đź“‹ RGPD & vos droits
La Mutuelle du Nickel est responsable de traitement des données collectées dans le cadre de la prévoyance collective. Cette page détaille comment nous appliquons le RGPD.
â„ą Pour exercer un droit, Ă©crivez directement Ă dpo@mdn.nc.
Réponse sous 1 mois maximum.👤 Responsable de traitement
| Organisme | Mutuelle du Nickel — Nouméa |
| Contact général | contact@mdn.nc |
| Délégué Protection Données (DPO) | dpo@mdn.nc |
🎯 Finalités du traitement
| Finalité | Base légale |
|---|---|
| Instruction des dossiers de prévoyance | Exécution du contrat |
| Calcul et versement des prestations | Exécution du contrat |
| Échange documentaire (employeur ↔ MDN ↔ bénéficiaire) | Exécution du contrat |
| Gestion comptable (facturation, recouvrement) | Obligation légale |
| Conservation probatoire / contrôles | Obligation légale |
| Traitement des données de santé | Consentement explicite (art. 9.2.a) |
| Lecture assistée (OCR) des formulaires de désignation de bénéficiaires | Intérêt légitime (art. 6.1.f) |
| Prévention de la fraude / sécurité IT | Intérêt légitime |
📊 Données traitées
| Catégorie | Exemples | Sensibilité |
|---|---|---|
| Identité | Nom, prénom, naissance, n° CAFAT | Standard |
| Contact | Adresse, téléphone, email | Standard |
| Vie professionnelle | Employeur, matricule, salaire | Standard |
| Santé | Arrêts, certificats médicaux, taux invalidité | 🔴 Particulière (art. 9) |
| Bancaire | RIB bénéficiaires | 🟠Sensible (chiffrée) |
| Familiale | Bénéficiaires désignés, lien, quote-part, enfants à charge | Standard |
| Connexion | Logs auth, audit | Sécurité |
⏳ Durées de conservation
| Type de dossier | Conservation active | Archives finales |
|---|---|---|
| Décès | 5 ans après clôture | 10 ans (obligation mutualiste) |
| Arrêt de travail | 3 ans après clôture | 5 ans |
| Incapacité temporaire | 5 ans après clôture | 5 ans |
| Invalidité | 10 ans après clôture | 10 ans |
| Rente | 10 ans après dernier versement | 10 ans |
| Journal d'audit | — | 6 ans minimum (légal) |
✅ Au-delà : anonymisation automatique quotidienne. Les pièces chiffrées sont
physiquement supprimées, l'identité remplacée par un pseudonyme irréversible.ℹ Scans de désignation : le scan original en haute définition d'un formulaire de
désignation est conservé temporairement (le temps que l'agent le valide, au maximum
30 jours) pour permettre une relecture fidèle des écritures manuscrites, puis
automatiquement compressé pour le stockage long terme. Aucune perte d'information
juridique : le document compressé conserve toute sa valeur probante.🤖 Intelligence artificielle & absence de décision automatisée
ℹ Conformité article 22 RGPD (décision individuelle automatisée) et article 6.1.f
(intérêt légitime). Cette section décrit l'usage d'un outil d'intelligence artificielle
introduit pour assister — jamais remplacer — le travail des gestionnaires MDN.Pour faire gagner du temps à nos agents, les **formulaires papier de désignation de bénéficiaires** que vous nous transmettez (scannés) sont lus automatiquement par un outil de reconnaissance de texte assistée par intelligence artificielle, afin de pré-remplir les champs (nom, n° CAFAT, choix coché, bénéficiaires désignés…).
| Garantie | Engagement |
|---|---|
| Aucune décision automatisée | L'IA ne fait que proposer un pré-remplissage. Un gestionnaire MDN relit et valide manuellement chaque champ avant tout enregistrement. Aucune décision produisant un effet juridique n'est prise par la machine (art. 22). |
| Aucun profilage | L'outil ne profile pas, ne score pas, ne classe pas les personnes. Il lit un document, point. |
| 100 % en Nouvelle-Calédonie | Le modèle d'IA fonctionne entièrement sur l'infrastructure de notre hébergeur Stratos, en Nouvelle-Calédonie. Aucune donnée n'est transmise à un fournisseur d'IA externe (ni OpenAI, ni Google, ni Microsoft, ni Alibaba…). |
| Périmètre strictement limité | L'IA lit uniquement les formulaires de désignation de bénéficiaires (identité + bénéficiaires). Elle ne traite jamais vos données de santé (certificats médicaux, taux d'invalidité…). |
| Aucune mémorisation | Le scan est traité en mémoire vive puis immédiatement effacé. En production, l'outil n'apprend pas et ne conserve rien de vos documents. |
⚖️ Vos droits
| Droit | Article RGPD | Comment l'exercer |
|---|---|---|
| Accès | art. 15 | Profil → "Exporter mes données" |
| Rectification | art. 16 | Email DPO ou via votre RH |
| Effacement | art. 17 | Email DPO (sous réserve obligations légales) |
| Opposition | art. 21 | Email DPO |
| Portabilité | art. 20 | Espace personnel → ZIP chiffré sous 7 j |
| Limitation | art. 18 | Email DPO |
| Intervention humaine (décision automatisée) | art. 22 | Email DPO — bien qu'aucune décision ne soit automatisée (cf. section IA ci-dessus) |
| Directives post-mortem | Loi info & libertés | Email DPO |
Comment exercer — vous avez un compte sur le portail
| # | Canal | Pour qui ? |
|---|---|---|
| 1 | Via votre espace personnel → menu Profil → Exporter mes données | RH, Admin Entreprise, utilisateurs MDN |
| 2 | Email dpo@mdn.nc + copie CNI | Tous |
Comment exercer — vous êtes assuré ou bénéficiaire SANS compte
C'est le cas le plus fréquent : vous êtes salarié couvert par un contrat collectif MDN négocié par votre employeur, mais vous ne vous connectez pas au portail (c'est votre RH qui s'en charge).
| # | Canal | Procédure |
|---|---|---|
| 1 | Formulaire dédié | Téléchargez le formulaire MDN-FORM-RGPD-01 (1 page), cochez le(s) droit(s) exercé(s), joignez une copie recto-verso de votre pièce d'identité, signez |
| 2 | Envoi | Par email signé scanné à dpo@mdn.nc OU par courrier postal à Mutuelle du Nickel — DPO — 2 ter rue Berthelot BP 776 — 98845 Nouméa Cedex |
| 3 | Ayant-droit (enfant mineur, tuteur…) | Joindre en plus le justificatif de qualité (livret de famille, jugement tutelle, procuration) |
ℹ Délai de réponse : 1 mois (prolongeable de 2 mois en cas de complexité avérée,
avec justification envoyée avant l'échéance initiale).Limites prévisibles
Certaines demandes peuvent être refusées partiellement — nous vous le motiverons :
| Demande | Limite potentielle |
|---|---|
| Effacement complet | Obligations légales de conservation : 6 ans pour l'audit, 5-10 ans pour les dossiers selon type (décret mutualiste) |
| Effacement dossier en cours | Impossible tant que la prestation n'est pas liquidée ou le litige clos |
| Portabilité données de santé | Limitée aux données que vous nous avez fournies (pas celles créées par MDN : calculs, décisions) |
En cas de litige
Vous pouvez saisir l'autorité de contrôle compétente en Nouvelle-Calédonie ou la CNIL en France métropolitaine. Un recours amiable auprès du DPO est recommandé en premier lieu.
🤝 Sous-traitants
| Prestataire | RĂ´le | Pays | Garanties |
|---|---|---|---|
| Stratos SARL | Hébergement (portail + moteur d'IA OCR) | 🇳🇨 Nouvelle-Calédonie | Local — agrément Gouv. NC |
| SendGrid / Twilio | Email transactionnel | 🇺🇸 États-Unis | SCC + EU-US DPF, SOC 2, ISO 27001 |
| Pacific Consulting | SMS | 🇳🇨 Nouvelle-Calédonie | DPA signé, traitement local |
| ClouDNS | DNS | 🇧🇬 Bulgarie (UE) | DPA, données techniques uniquement |
| Let's Encrypt | Certificats TLS | 🇺🇸 USA | Aucune donnée personnelle |
✅ Aucun transfert hors UE des données métier (santé, financier, bénéficiaires) :
elles restent en Nouvelle-Calédonie chez Stratos.🤖 Le moteur d'IA d'OCR n'est pas un sous-traitant tiers : il s'agit d'un logiciel
libre installé et exécuté sur l'infrastructure Stratos en Nouvelle-Calédonie. Aucune
donnée n'est envoyée à l'éditeur du modèle ni à un service d'IA en ligne.🔒 Mesures de sécurité
Détails techniques sur la politique de sécurité dédiée :
- Chiffrement AES-256-GCM des pièces
- 2FA obligatoire pour tous
- Chiffrement des échanges TLS 1.2 / 1.3 (protocoles anciens TLS 1.0/1.1 refusés)
- Protection anti-force-brute sur la connexion (limitation de débit + verrouillage de compte)
- Audit immuable 6 ans
- Sauvegardes quotidiennes chiffrées 3-2-1
- Cloisonnement multi-tenant strict
- Supervision continue de disponibilité + revue de sécurité hebdomadaire (vulnérabilités, anomalies d'authentification)
🏷 Watermark & traçabilité des consultations
ℹ Cette mesure est une obligation légitime prévue à l'article 6.1.f du RGPD
(intérêt légitime de MDN à prévenir les fuites de données sensibles et à permettre
la responsabilisation en cas d'incident).Lorsque vous consultez ou imprimez une pièce justificative via le portail :
| Mesure | Objet |
|---|---|
| Conversion en images | Le PDF est transformé en images côté serveur — vous n'obtenez pas le fichier PDF original |
| Tampon visible | Chaque page porte un watermark contenant votre email, la date/heure précise et la référence dossier |
| Audit serveur | L'accès est tracé (document.accessed) avec votre identifiant et votre intention (consulter / imprimer) |
Finalité strictement sécurité : ces données ne sont jamais utilisées pour surveiller votre activité ni à des fins commerciales. Seul le DPO y a accès, sur incident avéré.
🍪 Cookies
✅ Aucun cookie de tracking, aucune publicité, aucun outil d'analyse tiers.
Uniquement le cookie de session HTTPOnly + SameSite=Lax + Secure indispensable
au fonctionnement.📬 Contact
- Délégué Protection des Données : dpo@mdn.nc
- Support général : prevoyance@mdn.nc
ℹ Cette politique peut être révisée pour refléter une évolution réglementaire ou
opérationnelle. La version en vigueur est toujours datée en bas de cette page.
Dernière mise à jour : 10/06/2026