La loi relative à la protection des données personnelles pour respecter vos droits et vos obligations.

Responsable des traitements : David Clair 
dgprotectiondonnees.cramif@assurance-maladie.fr

Déléguée à la protection des données : Sophie Betermiez

Ajointe : Sonia Couettant

dpo.cramif@assurance-maladie.fr

Exécution des prestations : Traiter les revenus de substitution en invalidité

  • Finalité(s) du traitement : Traiter les revenus de substitution en invalidité (pension en droit propre, pension en droit dérivé, majoration tierce personne, allocation supplémentaire d’invalidité).
  • Sous-finalité(s) du traitement :
    • Acquérir, contrôler, traiter et enregistrer les informations utiles
    • Réceptionner la demande, analyser la recevabilité
    • Vérifier la fiabilité des informations
    • Rapprocher et vérifier avec les règles relatives aux droits
    • Instruire la demande versant médical, et émettre un avis
    • Convocation de l’assuré
    • Instruire la demande versant administratif
    • Vérifier la condition d’ouverture des droits
    • Calculer la pension, notifier et mettre au paiement
    • Mettre en œuvre la subrogation Caf dans certains cas
    • Communiquer les informations strictement nécessaires aux avis et paiements aux personnes et acteurs (bénéficiaires, professionnels santé, administration fiscale, caisse d’allocation familiale, caisse nationale d’assurance vieillesse, agence centrale des organismes de Sécurité sociale)
    • Mettre à disposition des professionnels et établissement les informations relatives aux droits et au médecin traitant du bénéficiaire
    • Suivre les mises à jour de la pension versant médical et administratif
    • Produire des statistiques, des indicateurs de pilotage et réaliser des études et évaluations (mise en œuvre des politiques)
  • Fondement du traitement :
    Article 6-1-e) du RGPD: mission d’intérêt public de l’assurance Maladie
    Article L. 211-1 du code de la sécurité sociale
  • Catégorie de personnes concernées :
    • Pour les bénéficiaires : Données d’identification dont le nom, prénom, sexe, date, lieu et rang de naissance, NIR ; Données de contact dont adresse postale, e-mail et numéro de téléphone ; Nationalité ; Données relatives au rattachement et aux droits dont médecin traitant déclaré ; Données relatives au bénéfice d’une prestation frais de santé ; Coordonnées bancaires ; Données de ressources du foyer, avis d’impositions ; Données relatives au statut d’invalidité déclarée, exonération du ticket modérateur ; Données de rapports médicaux en lien avec l’invalidité ; Données relatives à la vie personnelle dont situation familiale et composition du foyer ; Données du régime de rattachement, adhésion à un organisme d’Assurance Maladie complémentaire.
    • Pour les professionnels de santé : Données d’identification dont nom, prénom, numéros d’identification ; Données relatives à la situation professionnelle dont profession, spécialité, situation conventionnelle ; Données de contact dont adresse postale, adresse email, n° de téléphone.
    • Pour les agents de l’Assurance Maladie : Données de connexion et traces techniques (logs, connexion).
  • Destinataire(s) des données :
    • Bénéficiaires concernés (information concernant l’avis et pension)
    • Professionnels de santé (information sur la prise en charge)
    • Caisse d’Allocation Familiale en cas de procédure de subrogation
    • Caisse Nationale d’Assurance Vieillesse pour valorisation des droits retraite
    • Administration fiscale pour fiscalisation de la prestation
  • Durée de conservation : Les données du dossier d’invalidité sont conservées 5 ans après la fermeture des droits à l'assurance maladie de l'assuré ou de l'ayant droit. Les pièces justificatives au paiement de la pension sont conservées 5 ans à partir de la date de versement ou jusqu'à l'intervention d'une décision définitive en cas de contentieux.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’opposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 01/12/2023

Exécution des prestations : Traiter les revenus de substitution amiante

  • Finalité(s) du traitement : Traiter les revenus de substitution amiante.
  • Sous-finalité(s) du traitement :
    • Traiter les dossiers de demande d’allocation de cessation anticipée d’activité des travailleurs de l’amiante.
    • Centraliser les informations dans la base nationale AGATA.
    • Permettre aux assurés d’accéder aux informations qui les concernent via Ameli
    • Produire des statistiques, piloter et mettre en œuvre des politiques)
  • Fondement du traitement : Article 6.1.c du RGPD : traitement nécessaire au respect d'une obligation légale notamment
    • Livre 4 du code de la sécurité sociale (accidents du travail et maladies professionnelles)
    • Articles L434-1 à L434-21 du code de la sécurité sociale
    • Articles L.43
  • Catégorie de personnes concernées :
    • Victimes d’AT/MP consolidés
    • Ayants-droit de victimes dont le décès est en lien avec l’AT ou la MP
    • Conjoints dans le cadre de la réversion - L’employeur de la victime
    • Agents des organismes (CPAM, CARSAT, CGSS…) pour les traces des actions dans les outils
  • Type de données traitées :
    • Données d’identification assuré-victime et/ou autre bénéficiaire d’indemnisation (ayant-droit, conjoint pou réversion)
    • Données relatives au lien de parenté (mariage, pacs, concubin, etc.)
    • Données relatives à la situation professionnelle dont les données concernant le sinistre (numéro de sinistre, date, type, etc.)
    • Données concernant la santé dont type maladie professionnelle, allocation temporaire amiante, résumé des séquelles
    • Données relatives aux professionnels de santé, établissement
    • Données relatives à l’employeur dont SIRET, raison sociale
    • Données d’ordre économique dont données bancaires (mode de paiement, RIB, etc.), données de salaire, type d’indemnisation
    • Données de connexion et traces techniques (logs, connexion) des agents exploitables en cas d’incident de sécurité ou de violation de données personnelles
  • Destinataire(s) des données :
    • Agents CARSAT pour l’application des dispositions relatives à la pénibilité, pour la prise en compte des périodes assimilées en vue du calcul des droits à la retraite et, en cas d’accident du travail, en vue du calcul de la cotisation due par l’entreprise
    • Agents des organismes chargés de l'indemnisation du chômage"
    • Personnes habilitées à accéder au RNCPS
    • Assuré-victime
    • Ayants-droit
    • Employeur
    • Tiers
  • Durée de conservation : 3 ans après le décès du bénéficiaire ou 3 ans après le décès du dernier bénéficiaire en cas de rente d’ayant droit.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’opposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 29/11/2023

Exécution des prestations : Traiter l'appareillage

  • Finalité(s) du traitement : Traiter l'appareillage.
  • Sous-finalité(s) du traitement :
    • Acquérir, contrôler, traiter et enregistrer les informations utiles
    • Recevoir les feuilles de soins, Traiter les demandes
    • Vérifier la fiabilité des informations et les règles relatives aux droits
    • Appliquer les règles et gérer les frais liés à des situations extra nationales (UE / Hors UE)
    • Contrôler et mettre en paiement les prestations en nature et tout type d'aides
    • Communiquer les informations strictement nécessaires au paiement aux personnes et acteurs (bénéficiaires, OCAM, PS, établissements de santé, etc.)
    • Mettre à disposition des professionnels et établissement les informations relatives aux droits et au médecin traitant du bénéficiaire
    • Produire des statistiques, des indicateurs de pilotage et réaliser des études et évaluations (mise en œuvre des politiques)
  • Fondement du traitement : Article 6-1-e) du RGPD : mission d’intérêt public de l’Assurance Maladie
    Article L. 211-1 du code de la Sécurité sociale
  • Catégorie de personnes concernées :
    • Bénéficiaires de l’Assurance Maladie (ayant-droit/ouvrant-droit)
    • Professionnels de santé et autres acteurs du secteur sanitaire social et médico-social
    • Agents de l’Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Pour les bénéficiaires : Données d’identification dont le nom, prénom, sexe, date, lieu et rang de naissance, NIR ; Données de contact dont adresse postale, e-mail et numéro de téléphone ; Nationalité ; Données relatives au rattachement et aux droits dont médecin traitant déclaré ; Données relatives au bénéfice d’une prestation frais de santé ; Coordonnées bancaires ; Données relatives à la santé dont situation liée à la maternité, nature et montants des actes, prestations, médicaments ou produits de santé, statut invalidité, exonération du ticket modérateur, données relatives à un accident du travail, maladie professionnelle ; Données relatives à la vie personnelle dont situation familiale et composition du foyer ; Données du régime de rattachement, adhésion à un organisme d’assurance maladie complémentaire.
    • Pour les professionnels de santé et autres acteurs du secteur sanitaire social et médico-social, établissements de santé, centres de santé et structures médico-sociales : Données d’identification dont nom, prénom, numéros d’identification ; Données relatives à la situation professionnelle dont profession, spécialité, situation conventionnelle ; Données de contact dont adresse postale, adresse email, n° de téléphone ; Données relatives aux prestations dont actes, produits et prestations prescrits et exécutés, tarifs, indicateurs d’activité et relatifs à la pratique, honoraires et rémunérations perçus ainsi que les indicateurs et la patientèle ayant servi au calcul de ces rémunérations.
    • Pour les agents de l’Assurance Maladie : Données de connexion et traces techniques (logs, connexion).
  • Destinataire(s) des données :
    • Organisme d’assurance maladie complémentaire désigné par le bénéficiaire
    • Bénéficiaires concernés, les données concernant les remboursements sont communiquées sous forme de décompte sur l’espace ameli ou par courrier;
    • Professionnels de santé et établissements de soins émetteurs des factures (information
    • Sur les soins effectués, remboursés ou pris en charge);
    • Sont destinataires des données anonymisées, le cas échéant agrégées, strictement nécessaires à l'exercice de leurs missions, dans la limite du besoin d'en connaître, les agents de la Haute Autorité de santé, de la Commission européenne et des ministères chargés de la Sécurité sociale, de l'agriculture et du travail.
    • Organismes de sécurité sociale étrangers, dans le cadre de gestion des créances et des dettes internationales de sécurité sociale, pour le remboursement des prestations prises en charge au titre de la réglementation européenne ou des conventions bilatérales ou multilatérales
    • Comptables publics chargés du recouvrement des créances hospitalières pour l'exercice de cette mission
  • Durée de conservation :
    • Les données d’identification des bénéficiaires sont conservées 5 ans après la fermeture des droits à l'assurance maladie de l'assuré ou de l'ayant droit ou jusqu'à l'intervention d'une décision définitive en cas de contentieux.
    • Les données concernant les prestations sont conservées trois ans à partir de la date de versement. Au-delà de ce délai, elles sont archivées pendant une durée de dix ans.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 14/11/2023

Exécution des prestations : RFOS

  • Finalité(s) du traitement : Traiter les honoraires, montants, forfaits et prestations établissement médicaux sociaux (RFOS).
  • Sous-finalité(s) du traitement :
    • Mettre à disposition des CPAM les données tarifaires relatives aux établissements médico-sociaux (en prix de journée), aux cliniques et aux hôpitaux ainsi que celles liées à l’utilisation d’un matériel lourd (IRMN, TEP, Scanner)
    • Acquérir, contrôler, traiter et enregistrer les informations utiles
    • Produire des statistiques, des indicateurs de pilotage et réaliser des études et évaluations
  • Fondement du traitement :
    Article 6-1-e) du RGPD: mission d’intérêt public de l’Assurance Maladie
    Article L. 211-1 du code de la Sécurité sociale
  • Catégorie de personnes concernées :
    • Agents de l’Assurance Maladie (Cramif et CPAM) pour traces des actions dans les outils
    • Personnes en charge de la gestion médico-administrative des établissements sanitaires et médico-sociaux
  • Type de données traitées :
    • Pour les agents de l’Assurance Maladie : Données de connexion et traces techniques (logs, connexion).
    • Pour les professionnels exerçant dans les établissements : Données d’identification (nom, numéros d’identification) ; Données relatives à la situation conventionnelle ; Données de contact dont adresse postale, adresse email, n° de téléphone ; Données relatives aux prestations dont nature de l’acte, date d’effet et tarifs.
  • Destinataire(s) des données :
    • Organismes de sécurité sociale
    • Gestionnaires médico-administratif des établissements
  • Durée de conservation : Les données concernant les prestations sont conservées dans l’outil jusqu’à épuration de la base par la Cnam.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 27/01/2023

Contrôle des prestations : Lutte contre les abus, fautes, fraudes des assurés ayants droit et bénéficiaires de droits

  • Finalité(s) du traitement : Lutte contre les abus, fautes, fraudes des assurés ayants droit et bénéficiaires de droits.
  • Sous-finalité(s) du traitement :
    • Élaborer une typologie des risques de fautes, abus et fraudes permettant de mieux cibler les dossiers à contrôler
    • Détecter les suspicions de fraudes/fautes et abus en mettant en œuvre des requêtes sur les bases de données ou par modélisation Datamining, exploiter les signalements Mener les investigations des suspicions de fraudes/fautes et abus en mettant en œuvre des contrôles
    • Échanger et partager toute information utile entre les acteurs concernés de l'Assurance Maladie
    • Échanger et partager toute information utile avec les organismes de protection sociale et tout acteur prévu par la réglementation
    • Effectuer les opérations nécessaires au calcul des préjudices, des indus et des sanctions financières
    • Suivre les signalements de suspicions de fautes, abus et fraudes afin de diligenter les contrôles, mener les investigations et, le cas échéant, d'engager des actions contentieuses ou des mesures d'accompagnement
    • Produire des statistiques, les exploiter et piloter le dispositif
  • Fondement du traitement : 
    Article 6-1-e) du RGPD: mission d’intérêt public de l’Assurance Maladie
    La mission est notamment fondée sur les articles L.114-9, L.224-14, L.315-1, L.114-10-1, L114-10-3, L.114-12, L.114-14, L.114-19 du code de la Sécurité sociale
  • Catégorie de personnes concernées :
    • Bénéficiaires Ayant droit, conjoint, ascendants ou descendants du bénéficiaire
    • Personnes concernées par l’abus, la faute, la fraude : victime, témoin, co-auteur, complice
    • Agents de l’Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Pour les bénéficiaires : Données d’identification des personnes, auteurs ou concernés par une faute, abus ou fraude dont nom, prénom, NIR, sexe, date de naissance, lieu de naissance, numéro de pièce d’identité ou titre de séjour ; Données de contact dont coordonnées postales, téléphoniques et électroniques ; Données relatives au rattachement et aux droits ; Coordonnées bancaires ; Données décrivant les caractéristiques de la faute, fraude ou abus dont branche, service, prestation ou droit concerné, période des faits, modalités de détection, type de faute, abus ou fraude, évaluation du montant du préjudice subi ou évité ; Données relatives à la consommation de soins dont remboursements des frais de santé et prestations en espèces ; Données d’ordre économique et financier dont déclarations de ressources, surface habitable du logement, données issues du droit de communication bancaire ; Données relatives à un accident du travail ou une maladie professionnelle dont accès aux remboursements des prestations relatives aux accidents de travail ou maladie professionnelle - Le pays où les soins ont été réalisés.
    • Pour les tiers concernés en tant que victimes, témoins, complices, co-auteurs potentiels : Données d’identification dont NIR à l’exception des témoins sauf si cette information est utile à l’enquête.
      En cas de faute, abus ou fraude avérés : Données relatives au suivi et actions engagées, infractions, condamnations ou mesures de sûreté, en particulier faits litigieux à l’origine de la procédure.
    • Pour les agents de l’Assurance Maladie : Données de connexion et traces techniques (logs, connexion)
  • Destinataire(s) des données : Antenne interrégionale de la Mission nationale de contrôle de la sécurité sociale.
    Ces informations peuvent être transmises à la direction et au service compétent d’un autre organisme d’assurance maladie du régime général ou du service médical, ou éventuellement à l’émetteur du signalement, ainsi qu’aux autorités de tutelle.
    Des statistiques non nominatives peuvent être élaborées et transmises au niveau national.
  • Durée de conservation :
    • Cinq ans maximum pour les données enregistrées dans les outils de gestion des alertes
    • Un an pour les dossiers classés sans suite par l’organisme ou le procureur de la République
    • Cinq ans à compter de l’intervention d’une décision définitive en cas de contentieux
    • Trois ans maximum pour les données issues de requêtes pour le ciblage des dossiers à contrôler jusqu’au prochain ciblage sur le même type de faute, abus, fraude ou la même personne
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 22/03/2023

Contrôle des prestations : Lutte contre les abus, fautes, fraudes des professionnels de santé

  • Finalité(s) du traitement : Lutte contre les abus, fautes, fraudes des professionnels de santé.
  • Sous-finalité(s) du traitement :
    • Élaborer une typologie des risques de fraudes, fautes, abus et pratiques dangereuses permettant de mieux cibler les dossiers à contrôler
    • Détecter les suspicions de fraudes, fautes, abus et pratiques dangereuses, en mettant en œuvre des requêtes sur les bases de données ou par des modèles statistiques et exploiter les signalements
    • Mener les investigations des suspicions de fraudes, fautes, abus et pratiques dangereuses, pour mettre en œuvre des contrôles et pour engager des actions dont des contentieux ou des mesures d'accompagnement
    • Échanger et partager toutes informations utiles entre les acteurs concernés de l'Assurance Maladie
    • Échanger et partager toutes informations utiles avec les organismes de protection sociale et tout acteur prévu par la réglementation
    • Effectuer les opérations nécessaires au calcul des préjudices, des indus, des sanctions
    • Produire des statistiques, les exploiter et piloter le dispositif
    • Recueillir les informations susceptibles de constituer un manquement aux règles de déontologie de la part d'un professionnel de santé inscrit à un ordre professionnel et les communiquer à l'ordre compétent en application du code de la Sécurité sociale
  • Fondement du traitement : 
    Article 6-1-e) du RGPD: mission d’intérêt public de l’Assurance Maladie
    La mission est notamment fondée sur les articles L.114-9 , L.224-14, L.315-1, L.162-23-13, L.162-1-19 du code de la Sécurité sociale
  • Catégorie de personnes concernées :
    • Assurés, bénéficiaires ou leurs ayants droit
    • Offreurs de soins et prestataires de biens et de services et leurs salariés et/ou représentants légaux
    • Personnes concernées par l’abus, la faute, la fraude et pratique dangereuse : victime, témoin, co-auteur, complice
    • Données des agents de l’Assurance Maladie pour les traces des agents dans les outils
  • Type de données traitées :
    • Assurés ou leurs ayants droit, bénéficiaires ou demandeurs de droits : Données d’identification dont nom, prénom, NIR, date et rang de naissance, photographie ; Données de contact dont domiciliation, information relative à la résidence en établissement d'hébergement de personnes âgées dépendantes, adresse mail et téléphone ; Données relatives au rattachement dont organisme de rattachement, organisme complémentaire et régime ; Données de santé dont diagnostics, traitements, examens complémentaires, contenu des pièces justificatives ; Données issues des protocoles de soins, nature des actes et des soins, données de remboursement et de demandes de prestations, toutes les données relatives à l’état de santé de l’assuré (existence d'une hospitalisation, existence d'une grossesse ou d'une affection de longue durée, existence d’une maladie professionnelle, d’un accident du travail ou d’une inaptitude, etc.) ; Données d’hospitalisation (données administratives et de séjour et toutes données médicales) ; Données de codification dont code CIM, codes des prestations remboursées, codes des actes remboursés ; Données financières dont le bénéfice éventuel de droits soumis à condition de ressources (C2S, AME, ASI…) ; Données relatives à l’ouverture des droits dont données administratives, exonération du ticket modérateur Personnes concernées par la fraude, faute, abus ou pratique dangereuse : victime, témoin, co-auteur, complice ; Données d’identification dont l'identification des tiers concernés, en particulier en tant que victime, témoin des faits, complice ou coauteur potentiel, comportant éventuellement, sauf pour les témoins des faits, le NIR lorsque cette information est utile aux besoins de l'enquête, copie du justificatif d’identité au besoin ; Données financières dont relevé de compte bancaire, sauf concernant les personnes victimes ou témoin ; Données d’ordre juridique dont PV d’audition et pièces complémentaires
    • Offreurs de soins et prestataires de biens et de services et leurs salariés et/ou représentants légaux : Données d’identification dont nom, prénom, date de naissance, numéro RPPS, numéro AM, raison sociale, identifiant SIRET, noms, prénoms et date de naissance du représentant légal et adresse du siège social, validité du permis de conduire ; Données professionnelles dont spécialité, diplômes, compétences, site(s) d’exercice, mode d’exercice, patientèle, plaque d’immatriculation d’un véhicule et autorisation de stationnement ; Données de contact dont adresse de contact, lieu d’exercice, numéro de téléphone, adresse mail, URL site web ; Données financières dont relevés de comptes bancaires, relevés d’honoraires, RIAP, montant des revenus déclarés, salaire ; Données d’ordre juridique dont condamnation, interdiction d’exercer ou du droit de donner des soins aux assurés, existence d’une fraude ou faute antérieure, déconventionnement ; Données relatives aux actions engagées, dont indus, sanctions, signalements auprès du conseil de l’ordre et/ou de l’ARS
    • Pour les agents de l’Assurance Maladie : Données de connexion et actions dans le système d’information de l’Assurance Maladie
  • Destinataire(s) des données : Ces informations peuvent être transmises à la direction et aux services compétents d’un autre organisme d’assurance malade ou du service médical, ainsi qu’aux autorités de tutelles et aux agents de l’Etat ou des organismes mentionnés l’art L114.16-3 du Code de la Sécurité Sociale, ainsi qu’aux Ordres professionnels et la personne mis en cause.
  • Durée de conservation :
    • Les données enregistrées dans les outils de gestion des alertes sont conservées pour une durée maximale de cinq ans. Toute alerte non pertinente est supprimée sans délai.
    • Les données de signalement des fautes, abus et fraudes et anomalies sont conservées pour des durées maximales de :
  1. Un an pour les dossiers classés sans suite par l'organisme ou ayant fait l'objet d'une décision de non-lieu ou de relaxe à compter de la date de cette décision ;
  2. Un an pour les dossiers classés sans suite par le procureur de la République sauf s'ils font encore l'objet d'une procédure de sanction ou conventionnelle ;
  3. Cinq ans à compter de l'intervention d'une décision définitive en cas de contentieux, dans les autres cas.
  • Les données issues de requêtes pour la réalisation du ciblage des dossiers à contrôler sont conservées jusqu'au ciblage suivant sur le même type de faute, abus ou fraude ou la même personne et pendant une durée qui ne peut excéder trois ans.
  • Au-delà de leur délai de conservation, les données mentionnées à l'exception des données relatives aux dossiers classés sans suite, peuvent être archivées pour une période de cinq ans maximum dans un environnement logique séparé, aux fins d'évaluation.
    Les durées sont celles qui avaient fait l’objet d’une demande d’avis à la Cnil sur le projet de décret en conseil d’Etat de 2015 (Décret n° 2015-389 du 3 avril 2015).
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 22/03/2023

Contrôle des prestations : Lutte contre les abus, fautes, fraudes internes

  • Finalité(s) du traitement : Lutte contre les abus, fautes, fraudes internes.
  • Sous-finalité(s) du traitement :
    • Effectuer les opérations nécessaires au calcul des indus et des sanctions pour suivre et analyser des situations administratives, des prestations versées, des soins produits et des biens délivrés
    • Élaborer une typologie des risques de fautes, abus et fraudes permettant de mieux cibler les dossiers à contrôler
    • Suivre les signalements de suspicions de fautes, abus et fraudes afin de diligenter les contrôles, mener les investigations et, le cas échéant, d'engager des actions contentieuses ou des mesures d'accompagnement et/ou des sanctions RH
    • Effectuer des requêtes et produire des statistiques relatives à la fraude, diffuser les informations utiles et piloter le dispositif
    • Réaliser les études et évaluations
  • Fondement du traitement :
    Article 6-1-e) du RGPD: mission d’intérêt public de l’Assurance Maladie
    La mission d’intérêt public est notamment fondée sur les articles L.114-9, L.224-14 et L.611-4 du code de la Sécurité sociale
  • Catégorie de personnes concernées :
    • Agents de l’Assurance Maladie
    • Ayant droit de l’agent
    • Conjoint de l’agent
    • Ascendants et descendants de l’agent
  • Type de données traitées :
    • Données d’identification dont NIR, Nom et prénom, date de naissance
    • Données de contact dont l’adresse postale
    • Données de rattachement dont date de rattachement
    • Données concernant le salarié dont numéro d’agent, organisme de rattachement, niveau hiérarchique, NIR agent
    • Données financières et économique dont Coordonnées bancaires
    • Informations relatives aux droits et aux dispositifs d’accès aux soins dont exonérations liées aux ALD et l’ouverture des droits aux prestations en espèces.
    • Données relatives à la consommation de soins dont remboursements des frais de santé et prestations en espèces
    • Données d’ordre économique et financier dont déclarations de ressources si complémentaire santé solidaire
    • Données relatives à un accident du travail ou une maladie professionnelle dont accès aux remboursements des prestations relatives aux accidents de travail ou maladie professionnelle
    • Données relatives à la situation professionnelle dont niveau de rémunération, éventuellement mi-temps thérapeutique)
    • Traces de connexion au système d’information
  • Destinataire(s) des données : MSSI - DMR.
  • Durée de conservation :
    • Les données utilisées pour les contrôles sont conservées au maximum 3 ans.
    • Les données qui ont fait l’objet d’un contentieux sont conservées 5 ans à compter de l'intervention d'une décision définitive.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 22/03/2023

Contrôle des prestations : Lutte contre les abus, fautes, fraudes des employeurs et tiers

  • Finalité(s) du traitement : Lutte contre les abus, fautes, fraudes des employeurs et tiers.
  • Sous-finalité(s) du traitement :
    • Élaborer une typologie des risques de fautes, abus et fraudes permettant de mieux cibler les dossiers à contrôler
    • Détecter les suspicions de fraudes/fautes et abus en mettant en œuvre des requêtes sur les bases de données ou par modélisation Datamining, exploiter les signalements
    • Mener les investigations des suspicions de fraudes/fautes et abus en mettant en œuvre des contrôles
    • Échanger et partager toute information utile entre les acteurs concernés de l'Assurance Maladie
    • Échanger et partager toute information utile avec les organismes de protection sociale et tout acteur prévu par la réglementation
    • Effectuer les opérations nécessaires au calcul des préjudices, des indus et des sanctions financières
    • Suivre les signalements de suspicions de fautes, abus et fraudes afin de diligenter les contrôles, mener les investigations et, le cas échéant, d'engager des actions contentieuses ou des mesures d'accompagnement - Produire des statistiques, les exploiter et piloter le dispositif
  • Fondement du traitement :
    Article 6-1.c du RGPD: traitement nécessaire au respect d'une obligation légale
    Articles L. 224-14 et L. 315-1 du code de la Sécurité sociale
  • Catégorie de personnes concernées :
    • Assuré victime d’AT/MP
    • Employeur de la victime
    • Agents des organismes (CPAM, Carsat, CGSS, etc.) pour les trace
  • Type de données traitées :
    • Données d’identification assuré
    • Victime dont nom, prénom, date de naissance, données de rattachement
    • Données décrivant les caractéristiques de la faute, l’abus ou la fraude, dont identification des tiers concernés, information utiles relatives à la prestation ou droit servi
    • Données relatives à la situation professionnelle dont les données concernant les circonstances du sinistre (numéro de sinistre, date, type, etc.)
    • Données relatives aux professionnels de santé, établissement
    • Données relatives à l’employeur dont SIRET, raison sociale
    • Données relatives aux actions engagées à l’initiative des organismes, dont montant indu, pénalité financière
    • Données d’ordre économique dont données bancaires (mode de paiement, RIB, etc.)
    • Données de connexion et traces techniques (logs, connexion) des agents exploitables en cas d’incident de sécurité ou de violation de données personnelles
  • Destinataire(s) des données :
    • Les agents des organismes mentionnés à l’article L. 114-16-3 du code de Sécurité sociale
    • Les agents dépendant du ministère chargé des finances publiques chargés de la lutte contre la fraude
  • Durée de conservation : Cinq ans à compter de l’intervention d’une décision définitive en cas de contentieux.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 29/11/2023

Contrôle des prestations : Recouvrement des créances

  • Finalité(s) du traitement : gestion des indus, sommes dues auprès des assurés, professionnels, établissements, employeurs (recouvrement des créances).
  • Sous-finalité(s) du traitement :
    • Identifier les sommes à recouvrer auprès des assurés, professionnels, établissements, employeurs
    • Notifier des sommes dues après des personnes concernées
    • Récupérer les indus de manière automatique ou manuelle
    • Traiter le recouvrement amiable par relances téléphoniques ou écrites
    • Traiter le recouvrement contentieux si nécessaire, par mise en demeure, contrainte, injonction
    • Produire des statistiques, des indicateurs de pilotage et réaliser des études et évaluations (mise en œuvre des politiques)
  • Fondement du traitement :
    Article 6-1.e du RGPD : mission d’intérêt public de l’Assurance Maladie
    Article 6.1.c : traitement nécessaire au respect d'une obligation légale
    Ce traitement est également fondé sur les dispositions du code de la Sécurité sociale (notamment les articles L.133-4 et suivants, L.161-1-5, L.861-1 et R.861-22) et les dispositions du code civil (notamment les articles 1302 et 1302-1)
  • Catégorie de personnes concernées :
    • Bénéficiaires de l’Assurance Maladie
    • Professionnels santé et autres acteurs du secteur sanitaire social et médico-social
    • Employeurs
    • Agents de l’Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Pour les bénéficiaires : Données d’identification dont le nom, prénom, NIR, immatriculation temporaire ou numéro identifiant d'attente ; Données de contact dont adresse postale, e-mail et numéro de téléphone ; Données relatives au rattachement et aux droits dont médecin traitant déclaré ; Données concernant le bénéfice d’une prestation frais de santé ; Coordonnées bancaires ; Données concernant la situation professionnelle dont retraité, chômage ; Données concernant la santé dont situation liée à la maternité, nature et montants des actes, prestations, médicaments ou produits de santé, statut invalidité, exonération du ticket modérateur, données relatives à un AT/MP, prestations en espèce (indemnités journalières) ; Données relatives à la créance dont notamment la cause, la nature, le montant des sommes réclamées et la date du ou des versements donnant lieu à recouvrement, les dates et montants des récupérations sur prestations le cas échéant ; Données concernant la vie personnelle dont situation familiale et composition du foyer ; Données concernant le rattachement à une complémentaire santé ; Toute information communiquée par le bénéficiaire ou tiers intervenant à l’Assurance Maladie dans le cadre de ces procédures.
    • Pour les professionnels santé et autres acteurs du secteur sanitaire social et médico-social : Données d’identification dont nom, prénom, numéros d’identification ; Données relatives à la situation professionnelle dont profession, spécialité, situation conventionnelle ; Données de contact dont adresse postale, adresse email, n° de téléphone ; Données relatives aux prestations dont actes, produits et prestations prescrits et exécutés, tarifs, indicateurs d’activité et relatifs à la pratique, honoraires et rémunérations perçus ainsi que les indicateurs et la patientèle ayant servi au calcul de ces rémunérations ; Données relatives à la créance dont notamment la cause, la nature, le montant des sommes réclamées et la date du ou des versements donnant lieu à recouvrement, les dates et montants des récupérations sur prestations le cas échéant ; Toute information communiquée par les professionnels ou tiers intervenants à l’Assurance Maladie dans le cadre de ces procédures.
    • Pour les employeurs : SIRET et identité du responsable de l’entité morale ; Données de contact dont adresse postale, adresse email, n° de téléphone ; Données financières relatives aux sommes versées, dont notamment le montant de indemnités journalières versées aux salariés ; Toute information communiquée par les employeurs ou tiers intervenants à l’Assurance Maladie dans le cadre de ces procédures.
    • Pour les agents de l’Assurance Maladie : Données de connexion et actions dans le système d’information de l’Assurance Maladie.
  • Destinataire(s) des données :
    • Juridiction ou expert concernés (dont tiers intervenants) en cas de recouvrement contentieux
    • Autres organismes de Sécurité sociale dans le cadre de la fongibilité interbranche prévue par l'article L.133-4-1 du code de la Sécurité sociale
  • Durée de conservation :
    Les durées de conservations des données sont celles déclarées dans le cadre des dispositifs à l’origine de la donnée.
    Le dossier est conservé tant qu’il n’est pas soldé. Le dossier est soldé lorsque la dette est éteinte.
    Les courriers composés dans le cadre de la procédure de récupération de la créance sont conservés jusqu’à extinction de la dette du redevable pour pouvoir mettre en œuvre toutes les phases du recouvrement.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 22/03/2023

Accompagnement accès aux droits/aux soins et gestion des interventions du service social : Service social régional

  • Finalité(s) du traitement : Mise en œuvre des interventions du service social auprès des assuré(e)s.
  • Sous-finalité(s) du traitement :
    • Proposer aux assurés en situation de fragilité et rencontrant des difficultés sociales du fait de la maladie, d’un accident, et/ou d’un arrêt de travail, un accompagnement social individuel et/ou collectif.
    • Recueillir et prendre en compte les sollicitations des assurés, les signalements et les orientations des services internes et des partenaires externes
    • Proposer un accompagnement social à l’assuré et le cas échéant, orienter les assurés qui ne relèvent pas des missions du service social
    • Mettre en œuvre l’intervention sociale individuelle ou collective par une approche psycho-sociale de la situation des assurés et une prise en charge globale des problématiques repérées
    • Échanger les informations utiles sur la situation des assurés auprès du réseau partenarial du service social
    • Acquérir, contrôler, traiter et enregistrer les informations utiles.
    • Suivre, piloter et évaluer la gestion relation assurés et l’accompagnement social réalisé
  • Fondement du traitement : Article 6-1.e du RGPD : mission d’intérêt public de l’Assurance Maladie
  • Catégorie de personnes concernées :
    • Bénéficiaires de l’Assurance Maladie
    • Professionnels de santé ou et partenaires détecteurs
    • Agents de l’Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Données des bénéficiaires : Données d’identification dont Nom, prénom, date de naissance, NIR ; Données de contact dont téléphone, adresse postale, mail ; Données liées à la vie personnelle, au parcours professionnel, aux conditions de vie matérielle, à la couverture sociale, à l’évaluation sociale de la personne concernée, au type d’accompagnement social, à l’identification de tiers concourant à la prise en charge sociale.
    • Données divers : Présence de champs libres pour permettre aux agents du service social de saisir des informations complémentaires sur la situation de l’assuré.
    • Données des agents du service social : Données de connexion et action dans les outils.
    • Données des partenaires : Données d’identification dont nom et prénom - Données de contact dont téléphone, adresse postale, mail.
  • Destinataire(s) des données : Partenaires intervenant dans le cadre de l’accompagnement social
  • Durée de conservation :
    Les données de GAIA sont conservées 12 mois à compter de la clôture de l’accompagnement social individuel puis purgées.
    Les données de GAIA sont conservées jusqu’à 18 mois à compter de la clôture du projet d’action collective puis purgées.
    Si aucun accompagnement social n’a été mis en œuvre, les données de l’assuré dans GAIA sont conservées 6 mois puis purgées.
    La durée de conservation des données de DEMETER est de 36 mois
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 31/01/2023

Accompagnement accès aux droits/aux soins et gestion des interventions du service social : École de service social

  • Finalité(s) du traitement : Gestion de l’école de service social (ESS).
  • Sous-finalité(s) du traitement :
    • Gestion des inscriptions à l'ESS
    • Mise à disposition des outils nécessaires à l'enseignement.
    • Gestion des formations et stages ESS
  • Fondement du traitement :
    Article 6.1.f du RGPD : Intérêt légitime
    Article 6.1.a du RGPD : le consentement est requis pour la publication des résultats sur Internet
  • Catégorie de personnes concernées : Les étudiants et stagiaires de l'ESS
  • Type de données traitées :
    • Étudiants et stagiaires : nom, prénom, date de naissance, nationalité (française, UE, autres), adresse, téléphone, adresse mail, n° de sécurité social
    • Scolarité et formations : niveau d’études, formations suivies, diplômes obtenus, dates d’obtention
    • Vie professionnelle : activités professionnelles, engagements bénévoles, structure accueillante, fonction dans le bénévolat, durée d’engagement, métier visé.
    • Publication des résultats au concours DEASS : nom, prénom (sous réserve de l’accord du candidat) et décision.
    • Identité des prestataires intervenants pour les stages.
  • Destinataire(s) des données : Les agents, enseignants et intervenants de l’école de service social
  • Durée de conservation : 10 ans
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 06/12/2023

Gestion de la délivrance des soins et accompagnement : Centre d’examen de santé (CES)

  • Finalité(s) du traitement : Gestion et réalisation des missions des centres d’examens de santé (CES).
  • Sous-finalité(s) du traitement :
    • Acquérir contrôler et traiter l'enregistrement des informations utiles
    • Gérer les invitations et RDV des publics
    • Mener les examens de prévention en santé (dont auto-questionnaires)
    • Gérer les programmes d’éducation thérapeutique du patient
    • Gérer les actions d’éducation en santé
    • Effectuer les opérations relatives à l'identification, la sélection et la sollicitation des publics
    • Produire des statistiques, des indicateurs de pilotage et réaliser des études et évaluations
  • Fondement du traitement :
    Article 6.1.e du RGPD : le traitement est nécessaire à l'exécution d'une mission d’intérêt public de la Cnam.
    La mission d'intérêt public est notamment fondée sur les textes suivants : article L321-3 du code de la Sécurité sociale, article R.321 -5 du code de la Sécurité sociale.
    L’examen en santé promulgué par les CES est facultatif.
  • Catégorie de personnes concernées :
    • Le consultant, bénéficiaire de l’Assurance Maladie
    • Professionnels de santé ou administratif exerçant dans les centres d'examens de santé
    • Professionnels extérieurs au centre mais entrant dans le cadre de la prise en charge
    • Médecins-traitants si connus
    • Agents de l'Assurance Maladie pour les traces de connexion dans les système d'information
  • Type de données traitées :
    • Pour les consultants : Données d’identification dont Nom, prénom, NIR, NIA, sexe, date de naissance, date de décès ; Données de contact dont l’adresse complète, l’adresse mail et le numéro de téléphone ; Données relatives au rattachement dont organisme de rattachement, régime, ouverture de droit ; Données relatives à la santé dont suivi médical, antécédents médicaux personnels et familiaux, état de santé actuel, les traitements, tout élément nécessaire pour le professionnel de santé pour juger de l’état de santé du consultant, résultats des examens de santé réalisés au centre d’examens de santé ; Données financières limitées au bénéfice de la CSS ; Données relatives à la vie personnelle dont situation familiale, habitude de vie et situation matrimoniale ; Données relatives à la situation professionnelle dont profession, niveau d’études ; Données issues du questionnaire d’évaluation de la précarité et des inégalités de santé dans les centres d’examens de santé (EPICES).
    • Pour les professionnels de santé : Données d’identification dont nom, prénom, numéro d'identification, habilitations.
    • Pour le médecin traitant du consultant : Données d’identification dont nom, prénom - Données de contact : adresse, adresse de messagerie, numéro de téléphone.
    • Pour les agents des centres d’examen de santé : Données de connexion et actions des agents.
  • Destinataire(s) des données :
    • Le consultant
    • Le médecin traitant sur consentement du consultant
    • La cohorte Constance (cohorte CNAM et Inserm) pour la réalisation d’études et sur consentement du consultant
    • Les laboratoires de biologie médicale sous-traitant du centre d’examens de santé
    • Plateforme de lecture d’électrocardiogramme, sous-traitant du centre d’examens de santé
  • Durée de conservation : Les données administratives et médicales collectées ainsi que les comptes rendus sont conservés vingt ans après leurs envois conformément à l’article R.1112-7 du code de la santé publique.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 29/11/2023

Gestion de la délivrance des soins et accompagnement : Centre médical Stalingrad (CMS)

  • Finalité(s) du traitement : Gestion du centre médical Stalingrad (CMS) .
  • Sous-finalité(s) du traitement :
    • Acquérir contrôler et traiter les informations utiles pour la prise en charge du patient (rendez- vous, dossier médical etc.)
    • Mener les examens et activités de soins propres au centre concerné
    • Assurer la facturation et la prise en charge financière des soins
    • Assurer la communication entre les professionnels identifiés et les structures de soins participant à la prise en charge de la personne concernée et à la coordination de celle-ci
    • Assurer le pilotage et la gestion, dont production de statistiques, indicateurs de pilotage et réalisation d’études et évaluations
  • Fondement du traitement :
    Article 6.1.e du RGPD : Mission d’intérêt public de l’Assurance Maladie.
    Article R 262-4 du code de la Sécurité sociale relatif à la création des œuvres ou institutions sanitaires et sociales par les caisses.
    Décret n°68-327 du 5 avril 1968 relatif à l’exercice de l’action sanitaire et sociale par les caisses (article 9).
  • Catégorie de personnes concernées :
    • Patients des œuvres
    • Personnes de confiance des patients et personnes à prévenir
    • Professionnels de santé et tous membres du personnel du centre (assistantes, agents d'accueil et de facturation...)
    • Professionnels extérieurs au centre intervenant dans la prise en charge (médecins traitant, médecins spécialistes, etc.)
    • Personnel de l'organisme d'Assurance Maladie exerçant des missions de gestion/administration du centre
  • Type de données traitées :
    • Données concernant les patients :
      • Données d’identification dont civilité, nom, prénom, NIR, NIA, identifiant national de santé (INS), sexe, date de naissance, date de décès
      • Données de contact dont l’adresse complète, l’adresse électronique et le numéro de téléphone (portable et fixe)
      • Données relatives au rattachement et aux droits dont l’organisme de rattachement, le régime, l’ouverture de droits et le bénéfice éventuel de la complémentaire santé solidaire, médecin traitant
      • .Données relatives à la santé dont suivi médical, diagnostics, soins ou actes réalisés, prescriptions, antécédent médicaux, état de santé actuel, traitements, tout élément nécessaire au professionnel de santé pour juger de l’état de santé du consultant, handicap et taux d’invalidité
      • Éléments actualisés nécessaires aux décisions diagnostiques et thérapeutiques (fiche d'observation non transmissible)
      • Données relatives à la vie personnelle dont situation familiale, habitude de vie et situation matrimoniale
      • Données relatives à la situation professionnelle dont profession, scolarité
      • Données financières dont les revenus et la situation financière (en cas d’intervention d’une assistante sociale)
      • Données de facturation et de comptabilité
    • Pour les personnes de confiance et personnes à prévenir : données d’identification et de contact
    • Pour les professionnels :
      • Données d’identification dont nom et prénom, photographie
      • Données relatives à la situation professionnelle dont numéro de PS, fonction, spécialisation, diplômes et service
      • Données de contacts
      • Données de connexion au dossier patient informatisé.
  • Destinataire(s) des données :
    • le patient (ses propres données)
    • le médecin traitant ou tout autre professionnel intervenant dans la gestion du dossier médical du patient : informations nécessaires à la prise en charge du patient
    • les agents habilités des services comptables: données financières et de comptabilité
    • direction, personnel habilité (contrôle de gestion, pilotage, etc.) : données statistiques
    • les organismes de protection sociale/complémentaire
  • Durée de conservation : La durée de conservation du dossier médical est régie par l'article R1112-7 du code de la santé publique.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 30/01/2023

Gestion de la délivrance des soins et accompagnement : Escavie

  • Finalité(s) du traitement : Gestion de l’activité Escavie (centre de ressources dédié au handicap et à l’autonomie) intervenant auprès des professionnels, des personnes en situation de handicap et de leur entourage.
  • Sous-finalité(s) du traitement :
    • Évaluer, conseiller, orienter, former les personnes vivant avec un handicap et leur entourage
    • Former les professionnels
    • Offrir des consultations de médecine physique et de réadaptation (MPR) pour la délivrance du certificat d’aptitude à la conduite (CAC) aux véhicules pour personnes en situation de handicap (VPH) résidant à Paris
  • Fondement du traitement :
    Article 6.1.e du RGPD : mission d’intérêt public de l’Assurance Maladie.
    Article R 262-4 du code de la Sécurité sociale relatif à la création des œuvres ou institutions sanitaires et sociales par les caisses.
    Décret n°68-327 du 5 avril 1968 relatif à l’exercice de l’action sanitaire et sociale par les caisses (article 9).
  • Catégorie de personnes concernées :
    • Usagers
    • Personnels médicaux et paramédicaux
    • Médecin du travail
    • Salariés Cramif
    • Professionnels de santé
  • Type de données traitées :
    • Données socio médicales : situation au regard de l’assurance maladie, de la couverture complémentaire, date d’ouverture et de fin de droits, date de décès, situation familiale, situation de handicap, pathologie, déficience, diagnostic médical, conseil service social, conseil ergothérapeute, date ouverture de la demande d’accompagnement, date de clôture du dossier, dates d’interventions, tiers aidant, curatelle, tutelle, étude du domicile (photos), des habitudes de vie, situation économique, coût du dispositif, financement et prise en charge, nature des équipements, etc.
    • Identification des personnes : nom, prénom, date de naissance, âge, courriel, adresse, téléphone.
    • Relations professionnelles : raison sociale, SIREN, SIRET, FNPS, RPPS, activité, fonction dans l’entreprise, courriel, adresse, téléphone, fax, site internet, critère de qualité.
  • Destinataire(s) des données : Interne : équipe ESCAVIE, service social Cramif. Externe : les demandeurs pour leurs propres données, les MDPH, les services de santé au travail.
  • Durée de conservation :
    5 ans après clôture du dossier, puis accès restreint au personnel médical.
    10 ans avant archivage.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 23/11/2023

Gestion relation employeur : Tarification

  • Finalité(s) du traitement : Gestion de la tarification AT/MP.
  • Sous-finalité(s) du traitement :
    • Gestion tarification (service tarification) :
      • Calcul des cotisations AT/MP
      • Notification des taux de cotisation portant sur le risque AT/MP
      • Gestion des contestations
      • Suivi des fautes inexcusables de l'employeur antérieures à avril 2013
      • Contrôle interne
      • Produire des statistiques, des indicateurs de pilotage et réaliser des études et évaluations
    • Gestion des fautes inexcusables (service reconnaissance)
  • Fondement du traitement :
    Article 6.1.e du RGPD : mission d’intérêt public de l’Assurance Maladie.
    La mission d’intérêt public est notamment fondée sur les articles L 215-1 2° et L242-5 du code de la Sécurité sociale.
  • Catégorie de personnes concernées :
    • Victimes d’AT/MP consolidés
    • Employeur
    • Agents de l’Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Données d’identification assuré-victime et/ou autre bénéficiaire d’indemnisation, dont NIR
    • Données de contact dont identité de l’interlocuteur en entreprise, adresse
    • Données relatives à la situation professionnelle dont les données concernant le sinistre (numéro de sinistre, date, type …)
    • Données concernant la santé et la consommation de soins dont type maladie professionnelle, allocation temporaire amiante, résumé des séquelles
    • Données relatives aux professionnels de santé, établissement
    • Données relatives à l’employeur dont SIRET, raison sociale
    • Données concernant des tiers impliqués ou témoins d’accidents
    • Données d’ordre économique dont nature de l'emploi exercé, données de salaire, type d’indemnisation, données liées à l'appréciation des difficultés sociales
    • Données de connexion et traces techniques (logs, connexion) des agents exploitables en cas d’incident de sécurité ou de violation de données personnelles
    • Cookies et traceurs des sites ou applications de l’Assurance Maladie
  • Destinataire(s) des données :
    • Agents des Carsat
    • Employeur
    • Agents des organismes de recouvrement (Urssaf, Acoss)
  • Durée de conservation :
    • 2 ans + l'année en cours pour les enquêtes tarification dans l'application GDT
    • 15 ans pour la gestion des contentieux technique de la tarification
    • 25 ans pour le calcul des taux
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 27/01/2023

Gestion relation employeur : La prévention des risques professionnels

  • Finalité(s) du traitement : Gestion et mise en œuvre de la prévention des risques professionnels.
  • Sous-finalité(s) du traitement :
    • Ciblage des employeurs,
    • Mise en œuvre et déploiement des programmes de prévention des risques professionnels (TMS Pros, risques chimiques Pros, chutes, actions TPE, …)
    • Renforcement des leviers d'incitation à la prévention en direction des entreprises (subventions prévention TPE, contrats de prévention, …)
    • Prévention de la désinsertion professionnelle
    • Statistiques de sinistralité
  • Fondement du traitement :
    Article 6.1.e du RGPD : mission d’intérêt public de l’Assurance Maladie. La mission d’intérêt public est notamment fondée sur les articles :
    L215-1, L 422-4 et L 422-5 du code de la Sécurité sociale, L4163-1 et suivants du code du travail
  • Catégorie de personnes concernées :
    • Chef d’entreprise, salariés d’entreprise
    • Agents du service prévention de la Cramif
  • Type de données traitées :
    • Données d’identification et de contact des entreprises (coordonnées), email, téléphone
    • Données relatives à l’employeur dont SIRET, raison sociale, représentants du personnel
    • Données d’ordre économique, dont coordonnées bancaires, salaires, type d’indemnisations, montant de cotisation déclaré
    • Données relatives aux accidents du travail/ maladie professionnelle (AT/MP), dont sinistralité
    • Données de localisation (code INSEE de la commune)
    • Données relatives à la situation professionnelle, dont exposition à des risques
    • Données relatives aux services de Prévention et de Santé au Travail Interentreprises (SPSTI)
    • Données de connexion et traces des actions des agents dans les outils ex : les saisies sous Agaprev et l’insertion de documents
  • Destinataire(s) des données :
    • Services de prévention de la Cramif
    • L’employeur ou chef établissement ou personne en charge du suivi du programme de prévention
    • Les agents individuellement désignés, assermentés et dûment habilités de la Cramif contributeurs à la prévention du risque professionnel
  • Durée de conservation :
    Données relatives aux programmes de prévention des risques professionnels : en fonction du programme de prévention. Maximum 20 ans pour suivi des mesures mises en place (50 ans pour l’amiante).
    Données relatives à la prévention de la désinsertion professionnelle : 2 ans.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 22/03/2023

Gestion relation employeur : La satisfaction des employeurs

  • Finalité(s) du traitement : Évaluer la satisfaction des employeurs et les usages de nos services (y compris dématérialisés) pour adapter nos offres de services.
  • Sous-finalité(s) du traitement :
    • Comprendre les attentes et avoir l’avis des employeurs pour adapter la stratégie de l’Assurance Maladie
    • Aider chaque entité à tester et évaluer les nouvelles offres de service ou des évolutions majeures des offres de service existantes
    • Piloter la stratégie relationnelle avec les employeurs
    • Identifier les opportunités d'actions et de développement et concevoir des préconisations
    • Élaborer les indicateurs de satisfaction des contrats pluriannuels de gestion et les conventions d’objectif de gestion
    • Optimiser la relation client de l’Assurance Maladie avec les employeurs
    • Évaluer statistiquement ce type d’enquête
  • Fondement du traitement :
    Article 6.1.e du RGPD : le traitement est nécessaire à l'exécution d'une mission d’intérêt public de la Cnam.
    La mission d'intérêt public est notamment fondée sur les textes suivants : L.162-1-11 du code de la Ssécurité sociale, L.215-1 2°, L.422-1 du code de la Sécurité sociale, L.221-1 2° du code de la Sécurité sociale.
  • Catégorie de personnes concernées :
    • Employeurs (leur(s) représentant(s), leur(s) tiers déclarant)
    • Bénéficiaires de l'Assurance Maladie
    • Agents de l'Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Pour les employeurs : Données d’identification dont numéros et codes d’identification de l’employeur et secteur de l’entreprise (SIRET, APE, NAF, forme juridique), raison sociale, nom de l’employeur et des interlocuteurs, caisse de rattachement, nombre de salariés ; Données de contact dont adresse email, adresse postale, n° de téléphone de l’employeur et de l’interlocuteur ; Données relatives aux accidents du travail / maladies professionnelles (AT/MP) dont taux d'accidents du travail, déclaration de salaires pour versement des indemnités journalières (DSIJ), déclaration sociale nominative (DSN), déclarations d'accidents du travail (DAT), offres de service AT/MP et à l'appréciation de la relation client de la part des cibles concernées ; Données relatives aux services et produits de l’Assurance Maladie dont données relatives à l’adhésion et/ou le recours aux services et téléservices de l’assurance maladie et de l'Assurance Maladie - Risques professionnels ; Données relatives à l’activité économique dont activité principale de l’employeur ; Données relatives aux accidents du travail / maladies professionnelles.
    • Pour les agents de l’Assurance Maladie : Données de connexion et traces techniques (logs, connexion).
  • Destinataire(s) des données : Les agents habilités d’autres organismes avec lesquels l’Assurance Maladie a un partenariat comme les caisses régionales ainsi que des organismes avec lesquels l’Assurance Maladie et l'Assurance Maladie - Risques professionnels ont un partenariat comme le GIP-MDS, autres OPS (URSSAF, etc.).
  • Durée de conservation :
    Une durée de conservation de 6 mois maximum est fixée.
    Les données de connexion de l’Assurance Maladie sont conservées 12 mois conformément à la politique de sécurité des systèmes d’information de l’Assurance Maladie (PSSI-MCAS).
  • Recours à la sous-traitance :
    La réalisation de l'évaluation peut être confiée à un sous-traitant.
    L’hébergement des données peut être interne à l’Assurance Maladie ou externe en cas de recours à de la sous-traitance. Les mesures de sécurité nécessaires sont mises en place pour assurer un hébergement sécurisé, conforme aux besoins de sécurité exprimés. Cet hébergement est en France ou dans l’Union européenne.
    En cas de recours à la sous-traitance, une convention, signée entre l’Assurance Maladie et l’autre partie, régit les obligations de chaque partie et les modalités de la relation.
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 16/11/2023

Gestion relation employeur : Test de la pertinence d’une nouvelle offre de service auprès des employeurs

  • Finalité(s) du traitement : Tester la pertinence auprès des employeurs d'une nouvelle offre de service /prestation ou d'une évolution.
  • Sous-finalité(s) du traitement :
    • Aider les directions et services concernés à tester et évaluer une nouvelle offre de service ou une offre existante modifiée
    • Piloter la stratégie relationnelle avec les employeurs
    • Identifier les opportunités d'actions et de développement et faire des préconisations
    • Optimiser la relation client de l’Assurance Maladie avec les employeurs
    • Piloter et évaluer l’efficacité et l’efficience des enquêtes
  • Fondement du traitement :
    Article 6.1.e du RGPD : le traitement est nécessaire à l'exécution d'une mission d’intérêt public de la Cnam.
    La mission d'intérêt public est notamment fondée sur les textes suivants : L.162-1-11 du code de la Ssécurité sociale, L.215-1 2°, L.422-1 du code de la Sécurité sociale, L.221-1 2° du code de la Sécurité sociale.
  • Catégorie de personnes concernées :
    • Employeurs (leur(s) représentant(s), leur(s) tiers déclarant)
    • Bénéficiaires de l'Assurance Maladie
    • Agents de l'Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Pour les employeurs, leur(s) représentant(s), leur(s) tiers déclarant : Données d’identification dont numéros et codes d’identification de l’employeur, secteur de l’entreprise (SIRET, APE, NAF, forme juridique), raison sociale, nom de l’employeur et des interlocuteurs, caisse de rattachement, nombre de salariés ; Données de contact dont adresse email, n° de téléphone de l’employeur et de l’interlocuteur, fonction, lien avec l'entreprise ; Données relatives aux accidents du travail / maladies professionnelles (AT/MP) dont taux d'accidents du travail, déclaration de salaires pour versement des indemnités journalières (DSIJ), déclaration sociale nominative (DSN), déclarations d'accidents du travail (DAT), offres de service AT/MP ; Données relatives aux services et produits de l’Assurance Maladie dont données relatives à l’adhésion et/ou le recours aux services et téléservices de l’Assurance Maladie - Risques professionnels ; Données relatives à l’activité économique dont activité principale de l’employeur.
    • Pour les bénéficiaires : Données relatives aux accidents du travail / maladies professionnelles.
    • Pour les agents de l’Assurance Maladie : Données de connexion et traces techniques (logs, connexion).
  • Destinataire(s) des données : Les agents habilités d’autres organismes avec lesquels l’Assurance Maladie et l'Assurance Maladie - Risques professionnels ont un partenariat comme le GIP-MDS, autres OPS (URSSAF, etc.).
  • Durée de conservation :
    Une durée de conservation de 6 mois maximum est fixée.
    Les données de connexion de l’Assurance Maladie sont conservées 12 mois conformément à la politique de sécurité des systèmes d’information de l’Assurance Maladie (PSSI-MCAS).
  • Recours à la sous-traitance :
    La réalisation de l'évaluation peut être confiée à un sous-traitant.
    L’hébergement des données peut être interne à l’Assurance Maladie ou externe en cas de recours à de la sous-traitance. Les mesures de sécurité nécessaires sont mises en place pour assurer un hébergement sécurisé, conforme aux besoins de sécurité exprimés. Cet hébergement est en France ou dans l’Union européenne.
    En cas de recours à la sous-traitance, une convention, signée entre l’Assurance Maladie et l’autre partie, régit les obligations de chaque partie et les modalités de la relation.
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 16/11/2023

Gestion relation assurés : Promotion des produits et offres

  • Finalité(s) du traitement : Promouvoir les produits et offres de services de l’Assurance maladie auprès des assurés.
  • Sous-finalité(s) du traitement :
    • Constituer des groupes d’assurés sur des critères pertinents
    • Optimiser le ciblage des offres de service
    • Favoriser l’accès à l’information et aux droits des bénéficiaires de l’Assurance maladie
    • Améliorer l’image de l’Assurance maladie
    • Piloter et évaluer statistiquement les activités de promotion
  • Fondement du traitement :
    Article 6.1.e du RGPD : mission d’intérêt public de l’Assurance Maladie.
    La mission d’intérêt public est notamment fondée sur l’article L162-1-11 du code de la Sécurité sociale.
  • Catégorie de personnes concernées :
    • Bénéficiaires de l’Assurance Maladie
    • Professionnels de santé, prestataires et fournisseurs de services
    • Agents de l'Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Pour les bénéficiaires : Données d’identification dont NIR, nom, prénom, sexe, date de naissance ; Données de contact dont adresse postale, adresse email, n° de téléphone ; Données relatives au rattachement et aux droits dont médecin traitant déclaré, bénéfice d’une prestation, situation liée à la maternité ; Données relatives aux offres et produits de l’Assurance Maladie dont données relatives à l’adhésion, à la carte Vitale ; Données relatives à la vie personnelle dont habitudes de vie, situation familiale et composition du foyer ; Données relatives à la situation professionnelle dont niveau de diplôme, type de poste, retraité, chômageDonnées d’ordre économique et financier ; Coordonnées bancaires ; Données relatives à la santé dont situation liée à la maternité, nature et montants des actes, prestations, médicaments ou produits de santé, statut invalidité, exonération du ticket modérateur, données relatives à un AT/MP ; Cookies et traceurs des sites ou applications de l’Assurance Maladie.
    • Pour les professionnels de santé, prestataires et fournisseurs de services : Données d’identification dont nom, prénom, numéro d’identification ; Données relatives à la situation professionnelle dont profession, spécialité, situation conventionnelle ; Données de contact dont adresse postale, adresse email, n° de téléphone ; Données relatives aux prestations dont actes, produits et prestations prescrits et exécutés, tarifs, indicateurs d’activité et relatifs à la pratique.
    • Pour les agents de l’Assurance Maladie : Données de connexion et traces techniques (logs, connexion)
  • Destinataire(s) des données : Aucune donnée traitée n'est communiquée à des tiers.
  • Durée de conservation :
    Pour une campagne de promotion, la durée de conservation est fixée à 6 mois.
    Les données de connexion de l’Assurance Maladie sont conservées 12 mois conformément à la politique de sécurité des systèmes d’information de l’Assurance Maladie (PSSI-MCAS).
  • Recours à la sous-traitance :
    La réalisation de l'évaluation peut être confiée à un sous-traitant.
    L’hébergement des données peut être interne à l’Assurance Maladie ou externe en cas de recours à de la sous-traitance. Les mesures de sécurité nécessaires sont mises en place pour assurer un hébergement sécurisé, conforme aux besoins de sécurité exprimés. Cet hébergement est en France ou dans l’Union européenne.
    En cas de recours à la sous-traitance, une convention, signée entre l’Assurance Maladie et l’autre partie, régit les obligations de chaque partie et les modalités de la relation.
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 17/02/2023

Gestion relation assurés : Suivi de la relation avec les assurés

  • Finalité(s) du traitement : Suivi de la relation et connaissance des assurés.
  • Sous-finalité(s) du traitement :
    • Gestion des référentiels des coordonnées de contact
    • Contrôle de l'identité des bénéficiaires
    • Réponse multicanal (accueil téléphonique, physique, courriers, courriels)
    • Accompagnement des publics particuliers
    • Suivi et évaluation qualité des contacts et échanges (multicanaux dont écoutes téléphoniques)
    • Gestion et conservation de l’historique des échanges (multicanaux)
    • Gestion des signalements et incivilités
    • Production et exploitation de données statistiques à des fins de pilotage, d'amélioration de la qualité des services et de la connaissance des publics (cartographie, segmentation)
  • Fondement du traitement :
    Article 6.1.e du RGPD : mission d’intérêt public de l’Assurance Maladie.
    La mission d’intérêt public est notamment fondée sur l’article L162-1-11 du code de la Sécurité sociale.
  • Catégorie de personnes concernées :
    • Bénéficiaires
    • Professionnels de santé, prestataires et fournisseurs de services
    • Agents de l'Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Pour les bénéficiaires : Données d’identification dont le nom, prénom, sexe, date, lieu et rang de naissance, NIR ; Données de contact dont adresse postale, e-mail, numéros de téléphone, autorisation d’envoyer des messages non sollicités à des fins de promotion ; Données relatives au rattachement et aux droits dont médecin traitant déclaré, caisse de rattachement, exonération ticket modérateur, complémentaire santé, informations sur les cartes d'assurance maladie, derniers remboursements, créances éventuelles, revenus de remplacement, présence et statut compte assuré (ouvert / désactivé) ; Données relatives au contenu des échanges dont motif de contact ; Données nécessaires à la gestion de la demande, extraites des bases de gestion et affichées sur la fiche client mise à disposition de l’agent dont informations concernant la santé comme existence d’une grossesse, d’un accident du travail ; Données relatives aux modalités des échanges dont canal de contact, rendez-vous, horodatage ; Cookies et traceurs des sites ou applications de l’Assurance Maladie.
    • Pour les agents de l’Assurance Maladie : Données d’identification, caisse de rattachement ; Données de connexion et traces techniques (logs, connexion).
  • Destinataire(s) des données :
    • Les bénéficiaires eux-mêmes pour tout ou partie des données les concernant restituées via les différents canaux
    • Agents habilités des autres organismes d’Assurance Maladie à des fins de supervision croisée et d’amélioration de la relation client
    • Agents habilités par le directeur de leur organisme des régimes et mutuelles partenaires (RMP)
    • Au niveau national, l’exploitation des données ne peut être réalisée que sur des données anonymes et agrégées.
    • Agents des organismes de protection sociale mentionnés comme destinataires et dans les conditions prévues par les textes relatifs au répertoire national commun de la protection sociale (RNCPS)
  • Durée de conservation :
    Pour une campagne de promotion, la durée de conservation est fixée à 6 mois.
    Les données relatives aux contacts ne sont pas conservées plus de deux ans.
    Pour les appels téléphoniques qui font l'objet d'un enregistrement : deux mois maximum en l'absence d'exploitation et 6 mois en cas d'exploitation de l'enregistrement.
    Les données sont conservées en archivage intermédiaire, dans un environnement logique séparé, à des fins de gestion des réclamations ou de contentieux.
  • Recours à la sous-traitance :
    La réalisation des opérations de gestion de la relation avec le public peuvent être confiées à un sous-traitant. Par exemple pour la gestion des plateformes de services, de la téléphonie.
    L’hébergement des données peut être interne à l’Assurance Maladie ou externe en cas de recours à de la sous-traitance. Les mesures de sécurité nécessaires sont mises en place pour assurer un hébergement sécurisé, conforme aux besoins de sécurité exprimés. Cet hébergement est en France ou dans l’Union européenne.
    En cas de recours à la sous-traitance, une convention, signée entre l’Assurance Maladie et l’autre partie, régit les obligations de chaque partie et les modalités de la relation.
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 06/11/2023

Gestion relation assurés : La satisfaction des assurés

  • Finalité(s) du traitement : Évaluer la satisfaction des assurés et les usages des offres, services, produits de l’Assurance Maladie.
  • Sous-finalité(s) du traitement :
    • Comprendre et connaître les attentes et avoir l’avis des assurés
    • Connaître les attentes et préférences des assurés pour adapter la stratégie de l’Assurance Maladie Aider chaque service de la Cnam proposant une nouvelle offre ou un nouveau service et/ou en le/la faisant évoluer à la/le tester et évaluer
    • Piloter la stratégie relationnelle avec les assurés Identifier les opportunités d'actions et de développement et faire des préconisations
    • Élaborer les indicateurs de satisfaction des contrats pluriannuels de gestion et les conventions d’objectif de gestion
    • Optimiser la relation client de l’Assurance maladie avec les assurés Evaluer statistiquement ce type d’enquête
  • Fondement du traitement :
    Article 6.1.e du RGPD : le traitement est nécessaire à l'exécution d'une mission d’intérêt public de la Cnam.
    La mission d’intérêt public est notamment fondée sur l’article L162-1-11 du code de la Sécurité sociale.
  • Catégorie de personnes concernées :
    • Bénéficiaires de l’Assurance Maladie et leurs ayants-droit
    • Professionnels de santé, prestataires et fournisseurs de services
    • Agents de l'Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Pour les bénéficiaires : Données d’identification dont NIR, nom, prénom, sexe, date de naissance ; Données de contact dont adresse postale, adresse email, n° de téléphone ; Données relatives au rattachement et aux droits dont médecin traitant déclaré, bénéfice d’une prestation, situation liée à la maternité ; Données relatives aux offres et produits de l’Assurance Maladie dont données relatives à l’adhésion, à la carte Vitale ; Données relatives à la vie personnelle dont habitudes de vie, situation familiale et composition du foyer ; Données relatives à la situation professionnelle dont niveau de diplôme, type de poste, retraité, chômage ; Données d’ordre économique et financier ; Données identifiants bancaires ; Données relatives à la santé dont situation liée à la maternité, nature et montants des actes, prestations, médicaments ou produits de santé, statut invalidité, exonération du ticket modérateur, données relatives à un accident du travail / maladie professionnelle (AT/MP).
    • Pour les professionnels de santé, prestataires et fournisseurs de services : Données d’identification dont nom, prénom, numéro d’identification ; Données relatives à la situation professionnelle dont profession, spécialité, situation conventionnelle ; Données de contact dont adresse postale, adresse email, n° de téléphone ; Données relatives aux prestations dont actes, produits et prestations prescrits et exécutés, tarifs, indicateurs d’activité et relatifs à la pratique.
    • Pour les agents de l’Assurance Maladie : Données de connexion et traces techniques (logs, connexion).
  • Destinataire(s) des données : Aucune donnée traitée n'est communiquée à des tiers.
  • Durée de conservation :
    La durée maximale de conservation est fixée à 6 mois.
    Les données de connexion de l’Assurance Maladie sont conservées 12 mois conformément à la politique de sécurité des systèmes d’information de l’Assurance Maladie (PSSI-MCAS).
  • Recours à la sous-traitance :
    La réalisation de l'action peut être confiée à un sous-traitant.
    L’hébergement des données peut être interne à l’Assurance Maladie ou externe en cas de recours à de la sous-traitance. Les mesures de sécurité nécessaires sont mises en place pour assurer un hébergement sécurisé, conforme aux besoins de sécurité exprimés. Cet hébergement est en France ou dans l’Union européenne.
    En cas de recours à la sous-traitance, une convention, signée entre l’Assurance Maladie et l’autre partie, régit les obligations de chaque partie et les modalités de la relation.
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 16/11/2023

Gestion relation assurés : La pertinence de notre offre de service

  • Finalité(s) du traitement : Tester la pertinence auprès des assurés d’une nouvelle offre de service /prestation ou d’une évolution.
  • Sous-finalité(s) du traitement :
    • Aider les directions et services concernés à tester et évaluer une nouvelle offre de service ou une offre existante modifiée
    • Piloter la stratégie relationnelle avec les assurés Identifier les opportunités d'actions et de développement et faire des préconisations
    • Optimiser la relation client de l’Assurance Maladie avec les assurés
    • Piloter et évaluer l’efficacité et l’efficience des enquêtes
  • Fondement du traitement :
    Article 6.1.e du RGPD : le traitement est nécessaire à l'exécution d'une mission d’intérêt public de la Cnam.
    La mission d’intérêt public est notamment fondée sur l’article L162-1-11 du code de la Sécurité sociale.
  • Catégorie de personnes concernées :
    • Bénéficiaires de l’Assurance Maladie et leurs ayants-droit
    • Professionnels de santé, prestataires et fournisseurs de services
    • Agents de l'Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Pour les bénéficiaires : Données d’identification dont NIR, nom, prénom, sexe, date de naissance ; Données de contact dont adresse postale, adresse email, n° de téléphone ; Données relatives au rattachement et aux droits dont médecin traitant déclaré, bénéfice d’une prestation, situation liée à la maternité ; Données relatives aux offres et produits de l’Assurance Maladie dont données relatives à l’adhésion, à la carte Vitale ; Données relatives à la vie personnelle dont habitudes de vie, situation familiale et composition du foyer ; Données relatives à la situation professionnelle dont niveau de diplôme, type de poste, retraité, chômage ; Données d’ordre économique et financier ; Données identifiants bancaires ; Données relatives à la santé dont situation liée à la maternité, nature et montants des actes, prestations, médicaments ou produits de santé, statut invalidité, exonération du ticket modérateur, données relatives à un accident du travail / maladie professionnelle (AT/MP).
    • Pour les professionnels de santé, prestataires et fournisseurs de services : Données d’identification dont nom, prénom, numéro d’identification ; Données relatives à la situation professionnelle dont profession, spécialité, situation conventionnelle ; Données de contact dont adresse postale, adresse email, n° de téléphone ; Données relatives aux prestations dont actes, produits et prestations prescrits et exécutés, tarifs, indicateurs d’activité et relatifs à la pratique.
    • Pour les agents de l’Assurance Maladie : Données de connexion et traces techniques (logs, connexion).
  • Destinataire(s) des données : Aucune donnée traitée n'est communiquée à des tiers.
  • Durée de conservation :
    La durée maximale de conservation est fixée à 6 mois.
    Les données de connexion de l’Assurance Maladie sont conservées 12 mois conformément à la politique de sécurité des systèmes d’information de l’Assurance Maladie (PSSI-MCAS).
  • Recours à la sous-traitance :
    La réalisation de l'action peut être confiée à un sous-traitant.
    L’hébergement des données peut être interne à l’Assurance Maladie ou externe en cas de recours à de la sous-traitance. Les mesures de sécurité nécessaires sont mises en place pour assurer un hébergement sécurisé, conforme aux besoins de sécurité exprimés. Cet hébergement est en France ou dans l’Union européenne.
    En cas de recours à la sous-traitance, une convention, signée entre l’Assurance Maladie et l’autre partie, régit les obligations de chaque partie et les modalités de la relation.
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 16/11/2023

Gestion relation professionnels de santé : Conventionnement et installation

  • Finalité(s) du traitement : Gestion du conventionnement et de l'installation.
  • Sous-finalité(s) du traitement :
    • Acquérir, contrôler, traiter les informations nécessaires à :
      • L’inscription, l’installation, le remplacement, l’exercice professionnel
      • L’attribution du numéro de facturation (appelé numéro FNPS). Ce dernier est attribué par la Cramif mais c’est la CPAM du lieu d’implantation du professionnel qui est en charge de l’alimentation (création, mise à jour) du fichier national
      • La gestion et le suivi de l’application des conventions
      • La gestion des contacts (appels, messages) et l’envoi d’informations professionnelles (courriers, convocations)
    • Produire des statistiques, des indicateurs de pilotage et réaliser des études et évaluations (mise en œuvre des politiques)
    • Produire, traiter et mettre en œuvre les informations utiles à l’installation ou l’exercice conventionnel des professionnels
  • Fondement du traitement :
    Article 6.1.e du RGPD : mission d’intérêt public de l’assurance Maladie.
    La mission d’intérêt public est notamment fondée sur l’article L162-5 et suivants du code de la Sécurité sociale et la loi 93-8 du 4 janvier 1993 relative aux relations entre les professions de santé et l’Assurance Maladie.
  • Catégorie de personnes concernées :
    • Professionnels de santé pour la LPP uniquement : opticiens, audioprothésistes, orthopédistes-orthésistes, prothésistes oculaires et épithésistes, podo-orthésistes, orthoprothésistes, prestataires relevant du Titre I et IV (matériel de traitement, véhicules pour handicapés moteurs)
    • Agents de l'Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Pour les professionnels de santé : Données d’identification dont nom, prénom, numéros d’identification ; Données de contact dont adresse postale, adresse email, n° de téléphone ; Données relatives à la situation professionnelle dont spécialité, situation conventionnelle, date d’installation ; Coordonnées bancaires.
    • Pour les agents de la Cramif : Données de connexion et actions dans le système d’information de l’Assurance Maladie.
  • Destinataire(s) des données :
    • Professionnels de santé émetteurs des factures
    • Organismes de Sécurité sociale
    • Personnels habilités du service régulation de l’offre de soins, ainsi que le service enquêteur
  • Durée de conservation :
    Aucune épuration de la base FNPS n’a été réalisée.
    Dans la fiche descriptive Cramif : 5 ans après la cessation d’activité de l’entreprise (5 ans + 1 jour).
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 27/01/2023
  • Mise à jour : 16/11/2023

Gestion relation professionnels de santé : Promotion de l’offre de service

  • Finalité(s) du traitement : Promouvoir les offres de services de l’Assurance Maladie auprès des professionnels.
  • Sous-finalité(s) du traitement :
    • Informer les professionnels de santé concernés sur leurs droits et les services de l’Assurance Maladie dont téléservices ou nouvelles procédures
    • Améliorer la relation et la confiance entre les professionnels de santé et l’Assurance Maladie
    • Accélérer les traitements, améliorer les prises en charge
    • Éviter les ruptures, prévenir les questions en proactivité
    • Informer sur les canaux issus des NTIC adaptés à la demande
    • Piloter et évaluer et faire des statistiques sur les activités de promotion
  • Fondement du traitement :
    Article 6.1.e du RGPD : le traitement est nécessaire à l'exécution d'une mission d’intérêt public de la Cnam.
    La mission d’intérêt public est notamment fondée sur les textes suivants : L.162-1-11, L 162-5 et suivants du code de la Sécurité sociale et la loi 93-8 du 4 janvier 1993 relative aux relations entre les professions de santé et l’Assurance Maladie.
  • Catégorie de personnes concernées :
    • Professionnels de santé, prestataires et fournisseurs de services
    • Bénéficiaires de l’Assurance Maladie
    • Agents de l'Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Pour les professionnels de santé, prestataires et fournisseurs de services : Données d’identification dont nom, prénom, numéros d’identification ; Données de contact dont adresse postale, adresse email, n° de téléphone ; Données relatives à la situation professionnelle dont profession, spécialité, situation conventionnelle ; Données relatives aux prestations dont actes, produits et prestations prescrits et exécutés, tarifs, indicateurs d’activité et relatifs à la pratique, honoraires et rémunérations perçus ainsi que les indicateurs et la patientèle ayant servi au calcul de ces rémunérations ; Données bancaires identifiants (oui / non) ; Données relatives aux offres et produits de l’Assurance Maladie dont les programmes dans le cadre desquels le professionnel intervient et/ou participe.
    • Pour les bénéficiaires de l’Assurance Maladie : Données relatives au rattachement et aux droits dont médecin traitant ; Données relatives au bénéfice d’une prestation frais de santé ; Données relatives à la santé dont situation liée à la maternité, nature et montants des actes, prestations, médicaments ou produits de santé, statut invalidité, exonération du ticket modérateur, données relatives à un accident du travail, maladie professionnelle ; Données du régime de rattachement, adhésion à un organisme d’assurance maladie complémentaire.
    • Pour les agents de l'Assurance Maladie : Données de connexion et traces techniques (logs, connexion).
  • Destinataire(s) des données : Aucune donnée traitée n'est communiquée à des tiers.
  • Durée de conservation :
    Pour une campagne de promotion, la durée de conservation est fixée à 6 mois.
    Les données de connexion de l’Assurance Maladie sont conservées 12 mois conformément à la politique de sécurité des systèmes d’information de l’Assurance Maladie (PSSI-MCAS).
  • Recours à la sous-traitance : La réalisation de l'action peut être confiée à un sous-traitant.
    L’hébergement des données peut être interne à l’Assurance Maladie ou externe en cas de recours à de la sous-traitance. Les mesures de sécurité nécessaires sont mises en place pour assurer un hébergement sécurisé, conforme aux besoins de sécurité exprimés. Cet hébergement est en France ou dans l’Union européenne.
    En cas de recours à la sous-traitance, une convention, signée entre l’Assurance Maladie et l’autre partie, régit les obligations de chaque partie et les modalités de la relation.
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 16/11/2023

Gestion relation professionnels de santé : La satisfaction des professionnels

  • Finalité(s) du traitement : Évaluer la satisfaction des professionnels et les usages de nos services (y compris dématérialisés) pour adapter nos offres de services.
  • Sous-finalité(s) du traitement :
    • Connaître les attentes et collecter les avis des professionnels pour adapter la stratégie de l’Assurance Maladie
    • Piloter la stratégie relationnelle avec les professionnels de santé
    • Identifier les opportunités d'actions et de développement et faire des préconisations
    • Élaborer les indicateurs de satisfaction des contrats pluriannuels de gestion et les conventions d’objectif de gestion
    • Optimiser la relation client entre l’Assurance Maladie avec les professionnels de santé
    • Évaluer statistiquement ces enquêtes
  • Fondement du traitement :
    Article 6.1.e du RGPD : le traitement est nécessaire à l'exécution d'une mission d’intérêt public de la Cnam.
    La mission d’intérêt public est notamment fondée sur les textes suivants : L.162-1-11, L 162-5 et suivants du code de la Sécurité sociale et la loi 93-8 du 4 janvier 1993 relative aux relations entre les professions de santé et l’Assurance Maladie.
  • Catégorie de personnes concernées :
    • Professionnels de santé, prestataires et fournisseurs de services
    • Bénéficiaires de l’Assurance Maladie
    • Agents de l'Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Pour les professionnels de santé, prestataires et fournisseurs de services : Données d’identification dont nom, prénom, numéros d’identification ; Données de contact dont adresse postale, adresse email, n° de téléphone ; Données relatives à la situation professionnelle dont profession, spécialité, situation conventionnelle ; Données relatives aux prestations dont actes, produits et prestations prescrits et exécutés, tarifs, indicateurs d’activité et relatifs à la pratique, honoraires et rémunérations perçus ainsi que les indicateurs et la patientèle ayant servi au calcul des rémunérations ; Données bancaires : identifiants (oui/non) ; Données relatives aux offres et produits de l’Assurance Maladie dont les programmes dans le cadre desquels le professionnel intervient et/ou participe.
    • Pour les bénéficiaires de l’Assurance Maladie : Données relatives au rattachement et aux droits dont médecin traitant déclaré, bénéfice d’une prestation, situation liée à la maternité ; Données relatives aux offres et produits de l’Assurance Maladie dont données relatives à l’adhésion, à la carte Vitale ; Données relatives à la vie personnelle dont habitudes de vie, situation familiale et composition du foyer ; Données relatives à la situation professionnelle dont niveau de diplôme, type de poste, retraité, chômage ; Données d’ordre économique et financier ; Données relatives à la santé dont situation liée à la maternité, nature et montants des actes, prestations, médicaments ou produits de santé, statut invalidité, exonération du ticket modérateur, données relatives à un accident du travail / maladie professionnelle (AT/MP).
    • Pour les agents de la l'Assurance Maladie : Données de connexion et traces techniques (logs, connexion).
  • Destinataire(s) des données : Aucune donnée traitée n'est communiquée à des tiers.
  • Durée de conservation :
    La durée maximale de conservation est fixée à 6 mois.
    Les données de connexion de l’Assurance Maladie sont conservées 12 mois conformément à la politique de sécurité des systèmes d’information de l’Assurance Maladie (PSSI-MCAS).
  • Recours à la sous-traitance :
    La réalisation de l'action peut être confiée à un sous-traitant.
    L’hébergement des données peut être interne à l’Assurance Maladie ou externe en cas de recours à de la sous-traitance. Les mesures de sécurité nécessaires sont mises en place pour assurer un hébergement sécurisé, conforme aux besoins de sécurité exprimés. Cet hébergement est en France ou dans l’Union européenne.
    En cas de recours à la sous-traitance, une convention, signée entre l’Assurance Maladie et l’autre partie, régit les obligations de chaque partie et les modalités de la relation.
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 16/11/2023

Gestion relation professionnels de santé : Pertinence de l’offre de service

  • Finalité(s) du traitement : Tester la pertinence auprès des professionnels d'une nouvelle offre de service / prestation ou d'une évolution.
  • Sous-finalité(s) du traitement :
    • Aider les directions et services concernés à tester et évaluer une nouvelle offre de service ou une offre existante modifiée
    • Piloter la stratégie relationnelle avec les professionnels de santé
    • Identifier les opportunités d'actions et de développement et faire des préconisations
    • Optimiser la relation client de l’Assurance Maladie avec les professionnels de santé
    • Piloter et évaluer l’efficacité et l’efficience des enquêtes
  • Fondement du traitement :
    Article 6.1.e du RGPD : le traitement est nécessaire à l'exécution d'une mission d’intérêt public de la Cnam.
    La mission d’intérêt public est notamment fondée sur les textes suivants : L.162-1-11, L 162-5 et suivants du code de la Sécurité sociale et la loi 93-8 du 4 janvier 1993 relative aux relations entre les professions de santé et l’Assurance Maladie.
  • Catégorie de personnes concernées :
    • Professionnels de santé, prestataires et fournisseurs de services
    • Bénéficiaires de l’Assurance Maladie
    • Agents de l'Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Pour les professionnels de santé, prestataires et fournisseurs de services : Données d’identification dont nom, prénom, numéros d’identification ; Données de contact dont adresse postale, adresse email, n° de téléphone ; Données relatives à la situation professionnelle dont profession, spécialité, situation conventionnelle ; Données relatives aux prestations dont actes, produits et prestations prescrits et exécutés, tarifs, indicateurs d’activité et relatifs à la pratique, honoraires et rémunérations perçus ainsi que les indicateurs et la patientèle ayant servi au calcul des rémunérations ; Données bancaires : identifiants (oui/non) ; Données relatives aux offres et produits de l’Assurance Maladie dont les programmes dans le cadre desquels le professionnel intervient et/ou participe.
    • Pour les bénéficiaires de l’Assurance Maladie : Données relatives au rattachement et aux droits dont médecin traitant déclaré, bénéfice d’une prestation, situation liée à la maternité ; Données relatives aux offres et produits de l’Assurance Maladie dont données relatives à l’adhésion, à la carte Vitale ; Données relatives à la vie personnelle dont habitudes de vie, situation familiale et composition du foyer ; Données relatives à la situation professionnelle dont niveau de diplôme, type de poste, retraité, chômage ; Données d’ordre économique et financier ; Données relatives à la santé dont situation liée à la maternité, nature et montants des actes, prestations, médicaments ou produits de santé, statut invalidité, exonération du ticket modérateur, données relatives à un accident du travail / maladie professionnelle (AT/MP).
    • Pour les agents de la l'Assurance Maladie : Données de connexion et traces techniques (logs, connexion).
  • Destinataire(s) des données : Aucune donnée traitée n'est communiquée à des tiers.
  • Durée de conservation :
    La durée maximale de conservation est fixée à 6 mois.
    Les données de connexion de l’Assurance Maladie sont conservées 12 mois conformément à la politique de sécurité des systèmes d’information de l’Assurance Maladie (PSSI-MCAS).
  • Recours à la sous-traitance :
    La réalisation de l'action peut être confiée à un sous-traitant.
    L’hébergement des données peut être interne à l’Assurance Maladie ou externe en cas de recours à de la sous-traitance. Les mesures de sécurité nécessaires sont mises en place pour assurer un hébergement sécurisé, conforme aux besoins de sécurité exprimés. Cet hébergement est en France ou dans l’Union européenne.
    En cas de recours à la sous-traitance, une convention, signée entre l’Assurance Maladie et l’autre partie, régit les obligations de chaque partie et les modalités de la relation.
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 16/11/2023

Activités comptables et financières, contrôle de gestion : Les oppositions

  • Finalité(s) du traitement : Gestion des oppositions.
  • Sous-finalité(s) du traitement :
    • Assurer la prise en charge des demandes d’oppositions reçues.
    • Traiter les oppositions dans le respect de la règlementation en vigueur.
    • Payer le juste montant à reverser aux tiers.
    • Produire des statistiques, des indicateurs de pilotage et réaliser des études et évaluations (mise en œuvre des politiques)
  • Fondement du traitement :
    Article 6.1.e du RGPD : mission d’intérêt public de l’Assurance Maladie.
    Article 6.1.c : traitement nécessaire au respect d'une obligation légale.
    L’article L 355-2 du code de la Sécurité sociale prévoit que les pensions et rentes prévues au titre IV et aux chapitres 1 à 4 du titre V du code de la Sécurité sociale sont cessibles et saisissables dans les mêmes conditions que les salaires.
  • Catégorie de personnes concernées :
    • Assurés de la prestation invalidité et amiante
    • Agents du service oppositions pour traces des actions dans les outils
  • Type de données traitées :
    • Pour les les assurés/débiteurs : Données d’identification dont le nom et le prénom, NIR, date de naissance, date de décès ; Données de contact dont adresse postale ; Données relatives à la créance dont notamment la cause, la nature et le montant des sommes réclamées, détails de la procédure liée à l’opposition, organisme de rattachement (CPAM).
    • Pour les opposants / tiers saisisseurs : Données de contact dont dénomination, adresse postale, adresse email, n° de téléphone ; Données financières relatives aux sommes à verser, les coordonnées bancaires.
    • Pour les agents du service oppositions : Données de connexion et actions dans le système d’information de l’Assurance Maladie.
  • Destinataire(s) des données :
    Tiers à l’origine des oppositions : trésoreries (impôts, DSDFP (direction spécialisée des finances publiques), DGFIPH, etc.), tribunaux. Caf dans le cadre de la fongibilité interbranche prévue par l'article L.133-4-1 du code de la Sécurité social, CPAM dans le cadre des oppositions amiables.
    Agents habilités de la direction comptable et financière.
  • Durée de conservation :
    6 ans après avoir été soldées dans DETTES, les oppositions sont apurées automatiquement dans ALIOPP.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 27/01/2023

Activités comptables et financières, contrôle de gestion : La tenue de la comptabilité

  • Finalité(s) du traitement : Tenue de la comptabilité (générale, soins de ville et établissements).
  • Sous-finalité(s) du traitement :
    • Gestion des dotations et facturations établissements
    • Opérations automatisées
    • Épurement des dettes
    • États comptables obligatoires
    • Contrôle interne
    • Validation des comptes
  • Fondement du traitement :
    Article 6.1.c : du RGPD : obligation légale.
    Article L. 114-5 du code de la Sécurité sociale
    Article 6.1.e du RGPD : mission d’intérêt public de l’Assurance Maladie.
    L’article L 211-1 du code de la Sécurité sociale.
  • Catégorie de personnes concernées :
    • Bénéficiaires de l’Assurance Maladie
    • Professionnels de santé et autres acteurs du secteur sanitaire social et médico-social
    • Interlocuteurs de toute entreprise en contact avec l'organisme pour des raisons comptables (fournisseur, prestataire, cour des comptes, ministère et DGFIP, établissements bancaires, ...)
    • Agents de l’Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Données d’identification (dont NIR pour les bénéficiaires), nom, prénom ; Données de contact dont adresse postale, adresse email, n° de téléphone ; Données relatives au rattachement et aux droits dont médecin traitant déclaré, bénéfice d’une prestation, situation liée à la maternité ; Données d’ordre économique et financier ; Coordonnées bancaires ; Données relatives à la santé dont situation liée à la maternité, nature et montants des actes, prestations, médicaments ou produits de santé, statut invalidité, exonération du ticket modérateur, données relatives à un AT/MP.
    • Données de connexion et traces des actions dans les outils pour les des agents de l'Assurance Maladie.
  • Destinataire(s) des données :
    Établissements bancaires pour les ordres de virement.
    Cour des comptes pour la certification des comptes.
  • Durée de conservation :
    5 ans pour toutes les informations financières.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 23/11/2023

Activités comptables et financières, contrôle de gestion : La trésorerie

  • Finalité(s) du traitement : Gestion de la trésorerie.
  • Sous-finalité(s) du traitement :
    • Échange de flux financiers
    • Modification en masse des changements de coordonnées bancaires d’assurés lors de restructurations bancaires
    • Mobilité bancaire
  • Fondement du traitement :
    Article 6.1.e du RGPD : mission d’intérêt public de l’Assurance Maladie.
    L’article L 211-1 du code de la Sécurité sociale.
  • Catégorie de personnes concernées :
    • Bénéficiaires de l’Assurance Maladie
    • Professionnels de santé et autres acteurs du secteur sanitaire social et médico-social
    • Établissements de santé
    • Employeurs
    • Fournisseurs de l’Assurance Maladie
    • Salariés de l’Assurance Maladie
    • Interlocuteurs de toute entreprise en contact avec l'organisme traiter des paiements (établissements bancaires, ...)
    • Agents de l’Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées : Données d’identification dont NIR, nom, prénom ; Adresse postale en cas de paiement non domicilié hors zone SEPA ; Données d’ordre économique et financier ; Coordonnées bancaires.
  • Destinataire(s) des données :
    Établissements bancaires pour les virements et paiements non domiciliés.
    Organisme pouvant participer au traitement des paiements.
  • Durée de conservation : Relevés de compte à conserver 5 ans.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 23/11/2023

Gestion des recours, contentieux et actions juridiques : Procédures amiables

  • Finalité(s) du traitement : Suivre et traiter les procédures amiables, médiation et recours gracieux.
  • Sous-finalité(s) du traitement :
    • Partie médiation
      • Suivi et traitement des procédures assurés / bénéficiaires
      • Suivi et traitement des procédures offreurs de soins
      • Suivi et traitement des procédures prestataires de biens et de services
      • Suivi et traitement des procédures employeurs
      • Pilotage de l'activité
      • Échange et partage de toute information utile entre les acteurs concernés de l'Assurance Maladie
      • Échange et partage de toute information utile avec les organismes de protection sociale et tout acteur prévu par la réglementation
      • Enregistrement
    • Partie contentieux
      • Suivi et traitement des procédures contentieuses Assurés / Bénéficiaires
      • Suivi et traitement des procédures contentieuses Offreurs de Soins
      • Suivi et traitement des procédures contentieuses Prestataires de Biens et de Services
      • Suivi et traitement des procédures contentieuses Employeurs
      • Gestion des instances, commissions
      • Historisation et consolidation des procédures
  • Fondement du traitement :
    Article 6.1.e : mission d’intérêt public de l’Assurance Maladie
    Article 6.1.f : obligation légale
    • Recours amiable
      • Article L142-4 du code de la Sécurité sociale
      • Article R 142-1 du code de la Sécurité sociale
      • Article R142-8 du code de la Sécurité sociale
    • Recours gracieux
      • Article R 421-1 du Code des relations entre le public et l’administration
    • Demande de documents administratifs
      • Article L 311-1- du CRPA
      • Article R311-12 du CRPA
      • Article R311-13 du CRPA
    • Médiation
      • Section 4 bis du chapitre 7 du titre 1 du livre 2 du code de la Sécurité Sociale
      • Art. L 217-7-1 du code de la Sécurité Sociale
      • Article R115-5 relatif aux garanties encadrant l’exercice de la médiation du code de la Sécurité Sociale
      • Loi Essoc du 10 août 2018
  • Catégorie de personnes concernées :
    • Bénéficiaires de l’Assurance Maladie
    • Professionnels de santé
    • Employeurs
  • Type de données traitées : Données de rattachement et données relatives aux droits dont modalité de rattachement et condition de résidence ; Données d’ordre économique et financier dont coordonnées bancaires, montants indemnités journalières ; Données relatives aux accidents du travail (AT) maladies professionnelles (MP) dont circonstances AT ; Données concernant la santé dont les pathologies ; Données de situation personnelle et familiale dont orientation sexuelle ; Données appartenance syndicale, opinions politiques ; Données d’infractions civiles ou pénales ; Données de traçabilité des agents de l'Assurance Maladie dans les outils.
  • Destinataire(s) des données : Partenaires institutionnels.
  • Durée de conservation : Durée maximale 5 ans.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 30/01/2023

Gestion des recours, contentieux et actions juridiques : Procédures contentieuses

  • Finalité(s) du traitement : Gérer les contentieux de l'Assurance Maladie.
  • Sous-finalité(s) du traitement :
    • Gestion des actions des Assurés / Bénéficiaires
    • Gestion des actions des Employeurs
    • Gestion des instances, des commissions et pourvois
    • Pilotage de l'activité
    • Échange et partage de toute information utile entre les acteurs concernés de l'Assurance Maladie
    • Échange et partage de toute information utile avec les organismes de protection sociale et tout acteur prévu par la réglementation
    • Gestion des sanctions financières et conventionnelles
    • Historisation et consolidation des suites contentieuses
    • Enregistrement, estimation et modélisation des coûts
  • Fondement du traitement :
    Article 6.1.e du RGPD : mission d’intérêt public de l’Assurance Maladie
    Article 6.1.c : traitement nécessaire au respect d'une obligation légale
  • Catégorie de personnes concernées :
    • Bénéficiaires de l’Assurance Maladie
    • Employeurs
    • Agents de l’Assurance Maladie pour traces des actions dans les outils
  • Type de données traitées :
    • Pour les bénéficiaires : Données d’identification dont le nom, prénom, NIR ; Données de contact dont adresse postale, e-mail et numéro de téléphone ; Données relatives au rattachement et aux droits dont médecin traitant déclaré ; Données relatives au bénéfice d’une prestation ; Données relatives à la santé dont situation liée à la maternité, nature et montants des actes, prestations, médicaments ou produits de santé, statut invalidité, exonération du ticket modérateur, données relatives à un AT/MP ; Données relatives à la vie personnelle dont situation familiale et composition du foyer ; Toute information communiquée par le bénéficiaire à l’Assurance Maladie dans le cadre de recours ou contentieux.
    • Pour les employeurs : Données d’identification dont nom, prénom ; Données relatives à la situation professionnelle dont profession, spécialité, situation conventionnelle ; Données de contact dont adresse postale, adresse email, n° de téléphone ; Toute information communiquée par l’employeur à l’Assurance Maladie dans le cadre de recours ou contentieux.
    • Pour les agents de l'Assurance Maladie : Données de connexion et trace techniques (logs, connexion) ; Données d'identification dont le nom, le prénom, N° d'agent.
  • Destinataire(s) des données :
    Juridiction ou expert concernés dans le cas d’une action en justice intentée par l’une ou l’autre des parties.
    Avocats ou huissiers éventuellement missionnés par l'Assurance Maladie.
  • Durée de conservation : Les données sont conservées pendant 10 ans suivant la fin des actions contentieuses et leur exécution, sauf en cas de dossier présentant un intérêt juridique particulier.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 27/01/2023

Gestion des recours, contentieux et actions juridiques : Protection des données

  • Finalité(s) du traitement : Assurer la gestion des droits dits "Informatique et Libertés" (droits des personnes concernées par les traitements de données) et des recours, contentieux et actions associés.
  • Sous-finalité(s) du traitement :
    • Gestion de l'information ciblée
    • Gestion des droits d'accès, rectification, opposition, effacement et limitation
    • Gestion des plaintes
    • Gestion des incidents de sécurité et des violations de données
    • Gestion des contrôles, mises en demeure ou sanctions de la CNIL pilotage et évaluation de l'activité
  • Fondement du traitement :
    Article 6.1.c du RGPD : traitement nécessaire au respect d'une obligation légale.
    Loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.
  • Catégorie de personnes concernées :
    • Toutes les personnes concernées par un traitement de données de la Cnam ou d'une entité de son réseau (bénéficiaire de l'assurance maladie, professionnel, agents, etc.)
    • Les agents des autorités administratives en charge des actions
  • Type de données traitées : Données d'identification ; Coordonnées de contact ; Contenu de l'ensemble des échanges (demandes, réponses) ; Données relatives aux incidents et constatations ; Données relatives aux traces des actions.
  • Destinataire(s) des données : Juridictions, experts, autorité administrative légalement habilitée.
  • Durée de conservation : Les données sont conservées pendant 10 ans suivant la fin des actions gracieuses comme contentieuses et leur exécution.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 26/01/2023

Instances de gouvernance et relation presse : Communication

  • Finalité(s) du traitement : Gestion de la communication sur les réseaux sociaux.
  • Sous-finalité(s) du traitement :
    • Administration des comptes sur les réseaux
    • Gestion des interactions avec le public
    • Organisation et gestion de l'ambassadorat
  • Fondement du traitement :
    Article 6.1.e du RGPD : le traitement est nécessaire aux fins des intérêts légitimes de la Cramif.
    Article 6-1 a du RGPD : consentement de la personne concernée.
  • Catégorie de personnes concernées :
    • Collaborateurs de l’Assurance Maladie volontaires (Cramif et organismes du réseau)
    • Personnes pouvant être bénéficiaires de l’Assurance Maladie
  • Type de données traitées :
    • Données d’identification dont nom, prénom, date de naissance
    • Données de contact dont l’adresse complète, le numéro de téléphone et l’adresse mail
    • Données relatives à l’activité professionnelle dont la profession
    • Données de connexion des agents
    • Données liées à la vie personnelle (habitude de vie, comportements, etc.) dont la taille de chaussure par exemple, fumeur ou non, etc.
  • Destinataire(s) des données : Aucune donnée traitée n’est communiquée à des tiers.
  • Durée de conservation :
    • Conformément aux articles 5, 12, 13 ou 14 du RGPD relatifs à la transparence sur les traitements et sur les informations à communiquer aux personnes concernées, plusieurs modalités sont réalisées :
      • Informations des personnes via les règlements des jeux concours sur Facebook
      • Charte sur la protection des données de Facebook, X et LinkedIn
      • Supports de communication internes relatifs au programme (flyer, article intranet) et les CGU de l'outil (qui seront adaptées au projet de la Cnam) et acceptées lors de la première connexion de l'utilisateur.
    • Droit d’accès, de rectification ou de suppression portant sur les données personnelles collectées s’exerce sur demande au DPO à l'adresse dpo.cramif@assurance-maladie.fr.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 17/02/2023

Moyens généraux : La sécurité des personnes et des biens

  • Finalité(s) du traitement : Assurer la sécurité des personnes et des biens.
  • Sous-finalité(s) du traitement :
    • Assurer la vidéosurveillance des sites
    • Délivrer les moyens d'accès, contrôler les accès sur les sites
    • Accueillir, contrôler l'identité des visiteurs ou de toute personne entrant dans les locaux
    • Gérer et suivre la continuité d'activité (PCA)
    • Gérer les alertes sanitaires
    • Gérer les assurances et la sinistralité
    • Assurer le pilotage et l'évaluation de l'activité
  • Fondement du traitement : Article 6 (1) du RGPD : le traitement est nécessaire aux fins des intérêts légitimes de la Cnam et des organismes.
  • Catégorie de personnes concernées :
    • Agents de l’assurance maladie
    • Fournisseurs, prestataires en mission dans les organismes
    • Visiteurs ou toute personne externe intervenant dans les locaux
  • Type de données traitées :
    • Pour les agents de l’Assurance Maladie et prestataires : Données d’identification dont nom, prénom, matricule RH, photographie (agents uniquement), nom de la société/de l'organisme d'appartenance.
    • Pour les acteurs nécessaires au PCA : Données de contact personnel (mail, téléphone), journalisation des entrées-sorties dans les locaux, immatriculation des véhicules personnels des personnels qui utilisent le parking.
    • Pour les visiteurs ou intervenants externes : Données d'identité dont nom, prénom, coordonnées professionnelles, preuve d'identité personnelle ou professionnelle (facultatif), nom de la société/organisme d'appartenance.
    • Pour les vidéosurveillance : images des personnes.
  • Destinataire(s) des données :
    • Police sur réquisition (vidéosurveillance)
    • Administrateur GDAL (DRSM)
    • Agent de sécurité, agent d'accueil.
    • MSSI, direction Cramif, Cnam
  • Durée de conservation :
    Vidéosurveillance : 1 mois.
    Contrôle d’accès : 2 ans après le départ de l'agent, stagiaire, prestataire.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 17/01/2024

Moyens généraux : Gestion des achats

  • Finalité(s) du traitement : Gestion des achats, subvention et fonds pour les activités de l'Assurance Maladie.
  • Sous-finalité(s) du traitement :
    • Gestion des marchés publics
    • Gestion des contrats de prestation
    • Gestion des fonds confiés à l'Assurance Maladie
    • Pilotage et évaluation de l'activité
  • Fondement du traitement :
    Article 6-1-c du RGPD : le traitement est nécessaire au respect d’une obligation légale.
    Article 6-1-f du RGPD : le traitement est nécessaire aux fins des intérêts légitimes poursuivis par la Cnam.
  • Catégorie de personnes concernées :
    • Professionnels externes destinataires des marchés
    • Soumissionnaires
    • Prestataires ou experts
    • Organismes financiers ou de contrôle
    • Administrations publiques
    • Agents en charge de la gestion des marchés, subventions et fonds pour l’Assurance Maladie
  • Type de données traitées :
    • Données d’identification dont nom, prénom des interlocuteurs externes
    • Données de contact professionnel (mail, téléphone, adresse) des interlocuteurs externes
    • Traces des actions des agents dans les outils informatiques
  • Destinataire(s) des données : Les données traitées ne sont pas communiquées à des tiers.
  • Durée de conservation :
    Les données concernant l'identité des contacts externes sont conservées au maximum 5 ans suivant la fin de la relation.
    Les données contractuelles sont conservées 10 ans suite à la fin de l’exécution du contrat.
  • Recours à la sous-traitance : non
  • Droit des personnes concernées : Les droits d’accès et de rectification s’exercent auprès du directeur de la caisse de rattachement de la personne concernée en contactant le DPO de caisse de sécurité sociale de rattachement. Le droit d’apposition n’est pas applicable conformément aux motifs légitimes et impérieux de l’Assurance Maladie.
  • Mise à jour : 17/022023