CHARTE DE CONFIDENTIALITÉ ET DE PROTECTION DES DONNÉES PERSONNELLES
I. Nom et adresse du responsable du traitement
Le responsable du traitement au sens de l'Art. 4, par. 7, du Règlement de l'UE N° 2016/679 (Règlement général sur la protection des données - RGPD), est la société :
5 rue Saint Michel
67000 STRASBOURG
Représenté par son Directeur Général Jean-François Virot-Daub
II. Nom et adresse du délégué à la protection des données
Le délégué à la protection des données du responsable du traitement est :
Avocat Associé 1, rue du Général de Castelnau | 67000 STRASBOURG
T. : 33 (0) 3 88 76 61 61 | F. : 33 (0) 3 88 32 71 11
d.roselmac@gsa-avocats.com | www.gsa-avocats.com
III. Généralités
1. Service fourni par Citiz Grand Est
Citiz Grand Est vous permet de louer une voiture en libre-service, près de chez vous, pour 1 minute, 1 heure, 1 jour ou plus, à partir de ses sites ou de ses applications.
Citiz Grand Est propose une plateforme de réservation des véhicules en autopartage à ses utilisateurs. Citiz Grand Est exploite cette solution d’autopartage en France.
Ce service sera nommé Service dans la suite du document. Citiz Grand Est, responsable du traitement, sera nommé Responsable dans la suite du document.
Le Site désignera dans la suite du document l’ensemble des sites Internet gérés par le Responsable. L’Application désignera la ou les applications mobiles proposées par le Responsable sur l’App Store ou le Play Store Google.
2. Types de données collectées
Données de navigation :
Vous pouvez naviguer sur nos site (notamment la site grand-est.citiz.coop) sans nous fournir votre identité. Lors de la navigation sur nos sites, notre navigateur nous transmet automatiquement diverses données. Ces informations peuvent être utilisées à des fins purement statistiques.
Données communiquées par l’utilisateur :
Les données à caractère personnel ne sont collectées que pour accéder au Service fourni par le Responsable et sont acquises avec le consentement préalable et éclairé de l’Utilisateur, et uniquement aux fins décrites dans la présente charte de confidentialité.
Le Responsable traite les données de l’utilisateur prend toutes les mesures de sécurité nécessaires pour empêcher l’accès, la divulgation, la modification ou la destruction non autorisés des données.
3. Sous-traitants du traitement
Les prestataires externes traitant des données à caractère personnel pour notre compte, désignés sous-traitants, sont soumis à une obligation contractuelle conformément à l'Art. 28 du RGPD. Le RGPD réglemente désigne la transmission de données vers des « pays tiers » (États situés hors de l'Union Européenne) conformément aux Art. 44 à 49 du RGPD. Nous avons en partie recours à des sous-traitants dans des pays tiers.
L’ensemble des traitements sont détaillées dans les paragraphes suivants :
IV. Mise à disposition du site grand-est.citiz.coop et yea.citiz.coop
1. Données collectées
À chaque consultation de notre site web grand-est.citiz.coop, notre système saisit de manière automatisée des données concernant le système d’exploitation et le navigateur de l’utilisateur sont récupérées.
Les données suivantes sont collectées :
- Type de navigateur et sa version
- Le système d'exploitation de l'utilisateur
- L'adresse IP de l'utilisateur
- Date de l'accès
- Page web à partir de laquelle l'utilisateur a accédé à notre site web
- Pages web consultées par l’utilisateur sur notre site web
Les données sont également enregistrées dans des fichiers log de notre système. Ces données tracées dans les fichiers de log permettent en cas d'anomalie l'analyse de cette anomalie.
Ce site est hébergé par la société Online. Le lieu de traitement est basé en France.
2. Base juridique du traitement de données
Le fondement juridique du traitement des données est l'Article 6, paragraphe 1, points b et f, du RGPD.
3. Finalité du traitement de données
Les données sont collectées pour maintenir le site en bon état de fonctionnement, améliorer l’expérience de navigation sur le site et améliorer l’offre du Service.
L'enregistrement temporaire de l'adresse IP est nécessaire pour le fonctionnement même du site basé sur le protocole de communication HTTP : l’adresse IP qui sert à envoyer les pages du site web à l'utilisateur est nécessaire au sens de l'Article 6, paragraphe 1, points b de la RGPD.
Les données enregistrées dans les logs peuvent être utilisées en cas d'anomalie et sont nécessaires au sens de l'Article 6, paragraphe 1, points f de la RGPD pour garantir le bon fonctionnement du site web.
4. Durée de l'enregistrement
L'adresse IP est conservée pendant la durée de la session. Les fichiers log sont effacés après 6 mois.
5. Possibilité d'opposition et de suppression
Ces données nécessaires à la mise à disposition du site web sont impérativement nécessaires à son fonctionnement.
V. Mise à disposition de la plateforme de réservation reservation.citiz.fr/grand-est
1. Données collectées
Le site reservation.citiz.fr/grand-est est la plateforme qui permet d’accéder au service d’autopartage proposé par le Responsable. L’accès aux fonctionnalités du site nécessite d’être client et avoir un contrat avec le Responsable.
Les données suivantes sont collectées lors de la navigation par le site https://reservation.citiz.fr/grand-est:
- L'adresse IP de l'utilisateur
- Type de navigateur et sa version
- Date de l'accès
- Pages web consultées par l’utilisateur sur notre site web
Ces données sont conservées dans des fichiers de log. Ce site de réservation est hébergé par la société Globalways AG basé en Allemagne.
2. Base juridique du traitement de données
Le fondement juridique du traitement des données est l'Article 6, paragraphe 1, point f du RGPD.
3. Finalité du traitement de données
Les données de navigation sont nécessaires pour le bon fonctionnement du site.
- L’adresse IP est enregistrée pour permettre au système d’envoyer les pages du site web à l'utilisateur. Son traitement est fondé au sens de l'Article 6, paragraphe 1, points b de la RGPD.
- Aucune analyse ou traitement automatisé n’est mis en place sur les autres données de navigation enregistrées dans les logs. Ces données peuvent être évaluées ponctuellement en cas d'anomalie ou d’incident intentionnel dirigé à l’encontre du système : elles sont nécessaires au sens de l'Article 6, paragraphe 1, points f de la RGPD pour garantir le bon fonctionnement du site web.
4. Durée de l'enregistrement
Les données de navigation sont stockées dans des fichiers log pendant une durée de 6 mois.
5. Possibilité d'opposition et de suppression
Les données de navigation nécessaires à la mise à disposition du site web sont impérativement nécessaires à son fonctionnement et leur traitement ne peut pas être opposé.
VI. Inscription au Service
1. Données collectées
L’utilisation du Service fourni par le Responsable implique l’inscription au Service (signature d’un contrat) et la transmission de données à caractère personnel.
Ces données sont saisies soit depuis le formulaire en ligne prévu à cet effet, soit sur le formulaire papier.
Certains champs sont optionnels, l’utilisateur est libre de les communiquer. Le processus d’inscription peut se poursuivre en cas d’absence de telle information.
Les données collectées lors de l’inscription sont :
- Nom et prénom de la personne
- Date de naissance
- Adresse (numéro, rue, code postal, ville)
- Adresse email
- Mot de passe choisi par l'utilisateur
- Téléphone fixe et/ou portable
- Permis de conduire (numéro et date d’obtention)
- Consentement facultatif à recevoir les confirmations de réservation
- Consentement facultatif à recevoir des newsletters
- Données bancaires : RIB et IBAN - Copie du RIB, une copie du permis de conduire, un justificatif de domicile
- Justificatif en cas de bénéfice d’un tarif particulier
Dans le cadre de la procédure d'inscription, un consentement au traitement de ces données est demandé à l'utilisateur, en indiquant l'applicabilité de nos conditions générales de location et de la présente déclaration de protection des données.
Ces données peuvent être traitées ou enregistrés dans les différents systèmes d’information exploités par le Responsable :
Solution d’autopartage : logiciel Cocosoft.net
Administrée par les sous-traitants France Autopartage basé en France et Invers GmbH basé en Allemagne.
- France Autopartage
5 rue Saint Michel 67000 Strasbourg, France
- Invers GmbH
Untere Industriestraße 20 57250 Netphen, Allemagne
Serveur hébergé par Globalways AG en Allemagne.
Solution de gestion documentaire pour le stockage des documents client et des factures
- logiciel M-Files administré par le sous-traitant France Autopartage basé en France
Serveur hébergé par ARD-COM. Le lieu de traitement est en France
- logiciel Owncloud administré par le sous-traitant France Autopartage basé en France
Serveur hébergé par Online. Le lieu de traitement est en France
Solution de gestion de tâches : Wunderlist
Solution administrée et hébergée par le sous-traitant 6Wunderkinder GmbH basée en Allemagne
6 Wunderkinder GmbH
Karl-Liebknecht-Straße 32 10178 Berlin, Allemagne
Plateforme collaborative (logiciel Mattermost) pour des échanges en interne sur le Service
Solution administrée par le sous-traitant France Autopartage basé en France Serveur hébergé par Online. Le lieu de traitement est en France
Solution de support applicatif (Freshdesk) pour l’exploitation du Service et le suivi d’incidents
Administrée et hébergée par le sous-traitant Freshworks basé aux Etats-Unis
Freshworks Inc.
1250 Bayhill Drive Suite 315
San Bruno CA 94066, Etats-Unis
Freshworks est certifié ”Privacy Shield ” et offre un niveau de protection adéquat. Le transfert est autorisé selon les Articles 44 et 45 de la RGPD, dans le cadre du Bouclier de protection des données UE-USA (C(2016) 4176 final).
2. Base juridique du traitement de données
Le fondement juridique du traitement des données est l'Article 6, paragraphe 1, points a, b et f, du RGPD.
3. Finalité du traitement de données
Les données transmises volontairement par l’utilisateur sont nécessaires à la réalisation du contrat et leur traitement est fondé sur l'Article 6, paragraphe 1, points b de la RGPD.
Les données optionnelles lors de l’inscription sont transmises avec le consentement de l’utilisateur et leur traitement est fondé sur l'Article 6, paragraphe 1, points a de la RGPD.
La granularité du consentement est prise en compte pour l’adresse email et le numéro de téléphone : ces données sont requises pour une bonne communication du Responsable auprès de l’utilisateur (réalisation du contrat). Celui-ci peut accepter de recevoir des informations sur les réservations de véhicule effectuées (par consentement) ou de messages informatifs de type Newsletter (consentement).
4. Durée de l'enregistrement
Les données transmises par l’utilisateur à l’inscription sont stockées temps que le contrat de l’utilisateur est actif. Un enregistrement peut avoir lieu au-delà de ce cadre lorsque ceci est prévu par la législation à laquelle est soumis le Responsable (délai de conservation des factures par exemple).
5. Possibilité d'opposition et de suppression
L’utilisateur a la possibilité de demander à tout moment au Responsable la modification ou leur suppression des données fournies lors de son inscription.
VII. Paiement à l’inscription du Service
1. Description et étendue du traitement de données
L’inscription au service implique le paiement de frais de dossier, dans ce cadre une solution de paiement en ligne est utilisée par le Responsable. Les données suivantes sont collectées et transmises au prestataire dans le cadre de la procédure d’inscription :
- Nom et prénom
- Adresse e-mail
- Adresse IP
- Informations sur la carte bancaire utilisée pour le paiement: numéro de carte, nom du titulaire, date d’expiration, cryptogramme de sécurité
La solution de paiement est Payzen fournie par le sous-traitant Lyra Network basé en France.
LYRA NETWORK, 109, rue de l’innovation, 31670 Labège, France
Lyra Network est certifié PCI DSS (Payment Card Industry Data Security Standard), est agréé par le GIE Cartes Bancaires (Groupement d'intérêt économique des Cartes Bancaires) et garantit ainsi une solution hautement sécurisée et fiable.
2. Base juridique du traitement de données
Le fondement juridique est l'Article 6, paragraphe 1, points a et b, de la RGPD.
3. Finalité du traitement de données
L'utilisateur donne son consentement. Le traitement des données à fin de paiement est nécessaire à l'exécution du contrat conformément à l'Article 6, paragraphe 1, point b, de la RGPD.
4. Durée de l'enregistrement
Les données sont conservées pendant la durée du contrat entre l’utilisateur et le Responsable.
5. Possibilité d'opposition et de suppression
Les données sont nécessaires pour l'exécution d'un contrat (inscription). Un effacement prématuré de ces données avant l’issue du contrat est possible si aucune obligation légale ne s'oppose à cet effacement.
VIII. Paiement récurrent pour l’utilisation du Service
1. Description et étendue du traitement de données
L’utilisation du service implique une relation commerciale entre le Responsable et l’utilisateur, et dans ce cadre le paiement mensuel d’une facture. Le mode de paiement est le prélèvement SEPA. Pour exécuter ces paiements, le Responsable utilise la solution Sage 100 i7.
Ce logiciel est administré par le sous-traitant France Autopartage basé en France et est hébergé par ARD-COM. Le lieu de traitement est en France.
Les données transmises à cette occasion sont :
- Nom et prénom
- Adresse e-mail
- Adresse postale
- Coordonnées bancaire : RIB, IBAN
- Mandat SEPA : code RUM et date de création du mandat
- Facture mensuelle : coûts totaux d’utilisation du service selon une répartition analytique
2. Base juridique du traitement de données
Le fondement juridique est l'Article 6, paragraphe 1, points a et b de la RGPD.
3. Finalité du traitement de données
L'utilisateur donne son consentement. Le traitement des données à fin de paiement est nécessaire à l'exécution du contrat conformément à l'Article 6, paragraphe 1, points a et b, de la RGPD.
4. Durée de l'enregistrement
Les données sont conservées pendant la durée du contrat entre l’utilisateur et le Responsable.
5. Possibilité d'opposition et de suppression
Les données sont nécessaires pour l'exécution d'un contrat. Elles peuvent être modifiées par l’utilisateur à tout moment. L’opposition ou la suppression est possible en cas de changement du mode de paiement ou en cas de rupture du contrat.
IX. Formulaire de contact et contact par e-mail
1. Description et étendue du traitement de données
Un formulaire de contact est disponible sur notre site web grand-est.citiz.coop pour nous contacter. Lorsqu'un utilisateur recourt à cette possibilité, les données saisies dans le masque de saisie nous sont transmises par email.
L’utilisateur saisit les données qui permettent de lui répondre, ainsi que le message qu’il nous adresse.
- Nom et prénom
- Adresse email
Alternativement, une prise de contact à l'aide de l'adresse e-mail mise à disposition est également possible. Dans ce cas, les données à caractère personnel de l'utilisateur transmises avec l'e-mail sont enregistrées.
Les emails nous parviennent dans notre système de messagerie Zimbra, administré par le sous-traitant France Autopartage basé en France et hébergé par Online. Le lieu de traitement est en France.
2. Base juridique du traitement de données
Le fondement juridique du traitement de données est l'Article 6, paragraphe 1, point a de la RGPD. Si le contact vise la conclusion d'un contrat, le fondement juridique du traitement est l'Article 6, paragraphe 1, point b de la RGPD.
3. Finalité du traitement de données
L'utilisateur donne son consentement. Le traitement des données à caractère personnel provenant du formulaire de contact ou de l’email nous sert à traiter la prise de contact.
4. Durée de l'enregistrement
Les données sont effacées dès qu'elles ne sont plus indispensables au regard des finalités de leur collecte, c’est-à-dire lorsque la conversation avec l'utilisateur est terminée.
5. Possibilité d'opposition et d’élimination
L'utilisateur peut retirer à tout moment son consentement au traitement des données à caractère personnel. Si l'utilisateur prend contact avec nous par e-mail, il peut s'opposer à tout moment à l'enregistrement de ses données à caractère personnel. Dans un tel cas, la conversation ne peut pas être poursuivie.
X. E-mails informatifs (newsletters)
1. Description et étendue du traitement de données
Lors de l’inscription, sur notre site web ou à tout moment, il est possible de s'abonner à une newsletter gratuite, en donnant votre consentement.
Les données suivantes sont utilisées lors de l'inscription à la newsletter :
- Nom et Prénom
- Adresse email
- le fait d’être sociétaire de Citiz Grand Est
- la ville
Les newsletters sont envoyées ponctuellement et nous permettent de vous informer sur le développement du Service (nouvelles stations, nouveaux véhicules…), de l’évolution ou du rappel des règles d’utilisation du Service ou de vous faire profiter d’offres dans le cadre de partenariat.
Nous mesurons l'utilisation des newsletters (taux d’ouverture des messages). Pour cette analyse, les e-mails envoyés contiennent un élément graphique minuscule (appelé pixel de traçage) : lorsque quelqu'un ouvre un e-mail, cet élément graphique est téléchargé à partir du serveur gestionnaire de la newsletter et il est enregistré en tant qu'une ouverture.
Dans le cadre du traitement de données pour l'envoi de newsletters, aucune transmission des données à des tiers n'a lieu.
Pour l'envoi de la newsletter, nous utilisons le service du prestataire Mailchimp.
Mailchimp est administré et hébergé par le sous-traitant The Rocket Science Group LLC basé aux Etats-Unis.
The Rocket Science Group,
LLC 675 Ponce de Leon Ave NE Suite 5000
Atlanta, GA 30308 USA
The Rocket Science Group LLC est certifié ”Privacy Shield ” et offre un niveau de protection adéquat. Le transfert est autorisé selon les Articles 44 et 45 de la RGPD, dans le cadre du Bouclier de protection des données UE-USA (C(2016) 4176 final).
2. Base juridique du traitement de données
Le fondement juridique du traitement de données après une inscription à la newsletter par l'utilisateur est le consentement de l'utilisateur selon l'Article 6, paragraphe 1, point a de la RGPD.
3. Finalité du traitement de données
La collecte de l'adresse e-mail de l'utilisateur sert à envoyer la newsletter. La collecte d'autres données à caractère personnel dans le cadre de la procédure d'inscription à la newsletter sert à personnaliser les envois d’information.
4. Durée de l'enregistrement
Les données sont effacées dès qu'elles ne sont plus indispensables au regard des finalités de leur collecte.
Conformément à cela, l'adresse e-mail de l'utilisateur est enregistrée tant que l'abonnement à la newsletter est activé.
Après une désinscription, nous conservons les données à des fins purement statistiques et de manière anonyme.
5. Possibilité d'opposition et d’élimination
L'abonnement à la newsletter peut être résilié à tout moment par l'utilisateur concerné : chaque newsletter contient un lien qui permet la désinscription.
Vous pouvez également limiter les activités de mesure de votre utilisation du site en désactivant par défaut l'affichage d'images dans votre gestionnaire d’e-mail.
XI. Informations supplémentaires
Géolocalisation
Un système de géolocalisation est intégré dans chaque véhicule d’autopartage.
Les données de géolocalisation sont collectées au début et à la fin de l’utilisation d’un véhicule, afin de :
- Vérifier la présence du véhicule dans la station à laquelle il est rattaché au début et à la fin de l’utilisation
- Connaître la position du véhicule dans le cas du free-floating (service Yea!) en fin d’utilisation
La position du véhicule n’est pas relevée en cours d’utilisation, sauf pour des raisons légitimes :
- Localiser le véhicule en cas de vol ou vol présumé
- Localiser le véhicule en cas d’accident présumé afin de fournir une assistance ou des soins médicaux d’urgence