous, date et heure d'arrivée des visiteurs, justificatif d'identité, numéro de badge remis, objet prêté (clé, lampe...), date et heure de départ des visiteurs, date et heure de restitution des prêts (badge, objet) et des justificatifs d'identité. Statistiques anonymes
  • Destinataire(s) des données :
    • Interne : PCS et agent d'accueil pour l'ensemble des informations ; Agent qui effectue la demande pour les informations qu'il saisit et les demandes pour lesquelles il est associé
    • Externe : non
    • Transfert : non
  • Durée de conservation : 6 mois glissant
  • Sous-traitant(s) : non
  • Mesures de sécurité: Sécurité ARAMIS et habilitations spécifiques. 
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 27 janvier 2014

IFI (Incitations Financières)

  • Nom du traitement : IFI (Incitations FInancières)
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion des incitations financières dans le domaine de la Prévention des Risques Professionnels. 
  • Secteur d'activité : Direction régionale risques professionnels
  • Données à caractère personnel : Contacts en entreprise : Identification des contacts en entreprise : nom, prénom, civilité, fonction, courriel, téléphone. SIRET/SIREN, raison sociale, effectif, adresse. Salariés : Identification des agents : n° agent, nom, prénom, téléphone, courriel, historique des actions effectuées sur les budgets et les demandes d'aides.
  • Destinataire(s) des données :
    • Interne : Agents habilités des risques professionnels de la Cramif
    • Externe : Agents habilités de la Cnam. Programmes de prévention et entreprises subventionnées pour les agents habilités des risques professionnels des Carsat
    • Transfert : non
  • Durée de conservation : 10 ans
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS et mise en place de deux niveaux de sécurité pour l’accès, habilitations spécifiques.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 24 septembre 2013

TALENTSOFT

  • Nom du traitement : TALENTSOFT
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion du processus de recrutement
  • Secteur d'activité : Direction ressources et relations sociales
  • Données à caractère personnel : Salariés ou candidats externes : Identification des personnes : civilité, nom, prénom, date de naissance, reconnaissance travailleur handicapé (facultatif), adresse, téléphone, mail Vie scolaire et professionnelle : scolarité et diplômes, langue, niveau de langue, CV, lettre de motivation, emploi recherché, type de contrat, expérience professionnelle, mobilité institutionnelle, emploi déjà exercé au sein de l'institution, actuellement en poste, disponibilité, préavis, salaire Identifiant, mot de passe. Entreprise : Offres d'emploi
  • Destinataire(s) des données :
    • Interne : Personnel habilité de la GPEEC, des directions adjointes, de la DRRS et du Budget
    • Externe : les candidats pour les informations les concernant. TALENTSOFT : hébergement des données.
    • Transfert : non
  • Durée de conservation : 2 ans pour les données des candidats
  • Sous-traitant(s) : TALENTSOFT. Hébergement des données. 
  • Mesures de sécurité : l’identification dans Talentsoft se fait uniquement par login et mot de passe. Le stockage du mot de passe sur le serveur est crypté. Talentsoft garantit par contrat, que l’hébergement et les sauvegardes sont et resteront situés en Europe pour tous les clients Européens.
  • Droit d'accès : délégué à la protection des données (DPO) (le candidat peut faire sa demande directement dans l’application).
  • Date de mise en œuvre : 2 juin 2014

Gestion des Prestations de Grand Appareillage en Île-de-France

  • Nom du traitement : Gestion des Prestations de Grand Appareillage en Île-de-France
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Optimiser les circuits de gestion du Grand Appareillage en adoptant les outils nationaux et renforcer l'expertise régionale Cramif en matière d'appareillage
  • Secteur d'activité : Direction relation client et prestations
  • Données à caractère personnel : Suivant décisions de la Cnam
  • Destinataire(s) des données :
    • Interne : agents habilités du service administratif Appareillage, du GRAPA et du contrôle de l'agence comptable
    • Externe : les fournisseurs d'appareillage
    • Transfert : non
  • Durée de conservation : Suivant décision nationale
  • Sous-traitant(s) : non
  • Mesures de sécurité : Les dispositifs de sécurité des serveurs nationaux sont gérés directement par les CTI dans lesquels sont implantées les applications nationales et les bases de données. Sécurités ARAMIS et habilitations spécifiques. 
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 3 mars 2014

Points d'Accès à Internet sans fil

  • Nom du traitement : Points d'Accès à Internet sans fil
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Permettre aux agents de la Cramif et de la DRSMIF de se connecter au système d'information avec un ordinateur portable. Permettre à des utilisateurs externes à la Cramif et à la DRSMIF d'accéder à Internet depuis un périphérique sans fil (ordinateur portable, smartphone, tablette...).
  • Secteur d'activité : Direction des systèmes d'information
  • Données à caractère personnel : Salariés Cramif et DRSMIF et visiteurs : Données de connexion à Internet : adresses IP et Mac du matériel utilisé pour la connexion, type de matériel, lieu de connexion, date et heure de connexion, durée de connexion, adresses des sites visités (hors contenu).
  • Destinataire(s) des données :
    • Interne : Administrateur DSI de la solution
    • Externe : non
    • Transfert : non
  • Durée de conservation : 1 an pour les visiteurs et salariés utilisant un équipement personnel ; 6 mois pour les salariés utilisant un équipement professionnel
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er octobre 2014

GDT : Gestion Des Tournées

  • Nom du traitement : GDT : Gestion Des Tournées
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion des demandes d'enquêtes des services techniques de la tarification des risques professionnels. Création des missions à effectuer par le service inspection. Enregistrement des rapports d'enquêtes rédigés par les inspecteurs chargés des visites en entreprise.
  • Secteur d'activité : Direction régionale risques professionnels
  • Données à caractère personnel : Salariés : Identification des agents : nom, prénom. Contacts entreprises : Identification des contacts professionnels : nom, prénom, fonction dans l'entreprise ; Gestion des enquêtes : zone géographique d'intervention par inspecteur, SIREN de l'entreprise, adresse des établissements visités, date de la demande, date de la prise en charge, date du rapport final.
  • Destinataire(s) des données :
    • Interne : Agents habilités du service Tarification
    • Externe : non
    • Transfert : non
  • Durée de conservation : 5 ans + l'année en cours
  • Sous-traitant(s) : non
  • Mesures de sécurité : ARAMIS et habilitations spécifiques dans l'application.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : décembre 2014

GAIA (Gestion des Actions et Interventions en faveur des Assurés)

  • Nom du traitement : GAIA (Gestion des Actions et Interventions en faveur des Assurés)
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion et suivi des actions collectives et individuelles menées au bénéfice des assurés aidés par le Service social
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Données à caractère personnel : Assurés : Identification des assurés : nom, prénom, adresse, téléphone. Partenaires : Identification des partenaires : raison sociale, nom, prénom, adresse, fonction, téléphone. Salariés : Identification des agents : nom prénom
  • Destinataire(s) des données :
    • Interne : les agents habilités du secteur métier
    • Externe : Cnam pour les données statistiques anonymes
    • Transfert : non
  • Durée de conservation : 18 mois après la clôture du dossier par l'assistant de service social
  • Sous-traitant(s) : non
  • Mesures de sécurité : Chaque organisme ne peut accéder qu’à sa seule partition. GAIA est une application Web sécurisée qui nécessite des habilitations Access Master en fonction du niveau de responsabilité des utilisateurs. Les politiques de sécurité mises en place au sein de l’assurance maladie et de l’assurance vieillesse s’appliquent aux bases de données nationales hébergées au CNPI de Lyon. Traçabilité des enregistrements.  
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 7 janvier 2015
  • Acte réglementaire pdf - 1.05 Mo

DOCCES - Base qualité du Centre d'Examens de Santé

  • Nom du traitement : DOCCES - Base qualité du Centre d'Examens de Santé
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion de la documentation qualité du Centre d'Examens de Santé de la Cramif
  • Secteur d'activité : Centre médical Stalingrad
  • Données à caractère personnel : Salariés : Identification des agents des CES : nom, prénom, fonction, lieu d'exercice, adresse mail, téléphone. Vie professionnelle des agents du CES Maroc : formations suivies et tutorats. Suivi des réclamations et des non-conformités. Fournisseurs : nom de la société, identité de l'intervenant, adresse, téléphone, mail, prestations, évaluation de la prestation. Traçabilité des enregistrements : numéro agent, date.
  • Destinataire(s) des données :
    • Interne : Personnel du CES, Direction
    • Externe : non
    • Transfert : non
  • Durée de conservation : Validité du document qualité puis archivage. Année en cours pour les documents annuels puis archivage. Suppression après 3 ans.
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS et habilitations spécifiques  
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er mars 2015

PORTAIL O2

  • Nom du traitement : PORTAIL O2
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Accéder aux outils utilisés pour la gestion de l'observatoire des fragilités via un portail unique, accessible aux organismes de la branche vieillesse partenaires de la Cramif
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Données à caractère personnel : Salariés : Identification des personnes : nom, prénom, adresse mail, organisme d'appartenance, numéro d'identification
  • Destinataire(s) des données :
    • Interne : Administrateurs
    • Externe : Administrateurs des organismes partenaires et utilisateurs pour leurs données propres
    • Transfert : non
  • Durée de conservation : 3 ans après fermeture du compte
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS pour les agents Cramif. Accès au portail  par login/mot de passe pour tous les autres organismes, gestion des droits aux applications dans le portail. Le serveur implanté en salle ordinateur est sauvegardé conformément à la politique de sécurité mise en place dans l’entreprise.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : janvier 2015

Contrôle a posteriori invalidité

  • Nom du traitement : Contrôle a posteriori invalidité
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Contrôle des déclarations de ressources liées au versement de la pension d'invalidité
  • Secteur d'activité : Direction financière et comptable
  • Données à caractère personnel : Salariés : Identification des personnes : nom du contrôleur, données techniques : date de validation ordonnateur, date d'invalidation comptable, motif de l'invalidation, date de validation après invalidation, montant de l'incidence financière du préjudice évité. Assurés : 10 premiers chiffres du dossier contrôlé (NIR tronqué).
  • Destinataire(s) des données :
    • Interne : Agent du contrôle invalidité et hiérarchie
    • Externe : non
    • Transfert : non
  • Durée de conservation : 2 ans plus l'année en cours
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurité ARAMIS et habilitations spécifiques.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : janvier 2014

Cramif.fr - Formulaires d'inscription à un évènement

  • Nom du traitement : Cramif.fr - Formulaires d'inscription à un évènement
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Offrir la possibilité aux usagers de la Cramif (entreprises d'Île-de-France, assurés du régime général, partenaires...) de s'inscrire en ligne aux événements organisés par la Cramif. Mettre en place des formulaires d'inscription accessibles sur le site Internet de la Cramif
  • Secteur d'activité : Direction de la communication
  • Données à caractère personnel : Assurés : Identification des personnes : civilité, nom, prénom, fonction, courriel, téléphone. Entreprises ou partenaires : Identification des organismes : SIREN, raison sociale, adresse. Adresse IP de l'internaute pour traçabilité des accès à des fins de mesure d'audience.
  • Destinataire(s) des données :
    • Interne : Service organisateur de l'évènement
    • Externe : non
    • Transfert : non
  • Durée de conservation : Aucune sur le site Internet pour les données d'inscription; 13 mois pour les cookies
  • Sous-traitant(s) : non
  • Mesures de sécurité : limitation des saisies autorisées.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : mai 2014

Enregistrement et suivi des situations de cellules Prévention de la Désinsertion Professionnelle

  • Nom du traitement : Enregistrement et suivi des situations de cellules Prévention de la Désinsertion Professionnelle
  • Co-responsable(s) de traitement : non
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Finalité(s) du traitement : Assurer un suivi harmonisé des situations traitées en cellules locales PDP (Prévention de la Désinsertion Professionnelle) afin de : mesurer l'impact des actions des cellules PDP sur le retour à l'emploi ; mettre en place un suivi quantitatif et qualitatif des situations vues en cellule ; établir des statistiques non nominatives permettant d'élaborer le bilan annuel d'activité des cellules (locales et régionale).
  • Données à caractère personnel : Assurés : Concernant l'utilisation du tableau d'enregistrement et le suivi des situations Identification des personnes : n° d’ordre, nom, prénom, 5 premiers chiffres du NIR, adresse, date de naissance, sexe, âge, adresse, téléphone, adresse mail ; Concernant l'envoi des ordres du jour par PETRA AMELI Identification des personnes : nom, prénom, date de naissance Concernant l'utilisation de l'interface sécurisée IDEC pour la transmission sécurisée des signalements du Service Médical (ELSM) vers le service social et du service social vers l'ELSM pour la réponse : Identification des personnes : nom, prénom, adresse, date de naissance, NIR Vie professionnelle : profession au moment de l'arrêt de travail, catégorie socio-professionnelle, employeur (raison sociale et SIRET), service de santé au travail, date arrêt de travail, risque au regard de l’assurance maladie (maladie, AT, MP), date début arrêt ; Données financières : financeurs et/ou dispositif de financement de la mesure préconisée, montant ; Accompagnement de l’assuré : date de réception du signalement, service signalant, qualité de la personne signalant, motif du signalement, type d’actions de remobilisation, période de l'action, organisme support, décision de la cellule, motif de refus, délai de traitement, base du fondement légal, Suivi à 6, 12, et 18 mois, date de clôture du dossier et situation à cette date. Statistiques anonymes issues du tableau
  • Destinataire(s) des données :
    • Interne : Membres de la cellule PDP
    • Externe : Membres de la cellule PDP des Caisses de l’assurance maladie d'Île-de-France, les autres membres partenaires : MDPH, SAMETH, OPS, SST, APAS-BTP, DIRECCTE, Pôle Emploi. Membres de la cellule PDP régionale pour les données statistiques anonymes
    • Transfert : non
  • Durée de conservation : 24 mois après la prise en charge
  • Sous-traitant(s) : non
    Mesures de sécurité : Sécurités ARAMIS et habilitations spécifiques. Les coordonnatrices locales effectueront un contrôle sur la qualité des données saisies.  
    Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er mars 2015
  • Engagement de conformité cellule PDP - pdf 158.3 Ko

WEBECOLESS

  • Nom du traitement : WEBECOLESS
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion des inscriptions en ligne (via formulaires dématérialisés) pour la Formation Continue, sur cramif.fr pour l'Îcole de Service Social
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Données à caractère personnel : Stagiaires et prestataires intervenants : Identification des personnes : civilité, nom, prénom, téléphone, adresse mail, fonction ; Identification des organismes : Identifiant, raison sociale ou désignation, adresse, compte utilisateur (login et mot de passe) ; Formations : Type de formation, thème et sessions des formations, dates et lieu de réalisation, places disponibles, places attribuées, prestataires intervenants, coût de la formation
  • Destinataire(s) des données :
    • Interne : Personnel de l'ESS pour la gestion et la réalisation des formations, contacts du SSR, du département de formation
    • Externe : Personnes inscrites pour leurs propres données. Contacts des CARSAT pour les informations relatives aux agents de l'organisme, autres contacts
    • Transfert : non
  • Durée de conservation : 3 ans
  • Sous-traitant(s) : non
  •  
  • Mesures de sécurité : Sécurité ARAMIS, authentification de l'organisme partenaire (SSR Île-de-France, CARSAT).
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : avril 2015

Requêtes sur SIAM-ERASME

  • Nom du traitement : Requêtes sur SIAM-ERASME
  • Co-responsable(s) de traitement : Cnam, autres organismes (CPAM)
  • Finalité(s) du traitement : Permettre à la Cramif de récupérer des données pour mettre en place des actions de Gestion du Risque, de Lutte Contre la Fraude, de Gestion de la Relation client et de Contrôle de Gestion.
  • Secteur d'activité : Direction générale
  • Données à caractère personnel : Assurés : toutes les données permettant d'identifier les bénéficiaires et au regard de ceux-ci les prestations versées par les caisses d'assurance maladie du régime général. Professionnels de santé : toutes les données permettant d'identifier les professionnels de santé, leurs spécialités et leur activité (prescriptions et exécutions). Salariés : saisie de l'activité quotidienne dans OSCARR .
  • Destinataire(s) des données :
    • Interne : directeur général, directeur du pilotage, directions métier concernées
    • Externe : le directeur régional de la Gestion du Risque ou de la Fraude
    • Transfert : non
  • Durée de conservation : le temps de suivi du projet.
  • Sous-traitant(s) : non
  • Mesures de sécurité : Techniques : sécurités applicatives mises en œuvre par la CNAM en fonction des droits attribués. Sécurisation des échanges de données, traçabilité des accès. Organisationnelles : habilitations spécifiques selon procédure très restreinte (3 agents habilités et maximum 5 agents possibles à venir). Tableau de suivi des requêtes.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er mars 2015

Procédures mises en œuvre par le Poste Central de Sécurité (PCS)

  • Nom du traitement : Procédures mises en œuvre par le Poste Central de Sécurité (PCS)
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gérer l'obligation de la main courante électronique qui permet de tracer tous les évènements. Assurer la sécurité des biens et des personnes. Gérer et suivre les activités relatives aux formations et aux équipements.
  • Secteur d'activité : Direction des ressources opérationnelles
  • Données à caractère personnel : Visiteurs ou salariés relevant d'une intervention du PCS : nom, prénom, n° d'agent, service d'appartenance, localisation de l'agent, difficultés de déplacement, nature de l'intervention, résultat de l'intervention. Tiers ou prestataire externe : nom, prénom, fonction, identification de l'entreprise.
  • Destinataire(s) des données :
    • Interne : personnel du PCS suivant habilitation, le directeur de la Cramif ou son représentant si besoin
    • Externe : autorité judiciaire sur demande
    • Transfert : non
  • Durée de conservation : 5 ans pour la main courante 3 ans pour les listes sensibilisation feux réels durée de validité du contrat avec le prestataire 6 mois suite départ entreprise/badge.
  • Sous-traitant(s) : non
  • Mesures de sécurité : techniques : carte d'authentification, épuration automatique organisationnelles : locaux protégés, habilitations spécifiques
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : janvier 2010
  • Acte réglementaire pdf - 172.76 Ko

Fonctionnement de Plateformes Téléphoniques (PFT) dans le champ des compétences métiers de la Cramif

  • Nom du traitement : Fonctionnement de Plateformes Téléphoniques (PFT) dans le champ des compétences métiers de la Cramif
  • Co-responsable(s) de traitement : Cnam
  • Finalité(s) du traitement : Piloter le fonctionnement de la plateforme téléphonique, évaluer et former les salariés dans le but d'améliorer la qualité de service.
  • Secteur d'activité : Direction relation client et prestations
  • Données à caractère personnel : Assurés : Données administratives concernant les assurés titulaires d'une pension Invalidité (NIR-Nom-Prénom-Tél-adresse mail-date et heure de l'appel-durée de l'appel et identification de la PFT).
  • Destinataire(s) des données :
    • Interne : les données, enregistrements et statistiques sont accessibles uniquement aux superviseurs à des fins d'évaluation ou de suivi d'objectifs. Le médiateur peut demander un accès aux données.
    • Externe : la Cnam accède aux statistiques
    • Transfert : non
  • Durée de conservation : 2 mois glissants pour l'assurance maladie 3 mois sur les serveurs du sous-traitant 6 mois dans le cadre d'une évaluation pour la qualité de service.
  • Sous-traitant(s) : PROSODIE
  • Mesures de sécurité : habilitations spécifiques aux superviseurs
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 15 janvier 2016
  • Acte réglementaire pdf - 210.38 Ko

Gestion des enquêtes invalidité

  • Nom du traitement : Gestion des enquêtes invalidité
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Mise en place d'une application permettant de : - Simplifier et faciliter le travail des agents concernés par le suivi des enquêtes invalidité, - Partager l'information en veillant au respect des règles de sécurité et de confidentialité, - Prendre en compte les nouveaux besoins (suivi, pilotage, statistiques), - Transmettre au service invalidité des enquêtes qui permettent de vérifier l'exactitude des informations (revenus, situation familiale...) déclarées par l'assuré afin de "servir les prestations à bon droit" conformément au code de la Sécurité sociale.
  • Secteur d'activité : Direction générale déléguée
  • Données à caractère personnel : Assurés : Identification des assurés : nom, prénom, adresse, NIR. Salariés :  Identification des agents : nom, prénom, n° d'agent, téléphone. Gestion de l'enquête : n° du dossier, origine de la demande, nature de l'enquête et éléments des constats relevés. Traçabilité des actions.
  • Destinataire des données :
    • Interne : Département contrôle de la Direction financière et comptable
    • Externe : éventuellement les juridictions compétentes
    • Transfert : non
  • Durée de conservation : 5 ans à compter de la date de clôture du dossier.
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurités ARAMIS et habilitations spécifiques. 
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 2016
  • Acte réglementaire pdf - 208.68 Ko

Consultation des données relatives aux allocataires de Pôle Emploi (AIDA 2)

  • Nom du traitement : Consultation des données relatives aux allocataires de Pôle Emploi (AIDA 2)
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : L'interface AIDA 2 a pour objectif de mettre à disposition des agents de l'Assurance maladie, la possibilité de consulter les données de chômage des allocataires Pôle Emploi (base de données AIDA 2 chez Pôle Emploi). La consultation permet l'analyse des situations, les prestations versées par le Pôle Emploi étant retenues dans les règles de cumul prévues pour déterminer le montant de la pension d'invalidité, ainsi que pour l'ASI (Allocation Supplémentaire Invalidité).
  • d'activité : Direction relation client et prestations
  • Données à caractère personnel : voir l'engagement de conformité du Directeur général de la Cnam notamment article 2, article 3, article 4
  • Destinataire(s) des données :
    • Interne : département des affaires juridiques secteur fraudes-enquêtes
    • Externe : non
    • Transfert : non
  • Durée de conservation : Il n'y a pas de conservation spécifique des données qui appartiennent à Pôle Emploi. En revanche les informations nécessaires à l'instruction des droits sont conservées dans le logiciel SCAPIN comme prévu 5 ans après l'extinction des droits
  • Sous-traitant(s) : non
  • Mesures de sécurité : Réseau privé RAMAGE. Mise en place des sécurités ARAMIS. 
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er décembre 2015
  • Actes réglementaires Engagement de conformité pdf - 846.04 Ko, Notice d'information pdf - 231.21 Ko

Saisie Externalisée des Comptes Rendus Médicaux

  • Nom du traitement : Saisie Externalisée des Comptes Rendus Médicaux
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : assurer la continuité de service pour la délivrance des comptes rendus médicaux via la saisie par un prestataire de service
  • Secteur d'activité : Centre Médical Stalingrad
  • Données à caractère personnel : Patients : Données de santé : constat et analyse de l'état de santé du patient en fonction de l'examen médical pratiqué et des documents produits au cours de l'examen. Identification des patients : numéro de dossier
  • Destinataire(s) des données :
    • Interne : médecin du centre de santé qui a réalisé l'examen et secrétaire médicale du centre de santé
    • Externe : Le patient pour son propre compte rendu médical
    • Transfert : La STM (DICTALIVE) pour le seul contenu du compte rendu médical non associé au nom du patient
  • Durée de conservation : 3 mois maximum (archives prestataire)
  • Sous-traitant(s) : DICTALIVE. Frappe des comptes rendus médicaux.
  • Mesures de sécurité : Les informations relatives aux mesures de sécurité mises en place par la STM pour l’exploitation de son serveur font l’objet d’un document descriptif. Chiffrement lors des échanges et sur le serveur.
  • Droit d'accès : directeur du CMS ou délégué à la protection des données (DPO)
  • Date de mise en œuvre : 15 septembre 2016
  • Notification d'autorisation pdf - 361.39 Ko

Gestion des Prêts - Comptabilité Auxilliaire (PREAUX)

  • Nom du traitement : Gestion des Prêts - Comptabilité Auxilliaire (PREAUX)
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion et suivi de l'ensemble des prêts accordés aux agents de la Cramif et de la DRSMIF (Automobile) et des prêts ASS (Action Sanitaire et Sociale).
  • Secteur d'activité : Direction financière et comptable 
  • Données à caractère personnel : Salariés : Agent : numéro d'agent, nom et prénom, n° de téléphone du responsable. Bénéficiaires : nom ou raison sociale, adresse, coordonnées bancaires. Organisme : nom et coordonnées bancaires de la Cramif, nom du service gérant les prêts.
  • Destinataire(s) des données :
    • Interne : la DBASSPM (Action Sanitaire et Sociale), les agents concernés par les prêts auto.
    • Externe : les associations et l'organisme bancaire de la Cramif pour le fichier des prélèvements annuels
    • Transfert : non
  • Durée de conservation : 5 ans après la fin du prêt (conservation conforme à celle de la clôture des comptes).
  • Sous-traitant(s) : non
  • Mesures de sécurité : Sécurités ARAMIS. 
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 30 septembre 2016

Messagerie Rénovée de la Communication Unifiée pour le Réseau de l'Entreprise (MERCURE)

  • Nom du traitement : Messagerie Rénovée de la Communication Unifiée pour le Réseau de l'Entreprise (MERCURE)
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Mise à disposition des agents de l'organisme d'une messagerie avec archivage des documents et messages ainsi que la gestion et le partage des contacts et des agendas.
  • Secteur d'activité : Direction des systèmes d'information
  • Données à caractère personnel : Salariés : Nom, prénom, n° d'agent (système GRH), adresse professionnelle, n° de téléphone professionnel, n° de télécopie, Direction, Service, Catégorie d'emploi, photos (en interne facultatif, si accord) par accès direct à l'Annuaire de référence organisme, fonction, métier, projet, identifiant,
  • Destinataire(s) des données :
    • Interne : Ensemble des agents de l'organisme ayant une boîte aux lettres électronique
    • Externe : Ensemble des agents de l'Assurance Maladie, assurés, professionnels de santé, employeurs, tiers dans le cadre de l'activité des agents
    • Transfert : non
  • Durée de conservation : Les contenus des messages et agenda peuvent être conservés aussi longtemps que les utilisateurs le souhaitent dans la limite de leur quota de messagerie. Les messages supprimés sont conservés 14 jours
  • Sous-traitant(s) : non
  • Mesures de sécurité : droits d’administrateurs restreints ils interviennent sur un périmètre verrouillé. Des procédures nationales sont mises à disposition sur les différents points à régler. Le QERSI national est la référence sur la sécurité du traitement. 
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 7 novembre 2016
  • Acte réglementaire pdf - 311.7 Ko

Mise à disposition de données dans le cadre d'échanges avec des partenaires externes

  • Nom du traitement : Mise à disposition de données dans le cadre d'échanges avec des partenaires externes
  • Co-responsable(s) de traitement :
  • Finalité(s) du traitement : Eviter les risques de double paiement révélés lors des audits sur les comptes publics.
  • Secteur d'activité : Direction relation client et prestations
  • Données à caractère personnel : Assurés : nom du bénéficiaire, prénom, date de naissance, arrondissement de résidence, date d'effet de la MTP (Majoration pour Tierce Personne) payée aux assurés invalides.
  • Destinataire(s) des données :
    • Interne : non
    • Externe : les administrés pour leurs propres données
    • Transfert : non
  • Durée de conservation : 5 jours dans l'applicatif PETRA
  • Sous-traitant(s) : non
  • Mesures de sécurité : Accès partenaires par PETRA (accès sécurisé par l'Assurance Maladie)
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 28 novembre 2016
  • Acte réglementaire pdf - 166.54 Ko

Envoi de SMS

  • Nom du traitement : Envoi de SMS
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Permettre le rappel de rendez-vous pour le Centre Médical Stalingrad (CMS), le Service Social Régional (SSR), le rappel de l'envoi de documents ou de l'envoi de codes provisoires d'accès aux Bornes d'Assurance Maladie (BMS), le rappel des rendez-vous pour le Service social des CARSAT.
  • Secteur d'activité : Direction des systèmes d'information
  • Données à caractère personnel : Assurés : Nom, prénom et n° de téléphone portable
  • Destinataire(s) des données :
    • Interne : non
    • Externe : prestataire externe chargé de l'envoi des SMS
    • Transfert : non
  • Durée de conservation : Destruction des fichiers dès l'envoi des SMS effectué
  • Sous-traitant(s) : ODYSSEY MESSAGING  Prestataire chargé de l’envoi des SMS
  • Mesures de sécurité : Sécurités  ARAMIS. 
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : avril 2016

Journal d'entreprise : "10 minutes"

  • Nom du traitement : Journal d'entreprise : "10 minutes"
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Créer un journal interne répondant aux codes et aux usages du web, à la consommation de l'information. En faire un levier stratégique pour l'entreprise en renforçant la performance de la communication interne et en déployant une stratégie de marque Cramif et de marque employeur.
  • Secteur d'activité : Direction de la Communication
  • Données à caractère personnel : Salariés : articles, photographies, vidéos, infographies,
  • Destinataire(s) des données :
    • Interne : Salariés de la Cramif
    • Externe : tout public intéressé en externe
    • Transfert : non
  • Durée de conservation : 2 ans : une année en cours et une année d'historique
  • Sous-traitant(s) : Aut O’ Mattic Ltd. Hébergement du site Web
  • Mesures de sécurité : Pour wordpress : extension de sécurité Jetpack. Sécurité Aramis et habilitations spécifiques, serveur de la Direction de la Communication.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 2 janvier 2017

Offre de service en ergothérapie

  • Nom du traitement : Offre de service en ergothérapie
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Permettre aux assurés en sortie d'hospitalisation Prado d'accéder à une offre d'ergothérapie suite aux signalements de la CPAM 75
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Données à caractère personnel : Assurés : Etat civil, identité, données d'identification (nom, prénom, adresse, date de naissance, sexe) - Appréciation sur les difficultés sociales des personnes - Information hospitalisation (nom de l'hôpital et du service, date d'entrée et de sortie) - Vie personnelle : situation familiale, sociale, du handicap et de l'habitat.
  • Destinataire(s) des données :
    • Interne : Service Social Départemental 75, Escavie
    • Externe : non
    • Transfert : non
  • Durée de conservation : Les données sont conservées 3 ans. Début janvier chaque année les dossiers de l'année N-3 sont supprimés de l'espace partagé crypté par l'agent administratif chargé du suivi Prado.
  • Sous-traitant(s) : non
  • Mesures de sécurité : Fichiers cryptés. 
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 31 mars 2017
  • Acte réglementaire pdf - 1.33 Mo

Suivi de l'activité de la Cellule RFOS (Référentiel Offre de Soins)

  • Nom du traitement : Suivi de l'activité de la Cellule RFOS (Référentiel Offre de Soins)
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Avoir une visibilité sur les indicateurs obligatoires (ancien CPG) ainsi que sur ceux d'efficacité du processus
  • Secteur d'activité : Direction générale déléguée
  • Données à caractère personnel : Salariés : Nom, prénom, numéro d'agent Cramif, mail. Correspondants des structures : nom du correspondant de la structure, Finess, nom de la structure
  • Destinataire(s) des données :
    • Interne : l'ensemble des agents ainsi que la responsable de l'unité
    • Externe : non
    • Transfert : non
  • Durée de conservation : Épuration automatique des données tous les 5 ans
  • Sous-traitant(s) : non 
  • Mesures de sécurité : Sécurité ARAMIS et habilitations spécifiques.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er juillet 2017

Système d'information radiologique (GDX5 RIS PACS)

  • Nom du traitement : Système d'information radiologique (GDX5 RIS PACS)
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement :Gestion informatisée du dossier médical d'imagerie du patient au CMS. Accès sécurisé pour le patient à ses résultats d'imagerie.
  • Secteur d'activité : Centre Médical Stalingrad
  • Données à caractère personnel : Patients : Données de santé : données médicales recueillies par les médecins du CMS, diagnostics, prescriptions Connaissance du patient : sexe, nom patronymique, nom marital, prénoms, date de naissance, âge, numéro permanent (IPP), numéro de dossier local, adresse, numéro de téléphone, adresse mail. Salariés : Professionnels de santé : nom, prénoms du praticien, spécialité Gestion des consultations : date et heure de la consultation Traçabilité : date et heure d'accès aux documents
  • Destinataire(s) des données :
    • Interne : Les professionnels de santé du CMS. La direction du Centre pour les données d'administration et de pilotage
    • Externe : Le patient pour ses données propres, auprès du médecin prescripteur
    • Transfert : non
  • Durée de conservation : 5 ans après le dernier passage puis archivage
  • Sous-traitant(s) : non 
  • Mesures de sécurité : Sécurités ARAMIS. postes diagnostic non rattachés au réseau avec sécurisation spécifique. Les utilisateurs accèdent au RISPACS avec une procédure sécurisée personnelle. 
  • Droit d'accès : délégué à la protection des données (DPO), professionnel de santé du centre
  • Date de mise en œuvre : 17 octobre 2017

Consultation des situations de non recours, incompréhensions, ruptures dans OGEPLANIR-PFIDASS

  • Nom du traitement : Consultation des situations de non recours, incompréhensions, ruptures dans OGEPLANIR-PFIDASS
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Optimiser l'accompagnement social des assurés suivis dans leurs démarches d'accès aux soins dans les plus brefs délais ceci pour permettre la réalisation effective des soins.
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Données à caractère personnel : Assurés : Nom, Prénom, adresse postale, date et lieu de naissance, organisme de rattachement, téléphone, adresse électronique, situation familiale, situation professionnelle, revenus, situation financière, NIR, données relatives aux soins, à la consommation de soins, de médicaments, d'hospitalisations, situations ou comportements à risques, aides Action Sanitaire et Sociale perçues, degré d'autonomie et d'isolement, causes et conséquences du renoncement, actions engagées et gains liés à l'accompagnement.
  • Destinataire(s) des données :
    • Interne : Responsables métiers habilités
    • Externe : Echelon Local du Service Médical (ELSM) et Caisses Primaires d'Assurance Maladie (CPAM)
    • Transfert : non
  • Durée de conservation : Pendant toute la durée de l'accompagnement + 18 mois - 3 ans pour les archives
  • Sous-traitant : non 
  • Mesures de sécurité : Habilitations données dans les conditions prévues par l’engagement de conformité du directeur de la Cnam.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 20 novembre 2017
  • Engagement de conformité OGEPLANIR-PFIDASS - pdf 339.52 Ko

Prise de rendez-vous des patients du Centre Médical Stalingrad et gestion des agendas des praticiens

  • Nom du traitement : Prise de rendez-vous des patients du Centre Médical Stalingrad et gestion des agendas des praticiens
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Optimiser la prise de rendez-vous pour assurer le bon fonctionnement du Centre Médical Stalingrad : permettre la gestion de l'agenda et des rendez-vous patients pour les praticiens du Centre Médical Stalingrad - donner la possibilité aux patients de prendre rendez-vous en ligne s'ils le souhaitent.
  • Secteur d'activité : Centre Médical Stalingrad
  • Données à caractère personnel : Patients : genre, nom, prénom, nom de jeune fille, date de naissance, n° de tél, adresse email, adresse postale, médecin traitant, médecin adressant, type d'appareil informatique utilisé, date, heure, praticien de rendez-vous. Professionnels de santé du CMS : genre, nom, prénom, date de naissance, n°de tél, adresse email, adresse postale, photo, profession/spécialisation, diplômes, expérience, heures de consultation
  • Destinataire des données :
    • Interne : Personnel médical, personnel non médical du CMS, personnel administratif du CMS
    • Externe : non
    • Transfert : non
  • Durée de conservation : Données patients : 20 ans - Données professionnelles : données de contact : durée de la relation avec Doctolib + 5 ans données de la fiche professionnelle : durée de la relation avec Doctolib + 3 mois
  • Sous-traitant(s) : DOCTOLIB et APSM. Gestion de l'agenda et de la base de données des rendez-vous / prise des rendez-vous par téléphone pour le service dentaire et le médical
  • Mesures de sécurité : Sécurités Aramis. Les comptes utilisateurs Doctolib bénéficient de la double authentification. 
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 23 mars 2018

Utilisation des Outils de gestion des messages sortants (OSMOSE)

  • Nom du traitement : Utilisation des Outils de gestion des messages sortants (OSMOSE)
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Promouvoir les offres de l'Assurance Maladie, diffuser des informations générales ou administratives permettant le bon suivi du dossier (service attentionné et réassurance), coordonner les activités de marketing.
  • Secteur d'activité : Direction relation client et prestations
  • Données à caractère personnel : Assurés : toutes les informations confidentielles figurant à la page 3 de l'engagement de conformité. Autres bénéficiaires : toutes les informations figurant à la page 3 de l'engagement de conformité. Professionnels de santé : toutes les informations figurant à la page 4 de l'engagement de conformité. Employeurs : toutes les informations figurant à la page 4 de l'engagement de conformité
  • Destinataire des données :
    • Interne : non
    • Externe : Centre Régional de Promotion d'Osmose Plateforme d'Île-de-France
    • Transfert : non
  • Durée de conservation : 12 mois
  • Sous-traitant : non 
  • Mesures de sécurité : Limitation des habilitations spécifiques à 3.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 9 avril 2018
  • Engagement de conformité - pdf 255.34 Ko

Mise en ligne des cours

  • Nom du traitement : Mise en ligne des cours
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Permettre aux étudiants et aux stagiaires de l'École de Service Social de la Cramif d'avoir une accessibilité aux cours efficace
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Données à caractère personnel : Élèves : nom, prénom, photo (facultative et à l'initiative de l'étudiant), mail professionnel ou personnel, adresse IP, dates, horaires et temps de connexion sur MOODLE. Enseignants : nom, prénom, mail personnel ou professionnel.
  • Destinataire(s) des données :
    • Interne : les administrateurs de MOODLE et les gestionnaires
    • Externe : les étudiants, les stagiaires et les formateurs extérieurs pour leurs propres données
    • Transfert : non
  • Durée de conservation : 5 ans maximum (temps de la scolarité avec redoublements éventuels) Pendant la ou les années scolaires (1 à 3 ans DEASS). Les données sont effacées à chaque fin d'année scolaire ou en cas d'interruption de scolarité.
  • Sous-traitant(s) : Société ENOVATION. Contrat d'hébergement et de maintenance
  • Mesures de sécurité : Technique : sécurisation https, login, mot de passe, hébergement Data Center sécurisé. Organisationnelle : administrateurs spécifiques 
  • Droit d'accès : délégué(e) à la protection des données (DPO)
  • Date de mise en œuvre : 30 septembre 2017

Utilisation du portail des agences comptables (FICO)

  • Nom du traitement : Utilisation du portail des agences comptables (FICO)
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Améliorer l'efficacité et la fiabilité des opérations effectuées à l'agence comptable
  • Secteur d'activité : Direction financière et comptable
  • Données à caractère personnel : Assurés : nom, prénom, NIR, situation familiale, adresse, dates des paiements, nature, montant, références bancaires. Employeurs : n°SIRET, références bancaires, dates des paiements, nature, montant. Professionnels de santé : numéro de professionnel, dates des paiements, nature, montant, références bancaires
  • Destinataire(s) des données :
    • Interne : les agents de la Direction Financière et Comptable ayant besoin d'en connaître
    • Externe : non
    • Transfert : non
  • Durée de conservation : Durée maximale de 5 ans
  • Sous-traitant(s) : non
  • Mesures de sécurité : Technique : enregistrement et journalisation. Organisationnelle : habilitations spécifiques
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er janvier 2016
  • Engagement de conformité FICO - pdf 91.17 Ko

Courrier Local Orienté Editique (CLOE) avec l'éditique nationale ESOPE

  • Nom du traitement : Courrier Local Orienté Editique (CLOE) avec l'éditique nationale ESOPE
  • Secteur d'activité : Direction des systèmes d'information
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Permettre de basculer la gestion du courrier d'un mode local à une gestion industrielle centralisée avec la dématérialisation des courriers. Permettre un envoi postal des courriers ou un dépôt sur le compte AMELI
  • Données à caractère personnel : assurés : nom, prénom, NIR, adresse, nature de la prestation (invalidité, amiante, intervention du SSR), montant de la prestation, de l'opposition, de la créance, catégorie d'invalidité, coordonnées de la tutelle (raison sociale, nom, prénom, adresse) pour les assurés sous tutelle, entreprise : nom de l'entreprise, raison sociale, SIRET, adresse, nom et prénoms des personnes contacts dans l'entreprise, agents : nom et prénom des agents qui suivent le dossier et des agents signataires des courriers
  • Destinataire(s) des données :
    • Interne : agents habilités
    • Externe : les assurés, les tutelles, les entreprises
    • Transfert : non
  • Durée de conservation : Le maximum de conservation des informations est de 3 mois La base archive nationale conserve les plis pendant 6 mois maximum
  • Sous-traitant(s) : non
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er janvier 2014
  • Mesures de sécurité : Technique : sécurité ARAMIS. Organisationnelle : habilitations en fonction des profils attribués
  • Décision ESOPE - pdf - 180.49 Ko

Paiement des créances en ligne

  • Nom du traitement : Paiement des créances en ligne
  • Secteur d'activité : Direction financière et comptable
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Permettre aux usagers d'utiliser des modalités de remboursement des créances dématérialisées par carte bancaire Optimiser le suivi des paiements et les sécuriser
  • Données à caractère personnel : assurés : numéro de créance ou numéro de facture, numéro de client (CMS), montant de la créance, type de carte bancaire, numéro de carte bancaire, date de fin de validité, cryptogramme, adresse mail des débiteurs ASSURES : informations comptables sur les créances, factures des actes
  • Destinataire(s) des données :
    • Interne : service informatique, agents de la direction financière et comptable
    • Externe : Caisse des dépôts et Consignations (CDC)
    • Transfert : non
  • Durée de conservation : Pas de conservation des données bancaires à la Cramif, 3 années glissantes pour les autres données. 10 ans à la Caisse des dépôts et Consignations
  • Sous-traitant(s) : Caisse Des Dépôts et Consignations
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 05 novembre 2018
  • Mesures de sécurité : Technique : https sur cramif.fr, canal sécurisé VPN. Organisationnelle : habilitations spécifiques, données bancaires non enregistrées
  • Notice RGPD pdf - 143.56 Ko

Action de prévention santé pour les bénéficiaires de la CMUC et de l'ACS

  • Nom du traitement : Action de prévention santé pour les bénéficiaires de la CMUC et de l'ACS
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Permettre au Service social de mettre en œuvre une action correspondant à son axe transversal d'intervention prioritaire relatif à la promotion et à la prévention santé
  • Données à caractère personnel : assurés : nom, prénom, NIR, adresse, numéro de tél et adresse mail, date de l'ouverture des droits à la CMUC et à l'ACS et notion d'ayant-droit.
  • Destinataire(s) des données :
    • Interne : Service social régional 75
    • Externe : non
    • Transfert : non
  • Durée de conservation : destruction du listing immédiate après envoi invitations. Purge des applicatifs métiers 12 mois après la clôture de l'action
  • Sous-traitant(s) : non
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 13 novembre 2018
  • Mesures de sécurité : Technique : envoi sécurisé sur PETRA, destruction immédiate du listing. Organisationnelle : habilitations spécifiques

Prélèvement à la source sur les revenus de remplacement

  • Nom du traitement : Prélèvement à la source sur les revenus de remplacement
  • Secteur d'activité : Direction financière et comptable
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion et mise en œuvre du prélèvement à la source pour les pensions d'invalidité et les versements de l'allocation des travailleurs de l'amiante.
  • Données à caractère personnel : Assurés : nom, prénom, NIR, code régime, date de naissance, sexe, adresse postale, lieu de naissance, nature de la prestation, le cas échéant indication ASI ou MTP. Taux de CSG, net fiscal, taux et montant du prélèvement, régularisations.
  • Destinataire(s) des données :
    • Interne : agents des secteurs métiers concernés
    • Externe : DGFIP
    • Transfert : non
  • Durée de conservation : 5 ans
  • Sous-traitant(s) : non
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er janvier 2019
  • Mesures de sécurité : Technique : habilitations spécifiques et mécanismes d'authentification. Organisationnelle : charte de confidentialité des administrateurs et traçabilité via Baston

Mise à disposition d'états pour les différents métiers (Contrôl-D + Oxalys)

  • Nom du traitement : Mise à disposition d'états pour les différents métiers (Contrôl-D + Oxalys)
  • Secteur d'activité : Direction des systèmes d'information
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Permettre aux services de la Cramif l'accès aux états contenant des informations de production qui les concernent. Disposer d'une prestation fonctionnellement améliorée grâce à l'ajout d'une solution interne de présentation des états.
  • Données à caractère personnel : Salariés : nom, prénom, n° d'identification, adresse, emploi, niveau, coefficient, date d'entrée dans l'organisme, horaires hebdomadaires, absences, données liées à la formation, compte épargne temps, médailles attribuées, Salaires, données liées au salaire, remboursement de frais, cotisation de mutuelle, référence bancaire, bulletins de paie. Assurés : nom, prénom, qualité, adresse, identification, NIR, DCD, retraités, paiements.
  • Destinataire(s) des données :
    • Interne : préparateurs DSI, agents identifiés des ressources et des relations sociales, de la direction des prestations, de la direction financière et comptable, du contrôle de gestion, du Centre de Santé, de la Prévention, du Service Social Régional, de l'Ecole de Service Social.
  • Durée de conservation : 5 ans plus l'année en cours Pour le bulletin de paie : ensemble de la carrière du salarié conformément aux lois en vigueur.
  • Sous-traitant(s) : non
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 2009
  • Mesures de sécurité : Habilitations spécifiques à partir d'une authentification Boîtes de réception par ensemble homogène d'utilisateurs

Mise à disposition de points d'accès à internet sans fil (WIFI)

  • Nom du traitement : Mise à disposition de points d'accès à internet sans fil (WIFI)
  • Secteur d'activité : Direction des systèmes d'information
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Permettre aux élèves de l'Ecole de Service Social d'accéder à leur plateforme d'apprentissage Moodle avec les moyens technologiques actuels.
  • Données à caractère personnel : Étudiants : données de connexion à Internet : nom, prénom pour les ordinateurs portables, adresses IP et Mac du matériel utilisé pour la connexion, type de matériel, lieu de connexion, date et heure de connexion, durée de connexion, adresses des sites visités (hors contenu). Visiteurs : nom, prénom, @mail et adresses IP, Mac du matériel utilisé pour la connexion, type de matériel, lieu de connexion, date et heure de connexion, durée de connexion, adresses des sites visités (hors contenu).
  • Destinataire(s) des données :
    • Interne : administrateur DSI de la solution
    • Externe : non
    • Transfert : non
  • Durée de conservation : 1 an
  • Sous-traitant(s) : non
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 7 janvier 2019
  • Mesures de sécurité : Technique : l'infrastructure est isolée physiquement du S.I de la Cramif. Organisationnelle : les logs sont conservés conformément aux préconisations de sécurité

Gestion des activités Orthodontie et Implantaire

  • Nom du traitement : Gestion des activités Orthodontie et Implantaire
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Permettre aux orthodontistes et dentistes de la Cramif de faire un plan de traitement pour leurs patients.
  • Données à caractère personnel : Patient : les 2 premières lettres du prénom et le numéro de dossier provenant de eLisa, la photographie dentaire en 3 D, la commande de prothèses et le pilier Atlandis. Professionnel de santé : nom du praticien.
  • Destinataire(s) des données :
    • Interne : les orthodontistes, dentistes et assistantes dentaires de la clinique dentaire du CMS.
    • Externe : prestataires Orthoconcept, Atlandis et Invisalign.
    • Transfert : non.
  • Durée de conservation : 10 ans après la majorité du patient ou après la fin du traitement 5 ans pour les formulaires papier de consentement éclairé.
  • Sous-traitant(s) : Orthoconcept, Atlantis, Invisalign
  • Droit d'accès : Responsable du centre médical Stalingrad ou délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er septembre 2018
  • Mesures de sécurité : Technique : sites Internet des prestataires accessibles avec des comptes personnels pour chaque professionnel de santé, protocoles https et sftp, accès internet filtrés, habilitations spécifiques postes de travail. Organisationnelle : habilitations spécifiques postes de travail.

Participation à la Cohorte Constances et à la collecte d'échantillons biologiques

  • Nom du traitement : Participation à la Cohorte Constances et à la collecte d'échantillons biologiques
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Co-responsable(s) de traitement : oui : IBBL (prestataire en charge de la biobanque)
  • Finalité(s) du traitement : Permettre à l'infrastructure nationale de recherche en biologie et santé dans le cadre du Programme Investissement d'Avenir, de faire fonctionner un outil de recherche en santé publique concernant les assurés du Régime Général de Sécurité Sociale.
  • Données à caractère personnel : Patients du CES : questionnaires Cohorte Constances (formulaire de consentement, questionnaire médical, expositions professionnelles, calendrier professionnel, santé des femmes) et les échantillons de sang. Nom, prénom, date de naissance.
  • Destinataire(s) des données :
    • Interne : non.
    • Externe : CPAM de Paris.
    • Transfert : non.
  • Durée de conservation : 15 jours pour les questionnaires 1/2 journée pour les échantillons de sang
  • Sous-traitant(s) : non
  • Droit d'accès : Dr Marie Zins et Pr Marcel Goldberg, UMS O11 Inserm UVSQ Hôpital Paul Brousse Villejuif
  • Date de mise en œuvre : 1er décembre 2014
  • Mesures de sécurité : Technique : armoire fermée à clé, code barre. Organisationnelle : habilitations spécifiques pour le personnel, conservation très limitée.
  • Autorisation cohorte constances pdf - 395.12 Ko
  • Autorisation échantillons biologiques pdf - 29.27 Ko

Gestion des pensions d'invalidité à l'international (CNGPII)

  • Nom du traitement : Gestion des pensions d'invalidité à l'international (CNGPII)
  • Secteur d'activité : Direction relation client et prestations
  • Co-responsable(s) de traitement : oui : Service Médical d'Ile de France, CLEISS
  • Finalité(s) du traitement : Assurer la prise en charge des demandes de pension d'invalidité faites par des assurés non-résidents en France mais ayant leur résidence à l'étranger (sauf Allemagne, Suisse, Lichtenstein, Algérie, dont la gestion est assurée par la CPAM du Bas-Rhin).
  • Données à caractère personnel : Assurés : nom, prénom, NIR, date de naissance, identifiant affecté par l'état de résidence du bénéficiaire, situation familiale, vie professionnelle, revenus, composition du foyer, catégorie de pension. Agents : nom, prénom, n° d'agent, fonction.
  • Destinataire(s) des données :
    • Interne : département invalidité, contrôleurs de la Direction financière et comptable, direction des affaires juridiques.
    • Externe : les organismes de sécurité sociale des états de résidence des bénéficiaires.
    • Transfert : oui : les organismes de sécurité sociale des états (non UE ou non reconnus par l'UE comme protégeant les données de manière équivalente) de résidence des bénéficiaires.
  • Durée de conservation : 5 ans après l'extinction des droits (base Invalidité SCAPIN)
  • Sous-traitant(s) : CPAM du Bas-Rhin
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 15 octobre 2018
  • Mesures de sécurité : Technique : Access Master Aramis. Organisationnelle : habilitations spécifiques
  • Décision modificative n4 pdf - 132.71 Ko

Consultation de mon compte partenaire CAF

  • Nom du traitement : Consultation de mon compte partenaire CAF
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Permettre aux assistants sociaux d'accéder aux données des allocataires CAF pour une meilleure prise en charge des assurés bénéficiaires d'un accompagnement par le Service Social. Limiter les sollicitations auprès de la CAF.
  • Données à caractère personnel : Assurés : données des allocataires CAF résultant de l'application de la législation et de la réglementation en vigueur à la date de la mise à disposition du service.
  • Destinataire(s) des données :
    • Interne : les assistants de service social
    • Externe : non
    • Transfert : non
  • Durée de conservation : pas de conservation
  • Sous-traitant(s) : non
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er septembre 2017
  • Mesures de sécurité : Technique : dispositions de traçabilité et d'usage exploitées par la CAF. Organisationnelle : habilitations spécifiques sous la supervision de la CAF

Réalisation de consultations de médecine physique et de réadaptation

  • Nom du traitement : Réalisation de consultations de médecine physique et de réadaptation
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Evaluer les capacités de conduite d'un VHP (Véhicule pour Handicapé Physique) afin de délivrer, suite à une consultation médicale avec un médecin de la Médecine Physique et de Réadaptation et un ergothérapeute, un certificat d'aptitude à la conduite d'un VHP.
  • Données à caractère personnel : Assurés : informations de santé, pathologie, antécédents médicaux. Assurés : état civil, vie personnelle, habitudes de vie, situation familiale et sociale.
  • Destinataire(s) des données :
    • Interne : agents habilités du secteur ESCAVIE
    • Externe : non
    • Transfert : non
  • Durée de conservation : 2 ans : questionnaire d'auto-évaluation 2 ans : comptes rendus médicaux et des ergothérapeutes, certificat d'aptitude, courrier refus ou de réorientation 20 ans : après clôture à l'issue des 2 ans, conservation archives administratives destruction immédiate : données ne nous appartenant pas.
  • Sous-traitant(s) : non
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er avril 2015
  • Mesures de sécurité : Technique : cryptage des documents dans le dossier ouvert. Organisationnelle : habilitations spécifiques

Accueil concerté Cramif-CAF

  • Nom du traitement : Accueil concerté Cramif-CAF
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Simplifier les démarches administratives des assurés pour un meilleur accès aux droits.
  • Données à caractère personnel : Assurés : nom, prénom, n° d'allocataire CAF, adresse, mandat pour étude de droits sur prestation CAF indiquée (aide au logement, RSA ou prime d'activité), situation de l'assuré (retraité, salarié, sans emploi, autre) . Salarié : nom, prénom
  • Destinataire(s) des données :
    • Interne : applicatif GAIA
    • Externe : CAF de l'assuré
    • Transfert : non
  • Durée de conservation : Pas de conservation du mandat Informations dans la base de gestion de l'activité d'accompagnement social (GAIA) conservées 18 mois après clôture du dossier et dans l'outil de suivi clientèle (GSC) 6 mois après la clôture du dossier
  • Sous-traitant(s) : non
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 17 avril 2019
  • Mesures de sécurité : Technique : partition de la base GAIA/GSC par organisme, traçabilité. Organisationnelle : habilitations spécifiques profils assistant social/secrétaire de service social

Gestions relatives à l'application de la réglementation sur la protection des données

  • Nom du traitement : Gestions relatives à l'application de la réglementation sur la protection des données
  • Secteur d'activité : Direction comptable et financière
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Tracer les différentes gestions effectuées par la Déléguée à la Protection des Données en lien avec les exigences de la Loi Informatique et Libertés et du RGPD.
  • Données à caractère personnel : Assurés, tiers mandatés, employeurs, salariés :  données personnelles ayant trait à la vie privée (âge, sexe, situation maritale, enfant...), données sensibles (santé, sociales, financières, appartenance syndicale ou politique...), photocopie d'un document prouvant l'identité du demandeur (avec photo). Assurés, tiers mandatés, employeurs, salariés : nom, prénom, adresse mail professionnelle et personnelle, adresse du domicile, preuve du mandat pour le tiers mandaté, lettre ou message de saisine, réponse et lettre d'accompagnement de la DPO, preuve de réception par la personne concernée, dossier du traitement effectué au regard des exigences sur la protection des données.
  • Destinataire(s) des données :
    • Interne : groupe de traitement dédié, agents Cramif habilités
    • Externe : violations de données : réseau assurance maladie, MCNIL (Cnam), CNIL. Droit d'accès : assurés, professionnels de santé, employeurs, salariés pour leurs propres données
    • Transfert : non
  • Durée de conservation : 5 ans + l'année en cours
  • Sous-traitant(s) : non
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : avril 2013
  • Mesures de sécurité : Authentification via le système de sécurité de l'assurance maladie. Vérification d'identité. Envoi sécurisé des documents. Traitement par un groupe dédié restreint

Intégration des Données Essentielles Maladie - IDEM

  • Nom du traitement : Intégration des Données Essentielles Maladie - IDEM
  • Secteur d'activité : Direction relation client et prestations
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Gestion de l'ouverture des droits pour les bénéficiaires des prestations que les CAF servent. Prévention des indus afin de garantir un meilleur accès aux droits et une offre de service étoffée. Gestion de l'échange des données entre les organismes.
  • Données à caractère personnel : >Assuré : civilité, nom marital, nom de jeune fille, prénom, date de naissance, NIR, clé du NIR. Processus invalidité : catégorie de la pension, type de la pension, date d'attribution du droit à la pension d'invalidité, montant brut de la pension d'invalidité, montant total payé, mois de paiement, montant du Fonds Spécial Invalidité (FSI), montant de la Majoration pour Tierce Personne (MTP), montant de la Contribution Additionnelle de Solidarité pour l'Autonomie (CASA), montant de la Contribution Sociale Généralisée (CSG), montant de la Contribution pour le Remboursement de la Dette Sociale (CRDS). Agents "contacts privilégiés" : nom, prénom, fonction, coordonnées professionnelles (numéro de téléphone, adresse mail).
  • Destinataire(s) des données :
    • Interne : les agents du département prestations invalidité habilités dans le cadre de leurs missions pour la réception des données des allocataires, la réalisation de la requête et la transmission des données.
    • Externe : les agents habilités des CAF pour les données de leurs seuls allocataires
    • Transfert : non
  • Durée de conservation : Pour la branche maladie : les données issues de la requête sont conservées un mois après transmission à la branche famille. Pour les coordonnées de contact : les données sont supprimées dès lors que le contact est modifié au sein de l'organisme.
  • Sous-traitant(s) : non
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 22 décembre 2017
  • Mesures de sécurité : Technique : Traces techniques de connexion des agents (identifiant, action réalisée, date et heure). Echanges d'informations via PETRA. Organisationnelle : Politique de gestion des habilitations définie nationalement et attribuée localement.

Informatisation de l'Archivage par la Gestion Electronique (IMAGE)

  • Nom du traitement : Informatisation de l'Archivage par la Gestion Electronique (IMAGE)
  • Secteur d'activité : Direction comptable et financière
  • Co-responsable(s) de traitement : OUI : DRSM et CPAM d'Île-de-France
  • Finalité(s) du traitement : Permettre la consultation de l'archivage des données de production : remboursements (décomptes, feuilles de soins électroniques, situations individuelles) afin de réaliser les missions d'information vis à vis des assurés, professionnels de santé, employeurs.
  • Données à caractère personnel : Assuré : nom, prénom, date de naissance, NIR, parcours de soins, conditions de prise en charge des soins, liste des actes effectués, coordonnées de la CPAM, coordonnées de l'organisme complémentaire, revenus de substitution. Professionnels de santé : nom, prénom, spécialité médicale.
  • Destinataire(s) des données :
    • Interne : agents habilités de la Cramif
    • Externe : non
    • Transfert : non
  • Durée de conservation : Archivage des données pendant 10 ans.
  • Sous-traitant(s) : non
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er janvier 2004
  • Mesures de sécurité : Technique : gestion via Access Master, traçabilité des accès, environnement logiciel séparé. Organisationnelle : inscription obligatoire des utilisateurs à un service principal associée le cas échéant à un service optionnel, revue de droits annuelle.
  • Acte réglementaire pdf - 512.21 Ko

Consultation de l'Espace des Organismes Partenaires de la Protection Sociale (EOPPS)

  • Nom du traitement : Consultation de l'Espace des Organismes Partenaires de la Protection Sociale (EOPPS)
  • Secteur d'activité : Direction générale
  • Co-responsable(s) de traitement : NON
  • Finalité(s) du traitement : Fiabiliser l'instruction et vérifier l'ouverture des droits pour l'ensemble des prestations versées par la Cramif ainsi que pour les dossiers d'aides financières étudiés par le service social régional. Permettre la détection des comportements abusifs et le recouvrement des créances en vérifiant la situation des débiteurs.
  • Données à caractère personnel : Assuré : données à caractère personnel et informations relatives aux bénéficiaires de droits et prestations figurant dans les systèmes nationaux gérés par la CNAV et résultant de l'application de la législation en vigueur au moment de la signature de la convention CNAV/Cramif
  • Destinataire(s) des données :
    • Interne : responsables du département invalidité, responsables du département créances et oppositions, secteur appareillage, secteur amiante, responsables des affaires juridiques, responsables du service social régional, responsable du GRAPPA, responsables tarification AT/MP
    • Externe : non
    • Transfert : non
  • Durée de conservation : au plus 5 années civiles suivant la fin de droit ou jusqu'à l'extinction des droits des ayant-droits
  • Sous-traitant(s) : non
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er juin 2010
  • Mesures de sécurité : Technique : gestion des traces, infrastructure spécifiques. Organisationnelle : habilitations spécifiques, bilan annuel prévu.
  • Acte réglementaire pdf - 389.18 Ko

Dispositif de médiation

  • Nom du traitement : Dispositif de médiation
  • Co-responsable(s) de traitement : non
  • Finalité(s) du traitement : Réduire la complexité des parcours administratifs pour les assurés.
  • Secteur d'activité : Direction relation client et prestations
  • Données à caractère personnel : Assuré : nom, prénom, NIR, date de réception du dossier, origine de la demande... informations à caractère personnel transmises par l'assuré ou plus rarement par un tiers.
  • Destinataire(s) des données :
    • Interne : les secteurs métier concernés
    • Externe : autres organismes de Sécurité sociale (en tant que de besoin)
    • Transfert : non
  • Durée de conservation : 5 ans durée maximale
  • Sous-traitant(s) : non
  • Mesures de sécurité : Technique : aucun formulaire de saisine électronique du médiateur Organisationnelle : nombre d'agents limité habilités à traiter les dossiers. Mesures de sécurité et de confidentialité spécifiques.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er janvier 2019
  • Acte réglementaire pdf - 142.52 Ko

Banque Nationale de Traces de Sécurité Applicative (BNTSA)

  • Nom du traitement : Banque Nationale de Traces de Sécurité Applicative (BNTSA)
  • Co-responsable(s) de traitement : CNAM
  • Finalité(s) du traitement : Améliorer la sécurité, la confidentialité et l'intégrité des données traitées par les applications informatiques du régime général.
  • Secteur d'activité : Direction comptable et financière
  • Données à caractère personnel : Agents : nom de l'applicatif, date de l'évènement, identifiant de la session applicative, identifiant de l'agent, adresse IP du poste de l'agent, signature du message Assuré bénéficiaire : nom, prénom, NIR avec clé
  • Destinataire(s) des données :
    • Interne : directeur général, MSSI, DPO, directeur du secteur métier concerné, directeur DRRS, secteur relations sociales et département des affaires juridiques si besoin.
    • Externe : tiers habilités (police, justice, autre...) si besoin, le directeur général de la CNAM
    • Transfert : non
  • Durée de conservation : 3 ans dans la BNTSA
  • Sous-traitant(s) : non
  • Mesures de sécurité : Technique : traçabilité des opérations, accès base seul auditeur, résultats requêtes cryptés, destruction 7 jours après transmission. Organisationnelle : procédure très structurée : demandeur, valideur, auditeur.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er avril 2013

Dispositif de Retraite Anticipée pour Pénibilité (RAP)

  • Nom du traitement : Dispositif de Retraite Anticipée pour Pénibilité (RAP)
  • Co-responsable(s) de traitement : Oui : CNAV
  • Finalité(s) du traitement : Étudier les demandes d'attribution de retraite anticipée au titre de la pénibilité du point de vue de l'effectivité du lien entre l'incapacité permanente et l'exposition aux facteurs de risques professionnels. Permettre la participation de l'ingénieur chef du service prévention de la Cramif à la Commission Pluridisciplinaire de Pénibilité qui donne un avis sur le dossier enregistré (base PLUTO).
  • Secteur d'activité : Direction régionale risques professionnels
  • Données à caractère personnel : Assuré : nom, prénom, NIR, données relatives à l'AT (dossier descriptif des circonstances : causes, notification de la rente concernant l'AT, le taux d'incapacité permanente, la date du sinistre).
  • Destinataire(s) des données :
    • Interne : agents du département reconnaissance et du service prévention
    • Externe : Commission Pluridisciplinaire de Pénibilité
    • Transfert : non
  • Durée de conservation : 5 années civiles
  • Sous-traitant(s) : non
  • Mesures de sécurité : Technique : serveur implanté en salle ordinateur Organisationnelle : habilitations spécifiques.
  • Droit d'accès : délégué à la protection des données (DPO)
  • Date de mise en œuvre : 1er juillet 2011
  • Acte réglementaire

Requêtes sur le Système National des Données de Santé (SNDS)

  • Nom du traitement : Requêtes sur le Système National des Données de Santé (SNDS)
  • Co-responsable(s) de traitement : Oui : Cnam
  • Finalité(s) du traitement : Permettre à la Cramif de récupérer des données visant à mettre en place des actions de gestion du risque ou de lutte contre la fraude.
  • Secteur d'activité : Direction générale
  • Données à caractère personnel : Assuré : données de santé anonymisées, année de naissance, commune d'habitation. Professionnels de santé : nom, prénom, date de naissance, spécialité, adresse, historique, données administratives globales.
  • Destinataire(s) des données :
    • Interne : directeur général, direction du pilotage
    • Externe : le directeur régional de la Gestion du Risque ou de la Fraude
    • Transfert : non
  • Durée de conservation : le temps de suivi du projet
  • Sous-traitant(s) : non
  • Mesures de sécurité : Technique : cryptage du poste, autres sécurités directement gérées par le SNDS. Organisationnelle : requêtes déclarées au DPO.
  • Droit d'accès : délégué(e) à la protection des données (DPO)
  • Date de mise en œuvre : 1er décembre 2019
  • Acte réglementaire, pdf - 768.95 Ko

Inscription des signalements sociaux d'entraide (ISSUE)

  • Nom du traitement : Inscription des signalements sociaux d'entraide (ISSUE)
  • Co-responsable(s) de traitement : Non
  • Finalité(s) du traitement : Proposer une offre d'accompagnement social s'appuyant sur la détection possible du besoin par des partenaires Cramif.
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Données à caractère personnel : Partenaire-Signalant : nom, prénom, téléphone, mail, "catégorie professionnelle", code postal, ville. Assuré : nom, prénom, numéro de téléphone, mail (facultatif), code postal, ville et un des points de vigilance : accès aux soins ou risque de fragilité dans l'emploi ou autonomie au domicile. Agent SSR : nom du gestionnaire, nom de l'assistant de service social qui traite le signalement.
  • Destinataire(s) des données :
    • Interne : le service social régional
    • Externe : le partenaire signalant
    • Transfert : non
  • Durée de conservation : 60 jours : données personnelles d'identification. 1 an à 5 ans : signalements "anonymisés".
  • Sous-traitant(s) : non
  • Mesures de sécurité : Technique : "anonymisation" au bout de 60 jours. Organisationnelle : mot de passe et personnes avec habilitations spécifiques.
  • Droit d'accès : délégué(e) à la protection des données (DPO)
  • Date de mise en œuvre : 29 janvier 2020

Contact Covid

  • Nom du traitement : Contact Covid
  • Co-responsable(s) de traitement : Cnam
  • Finalité(s) du traitement : Permettre la surveillance épidémiologique sur le virus et la lutte contre sa propagation. Organiser les opérations de Contact Tracing COVID en recueillant des informations sur les chaînes de contamination. Orienter et accompagner les personnes.
  • Secteur d'activité : Direction action sanitaire et sociale et autonomie
  • Données à caractère personnel : Patient positif (dit patient "zéro") : nom, prénom, date de naissance, sexe, NIR ou autre numéro d'identification, coordonnées, organisme d'affiliation, médecin déclarant, éléments d'information liés à la situation de Covid positif, sur la profession, sur l'accompagnement, liste des cas contacts avec leurs coordonnées. Cas contact : données d'identification, NIR ou autre numéro d'identification, coordonnées, organisme d'affiliation, éléments d'information liés au risque de contamination, éléments d'information sur les liens avec le patient zéro (si accord de celui-ci pour donner son identité), besoins d'accompagnement. Professionnels de santé : nom, prénom, numéro ADELI, numéro d'inscription au RPPS, numéro SIRET, numéro FINESS, profession et spécialité, coordonnées.
  • Destinataire(s) des données :
    • Interne : les agents spécialement missionnés sur la plateforme
    • Externe : les agents spécialement habilités des ARS, les personnels spécialement habilités des communautés professionnelles territoriales de santé, les personnels des établissements de santé spécialement habilités, les personnes des cabinets médicaux, les personnels des pharmacies, les personnels des laboratoires de biologie
    • Transfert : non
  • Durée de conservation : 3 mois après la collecte 6 mois à compter de la fin de l'état d'urgence sanitaire pour les opérations de mise à jour, de suppression et de consultation du traitement.
  • Sous-traitant(s) : non
  • Mesures de sécurité : Technique : structurations techniques assurées par la Cnam, sécurisation des canaux de communication, des outils numériques. Organisationnelle : missions spécifiques, attributions de profils dédiés, revues de droits régulières.
  • Droit d'accès : délégué(e) à la protection des données (DPO)
  • Date de mise en œuvre : 21 septembre 2020
  • Acte réglementaire pdf - 871.36 Ko