Véhicules neufs

PROTECTION DES DONNEES PERSONNELLES

Préambule

La présente charte de protection des données personnelles a pour objet de formaliser les règles de déontologie et de sécurité que s’engagent à respecter tous les membres de l’entreprise, pour assurer la conformité de nos services avec la réglementation nationale applicable aux données à caractère personnel et du Règlement (UE) n°2016 /679 du 27 avril 2016 sur la protection des données à caractère personnel.

Ainsi, la présente charte de protection des données personnelles illustre le comportement responsable et loyal que chacun doit observer à l’occasion de la réalisation et de l’exploitation des traitements de ces données.

Enjeux

Actena entend considérer la protection des données personnelles comme une nécessité visant à sauvegarder:

  • d’une part, l’absence d’atteinte à la vie privée et aux libertés de ses clients, partenaires, fournisseurs, prestataires et membres du personnel ;
  • d’autre part, la réputation et la responsabilité de ses dirigeants.

Aussi, Actena a la volonté d’inscrire ses activités dans le respect des obligations relatives à la protection des données à caractère personnel qui lui incombent et de mettre en œuvre les moyens nécessaires à cet effet.

Cette volonté s’est traduite par la mise en place de lignes directrices, moyens techniques et humains et de mesures organisationnelles adaptées qui s’inscrivent dans une approche qualitative de l’application de la réglementation applicable à la protection des données à caractère personnel.

Cette politique a pour objectif de :

  • diffuser une culture de la protection des données à caractère personnel au sein de Actena;
  • favoriser l’atteinte et le maintien en condition opérationnelle de la complétude légale ;
  • favoriser le maintien d’une adéquation permanente entre, d’une part, les exigences issues du règlement (UE) n°2016/679 du 27 avril 2016, de la législation nationale, des recommandations de la Cnil, et d’autre part, les réalités quotidiennes de Actena.

C’est au cœur de cette démarche responsable et proactive d’Actena que s’inscrit la présente charte.

Définition

Les termes ci-dessous définis auront entre les parties la signification suivante :

  • « Cnil » : commission nationale de l’informatique et des libertés ;
  • « données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
  • « données à caractère personnel particulières » : données se rapportant à l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ;
  •  
  • « DPO » : délégué à la protection des données tel que prévu par l’article 37 du règlement (UE) n°2016/679 du 27 avril 2016 ;
  •  
  • « fichier », tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;
  • « flux transfrontières » : transmission par tout moyen de données à caractère personnel à un destinataire localisé dans un pays situé hors de l’Union européenne ;
  • « personne concernée » : personne à laquelle se rapportent les données qui font l’objet d’un traitement ;
  • « responsable du traitement», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;
  •  
  • « système d’informations » : le système d’informations et de communication, les ordinateurs (fixes ou portables), les périphériques, les assistants personnels, les réseaux informatiques, les photocopieurs, les téléphones, les logiciels, les bases de données, les systèmes de messagerie, intranet, extranet, les services interactifs et les sessions des postes de travail ;
  • « sécurité des données » : la notion de sécurité des données à caractère personnel comprend des impératifs d’intégrité et de confidentialité des données à caractère personnel. En effet, tout responsable d’un traitement de données à caractère personnel doit prendre toutes les précautions utiles qui, au regard de la nature des données et des risques présentés par un traitement, s’imposent pour préserver l’intégrité et la confidentialité des données et ainsi empêcher que ces dernières ne soient déformées, endommagées ou que des tiers non autorisés en prennent connaissance et y aient accès ;
  • « sous-traitant » : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;
  • « système d'information » : système informatique de [Nom de l’Entité Juridique], comprenant les progiciels, logiciels spécifiques, matériels et serveurs, réseaux (LAN) et la documentation associée ;
  • «traitement» : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;
  • « utilisateur » : les personnes salariées ou non, tous statuts juridiques confondus, permanents ou temporaires, autorisées à utiliser les systèmes d’information ;
  • « zones de commentaires libres » : zones de saisie libre des applications informatiques des systèmes d’information, par exemple les zones « observations ».

Périmètre

La présente charte a vocation à s’appliquer dès lors qu’un traitement de données à caractère personnel est mis en œuvre ou exploité par un utilisateur au sein d’Actena.

Données à caractère personnel

Principe de loyauté et de licéité

Chaque utilisateur s’interdit de réaliser un traitement de données à caractère personnel à partir de données collectées de manière déloyale ou illicite.

Tout utilisateur s’engage à collecter les données à caractère personnel nécessaires à la réalisation du traitement dans le respect du droit à l’information des personnes concernées.

Les utilisateurs s’interdisent de se procurer des données à caractère personnel auprès de personnes commercialisant de telles données sans s’assurer au préalable que ces personnes disposent des droits nécessaires à la collecte et à la revente de telles données.

Seules peuvent être collectées les données à caractère personnel strictement nécessaires à la réalisation du traitement dans le respect du droit à l’information des personnes concernées.

Avant de mettre en œuvre un traitement, l’utilisateur en charge de celui-ci doit vérifier que les personnes concernées ont été informées :

  • des traitements portant sur les données à caractère personnel les concernant ;
  • de leurs droits.

Si l’information préalable des personnes concernées n’est pas encore assurée, il est nécessaire d’insérer la mention correspondante dans les documents de collecte d’informations ou les documents contractuels.

Finalité déterminée explicitée et légitime

Les utilisateurs s’engagent à ce que les données collectées le soient pour des finalités déterminées, explicites et légitimes et à ce que ces dernières ne soient pas traitées ultérieurement de manière incompatible avec les finalités du traitement tels qu’indiquées dans le registre des traitements.

Ainsi, chaque utilisateur s’engage à ne réaliser que des traitements en adéquation avec les finalités de ce dispositif et à ne pas traiter ultérieurement les données utilisées d’une manière qui soit incompatible avec les finalités initiales du traitement.

En particulier, chaque utilisateur s’engage à ne pas commercialiser auprès de tiers les données collectées sans s’assurer du respect des formalités préalables, le cas échéant, de l’information des personnes concernées et de la licéité d’une telle commercialisation.

Pertinence adéquation et proportionnalité des données collectées

Chaque utilisateur s’engage à ne collecter et à ne traiter que des données strictement utiles à la réalisation de sa mission.

Les utilisateurs s’interdisent de façon générale de collecter toutes données sur les personnes concernées qui ne seraient pas pertinentes.

Mises à jour

Chaque utilisateur s’engage à mettre à jour régulièrement les données à caractère personnel traitées dans le cadre de ces traitements et stockées dans ses bases de données.

Les bases légales des traitements mis en œuvre par Actena

Tout traitement mis en œuvre par Actena repose sur une base légale.

Ainsi, avant toute mise en œuvre d’un traitement, il doit être vérifié qu’au moins une des conditions suivantes est remplie.

Le consentement de la personne concernée

Il est possible de procéder à des traitements lorsque les personnes concernées ont consenti au traitement de leurs données personnelles pour une ou plusieurs finalités spécifiques.

Ce consentement peut être donné au moyen d’une déclaration écrite, y compris par voie électronique ou d’une déclaration orale.

 L’exécution du contrat ou des mesures précontractuelles

Le traitement peut également être mis en œuvre lorsqu’il est nécessaire à l'exécution d’un contrat liant Actena avec la personne concernée.

Les obligations légales et réglementaires

Le traitement de données personnelles est nécessaire pour le respect des obligations légales ou réglementaires d’Actena.

Les intérêts légitimes

Les intérêts légitimes d’Actena ou d’un tiers peuvent être de nature à justifier un traitement par Actena de données personnelles.

Les intérêts légitimes poursuivis par Actena sont variés mais peuvent notamment consister dans :

  • L’exécution du contrat de vente ou maintenance ;
  • le management de ses activités ;
  • la mesure de la qualité des services rendus ;
  • l’amélioration du service rendu.

Ces traitements sont mis en œuvre en prenant en compte les intérêts et les droits fondamentaux des clients, partenaires, fournisseurs et prestataires. A ce titre, ils s’accompagnent de mesures et garanties pour assurer la protection des intérêts et droits de ces derniers qui permettent un équilibre avec les intérêts légitimes poursuivis par Actena.

La politique d’habilitation

Actena a mis en place une politique d’habilitation stricte que chaque collaborateur doit respecter. Les données à caractère personnel traitées ne sont ainsi transmises qu’aux seules personnes autorisées.

Par ailleurs, certaines données personnelles peuvent être adressées à des tiers pour satisfaire aux obligations légales, réglementaires ou conventionnelles ou aux autorités légalement habilitées.

Dispositions spécifiques aux traitements comportant des catégories particulières de données à caractère personnel

Traitement de données à caractère personnel sensibles

Le règlement (UE) n°2016/679 du 27 avril 2016 sur la protection des données à caractère personnel pose le principe de l’interdiction de collecter ou de traiter les catégories particulières de données à caractère personnel.

Les catégories d’informations sensibles sont :

  • les origines raciales et ethniques ;
  • les opinions politiques ;
  • les opinions philosophiques ;
  • les opinions religieuses ;
  • les appartenances syndicales ;
  • les informations de santé ;
  • les données relatives à la vie sexuelle ou l’orientation sexuelle ;
  • des données génétiques et biométriques aux fins d’identifier une personne physique.

La collecte de ces données est en principe interdite, elle ne peut s’effectuer uniquement dans le stricte cadre des procédures définies par Actena.

Traitement portant sur le numéro de sécurité sociale (NIR)

Outre le respect des prérequis applicables à tout traitement de données à caractère personnel, la direction ou l’utilisateur concerné doit, avant la mise en œuvre d’un traitement portant sur le numéro de sécurité sociale, vérifier que l’utilisation souhaitée de ce numéro correspond à l’une des hypothèses autorisées par la loi. En tout état de cause, toute utilisation du numéro de sécurité sociale doit faire l’objet d’une analyse préalable afin d’en déterminer sa licéité.

A défaut, la collecte du numéro de sécurité sociale est interdite.

Zone commentaire libre

Les zones de commentaires non monitorées doivent être limitées et être utilisées que lorsque cela est strictement nécessaire.

Ces zones de commentaires libres ne doivent contenir que des données objectives, mesurées, respectant la dignité des personnes concernées.

Ainsi, l’indication de données d’identification raciales, ethniques, religieuses, politiques, philosophiques, syndicales, ou les données relatives à la santé, à la vie sexuelle des personnes, les informations injurieuses, diffamatoires, blessantes, péjoratives, désobligeantes ou contraires à la dignité des personnes sont strictement interdites.

Durée de conservation des données

Actena s’engage à ne conserver les données faisant l’objet des traitements réalisés que pour la durée nécessaire à la finalité du traitement réalisé en accord avec la législation nationale applicable notamment concernant les durées de prescription légale.

La sécurité des données

Actena accorde une importance particulière à la sécurité des données personnelles.

Il a mis en place des mesures techniques et organisationnelles adaptées au degré de sensibilité des données personnelles, en vue d’assurer l’intégrité et à la confidentialité les données et de les protéger contre toute intrusion malveillante, toute perte, altération ou divulgation à des tiers non autorisés.

Principes directeurs

Toute personne en charge d’un traitement de données à caractère personnel doit prendre toutes les précautions utiles au regard du risque encouru afin de préserver la sécurité, la confidentialité et l’intégrité des données et d’empêcher toute communication à des tiers non autorisés.

Le non-respect de cette obligation de sécurité est pénalement sanctionné.

Ainsi, tout utilisateur s’engage à prendre les mesures de sécurité physiques, techniques et organisationnelles nécessaires pour :

  • protéger ses activités ;
  • préserver la sécurité des données personnelles de ses clients, membres, partenaires, internautes, fournisseurs et prestataires ;

contre tout accès, modification, déformation, divulgation, destruction ou accès non autorisés des données personnelles qu’elle détient.

Règles générales de sécurité en matière d’utilisation du système d’information pour la mise en œuvre d’un traitement

Les utilisateurs s’engagent à respecter l’ensemble des règles permettant d’assurer la sécurité des données à caractère personnel faisant l’objet de l’un de leurs traitements, notamment les règles définies dans la Charte utilisateur.

Ils vérifient et assurent la sécurité de l’accès aux applications qu’ils utilisent et qui contiennent des données à caractère personnel.

Afin d’assurer la confidentialité des données à caractère personnel qu’ils traitent, les utilisateurs s’interdisent d’en faire part à des services non habilités à en prendre connaissance.

De la même façon, il est interdit de communiquer par quelque moyen que ce soit à des tiers non autorisés des données à caractère personnel.

En tout état de cause, il est nécessaire d’informer la direction des systèmes d’information par les outils mis en œuvre, dans les meilleurs délais de tout risque pour la sécurité des données à caractère personnel.

Règles de sécurité applicables aux échanges de données à caractère personnel avec les tiers

Il convient que chacun veille à la sécurisation des transmissions de données à caractère personnel préalablement à leur mise en œuvre.

Les données à caractère personnel ne peuvent être transmises qu’aux personnes habilitées à en connaître.

Avant toute transmission de données à caractère personnel, il convient de vérifier que les moyens de communications utilisés sont de nature à assurer la sécurité et la confidentialité des données.

Tout risque de défaillance de sécurité dont un utilisateur aurait connaissance doit conduire à suspendre la transmission jusqu’à résolution du problème rencontré.

Tout utilisateur mettant en œuvre un traitement de données à caractère personnel ou amené à réceptionner des données à caractère personnel s’interdit de prendre connaissance des données à caractère personnel qui ne lui sont pas destinées ou dont il n’est pas habilité à prendre connaissance.

Failles de sécurité

Compte tenu des nouvelles obligations en matière de notification des violations de données à la Cnil, une procédure et une politique en matière de réponse à apporter lors d’une faille ou incident de sécurité seront établies.

La procédure comprend notamment une obligation de notification, dans les cas prévus par le règlement européen, à l’autorité de contrôle compétente, au moins dans les 72 heures après avoir pris connaissance de la violation ainsi que les actions à mettre en œuvre.

 Personne en charge des données personnelles / Data protection officer (DPO)

Actena a mis en place une politique de gouvernance des données personnelles destinée à préserver la vie privée et la protection des données à caractère personnel de ses clients, collaborateurs, membres, partenaires, prestataires et fournisseurs.

Ainsi, Actena a désigné un délégué à la protection des données (DPO) afin d’examiner et de traiter les questions relatives aux données à caractère personnel.

Le DPO a notamment pour mission de veiller au respect de la règlementation en matière de protection des données à caractère personnel du responsable du traitement et coopérer avec la Cnil sur les questions relatives aux traitements.

Il est l’interlocuteur de la Cnil et de toutes les personnes concernées par une collecte ou un traitement de données à caractère personnel.

En cas de question sur les données à caractère personnel, il convient de prendre contact avec sa hiérarchie qui devra ensuite communiquer la problématique rencontrée au DPO. Il appartient à ce dernier d’élaborer des pistes de solutions à soumettre dans les délais utiles à la Direction générale.

Les droits des personnes

Actena est particulièrement soucieux du respect des droits des personnes conformément à la législation et à la règlementation applicable à la matière, les droits concernés sont les suivants :

  • le droit à l’information ;
  • le droit d’accès ;
  • le droit de rectification ;
  • le droit à l’effacement ou droit à l’oubli ;
  • le droit à la portabilité ;
  • les droits d’opposition ;
  • le droit à la limitation du traitement ;
  • le droit d’interrogation ;
  • le droit de définir des directives relatives à la conservation, l’effacement et la communication de ses données personnelles après sa mort.

Chaque utilisateur responsable d’un traitement de données à caractère personnel s’engage à mettre en place, en interne, l’ensemble des moyens humains et techniques permettant d’assurer de façon effective le respect des droits d’accès, de rectification,  d’opposition et à l’oubli pour motif légitime des personnes concernées.

Dans ce cadre, chaque utilisateur, responsable d’un traitement de données à caractère personnel, s’engage à informer, dès réception, [le DPO/la personne en charge des données personnelles] en cas de demandes d’accès, de rectification et d’opposition des personnes concernées.

Le responsable d’un traitement de données pour lequel un tel droit est demandé s’engage à assister [le DPO/Personne en charge des données personnelles] afin qu’il puisse rassembler les informations suivantes dans le délai imparti :

  • l’existence de données à caractère personnel concernant le demandeur et faisant l’objet du traitement de données à caractère personnel visé ;
  • les catégories de données à caractère personnel traitées et les destinataires ou catégories de destinataires auxquels les données sont communiquées ;
  • les informations relatives aux transferts de données à caractère personnel envisagés éventuellement à destination d’un Etat non membre de la Communauté européenne.

Il est précisé qu’il est possible de s’opposer aux demandes manifestement abusives notamment par leur nombre, leur caractère répétitif ou systématique et aux demandes d’accès formulées par les personnes concernées par les traitements de données à caractère personnel réalisés.

Relation de sous-traitance

Chaque utilisateur qui sous-traite une partie ou la totalité de la mise en œuvre d’un traitement de données à caractère personnel, s’engage à imposer contractuellement à son sous-traitant des garanties de confidentialité des données à caractère personnel par le biais de mesures techniques et humaines de protection de ces données.
Ainsi, il doit être fait uniquement appel à un sous-traitant qui présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement et garantisse la protection des droits de la personne concernée.
En effet, conformément à ses engagements, Actena choisit ses sous-traitants et prestataires avec soin et leur impose :

    • un niveau de protection des données personnelles équivalent aux siens ;
    • une utilisation des données personnelles ou des informations uniquement pour assurer la gestion des services qu’ils doivent fournir ;
    • un respect strict de la législation et de la règlementation applicable en matière de confidentialité, et de données personnelles ;
    • la mise en œuvre de toutes les mesures adéquates pour assurer la protection des données personnelles qu’ils peuvent être amenés à traiter ;
    • la définition des mesures techniques, organisationnelles nécessaires pour assurer la sécurité.

Il en résulte qu’un contrat écrit devra être conclu entre Actena et le sous-traitant définissant notamment l'objet, la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées ainsi que les obligations et les droits du responsable du traitement.

Flux transfrontières

Un transfert d’informations ou de données personnelles vers des pays non-membres de l'Union Européenne est susceptible d’entrainer l’application de règlementations différentes de celles applicables dans l'Union et un niveau de protection moindre.

Il en résulte que tout projet de flux transfrontières de données à caractère personnel hors de l’Union européenne devra être communiqué à la Direction générale avant toute entrée en vigueur accompagné du plan de mise en œuvre des mesures d’encadrement des flux concerné conformément à la réglementation applicable.

Evolution

La présente charte pourra évoluer en fonction du contexte légal et réglementaire et de la doctrine de la Cnil.

Les éventuelles modifications seront portées à la connaissance des utilisateurs et entreront en vigueur un mois à compter de leur mise à disposition par voie d’affichage.

Portée et opposabilité

La présente charte est une annexe au règlement intérieur et produit, à ce titre, les mêmes effets à l’égard des utilisateurs.

L’utilisateur est supposé en avoir pris connaissance avant toute mise en œuvre d’un traitement de données à caractère personnel.

Entrée en vigueur

La charte entrera en vigueur le 25 mai 2018

Rendez-vous atelier

Le numéro de châssis correspond aux 6 derniers chiffres indiqués sur la carte grise à l'emplacement E

Date de rendez-vous souhaitée

 
Annuler

Rendez-vous Service de convoyage

 
Annuler

Rendez-vous Service immediat

Date de rendez-vous souhaitée

>
 
Annuler