A. Introduction

Le « GROUPE CHESNEAU » rappelle que nous plaçons la confiance, la transparence et le respect des droits fondamentaux au cœur de notre relation avec nos clients, partenaires et collaborateurs.

Dans ce cadre, la protection des données à caractère personnel n’est pas seulement une obligation légale issue du Règlement Général sur la Protection des Données (RGPD) : elle constitue un pilier essentiel de notre mission. En assurant une gestion responsable, éthique et sécurisée des informations personnelles, nous contribuons à créer un environnement de confiance, indispensable à l’accompagnement durable de chacun dans son parcours de vie.

Cette politique de gestion des données personnelles (la « Politique ») reflète notre volonté de concilier performance sociale et exigence réglementaire. Elle précise les principes que nous appliquons pour garantir la confidentialité, la sécurité et la maîtrise des données, dans le respect des droits des personnes et en soutien à notre mission d’intérêt général.

Dans cette Politique, le « GROUPE CHESNEAU » fait référence à : 

• CHESNEAU, 8 Rue Louis Mékarski, 44012 NANTES, SARL au capital de 1 356 528 euros – RCS NANTES 399 719 913, Société de courtage d’assurance immatriculée à l’ORIAS sous le numéro 07 001 068 ; 
• CHESNEAU IARD, 8 Rue Louis Mékarski, 44012 NANTES, SAS au capital de 400 000 euros – RCS NANTES 515 245 918, Société de courtage d’assurance immatriculée à l’ORIAS sous le numéro 09 052 682 ; 
• CHESNEAU ASSURANCE-CREDIT, 8 Rue Louis Mékarski, 44012 NANTES, SAS au capital de 300 000 euros – RCS NANTES 917 605 149, Société de courtage d’assurance immatriculée à l’ORIAS sous le numéro 22 005 854 ; 
• KX COURTAGE, 4 Rue Louis Mékarski, 44012 NANTES, SAS au capital de 10 000 euros – RCS NANTES 797 855 970, Société de courtage d’assurance immatriculée à l’ORIAS sous le numéro 140 005 21 ; 
• ASUR-TECH, 4 Rue Louis Mékarski, 44012 NANTES, SAS au capital de 8 000 euros, RCS NANTES 352 360 994, Société de courtage d’assurance immatriculée à l’ORIAS sous le numéro 120 65 074.

Cette Politique pourra être modifiée notamment en vue d’être adaptée aux évolutions et /ou aux changements du droit applicable et/ou des pratiques internes.

B. Nos engagements

Le « GROUPE CHESNEAU », en tant que responsable de traitement, prend les engagements suivants :

• vos données sont utilisées uniquement pour des finalités explicites, légitimes et déterminées en lien avec nos différents métiers (gestion des contrats, courtage, couverture d’assurance, etc.) ;
• seules les données qui nous sont utiles sont collectées ;
• nous ne conservons pas vos données au-delà de la durée nécessaire pour les opérations pour lesquelles elles ont été collectées (envoi d’emailings par exemple), ou de celles prévues par les recommandations de la CNIL (référentiels, fiches pratiques, etc.) ou par la loi (telles que les prescriptions légales) ;
• nous communiquons vos données aux seuls intermédiaires, partenaires, prestataires ou organismes professionnels habilités qui en ont besoin dans le cadre de nos activités ;
• nous vous informons, de manière claire et transparente notamment sur la finalité d’utilisation de vos données, le caractère facultatif ou obligatoire de vos réponses dans les formulaires et de vos droits en matière de protection des données.

C. La base légale de nos traitements

Au sein du « GROUPE CHESNEAU », nous veillons à ce que chaque traitement de données personnelles repose sur une base juridique solide, conforme au RGPD.

Ainsi, selon les situations, les traitements que nous réalisons peuvent s’appuyer sur l’une des bases suivantes :

• Le consentement éclairé de la personne concernée, lorsque celui-ci est requis pour une ou plusieurs finalités spécifiques ;
• L’exécution d’un contrat, ou la mise en œuvre de démarches préalables à sa conclusion, à la demande de la personne concernée ;
• Le respect d’une obligation légale, notamment dans le cadre de nos responsabilités en matière de protection sociale ou de sécurité ;
• L’intérêt légitime du « GROUPE CHESNEAU », dans une logique d’amélioration continue de nos services, toujours dans le respect des droits et libertés des personnes ;
• La sauvegarde des intérêts vitaux de la personne concernée, lorsque sa santé ou sa sécurité l’exige ;
• L’exécution d’une mission d’intérêt public, en lien avec notre rôle d’acteur engagé dans la prévention et l’accompagnement santé.

D. Vos droits

Parce que la confiance est au cœur de notre mission, le « GROUPE CHESNEAU » accorde une attention particulière au respect des droits des personnes sur leurs données personnelles. Chaque individu doit pouvoir garder la maîtrise de ses informations, en toute transparence et simplicité.

Conformément au RGPD, vous disposez des droits suivants :

• Droit d’accès à vos données, pour en connaître la nature et l’usage ;
• Droit de rectification, si certaines informations sont inexactes ou incomplètes ;
• Droit à l’effacement, lorsque les données ne sont plus nécessaires ou que vous retirez votre consentement ;
• Droit à la limitation du traitement, dans certaines situations définies par la réglementation ;
• Droit d’opposition, notamment en cas de traitement fondé sur l’intérêt légitime ;
• Droit à la portabilité, pour récupérer vos données dans un format structuré et les transmettre à un tiers ;
• Droit de retirer votre consentement à tout moment, lorsque celui-ci est la base du traitement.

Ces droits peuvent être exercés, en contactant notre Délégué à la Protection des Données :

• Par mail, à l’adresse suivante : dpo_chesneau@chesneau.net
• Par courrier :
  À l’attention du Délégué à la protection des données (DPO) 
  CHESNEAU
  8 Rue Louis Mékarski – BP 22303 – 44023 NANTES Cedex 1

Au sein du « GROUPE CHESNEAU », nous nous engageons à répondre avec diligence, sous le délai légal maximum d’un (1) mois, dans un esprit de respect et de responsabilité, fidèle à notre raison d’être.

En cas de doute raisonnable sur l’identité du demandeur, un justificatif d’identité pourra le cas échéant être demandé. 

Vous pouvez également introduire une réclamation auprès de la CNIL, 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07.

Pour mieux connaître vos droits, vous pouvez vous rendre sur le site de la CNIL (www.cnil.fr/fr/comprendre-vos-droits).

E. La sécurisation de vos données

Le « GROUPE CHESNEAU » s’attache à mettre en œuvre les mesures techniques et organisationnelles appropriées afin d’avoir un niveau de sécurité des données adapté au risque.

La sécurité des données est également intégrée dans les contrats :

• Avec nos clients : selon les traitements, l’usage qui est fait des données, est spécifié dans le cadre de l’exécution contractuelle.
• Avec les salariés du « GROUPE CHESNEAU » : des clauses de confidentialité sont intégrées aux contrats de travail. À l’arrivée des collaborateurs, le service RH remet un package de documentation dont la charte informatique et le charte de bonne pratiques RGPD.
• Avec nos prestataires : les contrats doivent comporter des clauses relatives à la confidentialité et la sécurité des données ainsi que des clauses permettant d’auditer la réalisation des prestations notamment sur l’aspect sécurité. Les personnes signataires des contrats sont garantes de l’intégration de ces clauses.

F. Le transfert des données personnelles hors de l’Union européenne

Les Transferts de Données à caractère personnel exigent une attention et des garanties supplémentaires. Le « GROUPE CHESNEAU » s’assure que tout Transfert de Données à caractère personnel est sécurisé de façon adéquate et encadré juridiquement conformément aux exigences de la Législation applicable. 

 À ce titre, le « GROUPE CHESNEAU » veille à :

• Identifier tout Transfert de Données à caractère personnel, y compris, dans la mesure du possible, les Transferts ultérieurs opérés par les Sous-traitants (de 1er rang) ;
• Encadrer dans le contrat avec le prestataire les Transferts de Données ainsi que, le cas échéant, le lieu d’hébergement des Données (lequel doit être par principe sur le territoire de l’Union européenne). Le prestataire doit ainsi garantir l’application de mesures permettant d’assurer un niveau de protection des Données à caractère personnel équivalent à celui fourni par le RGPD ;
• Sécuriser tout Transfert par des mesures techniques et organisationnelles adaptées ;
• Lorsque le Transfert n’est pas à destination d’un pays reconnu comme adéquat (en vertu d’une décision d’adéquation de la Commission européenne), encadrer juridiquement le Transfert par un mécanisme approprié (clauses contractuelles types, binding corporate rules, etc.).

Dans la mesure du possible, les Données à caractère personnel ne doivent pas être transférées dans un pays situé hors de l’Union Européenne de manière automatique sans l’autorisation du DPO du GROUPE CHESNEAU.

G. Définitions

Délégué à la protection des Données (DPO) : Personne physique chargée d’informer et conseiller le responsable de traitement ou le sous-traitant ainsi que les collaborateurs qui procèdent à un Traitement de données, contrôler le respect du RGPD et des règles internes ainsi que piloter les orientations prises par le Responsable de traitement, conseiller en ce qui concerne les analyses d’impact et valider la conformité de celles-ci, être le point de contact et coopérer avec la CNIL.

Destinataire : Personne physique ou morale, autorité publique, service ou tout autre organisme qui reçoit communication des Données, qu’il s’agisse ou non d’un tiers.

Données à Caractère Personnel (DCP) : Toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Données concernant la santé : Données relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

Données sensibles : Informations concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle.

Portabilité : Droit pour la personne concernée par le Traitement de ses Données à les recevoir dans un format structuré, couramment utilisé et lisible par une machine. Elles sont fournies par le Responsable de traitement directement à la personne concernée ou à un autre Responsable de Traitement.

Traitement de donnée : Toute opération appliquée à des données telle que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Responsable de traitement : Personne physique ou morale, service ou organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens de ce traitement.

RGPD : Règlement Général pour la Protection des Données qui s’applique depuis le 25 mai 2018.

Sous-traitant : Personne physique ou morale, service ou organisme qui traite des données pour le compte du responsable de traitement.

Le présent document a été validé préalablement à sa diffusion par le Délégué à la protection des données du « GROUPE CHESNEAU ». 

Date : Novembre 2025