Trouvez l’offre pensée pour vous.

Le meilleur de l’assurance santé, prévoyance et de la prévention, adapté à vos besoins.

Par taille d'entreprise

Travailleurs non-salariés (TNS)

Indépendants, chefs d'entreprise, etc.

Start-ups et TPE

1 à 5 salariés

Petites et moyennes entreprises (PME)

6 à 100 salariés

Grands comptes

De 100 à plusieurs milliers de salariés

Pour les particuliers

Retraités

Profitez d'une couverture complète et préventive

Par secteur d'activité

Tech

Start-ups et scale-ups

Hôtels, café, restaurants

Franchisés ou indépendants

Commerces et supermarchés

Pour les petits et grands magasins

Industriels et entreprises du négoce

Pour les PME et ETI à vocation industrielle

Pour le secteur public

Agents de la fonction publique territoriale

Offres éligibles à la participation des collectivités

Établissements publics

Pour les structures du domaine public

Les bénéfices d’Alan pour votre entreprise

Couvrez vos premiers salariés en 5 min avec Alan

Quand conformité rime avec simplificité

Préservez le pouvoir d’achat de vos salariés

Plus de soins, moins de reste-à-charge.

Mettez la santé au coeur de votre stratégie RH

Des actions concrètes pour le bien-être de vos salariés

Voir plus de cas d’usageVoir plus de cas d’usage

Pour nos membres

Votre partenaire santé partout, tout le temps.

Les dirigeants d’entreprise, les indépendants, les salariés
et leur famille ne sont plus jamais seuls pour
leur santé.

Découvrir l'appDécouvrir l'app
Découvrir les nouveautésDécouvrir les nouveautés

Thématiques

La mutuelle d'entreprise

Mutuelle entreprise : toutes les notions à comprendre

La mutuelle pour les travailleurs non-salariés

Mutuelle TNS : le guide complet pour bien la choisir !

Toutes nos thématiques

Mutuelle, prévoyance, tout ce qu'il faut savoir

Ressources

Guides

Nos guides pour les RH, dirigeants et indépendants

Outils

Modèles de lettres pour résilier un contrat, etc.

Témoignages

Ce que nos membres & clients disent de nous

Télécharger le guide de l'intelligence artificielle

Le guide pour intégrer l'IA au sein de vos équipes RH

Télécharger

Télécharger le guide de l'assurance santé

Le guide pour enfin tout comprendre

Télécharger

Rejoignez notre équipe

Ré-imaginez la santé avec des talents internationaux ambitieux et bienveillants.

En savoir plusEn savoir plus

À propos d'Alan

Notre business model

Les principes de notre modèle économique

Notre solidité financière

Nos finances, expliquées simplement

Nos actualités

Nouvelles fonctionnalités, lettres à nos investisseurs, etc.

La tech chez Alan

En savoir plus sur la culture tech d’Alan

Discover Alan

About us

Everything you need to know about the company (in English 😉)

Sécurité et protection des données chez Alan

Nous comprenons que de nombreuses entreprises exigent que leurs départements de sécurité de l'information audite et examine tous les systèmes et logiciels de tiers. Afin de fournir un ensemble de réponses simplifié, voici notre dernière déclaration, régulièrement mise à jour par notre équipe de sécurité.

Membre fait référence aux personnes bénéficiant d'une couverture d'assurance ou utilisant des services de santé fournis par Alan, que ce soit dans le cadre d'un contrat direct avec Alan ou d'un contrat de groupe.

Administrateur de l'entreprise désigne les personnes désignées par les clients professionnels d'Alan pour gérer le contrat du client avec Alan, notamment la gestion de l'inscription des employés.

Utilisateur final fait référence collectivement aux membres et aux administrateurs de l'entreprise.Alan fait référence à la Société, ses filiales, ses employés et ses sous-traitants.

 Sommaire

Gouvernance

Organisation de la sécurité

Qui est responsable de la sécurité de l’information chez Alan?

La responsabilité de la sécurité de l'information est confiée au rôle de Responsable de la Sécurité de l'Information, au sein de l’area Trust Factory de l'unité Foundation.La responsabilité de la conformité au RGPD est attribuée au rôle de Délégué à la Protection des Données au sein de l'unité Corporate.Les deux équipes collaborent étroitement pour respecter notre engagement d'entreprise envers le respect et la protection de la vie privée de nos membres, ainsi que la protection de leurs données personnelles selon les normes les plus élevées.

Votre sécurité fait-elle l’objet de revues indépendantes ?

Oui, nous menons des tests d’intrusion et des audits de sécurité au moins chaque année, et nous pouvons partager un résumé des conclusions de notre dernier audit et de notre dernière campagne de tests.

Les clients peuvent-ils mener un audit de votre sécurité ?

Non, nous ne pouvons offrir cette possibilité à l’ensemble de nos plus de 15000 clients car cela mobiliserait des ressources disproportionnées.

Comment pouvons-nous vous contacter au sujet de questions de sécurité ou de protection de la vie privée ?

Vous pouvez contacter l’équipe sécurité par email à [email protected], et l’équipe DPD/vie privée à [email protected].

Conformité et certification

Disposez-vous de certifications de sécurité ?

Nous sommes engagés dans le processus de certification ISO 27001 et nous utilisons d’ores et déjà les exigences de la norme comme cadre pour nos initiatives en matière de sécurité :• nous avons adopté une approche de sécurité basée sur l'évaluation des risques• nous maintenons une documentation organisée et écrite de nos politiques et procédures• nous conservons des enregistrements qui démontrent que nos mesures de sécurité sont pertinentes et efficaces• nous recherchons l’amélioration continue de notre posture en matière de sécurité• nous nous soumettons périodiquement à des audits externes indépendants.

Comment vous conformez-vous aux exigences du référentiel PCI-DSS ?

Nous sous-traitons l’ensemble de nos opérations d’encaissement à un prestataire qualifié PCI-DSS (Stripe).

Gestion des données

Classification des données

Catégorisez-vous les données par classes de sensibilité ?

Oui, nous catégorisons les données selon les classifications suivantes :• informations publiques (explicitement destinées à la communication en dehors de l'entreprise)• informations internes (partagées au sein de l'entreprise mais non explicitement désignées pour une communication externe)• informations personnelles (toute information relative à une personne spécifique, directement ou indirectement ; soumise à une protection réglementaire spécifique telle que le RGPD)• informations personnelles sensibles (informations personnelles nécessitant une protection supplémentaire spécifique, y compris des informations médicales)

Localisation

Où stockez-vous les données ?

Notre infrastructure de production utilise plusieurs centres de données, tous situés dans l’Union européenne (régions AWS de Francfort et de Paris).

Les données sont-elles chiffrées au repos ?

Oui, toutes les données sont chiffrées au repos. De plus, les conversations médicales de la clinique font l’objet d’un chiffrement de bout en bout destiné à minimiser le risque de violation du secret médical.

Les données sont-elles chiffrées en transit ?

Oui, tous les transferts de données internes, personnelles ou sensibles sont chiffrés.

Transférez-vous des données en-dehors de l’Union européenne ?

Certaines données que nous traitons peuvent être transférées en dehors de l'Espace Economique Européen dans le cadre d'activités nécessaires à nos opérations et à la fourniture de nos services. Lorsque de tels transferts sont nécessaires, nous les limitons au strict minimum, et nous nous assurons que des instruments juridiques (tels que des décisions d'adéquation, des clauses contractuelles types ou des règles d'entreprise contraignantes) sont en place pour garantir une protection adéquate des données et des droits des personnes concernées par le destinataire du transfert, conformément à l’article 46 du RGPD. Lorsque c’est nécessaire, nous mettons également en œuvre des mesures complémentaires, en adéquation avec les exigences dégagées par la jurisprudence européenne.

Où sont situés les collaborateurs d’Alan qui ont accès aux données ?

Les bureaux d'Alan sont exclusivement situés dans l'Union européenne. Alan permet également à ses employés de travailler à distance, sous réserve de se conformer à sa politique de travail en tout lieu. L'accès à distance à l'espace de travail d'Alan est strictement réglementé afin de garantir que l'accès aux données à distance est correctement sécurisé. Cela inclut l'utilisation d'un VPN pour se connecter aux applications d'Alan et des mesures de sécurité sur les postes de travail, ainsi que le respect de toutes les règles internes énoncées dans notre charte de bon usage. En outre, les employés d'Alan sont soumis à des engagements contractuels stricts en matière de protection de la vie privée, de confidentialité et de sécurité des informations auxquelles ils ont accès. Ces engagements subsistent après la cessation de leur emploi.

Transferts de données

Comment les données en transit sont-elles chiffrées ?

L’ensemble des transferts de données utilisent des protocoles chiffrés (TLS 1.2 ou supérieur, SSH/SFTP). Nous imposons l’utilisation de protocoles sécurisés (HTTPS, HSTS) pour l’ensemble des services web Alan

Comment vos flux réseau sont-ils protégés ?

Nos serveurs publics sont protégés par frontaux Cloudflare réalisant les fonctions de pare-feu applicatif (WAF) et d’équilibreurs de charge, ainsi que par des mesures de détection et de blocage d’attaque embarquées (Datadog ASM). Notre infrastructure est déProployée sur des réseaux privés virtuels qui ne sont pas directement accessibles depuis l'extérieur. Tout accès aux applications internes et aux ressources depuis l'extérieur du siège social d'Alan doit passer par des connexions VPN chiffrées et authentifiées individuellement.

Suppression des données

Combien de temps conservez-vous les données ?

Les principales périodes de conservation des données relatives à l'assurance sont les suivantes • 2 ans pour les données relatives à l'assurance santé (actes de soins) • 10 ans pour les données relatives à l'assurance prévoyance • 5 ans pour les données administratives (y compris l'affiliation des employés).

Avez-vous une obligation légale de les conserver pendant une période spécifique ?

Les durées ci-dessus se fondent sur les délais de prescription du contentieux en matière d'assurance et sur les obligations d'Alan (LCB-FT)

Avez-vous une procédure de suppression/purge des données à l'issue de leur durée de conservation ?

Le cycle de vie des données est automatisé.

Cookies

Votre solution utilise t-elle des cookies ?

Oui, nous utilisons les catégories suivantes: • cookies nécessaires au dispositif d'authentification des utilisateurs (cookie interne) • cookies nécessaires au service de chat en ligne du support client (cookie interne pour la fenêtre popup Intercom) • cookies de mesure d'audience (cookie interne) • cookies de mesure d'efficacité de publicité ciblée (exclusivement sur les parties publiques du site web Alan, jamais sur les pages à accès authentifié)

Avez-vous une Politique de Gestion des Cookies ?

Notre politique de gestion de cookies est incorporée à notre politique de confidentialité

Offrez-vous aux utilisateurs la possibilité de refuser tous les cookies ?

Oui, une bannière pour gérer les cookies est affichée dès le premier écran de connexion à cet effet.

Partage de plateforme

L’application d’Alan est-elle partagée entre les clients (multi-tenant) ?

Oui, et nous mettons en œuvre une séparation logique des données au sein de la plateforme.

Continuité d'activité

Plan de continuité d'activité

Disposez-vous d’un plan de continuité d’activité ?

Oui, nous avons établi une politique de sécurité et de continuité d’activité, et défini un plan de continuité d’activité qui fixe les mesures permettant de pallier tous les risques qui pèsent sur la continuité de notre activité.

À quelle fréquence effectuez-vous des sauvegardes ?

Nos systèmes de production sont sauvegardés quotidiennement.

Comment vous protégez-vous contre la perte accidentelle de données ?

Nos données de production et de sauvegardes sont répliquées sur plusieurs centres de données (zones de disponibilité de la région AWS de Francfort). Par ailleurs, une copie supplémentaire de nos sauvegardes est stockée dans la région AWS de Paris.

Comment vous protégez-vous contre la perte accidentelle de votre infrastructure ?

Nous privilégions une approche préventive qui repose sur le choix de fournisseurs de services cloud disposant d’une infrastructure redondante et résiliente, et d’une expérience de terrain éprouvée en matière de robustesse et de disponibilité. Nous ne stockons aucune donnée dans nos propres locaux. Nous mettons en œuvre l’approche Infrastructure as Code, ce qui signifie que l’ensemble de la configuration de notre infrastructure est gérée sous forme de code et peut être redéployée à tout moment.

Comment faites-vous face en cas d’impossibilité de travailler en présentiel ?

Nous sommes préparés à fonctionner en totalité en télétravail, sans aucun impact sur l’activité. Chaque collaborateur dispose d’un ordinateur portable et d’un accès VPN sécurisé.

Comment faites-vous face au risque d’indisponibilité d’une personne clé ?

Notre culture d’entreprise privilégie la transparence radicale et l’utilisation de l’écrit. Toutes les connaissances et données nécessaires aux prises de décision et aux opérations est numérisée et disponible pour l’ensemble des parties prenantes ayant besoin d’en connaître.

Gestion des identités et des accès

Utilisateurs finaux

Comment les utilisateurs finaux s’authentifient-ils ?

Nous utilisons l’authentification par login (adresse email) et mot de passe. Nous imposons une longueur (9 caractères) et une complexité minimales. Nous imposons une temporisation exponentielles sur les requêtes d’authentification pour prévenir les attaques par force brute ou par énumération.

Comment stockez-vous les mots de passe des utilisateurs finaux ?

Nous utilisons un stockage conforme aux bonnes pratiques : les mots de passe sont hachés au moyen de la fonction bcrypt avec salage et un facteur de coût de 12 (4096 itérations).

Les utilisateurs finaux peuvent-ils utiliser l’authentification multi-facteurs ?

Oui, les utilisateurs finaux peuvent activer l’authentification multi-facteurs sur leur compte Alan. Le second facteur est une notification dans l’app mobile, ou en secours un code éphémère envoyé par email.

De quelles habilitations disposent les utilisateurs finaux ?

Les membres peuvent accéder aux données de leur contrat (ensemble des bénéficiaires). Les administrateurs d’entreprises peuvent accéder aux données nécessaires à leurs tâches administratives, en fonction des habilitations données par l’administrateur principale de leur entreprise.

Les utilisateurs finaux peuvent-il s’authentifier via un fournisseur d’identité externe (SSO, social login) ?

Pas actuellement.

Collaborateurs Alan

Comment les collaborateurs Alan s’authentifient-ils ?

Nous utilisons un service d’identité centralisé (SSO) pour l’accès aux systèmes Alan et aux outils tiers. Notre fournisseur d’identité impose une longueur (15 caractères) et une complexité minimales pour les mots de passe.

Comment stockez-vous les mots de passe des collaborateurs Alan ?

Ces mots de passe sont stockés uniquement par notre fournisseur d’identité (Google). Ils ne sont jamais manipulé sur les systèmes d’Alan. Chaque employé dispose d’un gestionnaire de mots de passe sécurisé pour le stockage de ses identifiants.

Les collaborateurs Alan peuvent-ils utiliser l’authentification multi-facteurs ?

L’authentification multi-facteurs est obligatoire sur le SSO ainsi que sur tous les outils tiers qui le permettent.

De quelles habilitations disposent les collaborateurs Alan ?

Les habilitations sont attribuées selon les nécessités de chaque poste suivant les principes de besoin d’en connaître et de moindre privilège. Elles sont révisées en fonction de l’évolution de chaque collaborateur. Une revue systématique est effectuée deux fois par an.

Traçabilité et imputabilité

Pistes d’audit

Les changements de données font-ils l’objet d’une piste d’audit ?

Oui, tous les changements de données génèrent un historique comprenant notamment l’identification de l’auteur du changement.

Existe-t-il une piste d’audit des accès en lecture ?

Les accès aux données des membres à travers notre application métier génèrent un historique horodaté.

Journaux

L’activité des utilisateurs est-elle enregistrée dans des journaux ?

Oui, en particulier, les opérations de connexion, de déconnexion, les échecs d’authentification et les changements de mots de passe sont journalisés.

Les accès aux bases de données sont-ils enregistrés dans des journaux ?

Oui, l’ensemble des requêtes en base de données sont journalisées.

Les journaux sont-ils protégés contre les altérations ?

Oui, nos systèmes de gestion des journaux (AWS Cloudwatch et Datadog) ne permettent aucune modification des journaux.

Gestion de l’application

Architecture applicative

Mettez-vous en place une architecture multi-niveaux pour protéger les composants essentiels de l'entreprise ?

Oui : • nous utilisons des frontaux Cloudflare nous protéger contre les attaques par déni de service et les requêtes mal formées ou hostiles (WAF) • notre back-office est déployé dans un réseau privé virtuel AWS, avec des adresse IP privées et sans accès direct depuis Internet • notre base de données de production est également dans un réseau AWS VPC séparé.

Gestion des changements

Avez-vous un process documenté de gestion des changements ?

Oui

À quelle fréquence déployez-vous de nouvelles versions en production ?

Plusieurs fois par jours.

Quels contrôles sont effectués avant la mise en production d’une nouvelle version ?

• Vérification automatisée pour les erreurs courantes et les vulnérabilités de sécurité • Suite de tests automatisés (tests unitaires - tests de régression) • Revue par les pairs et approbation

Avez-vous des environnements séparés pour le développement et pour les tests ?

Oui, chaque développeur dispose d’un environnement isolé, et nous avons un environnement de recette pour les tests d’intégration. Les environnements de développement utilisent soit des données fictives, soit des données issues de l’environnement de production après anonymisation. Les bases de données contenant des données de production anonymisées sont hébergées au sein de notre infrastructure cloud et bénéficient de la même protection que les données d’origine.

Vulnérabilités et événements de sécurité

Réponse à incident

Avez-vous défini formellement un plan de réponse à incident?

Oui, les activités suivantes liés au traitement des incidents sont formellement documentés :Préparation : les rôles et responsabilités sont clairement définis, les premiers intervenants sont formés et identifiésPendant les incidents : une procédure bien définie est suivie pour atténuer l'impact de l'incident, reprendre les opérations normales et communiquer avec toutes les parties prenantesAprès l'incident : une analyse post-mortem est systématiquement réalisée pour chaque incident.

Notifiez-vous des tiers lors d’incidents ?

Nous notifions les incidents affectant les données personnelles à la CNIL et aux personnes concernées conformément aux exigences du RGPD. Nous informons également les parties prenantes externes (clients, partenaires) des incidents de sécurité qui les impactent spécifiquement.

Tenez-vous un registre des incidents liés à la sécurité et aux données personnelles ?

Oui, nous conservons un enregistrement de chaque incident de production, incident de sécurité ou violation de données personnelles. Ces enregistrements comprennent : • la chronologie de l'incident • l'étendue de l'incident (systèmes, enregistrements et personnes impactés) • les actions immédiates entreprises pour atténuer l'incident • les actions correctives à court et à long terme identifiées comme nécessaires pour éviter toute récurrence • la communication aux parties prenantes concernées, y compris la notification aux autorités de réglementation • l'analyse des causes racines et les enseignements clés tirés de l’incident.

Comment traitez-vous les violations de données personnelles ?

Tout incident affectant des données personnelles est immédiatement signalé à l'équipe du DPD (Délégué à la Protection des Données). L'étendue de la violation est évaluée (nature des données compromises, nombre d'enregistrements et de personnes impactées, nature de l'atteinte) et des notifications réglementaires à la CNIL (Commission nationale de l'informatique et des libertés) en tant qu'autorité de contrôle principale et/ou aux personnes concernées sont effectuées si nécessaire. Des traces spécifiques sont conservées de l'évaluation et des notifications effectuées, en plus des enregistrements généraux de suivi des incidents.

Vulnérabilités

Avez-vous un programme de primes pour le signalement de vulnérabilités (bug bounty) ?

Pas actuellement. Cependant, nous acceptons volontiers les rapports des chercheurs en sécurité indépendants, et nous les récompensons à notre discrétion lorsqu'ils nous alertent sur des problèmes que nous estimons représenter un risque significatif et dont nous n’avions pas connaissance.

Vos applications sont-elles analysées par un tiers qualifier pour rechercher et identifier des vulnérabilités ?

Oui, nous commanditons des tests de pénétration chaque année, et nous pouvons partager un résumé de la dernière campagne.

Comment appliquez-vous les correctifs de sécurité critiques sur vos applications et leur environnement d’exécution ?

Nous redéployons nos applications plusieurs fois par jour à partir des images de base les plus récentes de notre fournisseur de plateforme, de sorte que les mesures de sécurité amont sont toujours déployées sans délai. Les changements de code internes liés à la sécurité sont priorisées grâce à notre système de gestion des problèmes et d'intégration continue. Les vulnérabilités évaluées par Alan doivent être corrigées ou remédiées dans les délais suivants : • Critique : 1 jour ouvrable • Moyenne : 5 jours ouvrables • Faible : 30 jours ouvrables

Détection et blocage d’attaques

Votre infrastructure applicative est-elle protégée contre les dénis de service ?

Oui, nous utilisons des frontaux Cloudflare pour détecter et bloquer les attaques en déni de service et équilibrer la charge entre nos serveurs. Nous mettons également en œuvre des mesures de temporisation sur certains points d’accès critiques de l’application.

Votre infrastructure est-elle protégée par un pare-feu applicatif (WAF) ?

Oui (Cloudflare WAF). En outre, toutes les requêtes sont filtrées par la protection embarquée Datadog ASM. Ce composant intégré à l'application détecte et bloque les attaques telles que les tentatives d'injection, les comportements d’authentification anormaux ou malveillants, et bloque automatiquement les adresses IP sources d’attaques.

Ressources humaines et environnement de travail

Recrutement

Vérifiez-vous les antécédents des collaborateurs ?

Oui, nous procédons à des vérifications du casier judiciaire lorsque la loi le permet. Nous demandons également des documents relatifs à l'identité, aux qualifications (diplômes) et au droit de travailler, ainsi que des références d'anciens employeurs.

Disposez-vous d'un programme de sensibilisation à la sécurité de l'information ?

Oui : au cours de leur processus d'intégration, tous les nouveaux collaborateurs reçoivent une formation sur la sécurité et la protection de la vie privée. La sensibilisation se poursuit au long cours sous forme de messages, de rappels et de formations de recyclages interactives en ligne. Nous organisons en permanence des opérations de sensibilisation à l'hameçonnage basées sur des simulations. Nous partageons les principales conclusions des audits de sécurité avec l'ensemble de l'équipe.

Vos employés sont-ils soumis à des obligations en matière de sécurité et de protection de la vie privée ?

Oui, nos employés et nos opérateurs en sous-traitance sont contractuellement liés par des clauses de confidentialité et par notre charte de bon usage des systèmes d'information.

Environnement de travail

Les stations de travail des utilisateurs finaux sont-elles contrôlées par l’entreprise ?

Oui, toutes les stations de travail sont contrôlées par MDM (Kandji).

Les mises à jour de sécurité sont-elles appliquées ?

Oui, les mises à jour du système d’exploitation et des applications sont appliquées automatiquement sous le contrôle du MDM.

Les stations de travail sont-elles chiffrées ?

Oui, le chiffrement de l’ensemble des données stockées est imposé sous le contrôle du MDM.

L’accès aux sessions des utilisateurs est-il protégé ?

Oui, les comptes utilisateurs doivent utiliser un mot de passe robuste ou une authentification biométrique, et les sessions doivent être verrouillées chaque fois que le poste de travail n'est pas surveillé. Ces mesures sont appliquées de manière obligatoire par le MDM.

Gestion des fournisseurs

Relations avec les fournisseurs

Les contrats avec vos fournisseurs incluent-ils des clauses relatives à la sécurité ?

Oui, nous examinons la position et les pratiques de nos fournisseurs en matière de sécurité pour nous assurer qu'elles sont adéquates au regard de la criticité du service fourni et de la sensibilité des données que nous partageons avec eux. Nous incluons des clauses de sécurité dans les contrats en fonction de cette évaluation.

Dépendances logicielles

Traitez-vous les vulnérabilités des composants logiciels sur étagère utilisés dans vos applications ?

Oui, nous disposons d'alertes et de mesures correctives automatisées pour les vulnérabilités identifiées dans nos dépendances logicielles libres.

Protection de la vie privée et RGPD

Qualification des acteurs

Quel rôle endosse Alan en matière de traitement de données personnelles?

Alan agit en tant que responsable de traitement indépendant pour la plupart de ses activités, y compris la fourniture de ses services d'assurance. Alan détermine elle-même le moyens et les finalités des activités de traitement à effectuer. Ceux-ci sont couverts par notre politique de confidentialité, disponible à l'adresse https://alan.com/privacy, et référencée dans la clause 19, "Données personnelles", de nos conditions générales. Toutefois, Alan agit en tant que sous-traitant, traitant des données personnelles pour le compte du client, dans le cadre spécifique et restreint de l'affiliation des employés, où le client transmet à Alan les données relatives aux employés qu'il souhaite inviter, et où Alan transmet au client les informations nécessaires à l’établissement de la paie. Ces activités de traitement limitées sont couvertes par contrat sur la protection des données (DPA) annexé à nos conditions générales sous le titre "Contrat de traitement de données personnelles".

Principes de protection de la vie privée

Quels sont les principes qui régissent le traitement des données à caractère personnel ?

1. Alan donne à ses membres le contrôle et de la transparence sur leurs données personnelles. 2. Les données relatives à la santé sont utilisées pour améliorer et personnaliser l'expérience en matière de santé. Elles ne sont ni vendues ni utilisées pour personnaliser la tarification des assurances. 3. Alan investit de manière proactive dans la protection de la vie privée et la sécurité.

RGPD

Où publiez-vous votre déclaration de protection des données ?

Notre déclaration complète de protection des données et de la vie privée, conforme aux exigences du RGPD, est publiée et accessible sur notre site web à l'adresse www.alan.com/privacy ainsi que directement au sein de notre application.

Comment gérez-vous le respect des obligations et des principes établis par le RGPD ?

La conformité aux règles de protection des données et en particulier aux principes de traitement du RGPD est détaillée dans les questions ci-dessus. En résumé, Alan garantit : - l'information éclairée, préalable et claire des personnes concernées sur le traitement de leurs données personnelles (i) au sein des documents contractuels d'adhésion et de souscription aux garanties et (ii) au sein des espaces numériques mis à leur disposition via des rubriques dédiées et facilement accessibles et notamment via la politique de confidentialité ; - le recueil du consentement exprès et préalable de l'assuré pour la collecte et le traitement de ses données personnelles lorsqu'ils sont fondés sur cette base légale ; - l'exercice effectif et la gestion des droits des personnes concernées sur leurs données à caractère personnel et notamment leurs droits d'accès, de rectification et d'effacement de leurs données ainsi que de limitation et d'opposition à leur traitement ; - le traitement et la conservation des données à caractère personnel collectées pendant la seule durée nécessaire à la réalisation des finalités et obligations poursuivies ; - le traitement et l'hébergement des données à caractère personnel conformément aux exigences spécifiques de la réglementation. Les traitements reposent sur une infrastructure située dans l'Espace économique européen au sein de serveurs certifiés par l'ANSSI pour l'hébergement de données de santé ; - la mise en place d'un cadre contractuel approprié pour gérer le traitement de données à caractère personnel par des tiers agissant notamment en tant que sous-traitants de données à caractère personnel pour notre compte, clarifiant notamment la répartition des rôles et responsabilités des parties et détaillant l'ensemble des instructions et conditions relatives à ce traitement, ainsi que les éventuels transferts de données à caractère personnel qui y sont liés.

Licéité, loyauté et transparence

Comment vous assurez-vous que les données à caractère personnel sont traitées de manière licite, loyale et transparente par rapport à la personne concernée ?

Alan s'assure qu'une information éclairée, préalable et répétée des personnes concernées par le traitement de leurs données personnelles est fournie : (i) dans le cadre du document contractuel d'adhésion et de souscription aux garanties et (ii) dans les espaces numériques mis à leur disposition par le biais de rubriques dédiées et facilement accessibles et notamment via la politique de confidentialité. Alan s'assure que tous les traitements sont effectués de manière licite, dans un but légitime et en s'appuyant sur une base juridique appropriée et qu'ils ne sont pas conservés ni traités plus longtemps que nécessaire pour atteindre ces objectifs.

Limitation des finalités

Comment vous assurez-vous que les données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes et qu'elles ne sont pas traitées ultérieurement d'une manière incompatible avec ces finalités ?

Alan veille à respecter le principe de limitation des finalités en ne traitant les données personnelles qu'à des fins spécifiques et légitimes, qui sont énumérées de manière exhaustive dans les registres d’activités de traitement d'Alan et les informations connexes destinées aux personnes concernées sont détaillées au sein de notre politique de confidentialité.

Minimisation des données

Comment vous assurez-vous que les données à caractère personnel sont collectées de manière adéquate, pertinente et limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ("minimisation des données")? ;

Alan s’assure de la minimisation des données par l'évaluation systématique de la nécessité et de la pertinence des données à traiter pour atteindre un objectif particulier, ce qui englobe les actions entreprises pour garantir la protection de la vie privée dès la conception et par défaut. Alan procède à des analyses d’impact relative la protection des données (AIPD) lorsque, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, une activité de traitement spécifique pourrait présenter des risques élevés ou avoir un effet significatif sur les droits et libertés des personnes concernées, garantissant ainsi que le traitement envisagé est proportionné et équitable.

Limitation de la conservation

Comment vous assurez-vous que les données à caractère personnel sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées (limitation de la conservation) ?

Les données personnelles collectées ne sont stockées que pendant la seule période nécessaire à la réalisation des finalités poursuivies et au respect des obligations légales et réglementaires de conservation. - Lorsque la finalité principale du traitement des données est atteinte, les données sont archivées. L'accès est alors limité aux seules personnes ayant besoin d'accéder aux données jusqu'à ce que les obligations de conservation d'Alan soient prescrites. - Les données relatives à la santé sont traitées et conservées conformément au Code de bonnes pratiques annexé à la Convention AERAS. - La politique d'archivage d'Alan s'appuie sur des ressources et des services conformes aux recommandations de la CNIL, qui comportent trois niveaux : les archives courantes, les archives intermédiaires et les archives définitives.

Qualité et exactitude des données

Comment vous assurez-vous que les données à caractère personnel sont exactes et, le cas échéant, tenues à jour ?

Alan s’assure de la qualité et l’exactitude des données personnelles qu'elle traite. Pour garantir la mise à jour des données traitées, nous respectons notre politique de conservation des données et veillons à l'exercice effectif des droits des personnes concernées en leur donnant la possibilité d'accéder à leurs données personnelles, de les rectifier ou de les supprimer, le cas échéant, afin d'en garantir l'exactitude.

Intégrité et confidentialité

Comment vous assurez-vous que les données à caractère personnel sont traitées d'une manière qui garantisse une sécurité appropriée des données à caractère personnel, y compris en utilisant des mesures techniques ou organisationnelles appropriées ?

Alan assure le traitement et l'hébergement des données personnelles conformément aux exigences spécifiques de la réglementation. - Les traitements d'Alan reposent sur une infrastructure située dans l'Espace économique européen au sein de serveurs certifiés par l'ANSSI pour l'hébergement de données de santé. - Alan met en œuvre des mesures de sécurité de pointe, adaptées aux risques et conditions des traitements mis en œuvre, qu'elles soient techniques, physiques, logiques ou organisationnelles (informations plus granulaires détaillées ci-dessus).

Responsabilité, “accountability”

Comment respectez-vous le principe de responsabilité (“accountability”) ?

Alan s’assure également du respect des obligations d’accountability et tient à jour et à la disposition des autorités compétentes tous les registres et documents exigés par la réglementation, notamment: - le registre des activités de traitement des données personnelles, - les analyses d'impact sur la protection des données, - les registres des violations de données personnelles, - la liste et les engagements contractuels régissant le recours aux sous-traitants et aux destinataires tiers, y compris les mesures appropriées pour couvrir tout transfert de données personnelles en dehors de l'Espace économique européen, complétées le cas échéant par toute mesure supplémentaire requise à la lumière de la jurisprudence de la Cour de justice de l'Union européenne.

Localisation des données et hébergement

Où les données personnelles sont-elles hébergées et par qui ?

Toutes les données sont hébergées et traitées dans des centres de données situés dans l'Union européenne (AWS, régions de Francfort et de Paris). - Les services Alan sont hébergés sur l'infrastructure AWS à Francfort.- Les données traitées par Alan sont hébergées par AWS sur des services certifiés HDS dans les régions de Francfort (production) et de Paris (réplication des sauvegardes)- À noter que certains prestataires de services traitant certaines données personnelles pour notre compte en tant que sous-traitants, peuvent être situés et/ou assujettis à des juridictions en dehors de l'Espace économique européen, dans ce cas des garanties et mesures appropriées sont mises en œuvre pour couvrir ces transferts d'une manière adaptée aux risques particuliers du traitement et aux exigences réglementaires, comme par l'utilisation de Clauses contractuelles types, complétées le cas échéant par les mesures supplémentaires adaptées (par exemple, le chiffrement des données au repos et en transit).

Violations de données

Comment gérez-vous les violations de données à caractère personnel et les notifications correspondantes ?

Outre le processus général de traitement des incidents décrit dans les sections précédentes, nous gérons les violations de données de la manière suivante :- notification interne à l'équipe DPO, dès la découverte d'un incident ayant un impact potentiel sur des données personnelles,- un document est établi pour suivre et analyser l'incident, rapportant la nature et l'étendue de la violation, son impact sur les personnes concernées, les mesures prises et prévues à court et à plus long terme pour limiter l'étendue de la violation, résoudre ses causes et empêcher qu’il ne se reproduise- notification aux parties prenantes potentiellement impactées par l'incident,- décision sur la notification à la CNIL, alignée sur le critère de l'article 33 du RGPD : la CNIL est notifiée par défaut, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. Si une notification doit être faite, elle est effectuée par voie électronique dans les 72 heures et le récépissé est joint au dossier de gestion de cet incident et dans nos registres - décision sur la notification aux personnes concernées alignée sur l'article 34 RGPD critère "élevé" : lorsque la violation de données est susceptible d'engendrer un risque important pour leurs droits et libertés - Dans tous les cas, l'incident est consigné dans le registre prévu à cet effet, et une analyse des causes profondes est effectuée afin de déterminer les mesures à mettre en place pour éviter que le scénario de l'incident ne se reproduise.

Pack de conformité Assurances

Respectez-vous les pack de conformité verticaux spécifiques au secteur de l'assurance ?

Pour le traitement de ces données personnelles en matière d'assurance, Alan se conforme aux prescriptions et recommandations de la CNIL élaborées au sein du pack de conformité pour le secteur de l'assurance, tel que mis à jour en 2021. En particulier, Alan veille au respect des conditions relatives au traitement et à la conservation des données les plus sensibles telles que le NIR et les données de santé, afin de les traiter conformément à la réglementation applicable et à ce pack de conformité.

Formation et sensibilisation

Avez-vous développé et mis en place une formation spécifique au RGPD pour les utilisateurs ?

- Les employés d'Alan sont systématiquement formés à la protection de la vie privée et à la conformité au RGPD lors de leur intégration.- Alan réalise également régulièrement des opérations ponctuelles de formation et de sensibilisation des salariés et de toutes les parties prenantes impliquées dans le traitement des données personnelles adaptées aux risques auxquels ils sont exposés dans le cadre de leurs fonctions. - Les employés d'Alan sont liés par des obligations renforcées de confidentialité et de respect du secret professionnel dans leurs contrats de travail.