RGPD & Données personnelles
Date de dernière mise à jour : 18/01/2026
1. Introduction
ORMY a à cœur le respect de la vie privée et la protection des données de ses clients et prospects, et s’attache au respect des libertés et droits fondamentaux de chacun.
La présente politique de protection des données témoigne des engagements d’ORMY dans le cadre de ses activités quotidiennes pour une utilisation responsable de vos données à caractère personnel (ci‑après nommées « données personnelles »).
Une donnée personnelle désigne toute information susceptible de se rapporter à une personne physique identifiée ou identifiable directement ou indirectement et de la caractériser.
Cette politique vous informe sur la manière dont ORMY utilise les informations qui lui sont confiées. Elle a également pour objectif d’aider à comprendre quelles sont les données qu’ORMY collecte, pour quelles raisons ORMY les collecte, comment elles sont utilisées, la façon de les mettre à jour, de les gérer, et précise les droits dont disposent ses prospects et clients.
En cas de contradiction entre les informations fournies dans les clauses contractuelles et cette politique, ORMY vous informe que les clauses contractuelles prévaudront sur la politique présentée ici.
Cette politique de protection des données est susceptible d’être modifiée ou complétée à tout moment par ORMY, notamment afin de se conformer à toute évolution législative, réglementaire, jurisprudentielle ou technologique, ou pour prendre en compte tout changement dans l’organisation d’ORMY ou dans les offres, produits et services proposés. Dans un tel cas, la date de sa mise à jour sera clairement identifiée en tête de la présente politique. Il convient par conséquent que vous consultiez régulièrement la présente politique de protection des données afin de prendre connaissance de ses éventuelles modifications.
2. Coordonnées du responsable des traitements
Les coordonnées sont : 24 rue Jules Labat 64100 BAYONNE – (contact@ormyexpertise.fr)
3. Catégories de données collectées
Les données personnelles peuvent être collectées directement auprès de vous ou indirectement.
On parle de collecte indirecte lorsque les informations ne sont pas obtenues directement auprès de la personne concernée (ex. : informations transmises par un partenaire, un tiers autorisé ou issues de sources publiques).
a) Données personnelles courantes
Dans le cadre de son activité, ORMY est amené à collecter différentes catégories de données personnelles strictement nécessaires aux finalités prévues :
- Données d’identification : état civil, identité, coordonnées (adresse, email, téléphone).
- Données relatives à la vie personnelle : situation familiale, régime matrimonial lorsque nécessaire dans le cadre des missions.
- Données professionnelles : fonction, parcours, informations liées à l’activité économique.
- Données d’ordre économique et financier : éléments patrimoniaux, situation financière, revenus, documents comptables et fiscaux.
b) Données dites « sensibles »
Dans certains cas, ORMY peut être amené à traiter des données relevant de catégories particulières, uniquement lorsqu’elles sont indispensables à la mission confiée (ex. : analyse globale permettant d’optimiser votre protection sociale ou votre situation patrimoniale).
Ces données peuvent inclure :
- Numéro de sécurité sociale (donnée identifiante particulière, protégée par le Code de la sécurité sociale).
- Données de santé, strictement nécessaires :
- informations médicales utiles à certaines simulations (invalidité, arrêt de travail, pathologies, taille, poids).
- Habitudes de vie lorsque cela a un impact sur la couverture assurantielle :
- fumeur/non‑fumeur, activité sportive, déplacements à l’étranger, pays fréquentés.
- Exposition politique (statut de personne politiquement exposée – PEP) lorsque requis dans le cadre d’obligations légales (ex. : vigilance renforcée).
Ces traitements ne sont mis en œuvre que :
- avec votre consentement explicite, ou
- lorsqu’ils sont nécessaires à l’exécution d’un contrat, ou
- pour satisfaire à une obligation légale, conformément au RGPD et à la loi Informatique et Libertés.
4. Finalités du traitement
Toutes les données personnelles collectées par ORMY le sont dans le cadre d’objectifs précis, légitimes et clairement portés à votre connaissance, conformément au RGPD et à la loi Informatique et Libertés.
ORMY utilise vos données personnelles pour gérer sa relation avec ses clients et prospects, répondre à vos demandes, vous proposer des services adaptés et, lorsque vous y consentez, vous adresser des informations pertinentes sur nos offres.
Certaines données peuvent également être collectées par des prestataires tiers agissant pour le compte d’ORMY, uniquement lorsque cela est nécessaire à l’exécution de votre contrat.
Ces tiers n’accèdent aux données que dans la mesure strictement nécessaire à l’accomplissement de leur mission, dans un cadre contractuel garantissant la confidentialité et la sécurité des informations traitées.
ORMY collecte vos données personnelles afin :
- De répondre aux demandes de ses clients et d’identifier les offres les plus pertinentes auprès de ses partenaires.
- D’assurer la gestion et le suivi de la relation client (prise de contact, accompagnement, exécution du contrat).
- De mener des actions de prospection commerciale (emails d’information, conseils, actualités), dans le respect de vos choix en matière de consentement.
- De sécuriser, maintenir et améliorer le site internet, notamment via des outils de mesure d’audience ou de sécurité informatique.
- De traiter toute demande relative à l’exercice de vos droits RGPD (accès, rectification, opposition, limitation, portabilité, effacement).
5. Fondement du traitement de vos données
Licéité des traitements
Outre les principes généraux applicables aux données personnelles, un traitement ne peut être mis en œuvre que s’il repose sur l’un des fondements juridiques prévus par le RGPD.
Pour être licite, un traitement doit répondre au moins à l’une des bases légales suivantes :
- Consentement : vous avez donné votre accord libre, éclairé, spécifique et univoque pour une ou plusieurs finalités déterminées.
- Exécution d’un contrat : le traitement est nécessaire à l’exécution d’un contrat auquel vous êtes partie ou à la réalisation de mesures précontractuelles à votre demande.
- Obligation légale : le traitement est nécessaire pour respecter une obligation légale à laquelle ORMY, en tant que responsable du traitement, est soumis.
- Mission d’intérêt public ou exercice d’une autorité publique : lorsque le traitement est requis pour l’exercice de prérogatives légales (cas exceptionnel).
- Intérêts vitaux : le traitement est nécessaire à la sauvegarde de vos intérêts vitaux ou de ceux d’une autre personne physique.
- Intérêt légitime : le traitement est nécessaire aux fins des intérêts légitimes poursuivis par ORMY ou par un tiers, sauf si vos intérêts ou vos libertés et droits fondamentaux prévalent.
Fondements juridiques applicables aux traitements mis en œuvre par ORMY
| Traitement | Base légale |
|---|---|
| Gestion des fournisseurs | Exécution du contrat |
| Gestion des prospects | Intérêt légitime et consentement (selon le canal) |
| Gestion des clients | Exécution du contrat et obligations légales |
6. Destinataires des données personnelles
Dans la stricte limite des traitements nécessaires aux finalités décrites dans la présente politique, ORMY peut être amené à communiquer certaines de vos données personnelles aux catégories de destinataires suivantes :
- Aux personnels habilités d’ORMY, dans le cadre de l’exercice normal de leurs missions et soumis à une obligation stricte de confidentialité.
- Aux délégataires de gestion et intermédiaires d’assurance, lorsque cela est indispensable à l’exécution de vos contrats ou à la mise en place de solutions adaptées.
- Aux assureurs pour l’étude, la souscription, la gestion ou l’exécution des garanties.
- Aux partenaires et prestataires de services intervenant dans la gestion de votre demande ou de votre dossier.
- Aux sous‑traitants agissant pour le compte d’ORMY, notamment pour des opérations techniques (maintenance informatique, hébergement, sécurité, outils de communication…). Ces sous‑traitants sont contractuellement tenus de garantir la confidentialité, l’intégrité et la sécurité des données.
- Aux professionnels intervenant dans le cadre d’un contrat, tels que avocats, notaires, experts‑comptables ou conseillers spécialisés.
- Aux tiers légalement autorisés, tels que autorités de contrôle, commissaires aux comptes, administrations ou organismes réglementaires, lorsque la loi l’exige.
Engagement d’ORMY :
ORMY s’interdit formellement de vendre, louer ou céder vos données personnelles à des tiers pour des usages qui leur seraient propres.
Toute communication effectuée l’est exclusivement pour les besoins du service, dans un cadre contractuel et sécurisé, conformément au RGPD.
7. Transferts de données personnelles en dehors de l’Union Européenne
ORMY s’engage à ne transférer aucune de vos données personnelles en dehors de l’Union européenne.
8. Utilisation des données
La nouvelle réglementation en matière de protection des données personnelles impose de respecter les droits des personnes concernées.
9. Droits des personnes
La réglementation relative à la protection des données personnelles impose de garantir et de respecter les droits de chaque personne dont les données sont traitées.
ORMY veille à assurer l’exercice effectif de l’ensemble de ces droits.
a) Droit à l’information
ORMY vous informe de manière claire et transparente sur sa politique de protection des données :
- finalités des traitements,
- catégories de données collectées,
- destinataires,
- durée de conservation,
- droits dont vous disposez,
- source des données (en cas de collecte indirecte),
- existence d’une prise de décision automatisée le cas échéant.
Toutes ces informations figurent dans la présente politique.
b) Droit d’accès
Vous avez le droit d’obtenir la confirmation que des données personnelles vous concernant sont traitées et, lorsqu’elles le sont, d’accéder à l’ensemble de ces données ainsi qu’aux informations relatives à leur traitement.
c) Droit de rectification
Vous pouvez demander la rectification, dans les meilleurs délais, des données personnelles inexactes ou incomplètes vous concernant.
Ce droit inclut la possibilité de fournir une déclaration complémentaire pour compléter les informations.
d) Droit à l’effacement (ou “droit à l’oubli”)
Vous pouvez demander l’effacement de vos données personnelles lorsque l’un des motifs prévus par le RGPD s’applique (ex. : données qui ne sont plus nécessaires, retrait du consentement, traitement illicite…).
e) Droit à la limitation du traitement
Vous pouvez demander la limitation du traitement de vos données personnelles dans les cas prévus par le RGPD (ex. : contestation de l’exactitude des données, traitement illicite, etc.).
Pendant la période de limitation, les données ne peuvent être conservées que dans un cadre restreint.
f) Droit d’opposition
Vous pouvez vous opposer à tout moment au traitement de vos données personnelles :
- pour des motifs légitimes, ou
- pour vous opposer à l’utilisation de vos données à des fins de prospection commerciale (ce droit est absolu).
g) Droit à la portabilité
Vous pouvez demander à recevoir les données personnelles que vous avez fournies à ORMY, dans un format structuré, couramment utilisé et lisible par machine.
Vous pouvez également demander la transmission directe de vos données à un autre responsable de traitement, lorsque cela est techniquement possible.
Ce droit :
- ne porte que sur les données fournies par vous,
- ne s’applique qu’aux traitements automatisés,
- concerne uniquement les traitements fondés sur votre consentement ou l’exécution d’un contrat,
- ne doit pas porter atteinte aux droits et libertés de tiers.
h) Droit de définir des directives post‑mortem
Vous avez la possibilité de définir des directives relatives à la conservation, à l’effacement ou à la communication de vos données personnelles après votre décès.
Ces directives peuvent être générales ou particulières et seront respectées par ORMY conformément à la loi.
10. Exercice des droits et délai de réponse
Vous pouvez à tout moment contacter ORMY par courrier postal ou par email (aux coordonnées indiquées dans la rubrique « Identité et coordonnées du responsable du traitement ») afin de consulter les données personnelles vous concernant et détenues par notre cabinet.
a) Délai de réponse pour le droit d’accès
ORMY s’engage à répondre à toute demande d’accès dans un délai maximal de 1 mois à compter de sa réception.
Lorsque la demande est complexe ou que le volume de demandes le justifie, ce délai peut être prolongé d’un mois supplémentaire.
En cas de prolongation, ORMY vous en informera préalablement, de manière claire et motivée.
b) Délai de réponse pour l’ensemble des autres droits RGPD
Pour l’exercice des autres droits (rectification, effacement, limitation, opposition, portabilité, directives post‑mortem), ORMY s’engage à répondre dans un délai maximal de 1 mois à compter de la réception de votre demande.
Ce délai peut être prolongé de deux mois supplémentaires lorsque la demande est particulièrement complexe ou lorsque plusieurs demandes sont en cours de traitement.
En cas de prolongation, ORMY vous notifiera cette extension dans le délai initial, en expliquant les raisons de cette prolongation.
11. Sécurité des données
ORMY met en œuvre des mesures de sécurité physiques, logiques et organisationnelles adaptées afin de garantir la confidentialité, l’intégrité et la disponibilité de vos données personnelles, et de prévenir tout accès non autorisé.
Vos informations sont hébergées sur des systèmes sécurisés, accessibles uniquement par un nombre restreint de collaborateurs et de prestataires disposant de droits d’accès strictement limités à leurs missions.
Les principales mesures de sécurité mises en place sont les suivantes :
- Restriction des ports de communication pour limiter les surfaces d’exposition.
- Revue régulière des droits administrateurs afin d’éviter toute élévation injustifiée de privilèges.
- Administration du site via des protocoles sécurisés (ex. : HTTPS, SSH).
- Gestion fine des droits sur les bases de données, selon le principe de moindre privilège.
- Limitation du nombre de composants techniques, associés à une veille de sécurité continue et à des mises à jour régulières.
- Contrôle des entrées des formulaires pour prévenir les injections SQL et autres attaques liées aux données utilisateurs.
- Tests d’intrusion réguliers sur le site internet et les applications afin de détecter et corriger les vulnérabilités.
- Politique de gestion des cookies disponible et conforme aux recommandations de la CNIL.
- Stockage sécurisé des mots de passe, transformés via des fonctions cryptographiques non réversibles conformes au Référentiel Général de Sécurité (RGS).
- Surveillance régulière du site web pour identifier et corriger toute anomalie ou tentative d’intrusion.
Enfin, ORMY veille à ce que tous ses sous‑traitants présentent des garanties suffisantes en matière de confidentialité, de sécurité et de conformité RGPD, et qu’ils s’engagent contractuellement à respecter ces exigences.
12. Notification des violations de données personnelles
ORMY se doit de notifier à l’autorité de contrôle compétente (CNIL), dans les meilleurs délais et si possible dans un délai maximum de 72 heures après en avoir pris connaissance, toute violation de données personnelles entraînant — de manière accidentelle ou illicite — la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données personnelles, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.
Lorsque la violation est susceptible d’engendrer un risque élevé pour vos droits et libertés, ORMY vous en informera également dans les meilleurs délais.
Cette information individuelle n’est toutefois pas requise si :
- la violation n’est pas susceptible d’engendrer un risque élevé pour vos droits et libertés ;
- des mesures techniques et organisationnelles de protection appropriées étaient en place au moment de l’incident (par exemple, des données rendues inintelligibles via chiffrement) ;
- la communication aux personnes concernées exigerait des efforts disproportionnés. Dans ce cas, une communication publique appropriée ou une mesure équivalente assurant une information tout aussi efficace sera mise en œuvre.
13. Conservation des données
Durée de conservation des données personnelles
La durée de conservation de vos données dépend des finalités pour lesquelles elles sont collectées et traitées.
ORMY conserve vos données personnelles uniquement pendant la durée nécessaire à l’exécution du contrat, à la gestion de la relation client, ou pour répondre à ses obligations légales et réglementaires.
Nous veillons à ce que vos données ne soient conservées pas plus longtemps que nécessaire, conformément aux principes du RGPD.
Dans certains cas, ORMY peut être amené à conserver vos données au‑delà des durées indiquées, notamment pour :
- se conformer à des obligations légales (ex. : obligations comptables, fiscales ou d’archivage),
- la constatation, l’exercice ou la défense de droits en justice,
- répondre à des exigences règlementaires sectorielles.
Dans ces situations, vos données sont archivées de manière sécurisée, avec un accès strictement limité aux services autorisés.
Durées de conservation par finalité
| Finalité du traitement | Durée de conservation |
|---|---|
| Exécution du contrat / gestion client | 2 ans après la fin du contrat. Pour les contrats d’assurance-vie : jusqu’à 10 ans après le décès du souscripteur. |
| Gestion des prospects | 3 ans à compter de la dernière interaction émanant du prospect (sauf durée plus courte spécifiée lors de la collecte). |