Déclaration d’écoconception

Le référent en écoconception numérique est Thierry Notaire.

Le service numérique www.maif.fr fait l’objet d’une attention particulière quant à ses interactions avec les visiteurs, prospects et sociétaires utilisateurs du service qui impliquent la collecte de données personnelles ou non.

Cette attention se traduit à différents niveaux qui vont être précisés par la suite. Trois principaux items démontrent la conception responsable et raisonnée du service www.maif.fr et le souhait d’offrir aux utilisateurs un service respectueux de leurs droits.

Dans le cadre des travaux de mise en conformité du service, les équipes de la Digital Factory et de la Digital Analyse se sont appuyés sur les exigences de l’article 82 de loi 78-17 issue de la directive 2002/58 e-privacy ainsi que sur les délibérations de la CNIL 2020-092 et 2020-093 sur les cookies et autres traceurs.

Cette démarche s’est faite en coopération constante avec le DPO groupe MAIF. Elle a abouti au déploiement d’un système rénové de gestion des consentements au travers d'une CMP (consent management plateforme) opérée par Trust Commander.

Le dépôt et la lecture des informations sur le terminal de l’utilisateur se fait conformément à la réglementation pour répondre à 4 finalités principales clairement identifiées et détaillées selon une démarche de layer approach.

Au niveau 1 une information basique est proposée à l’utilisateur qui peut prendre connaissance des finalités de collecte des informations de navigation le concernant. Outre les collectes de données techniques nécessaires au fonctionnement du site, les finalités poursuivies sont :

• La mesure d’audience ;
• L’amélioration et la performance du site ;
• La personnalisation de la relation ;
• Le webmarketing (univers publicitaire).

Ce niveau 1 permet au travers d’une popin à l’utilisateur de définir globalement ses choix (accepter tout / refuser tout). Une analyse des dark paterns a été réalisée pour éviter des comportements non souhaités par les utilisateurs.

Nota : MAIF opère par ailleurs une collecte de données pour la finalité de mesure d’audience sans consentement mais dans le respect de l’exception prévue par l’article 82 interprété par les délibérations mentionnées. Des règles d’anonymisation des données et de purge sont implémentées dans les systèmes du partenaire de mesure d’audience (Piano Analytics).

Au niveau 2, une information plus complète est délivrée à l’utilisateurs. Cette information porte sur le détail des objectifs poursuivis, sur l’identité des différents partenaires impliqués dans la collecte. Il permet par ailleurs des choix granulaires sur tel ou tel partenaire ou telle ou telle finalité. Ce niveau d’information permet également d’obtenir dans le cadre d’une politique de confidentialité cookies l’intégralité des informations prévues par l’article 12 du règlement 2016/679 règlement général sur la protection des données.

Au titre du principe de minimisation MAIF a construit ses systèmes dans le respect des délibérations mentionnées. La durée des consentements fournis est de 6 mois, les données sont conservées dans les systèmes avals pour les finalités selon le référentiel proposé par la CNIL. Jusqu’à 25 mois pour les données liées aux analytics, 13 mois pour les autres cas.

Maif.fr étant un service destiné à héberger des parcours de souscription pour des offres produits d'assurance en selfcare, il dispose d'un certain nombre de formulaires de collecte de données par univers de produits, chacun des formulaires de collecte est susceptible de conduire à l'enregistrement et à la conservation d'un certain nombre d'informations nécessaires pour les différentes finalités de passation, gestion, exécution des contrats d'assurance, mais également pour la prospection commerciale et pour des actions marketing ponctuelles (point suivant).

Dès lors, les formulaires sont conçus par les équipes en charge du Digital en association avec des UX designers et le DPO du groupe, dans une logique de privacy by design, afin de mettre en œuvre le principe de minimisation.

Chacune des données collectées fait l'objet d'un examen de « nécessité » et les formulaires disposent d’informations contextualisées pour justifier des collectes opérées.

Différentes modalités d’informations sont prévues par l’adjonction de textes contextuels dépliables ou cliquables mais aussi par diverses mentions d'information et une Politique de confidentialité accessibles depuis le site internet pour justifier des collectes en fonction des finalités poursuivies.

Ainsi l’information des personnes est réalisée selon les lignes directrices sur l’information produites par l’EDPB en applications des articles 12 et suivants du règlement 2016/679.

Un référentiel de durée de conservation est implémenté dans les systèmes avals de maif.fr et conduit à la rétention des données pour des durées variables suivant les cas. Ces durées sont pour les principales :

• Pour les prospects pour une durée n'excédant pas la durée de 36 mois avec purge automatique ;
• Pour les clients en gestion contractuelle et gestion de sinistres pour des durées allant de 6 à 30 ans.

Des systèmes automatisés de purges sont implémentés et monitorés.

Lorsque dans le cadre des parcours de devis ou de souscription des données de contact sont collectées et utilisées pour assurer des fonctions de communication commerciale, MAIF a souhaité déployer un système centralisé et facilement utilisable par les sociétaires et prospects pour la gestion de leurs consentements et oppositions.

Dans le cadre de l'utilisation du service maif.fr, chacun des visiteurs ayant un compte personnel (user account) dispose de la possibilité d'exercer ses droits relatifs à la protection des données au travers d'un système de management des consentements (hors cookies) qui repose sur une solution développée en interne par MAIF dite NIO.

Le système permet pour l’heure la gestion des consentements à l’envoi des messages de nature publicitaire et aux choix quant à l’utilisation des données pour le profilage.

NIO est un système open source de gestion centralisé et synchrone des préférences de communication commerciale des utilisateurs pour les canaux, mail, SMS, Téléphone, courrier. Il permet d’assurer la traçabilité et la preuve des choix. Il repose sur une démarche dite de full opt-in en dépassement des exigences de l’article L. 34-5 CPCE et de la règlementation sur la prospection par téléphone / courrier.

Du fait de la synchronisation avec les autres systèmes dont le CRM, les sociétaires et utilisateurs peuvent modifier finement leurs choix soit dans le cadre des parcours selfcare soit par l’intermédiaire du réseau de distribution MAIF (par téléphone avec l’aide d’un conseiller ou en agence).

Dans un futur proche, la capacité de gestion des choix sera étendue à la gestion des abonnements désabonnements aux newsletters (actuellement gérée au niveau des pieds de mails des NL et du système de marketing automation), de la réception des messages de prévention d'information ((actuellement gérée au niveau des pieds de mails des NL) ainsi qu’à la participation à des enquêtes où sondages. Ceci offrira un niveau de service centralisé dans un tableau de bord complet pour chaque utilisateur.

Afin de prouver l’authenticité du site www.maif.fr, le protocole HTTPS est utilisé sur l’ensemble du site.

Conforme.

L’utilisation du site web est garanti sur des ordinateurs de moins de 10ans et d’appareil mobile de moins de 7 ans. Pour les appareils plus anciens le service peut néanmoins fonctionner sans garantie.

Oui pour les ordinateurs personnels et les mobiles Android tant que le navigateur est mis à jour. Pour les appareils équipés du système d’exploitation iOS, le site Maif garantit le fonctionnement sur les appareils supportés par Apple.

Oui, le service fonctionne sur d’anciens systèmes d’exploitation tant que le navigateur est maintenu à jour. Concernant le navigateur, MAIF garanti le fonctionnement sur la dernière version d’un navigateur ainsi que les deux versions précédentes, tant que le navigateur est supporté par son constructeur.

Le service numérique est utilisable sur les terminaux suivants :

• A la souris sur desktop
• Au toucher sur tablette
• Au toucher sur mobile

L’affichage du service numérique s’adapte selon les points de rupture suivants :

• Mobile (inférieur à 576px)
• Mobile Paysage (entre 576px et 768px)
• Tablette Portrait (entre 768px et 992px)
• Desktop Large (entre 992px et 1200px)
• Desktop Extra Large (supérieur à 1200px)

Le bon fonctionnement du service numérique est testé à chaque mise en production (le nombre de mise en production n’est pas linéaire, mais on peut noter qu’il y a au moins une mise en production par semaine sur une ou plusieurs parties du service numérique).

L’ensemble des services d’infrastructures sont des services managés cloud. Ces services sont paramétrés pour s’ajuster automatiquement à la demande de ressource. L’usage des ressources d’infrastructure est donc toujours au juste nécessaire.

Protocoles possibles :

• Connexion possible en IPv4
• Connexion possible en IPv6
• Connexion HTTPS en version TLS v1.3 minimum (connexion http impossible)

L’ensembles des services cloud que nous utilisons sont toujours à jour technologiquement.

La liste ci-dessus est donc respectées.

Le service numérique s’appuie sur des environnements autant que possible mutualisés.

Ces environnements sont arrêtés toutes les nuits de 20h à 08h.

Un environnement est supprimé dès lors que nous pouvons regrouper des projets/équipes sur un autre environnement.

Conforme.

Conforme.

Conforme.

Conforme.

Le site fait appel majoritairement aux composants natifs du navigateur (Champ texte, champs liste déroulante, bouton radio, case à cocher etc.). Des composants comme une fenêtre modale ou un bloc dépliant ne sont pas des composants natifs. Leur implémentation suit les recommandations en matière d’accessibilité. Ces composants sont régulièrement réévalués dans l’objectif d’utiliser le composant natif.

Les vidéos proposés sur le service numérique sont systématiquement porteuses d’informations. Elles sont systématiquement associées à un fichier de transcription textuelle afin que l’information soit aussi accessible aux personnes en situation de handicap.

Conforme.

Conforme.

Le service numérique n’utilise pas de notifications.

Le format d'image principal est le JPG avec un taux de compression adapté. Le site MAIF ne propose pas encore des tailles d'image adaptées pour chaque appareil.

Conforme.

Le service numérique propose uniquement des vidéos hébergées sur YouTube.

Oui, le service YouTube gère automatiquement ces paramètres.

Conforme.

Toutes les ressources maitrisées sont mises en cache côté client (cache-control, expires).

Conforme.

Conforme.

Conforme.

Conforme.

Un cache d’une heure est mis en place coté serveur dans le gestionnaire de contenus. Une version statique sur chaque page est donc servie.

Conforme.

Conforme.

Conforme. (cf. https://azure.microsoft.com/fr-fr/explore/global-infrastructure/sustainability)

Conforme.

Conforme.