Vos données personnelles

Politique de confidentialité relative à la protection des données à caractères personnels

Le Règlement européen (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données est applicable depuis le 25 mai 2018 (ci-après le « RGPD »).

Le RGPD sensibilise tous les acteurs de l’Union Européenne et plus encore, sur une multitude de problématiques liées à la gestion, à l'exploitation et à la conservation des données à caractère personnel. ​ Ce document n’a pas pour ambition d’être exhaustif mais uniquement de permettre aux clients du loueur et, le cas échéant, aux salariés du client, d’être en possession des informations essentielles relatives à la politique de gestion des données à caractère personnel du loueur.

Principes directeurs

Les principes suivants sont au cœur des préoccupations du loueur :

Traitements et finalités

Le loueur et chacun de ses clients exécutent, en qualité de responsables du traitement voire de responsable conjoint du traitement, un certain nombre de traitements portant sur des données à caractère personnel qui sont nécessaires à l’exécution des contrats de location et au bon déroulement de leurs activités respectives. A cet égard, le loueur a répertorié ci-après la liste des finalités pour lesquelles il effectue des traitements dans le cadre de sa relation d’affaires avec ses clients :

Finalités du loueur

La gestion du contrat de location, des prestations et des services

Cette macro-finalité englobe l’intégralité des activités nécessaires à l’exécution du contrat liant le loueur et son client et recouvre notamment les aspects suivants : les demandes de cotation, la commande du véhicule, sa livraison, sa restitution, la fourniture des accords de maintenance ou toute autre prestation, la gestion des forfaits post-stationnement…

→ Pour cette finalité le loueur et le locataire sont responsables conjoints au sens de l’article 26 du RGPD.

Exclusions particulières :

→ Pour ces finalités, seul le client sera responsable de traitement.

Base juridique du traitement

Exécution d'un contrat

Le reporting et le pilotage de l’activité

Intérêt Légitime

Les traitements effectués dans ce cadre participent au bon fonctionnement de l’entreprise et concernent notamment les aspects administratifs et comptables, le management des équipes, le traitement des questions et des éventuelles réclamations, la gestion des contentieux… Les reportings réalisés permettent d’évaluer les besoins des clients et d’affecter les moyens nécessaires à la bonne exécution des engagements du loueur, de mesurer les performances.

Le démarchage commercial Client/Prospect

Exemple : proposer des offres promotionnelles au gestionnaire de parc.

Intérêt Légitime

Promouvoir auprès des représentants des clients et des prospects en charge du suivi de la relation avec le loueur des offres commerciales et des services associés étant précisé que les destinataires de ces communications ont la faculté de se désinscrire à tout moment.

Le démarchage commercial Salarié

Exemple : proposer des offres promotionnelles aux conducteurs.

Consentement

Le représentant du destinataire a la possibilité de s’opposer, à tout moment, à l’envoi d’offres et de services de la part du loueur à son personnel. Cette faculté ne fait pas obstacle à l’obligation du loueur d’obtenir le consentement préalable et individuel de toute personne concernée par cette finalité.

Le refinancement

Exemple : Obtention d’un financement d’un établissement bancaire. Exemple : Opération de titrisation.

Intérêt Légitime

Recherche de sources de financement permettant au loueur d’exécuter ses engagements au titre du contrat de location.

Les études statistiques

Intérêt Légitime

La lutte anti-blanchiment, anti-fraude/anti-corruption, anti-terrorisme

Le loueur doit se conformer à une obligation de vigilance sur ses clients et prospects en appliquant des procédures et mesures adaptées de contrôle.

Obligations légales

L’animation commerciale

Exemple : Envoi de newsletters au gestionnaire de parc. Exemple : Invitation à des événements organisés par la société.

Intérêt Légitime

La réalisation d’enquêtes

Exemple : Enquêtes de satisfaction relatives aux services du loueur.

Intérêt Légitime

L’acceptation des dossiers des clients et prospects/scoring

Intérêt Légitime

Vérifier la capacité des clients et des prospects à honorer leurs obligations au titre du contrat de location.

Enregistrement des échanges téléphoniques à des fins d’amélioration de la relation client et du service d’accueil

Intérêt légitime

Gestion des amendes (hors souscription d’une prestation particulière)

Exemple : Désignation du locataire titulaire de la garde juridique du véhicule.

Obligation légale

Utilisation de cookies pouvant intégrer l’analyse de profils et de préférences.

Consentement

L'utilisateur a la possibilité lors de son accès au site d'accepter tous les cookies ou bien de modifier les paramètres afin de les activer individuellement à l'exception des cookies techniques qui sont nécessaires au bon fonctionnement du site.

Analyse du profil et des demandes afin de mieux cibler les besoins des clients et des prospects et leur fournir une expérience personnalisée.

Exemple : Recevoir des offres spéciales prenant en compte les besoins identifiés.

Consentement

Gestion de la vente de véhicules d’occasion

Cette finalité englobe l’intégralité des activités liées à la vente de véhicules d’occasion par le loueur et recouvre notamment les aspects suivants : la vente et la reprise de véhicules d’occasion, toute intervention au titre de la garantie commerciale, la gestion des éventuelles réclamations…

Exécution d’un contrat

Catégories de données à caractère personnel traitées par le loueur

Les traitements effectués peuvent porter sur différentes catégories de données à caractère personnel dont les principales sont exposées ci-après.

Etat-civil, identité, données d'identification, images

Exemples de données traitées :

Vie personnelle (habitudes de vie, situation familiale, etc.)

Exemples de données traitées :

Vie professionnelle (CV, scolarité, formation professionnelle, distinctions, etc.)

Exemple de données traitées :

Informations d'ordre économique et financier (revenus, situation financière, situation fiscale, etc.)

Exemples de données traitées :

Données de connexion (adresse IP, logs, etc.)

Exemple de données traitées :

Données de localisation (déplacements, données GPS, GSM, etc.)

Exemples de données traitées :

Données sensibles ou particulières au sens du RGPD

Exemples de données traitées :

Toute donnée se rapportant à une personne identifiée ou identifiable

Exemples de données traitées :

Sites web et cookies

Le loueur collecte des données via des cookies afin d’améliorer l’expérience de navigation des utilisateurs. Les cookies sont notamment utilisés pour stocker les préférences et paramètres afin de faire gagner du temps, d’activer la connexion, de lutter contre la fraude, d’analyser les performances du site web et des services fournis par le loueur et de réaliser des statistiques de visites.

Durées de conservation des données à caractère personnelle

Les données à caractère personnel sont conservées par le loueur, en base active, le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte.

La durée de conservation est donc initialement fixée par le loueur en fonction du besoin opérationnel nécessaire à l’exécution de chaque contrat individuel de location et prenant en considération les éventuelles recommandations de la CNIL.

Toutefois, certaines durées de conservation plus longues peuvent résulter de textes législatifs et réglementaires (notamment, mais non exclusivement, celles prévues par le code de commerce, le code civil et le code de la consommation). Certains textes imposent également de conserver des documents/informations contenant des données à caractère personnel, pendant une durée précise, à des fins de preuve ou en prévision d'un éventuel contentieux jusqu'à la prescription de l'action en question. Par exemple, en matière commerciale, les obligations se prescrivent, en principe, par cinq ans si elles ne sont pas soumises à des prescriptions spéciales (article L.110-4 du code de commerce). Le loueur est donc dans l'obligation de conserver certaines données à caractère personnel au-delà de l’exécution des contrats de location bien qu'elle n'en ait plus l’usage sous forme d’archives dites intermédiaires.

A l’issue de ces périodes, les données à caractère personnel sont purgées ou anonymisées.

Destinataires des données

Les données à caractère personnel sont susceptibles d’être diffusées :

  • 1.
  • 2.

Le loueur s’est associé avec différents partenaires afin de pouvoir offrir à ses clients et prospects des offres diversifiées et adaptées à leurs besoins. Ces partenariats peuvent être passés avec différents types d’opérateurs économiques tels que :

Les engagements de chaque partenaire font l’objet d’un encadrement contractuel détaillé, précisant la nature et les modalités d’échange de données et comportant des obligations en termes de sécurité et de confidentialité mises à charge de chacun ainsi que des obligations et mesures prises pour assurer le respect des principes énoncés par les textes applicables en vigueur en matière de données à caractère personnel.

  • 1.
  • 2.

Le loueur a recours à des tiers spécialement habilités pour exécuter, par exemple, des prestations de maintenance/assistance, des enquêtes,…

Lors du recours à ces prestataires, le loueur veille à sélectionner des prestataires et fournisseurs présentant des garanties suffisantes pour assurer la mise en œuvre effective des missions qui leur sont confiées (compétence, niveau de sécurité, notoriété, solidité financière, lieu de localisation des serveurs ou centres informatiques…). Les obligations et niveaux de prestation font l’objet d’un encadrement contractuel détaillé destiné à assurer que le prestataire ne pourra agir que sur instruction du loueur et comportant des obligations en termes de sécurité et de confidentialité mises à charge du prestataire, ainsi que des obligations et mesures prises pour assurer le respect des principes énoncés par le RGPD.

  • 1.
  • 2.
  • 3.

Sous-traitant

Comdata : www.comdatagroup.com/fr/

Localisation des données et transfert en dehors de l'Union Européenne

Toutes les bases de données du loueur sont aujourd’hui localisées au sein de l’Union Européenne.

Le loueur peut avoir recours aux services de sous-traitants basés dans et en dehors du territoire de l’Union Européenne, y compris dans des pays qui ne sont pas considérés par la Commission Européenne comme des pays assurant un niveau de protection suffisant et ayant accès à certaines données à caractère personnel. Dans ces circonstances, le loueur a pris soin de mettre en place :

a. des règles internes d'entreprise (BCR) ; ou b. des Clauses Contractuelles Types adoptées par la Commission Européenne.

Sécurité des données

La politique de sécurité de l'information du loueur se décline au travers de mesures organisationnelles (y compris la sensibilisation et la formation du personnel concerné), de logiciels et de matériels afin de lutter contre la destruction, la perte ou l’altération accidentelle ou illicite de données, la divulgation ou l’accès non autorisé à des données et contre toute autre forme de traitement illicite.

Un Responsable de la Sécurité des Systèmes d’Information (RSSI) rattaché à la Direction du Contrôle Interne applique la politique de sécurité informatique qui émane de la politique de sécurité du Groupe Société Générale.

Les principes qui président la politique de sécurité du loueur sont les suivants :

Accès collaborateurs et tiers

L’accès aux données à caractère personnel est limité à des personnes autorisées dont le statut, les fonctions, les responsabilités induisent ou justifient spécifiquement le traitement des données concernées. Afin de garantir la sécurité des informations et leur confidentialité, les accès au système d’information et à l’ensemble de ses composantes applicatives sont soumis à habilitation individuelle.

Les profils sont administrés en interne par le RSSI en collaboration avec la Direction des Ressources Humaines et les métiers. L’accès au système d’information s’effectue par authentification en associant un login et un mot de passe dit complexe, renouvelé à intervalle régulier.

Les accès au système d’information depuis l’extérieur de l’entreprise se font :

Un système de traçabilité permet de suivre l’historique des activités effectuées par tout utilisateur du réseau informatique et des applications du loueur. Des actions complémentaires de journalisation répondent à plusieurs objectifs dont :

Règle en matière de confidentialité

Les données à caractère personnel sont divulguées uniquement aux personnes ayant à en prendre connaissance pour les finalités nécessaires. Pour ses échanges en interne, le loueur s’est également doté d’un système de classification des informations en fonction de leur niveau de sensibilité.

Les contrats intègrent des clauses de confidentialité imposant à nos co-contractants de ne pas divulguer de données. En outre, ils doivent informer les personnes destinataires du caractère confidentiel des informations qui leur sont transmises et s’engager à respecter une obligation de confidentialité de même nature que celle prévue dans le contrat qu’ils ont signé.

Sauvegarde des données

Les données sont répliquées sur le site de back up, en temps réel, au travers d’une technologie dite de « Flash Copy » qui consiste à copier, de façon immédiate, la donnée, sans interruption de l’activité.

Une fois les données répliquées, elles sont stockées sur des supports qui eux-mêmes suivent un processus d’archivage selon plusieurs périodicités.

De plus, a été mise en place une procédure de restauration des supports afin de s’assurer de la bonne lecture dans la durée de ces dernières.

Procédure anti-intrusion

Tous les postes de travail et serveurs sont équipés d’un antivirus mis à jour quotidiennement.

Une procédure de « patch management » définit les règles et modalités de déploiement des correctifs publiés par les éditeurs.

Les actifs informatiques sont protégés d’attaques externes par différents moyens :

Les collaborateurs sont régulièrement formés et sensibilisés à la sécurité informatique. Des tests de sécurité sont également réalisés pour valider l’application des règles de sécurité (Test de phishing par exemple).

Sécurité physique des bâtiments

Les principaux bâtiments du loueur sont munis des outils de surveillance suivants :

Procédure en cas de faille de sécurité

Dans l’hypothèse où un incident de sécurité se produirait, différents scénarios sont prévus en fonction de la nature des données concernées, du type et de l’ampleur de l’incident.

Pour ce faire, le loueur s’est notamment doté des moyens suivants :

Depuis l’entrée en vigueur du RGPD, il existe de nouvelles obligations de notification des violations de données à caractère personnel. En effet, le RGPD généralise l’obligation de notification des failles de sécurité à l’autorité de contrôle compétente et impose une nouvelle obligation de communication aux personnes concernées par une violation de leurs données personnelles, et ce, dans les meilleurs délais, lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés de cette personne.

Exercice des droits

Toute personne concernée par un traitement de données à caractère personnel peut exercer un certain nombre de droits auprès du loueur.

Les droits en question sont les suivants :

En outre, toute personne a également le droit de demander la mise à disposition des documents juridiques utilisés lors d’un transfert de données à caractère personnel vers un pays tiers.

Ces droits peuvent être exercés par courrier électronique à l’adresse du loueur suivante : contact-donneespersonnelles@ayvens.com ou par courrier postal à :

Ayvens France - Direction du Contrôle Interne

28 allée d’Aquitaine

92000 Nanterre

Le loueur s’engage à communiquer à la personne concernée toute information sur les mesures prises à la suite de sa demande, dans les meilleurs délais et, en tout état de cause, dans un délai d’un (1) mois à compter de la réception de sa demande ou, le cas échéant, dans un délai de deux (2) mois lorsque la demande est complexe.

Tout exercice des droits formulé auprès du loueur sera automatiquement signalé par ce dernier à ses sous-traitants, partenaires, responsable conjoint, le cas échéant, et autres destinataires sans que la personne concernée n’ait besoin de procéder à des démarches supplémentaires.

Par ailleurs, toute personne concernée par un traitement de données à caractère personnel a le droit d’introduire une réclamation devant une autorité de contrôle.

Pour toute information ou exercice de vos droits Informatique et Libertés sur les traitements de données personnelles vous pouvez contacter la Commission Nationale de l'Informatique et des Libertés (CNIL) qui agit en tant qu'autorité de contrôle :

Par téléphone : 01 53 73 22 22

Par courrier : 3 Place de Fontenoy TSA 80715 75334 PARIS CEDEX 07

Mise à jour de la politique de confidentialité

Le contenu de ce document a vocation à évoluer périodiquement et sans préavis en fonction de l’entrée en vigueur de nouveaux textes applicables et notamment du Règlement dit e-Privacy, de la loi Informatique et Libertés amendée, des éventuelles recommandations CNIL et/ou du CEPD et des évolutions des produits, services et prestations proposés par le loueur.