Charte de confidentialité et de protection des données personnelles

I. Nom et adresse du responsable du traitement

Le responsable du traitement au sens de l'Art. 4, par. 7, du Règlement de l'UE N° 2016/679 (Règlement général sur la protection des données - RGPD), est la société :

II. Nom et adresse du délégué à la protection des données

Le délégué à la protection des données du responsable du traitement est :

III. Généralités

1. Service fourni par Citiz La Rochelle

Citiz La Rochelle vous permet de louer une voiture en libre-service, près de chez vous, pour 1 minute, 1 heure, 1 jour ou plus, à partir de ses sites ou de ses applications.

Citiz La Rochelle propose une plateforme de réservation des véhicules en autopartage à ses utilisateurs. Citiz La Rochelle exploite cette solution d’autopartage en France.

Ce service sera nommé Service dans la suite du document.

Citiz La Rochelle, responsable du traitement, sera nommé Responsable dans la suite du document.

Le Site désignera dans la suite du document l’ensemble des sites Internet gérés par le Responsable. L’Application désignera la ou les applications mobiles proposées par le Responsable sur l’App Store ou le Play Store Google.

2. Types de données collectées

> Données de navigation : vous pouvez naviguer sur nos site (notamment le site reservation.citiz.fr/larochelle) sans nous fournir votre identité. Lors de la navigation sur nos sites, notre navigateur nous transmet automatiquement diverses données. Ces informations peuvent être utilisées à des fins purement statistiques.

> Données communiquées par l’utilisateur : les données à caractère personnel ne sont collectées que pour accéder au Service fourni par le Responsable et sont acquises avec le consentement préalable et éclairé de l’Utilisateur, et uniquement aux fins décrites dans la présente charte de confidentialité.

Le Responsable traite les données de l’utilisateur prend toutes les mesures de sécurité nécessaires pour empêcher l’accès, la divulgation, la modification ou la destruction non autorisés des données.

3. Sous-traitants du traitement

Les prestataires externes traitant des données à caractère personnel pour notre compte, désignés sous-traitants, sont soumis à une obligation contractuelle conformément à l'Art. 28 du RGPD. Le RGPD réglemente désigne la transmission de données vers des « pays tiers » (États situés hors de l'Union Européenne) conformément aux Art. 44 à 49 du RGPD. Nous avons en partie recours à des sous-traitants dans des pays tiers.

V. Mise à disposition de la plateforme reservation.citiz.fr/larochelle

1. Données collectées

Le site reservation.citiz.fr/larochelle est la plateforme qui permet d’accéder au service d’autopartage proposé par le Responsable. L’accès aux fonctionnalités du site nécessite d’être client et avoir un contrat avec le Responsable.

Les données suivantes sont collectées lors de la navigation par ce site :

- L'adresse IP de l'utilisateur

- Type de navigateur et sa version

- Date de l'accès

- Pages web consultées par l’utilisateur sur notre site web

Ces données sont conservées dans des fichiers de log.

Ce site de réservation est hébergé par la société Globalways AG basé en Allemagne.

2. Base juridique du traitement de données

Le fondement juridique du traitement des données est l'Article 6, paragraphe 1, point f du RGPD.

3. Finalité du traitement de données

Les données de navigation sont nécessaires pour le bon fonctionnement du site.

L’adresse IP est enregistrée pour permettre au système d’envoyer les pages du site web à l'utilisateur. Son traitement est fondé au sens de l'Article 6, paragraphe 1, points b de la RGPD.Aucune analyse ou traitement automatisé n’est mis en place sur les autres données de navigation enregistrées dans les logs. Ces données peuvent être évaluées ponctuellement en cas d'anomalie ou d’incident intentionnel dirigé à l’encontre du système : elles sont nécessaires au sens de l'Article 6, paragraphe 1, points f de la RGPD pour garantir le bon fonctionnement du site web.

4. Durée de l'enregistrement

Les données de navigation sont stockées dans des fichiers log pendant une durée de 6 mois.

5. Possibilité d'opposition et de suppression

Les données de navigation nécessaires à la mise à disposition du site web sont impérativement nécessaires à son fonctionnement et leur traitement ne peut pas être opposé.

VI. Inscription au Service

1. Données collectées

L’utilisation du Service fourni par le Responsable implique l’inscription au Service (signature d’un contrat) et la transmission de données à caractère personnel. 

Ces données sont saisies soit depuis le formulaire en ligne prévu à cet effet, soit sur le formulaire papier.

Certains champs sont optionnels, l’utilisateur est libre de les communiquer. Le processus d’inscription peut se poursuivre en cas d’absence de telle information.

Les données collectées lors de l’inscription sont :

> Nom et prénom de la personne

> Date de naissance

> Adresse (numéro, rue, code postal, ville)

> Adresse email

> Mot de passe choisi par l'utilisateur

> Téléphone fixe et/ou portable

> Permis de conduire (numéro et date d’obtention)

> Consentement facultatif à recevoir les confirmations de réservation

> Consentement facultatif à recevoir des newsletters

> Données bancaires : RIB et IBAN

> Copie du RIB, une copie du permis de conduire

Dans le cadre de la procédure d'inscription, un consentement au traitement de ces données est demandé à l'utilisateur, en indiquant l'applicabilité de nos conditions générales de location et de la présente déclaration de protection des données.

Ces données peuvent être traitées ou enregistrés dans les différents systèmes d’information exploités par le Responsable :

Solution d’autopartage : logiciel Cocosoft.net

Administrée par les sous-traitants France Autopartage basé en France et Invers GmbH basé en Allemagne.

> France Autopartage, 5 rue Saint Michel, 67000 Strasbourg, France

> Invers GmbH, Untere Industriestraße 20, 57250 Netphen, Allemagne
Serveur hébergé par Globalways AG en Allemagne.

Solution de gestion documentaire pour le stockage des documents client et des factures

> Logiciel M-Files administré par le sous-traitant France Autopartage basé en France

Serveur hébergé par ARD-COM. Le lieu de traitement est en France

> Logiciel Owncloud administré par le sous-traitant France Autopartage basé en France

Serveur hébergé par Online. Le lieu de traitement est en France

Solution de gestion de tâches : Wunderlist

Solution administrée et hébergée par le sous-traitant 6Wunderkinder GmbH basée en Allemagne

6 Wunderkinder GmbH, Karl-Liebknecht-Straße 32, 10178 Berlin, Allemagne

Plateforme collaborative (logiciel Mattermost) pour des échanges en interne sur le Service

Solution administrée par le sous-traitant France Autopartage basé en France

Serveur hébergé par Online. Le lieu de traitement est en France

Solution de support applicatif (Freshdesk) pour l’exploitation du Service et le suivi d’incidents

Administrée et hébergée par le sous-traitant Freshworks basé aux Etats-Unis

Freshworks Inc., 1250 Bayhill Drive, Suite 315, San Bruno, CA 94066, Etats-Unis

Freshworks est certifié ”Privacy Shield ” et offre un niveau de protection adéquat. Le transfert est autorisé selon les Articles 44 et 45 de la RGPD, dans le cadre du Bouclier de protection des données UE-USA (C(2016) 4176 final). Politique de confidentialité

2. Base juridique du traitement de données

Le fondement juridique du traitement des données est l'Article 6, paragraphe 1, points a, b et f, du RGPD.

3. Finalité du traitement de données

Les données transmises volontairement par l’utilisateur sont nécessaires à la réalisation du contrat et leur traitement est fondé sur l'Article 6, paragraphe 1, points b de la RGPD.

Les données optionnelles lors de l’inscription sont transmises avec le consentement de l’utilisateur et leur traitement est fondé sur l'Article 6, paragraphe 1, points a de la RGPD.

La granularité du consentement est prise en compte pour l’adresse email et le numéro de téléphone : ces données sont requises pour une bonne communication du Responsable auprès de l’utilisateur (réalisation du contrat). Celui-ci peut accepter de recevoir des informations sur les réservations de véhicule effectuées (par consentement) ou de messages informatifs de type Newsletter (consentement).

4. Durée de l'enregistrement

Les données transmises par l’utilisateur à l’inscription sont stockées temps que le contrat de l’utilisateur est actif.

Un enregistrement peut avoir lieu au-delà de ce cadre lorsque ceci est prévu par la législation à laquelle est soumis le Responsable (délai de conservation des factures par exemple).

5. Possibilité d'opposition et de suppression

L’utilisateur a la possibilité de demander à tout moment au Responsable la modification ou leur suppression des données fournies lors de son inscription.

VII. Solution de paiement

1. Description et étendue du traitement de données

L’inscription au service implique la prise d’une empreinte bancaire, dans ce cadre une solution de paiement en ligne est utilisée par le Responsable. Cette solution de paiement peut aussi être utilisée pour le règlement de factures ou de frais, une fois l’inscription au Service finalisée.

Les données suivantes sont collectées et transmises au prestataire dans le cadre de la procédure d’inscription :

- Nom et prénom

- Adresse e-mail

- Adresse IP

- Informations sur la carte bancaire utilisée pour le paiement : numéro de carte, nom du titulaire, date d’expiration, cryptogramme de sécurité

La solution de paiement est Payzen fournie par le sous-traitant Lyra Network basé en France.

LYRA NETWORK, 109, rue de l’innovation, 31670 Labège, France

Lyra Network est certifié PCI DSS (Payment Card Industry Data Security Standard), est agréé par le GIE Cartes Bancaires (Groupement d'intérêt économique des Cartes Bancaires) et garantit ainsi une solution hautement sécurisée et fiable.

2. Base juridique du traitement de données

Le fondement juridique est l'Article 6, paragraphe 1, points a et b, de la RGPD.

3. Finalité du traitement de données

L'utilisateur donne son consentement. Le traitement des données à fin de paiement est nécessaire à l'exécution du contrat conformément à l'Article 6, paragraphe 1, point b, de la RGPD.

4. Durée de l'enregistrement

Les données sont conservées pendant la durée du contrat entre l’utilisateur et le Responsable.

5. Possibilité d'opposition et de suppression

Les données sont nécessaires pour l'exécution d'un contrat (inscription). Un effacement prématuré de ces données avant l’issue du contrat est possible si aucune obligation légale ne s'oppose à cet effacement.

VIII. Paiement récurrent pour l’utilisation du Service

1. Description et étendue du traitement de données

L’utilisation du service implique une relation commerciale entre le Responsable et l’utilisateur, et dans ce cadre le  paiement mensuel d’une facture. Le mode de paiement est le prélèvement SEPA. Pour exécuter ces paiements, le Responsable utilise la solution Sage i7.

Ce logiciel est administré par le sous-traitant France Autopartage basé en France et est hébergé par ARD-COM. Le lieu de traitement est en France.

Les données transmises à cette occasion sont :

- Nom et prénom

- Adresse e-mail

- Adresse postale

- Coordonnées bancaire : RIB, IBAN

- Mandat SEPA : code RUM et date de création du mandat

- Facture mensuelle : coûts totaux d’utilisation du service selon une répartition analytique

2. Base juridique du traitement de données

Le fondement juridique est l'Article 6, paragraphe 1, points a et b de la RGPD.

3. Finalité du traitement de données

L'utilisateur donne son consentement. Le traitement des données à fin de paiement est nécessaire à l'exécution du contrat conformément à l'Article 6, paragraphe 1, points a et b, de la RGPD.

4. Durée de l'enregistrement

Les données sont conservées pendant la durée du contrat entre l’utilisateur et le Responsable.

5. Possibilité d'opposition et de suppression

Les données sont nécessaires pour l'exécution d'un contrat. Elles peuvent être modifiées par l’utilisateur à tout moment. L’opposition ou la suppression est possible en cas de changement du mode de paiement ou en cas de rupture du contrat.

IX. E-mails informatifs (newsletters)

1. Description et étendue du traitement de données

Lors de l’inscription, sur notre site web ou à tout moment, il est possible de s'abonner à une newsletter gratuite, en donnant votre consentement. Les données suivantes sont utilisées lors de l'inscription à la newsletter :

- Nom et Prénom

- Adresse email

- la ville

Les newsletters sont envoyées ponctuellement et nous permettent de vous informer sur le développement du Service (nouvelles stations, nouveaux véhicules…), de l’évolution ou du rappel des règles d’utilisation du Service ou de vous faire profiter d’offres dans le cadre de partenariat.

Nous mesurons l'utilisation des newsletters (taux d’ouverture des messages). Pour cette analyse, les e-mails envoyés contiennent un élément graphique minuscule (appelé pixel de traçage) : lorsque quelqu'un ouvre un e-mail, cet élément graphique est téléchargé à partir du serveur gestionnaire de la newsletter et il est enregistré en tant qu'une ouverture.

Dans le cadre du traitement de données pour l'envoi de newsletters, aucune transmission des données à des tiers n'a lieu.

Pour l'envoi de la newsletter, nous utilisons le service du prestataire Mailchimp.

Mailchimp est administré et hébergé par le sous-traitant The Rocket Science Group LLC basé aux Etats-Unis.

The Rocket Science Group LLC, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 USA

The Rocket Science Group LLC est certifié ”Privacy Shield ” et offre un niveau de protection adéquat. Le transfert est autorisé selon les Articles 44 et 45 de la RGPD, dans le cadre du Bouclier de protection des données UE-USA (C(2016) 4176 final). Politique de confidentialité

2. Base juridique du traitement de données

Le fondement juridique du traitement de données après une inscription à la newsletter par l'utilisateur est le consentement de l'utilisateur selon l'Article 6, paragraphe 1, point a de la RGPD.

3. Finalité du traitement de données

La collecte de l'adresse e-mail de l'utilisateur sert à envoyer la newsletter.

La collecte d'autres données à caractère personnel dans le cadre de la procédure d'inscription à la newsletter sert à personnaliser les envois d’information.

4. Durée de l'enregistrement

Les données sont effacées dès qu'elles ne sont plus indispensables au regard des finalités de leur collecte. Conformément à cela, l'adresse e-mail de l'utilisateur est enregistrée tant que l'abonnement à la newsletter est activé.

Après une désinscription, nous conservons les données à des fins purement statistiques et de manière anonyme.

5. Possibilité d'opposition et d’élimination

L'abonnement à la newsletter peut être résilié à tout moment par l'utilisateur concerné : chaque newsletter contient un lien qui permet la désinscription.

Vous pouvez également limiter les activités de mesure de votre utilisation du site en désactivant par défaut l'affichage d'images dans votre gestionnaire d’e-mail.

X. Informations supplémentaires

Géolocalisation

Un système de géolocalisation est intégré dans chaque véhicule d’autopartage.

Les données de géolocalisation sont collectées au début et à la fin de l’utilisation d’un véhicule, afin de :

> Vérifier la présence du véhicule dans la station à laquelle il est rattaché au début et à la fin de l’utilisation

> Connaître la position du véhicule dans le cas du free-floating (service Yea!) en fin d’utilisation

La position du véhicule n’est pas relevée en cours d’utilisation, sauf pour des raisons légitimes :

> Localiser le véhicule en cas de vol ou vol présumé

> Localiser le véhicule en cas d’accident présumé afin de fournir une assistance ou des soins médicaux d’urgence