Politique relative à la protection des données à caractère personnel et aux cookies

Cette rubrique illustre l’engagement de E-PRUNES eu égard au respect de la vie privée et à la protection des données à caractère personnel des membres, abonnés ou visiteurs (ci-après dénommés ensemble les « Utilisateurs »), collectées et traitées à l’occasion de l’utilisation du Site et de l’Application dans les conditions visées au sein des Conditions Générales d’Utilisation et de Vente des Services de e-Prunes (les « Données »).

E-PRUNES s’engage à respecter la législation en vigueur relative à la protection de la vie privée eu égard au traitement automatisé des Données, notamment de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après la « Loi Informatique et Libertés ») et du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des Données, (ci-après ensemble la « Réglementation Applicable »).

En accédant au Site et/ou à l’Application et/ou en utilisant le service payant proposé par E-Prunes (ci-après « les Services »), l’Utilisateur accepte que ses Données soient collectées et traitées dans les conditions et modalités exposées ci-après.

La présente politique (la « Politique ») fait partie intégrante des Conditions Générales d’Utilisation et de Vente des Services de E-PRUNES et peut être modifiée à tout moment, afin notamment de se conformer à toutes évolutions législatives, réglementaires, jurisprudentielles, éditoriales ou techniques.

L’Utilisateur doit donc se référer avant toute navigation à la dernière version de la Politique.

1. Identité du responsable du traitement

Le responsable de traitement des Données des Utilisateurs est la société Varenne Entreprises, SARL au capital de 5 578 704,09 euros, immatriculée au RCS de Paris sous le numéro 339 453 508 dont le siège social est situé au 6 cité Paradis 75010 Paris, numéro de téléphone 0153242417, adresse e-mail : contact@flotauto.com.

Les Données sont notamment stockées chez l’hébergeur du Site identifié au sein des Mentions légales.

2. Données collectées

Afin de fournir ses Services, E-PRUNES peut être amené à collecter des Données relatives à ses Utilisateurs.

Le Prestataire sera amené dans le cadre du Contrat à traiter, en qualité de responsable de traitement, des données à caractère personnel relatives aux Utilisateurs et aux autres éventuels préposés et représentants légaux du Client.

Le Prestataire sera par ailleurs amené dans le cadre du Contrat à traiter, en qualité de sous-traitant du Client, des données à caractère personnel relatives aux conducteurs des Véhicules du Client (les « Données Conducteurs »).

Dans le cadre de la collecte et du traitement des Données Conducteurs, le Client et le Prestataire s’engagent à se conformer à la réglementation applicable en matière de protection de données à caractère personnel, et notamment la loi n°78-17 du 6 janvier 1978 dans sa version en vigueur (la « Loi Informatique et Libertés ») et le Règlement 2016/679 du 27 avril 2016, dit « Règlement Général sur la Protection des Données » (le « RGPD ») pendant la durée du traitement des Données Conducteurs.

Le traitement des Données Conducteurs par le Prestataire en qualité de sous-traitant est effectué à des fins d’aide à la gestion du Client de sa flotte automobile et des contraventions routières dans le cadre du dispositif prévu à l’article L. 121-6 du Code de la route et à des fins de gestion et de remontée au Client des demandes formées par les personnes concernées par les Données Conducteurs (et notamment d’accès, de rectification, de suppression et d’opposition) et des éventuels incidents liés aux Données Conducteurs.

Il porte sur :

  • les données relatives à l’identification des conducteurs des Véhicules du Client (par exemple : nom, prénoms, adresse, numéro de téléphone) ;
  • les données relatives aux Véhicules du Client confiés aux conducteurs (par exemple : marque, modèle, etc.) ;
  • les données relatives aux infractions relatives aux Véhicules du Client et constatées dans les conditions prévues à l’article L. 130-9 du Code de la route.

Le Prestataire traitera les Données Conducteurs uniquement sur instruction documentée du Client. Il est expressément convenu à cet égard que les instructions du Client pourront être délivrées par le biais des actions déclenchées par voie électronique par les Utilisateurs à partir de la Plateforme.

À ce titre, le Prestataire s’interdit de communiquer les Données Conducteurs à des tiers sans accord du Client, à l’exception de ses propres sous-traitants et de l’ANTAI et s’engage à ne pas utiliser les Données Conducteurs pour son propre compte ou pour celui d’un tiers ou à moins qu'il ne soit tenu de procéder à un tel traitement ou à une telle communication en vertu du droit de l'Union ou du droit français. Dans ce cas, le Prestataire s’engage à informer le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

Conformément à l’article 32 du RGPD, le Prestataire s’engage à prendre toutes les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des Données Conducteurs adapté aux risques, et notamment de les protéger contre toute destruction, perte, altération, diffusion ou accès non autorisés, de manière accidentelle ou illicite, ainsi que contre toute forme de traitement illicite ou communication à des personnes non autorisées, et ce, compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement des Données Conducteurs, ainsi que des risques.

Le Prestataire garantit l’engagement des personnes autorisées par le Prestataire à traiter les Données Conducteurs à respecter la confidentialité des Données Conducteurs ou de leur soumission à une obligation légale appropriée de confidentialité.

Les Données Conducteurs sont hébergées dans des serveurs localisés uniquement en France. En cas de transfert des Données Conducteurs en dehors de l’Espace Economique Européen, le Prestataire devra en informer préalablement le Client sans délai et obtenir son consentement écrit, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit qui lui est applicable. Dans cette hypothèse, le Prestataire informera le Client de cette obligation juridique avant le transfert, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

Le Prestataire pourra confier à un tiers le traitement des Données Conducteurs (en ce compris l’hébergement des Données Conducteurs et la maintenance informatique). A ce jour, le Prestataire recourt aux services de la société LaNetCie pour le développement de la Plateforme et la société Equinix pour l’hébergement de la Plateforme et des données accessibles via cette Plateforme.

Le Prestataire informera le Client de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-sous-traitants, afin de donner au Client la possibilité d'émettre des objections à l'encontre de ces changements. Ces objections devront le cas échéant être motivées. Dans l’hypothèse où le Prestataire décide de procéder au changement malgré l’émission d’objections raisonnables et motivées par le Client, le Client sera libre de résilier le Contrat par lettre recommandée avec accusé de réception adressée au plus tard un (1) mois après la réception de l’information relative au changement de sous-traitant.

Sauf instruction contraire du Client, notamment par le biais de la Plateforme, les Données Conducteurs seront conservées :

  • les Données Conducteurs intégrées dans l’Outil de gestion des contraventions routières, pendant les durées définies à l’article 4.3 des CGS conformément aux recommandations de la CNIL ;
  • les Données Conducteurs intégrées dans l’Outil de gestion des flottes, pendant toute la durée du Contrat ;
  • et, à la fin du Contrat, pour toutes les Données Conducteurs, pendant une durée d’un (1) mois à compter de la fin du Contrat conformément aux stipulations de l’article 12.3 des CGS.

A l’issue de ces délais, le Prestataire détruira et fera détruire les copies des Données Conducteurs en sa possession et en la possession de ses sous-sous-traitants.

Le Prestataire s’engage à tenir compte de la nature des Données Conducteurs, à coopérer avec le Client et à l’aider, par des mesures techniques et organisationnelles appropriées à respecter les droits des personnes concernées en vertu des articles 15 et suivants du RGPD et à donner suite aux demandes des personnes concernées qui le saisissent sur ces fondements.

À cet égard, le Prestataire communiquera au Client dans les meilleurs délais toute demande, plainte ou observation reçue directement des personnes concernées.

Le Prestataire s’engage également à aider le Client à garantir le respect des obligations visées aux articles 32 à 36 du RGPD (sécurité, notification des violations, analyse d’impact et consultation préalable), compte tenu de la nature du traitement des Données Conducteurs et des informations à sa disposition.

Dans l’hypothèse où le Prestataire estimerait qu’une instruction du Client constitue une violation de la Loi Informatique et Libertés ou du RGPD, le Prestataire en informera le Client conformément à l’article 28 (3), dernier alinéa, du RGPD.

Le Prestataire met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues dans le présent article. Le Client aura le droit de procéder à toute vérification qui lui paraîtrait utile pour vérifier le respect par le Prestataire de ses obligations au titre du présent article, notamment par le biais d’un audit.

Pour ces interventions à caractère d’audit, le Client informera le Prestataire préalablement à chacune des visites, moyennant un préavis de trois (3) semaines avant la date effective de l’audit. Ces audits pourront être menés aux frais du Client soit par le Client lui-même, soit par un cabinet extérieur choisi par le Client soumis à confidentialité. A la suite de l’audit, l’auditeur dressera un rapport qu’il communiquera aux deux parties qui disposeront d’un délai de dix (10) jours pour formuler leurs observations.

Dans l’hypothèse où des inexécutions du présent article et, éventuellement, des failles de sécurité auraient été constatées au cours de l’audit, le Client pourra demander au Prestataire d’y remédier en mettant en œuvre les méthodes, mesures et outils que le Prestataire pourra choisir librement. A défaut pour le Prestataire d’y remédier dans un délai raisonnable, ce qui devra être établi par le Client, ce dernier pourra procéder à la résiliation de plein droit du Contrat sans décision judiciaire préalable et sans indemnité un (1) mois après l’envoi d’une lettre recommandée avec demande d’avis de réception au Client.

3. Droits sur les Données

Les articles 14 à 22 du Règlement 2016/679 du 27 avril 2016 confèrent à l’Utilisateur les droits suivants :

  • Un droit d’accès aux Données,
  • Un droit de rectification des Données,
  • Un droit d’opposition à la collecte et au traitement des Données,
  • Un droit à l’effacement de ses Données,
  • Un droit à limitation dans la collecte et le traitement de ses Données,
  • Un droit à la portabilité de ses Données.

L’Utilisateur a également le droit de communiquer des directives relatives à la conservation, à l’effacement et à la communication de ses Données après son décès.

L’Utilisateur peut exercer ses droits en adressant une demande par email en ce sens à l’adresse contact@e-Prunes .com ou par courrier à l’adresse suivante : Varenne Entreprises – 6 Cité Paradis 75010 Paris – France.

L’Utilisateur est informé que l’exercice de certains droits, notamment opposition et effacement, peuvent restreindre ou empêcher l’accès et/ou l’utilisation des Services de E-PRUNES.

E-PRUNES se réserve le droit de procéder à une vérification d’identité de l’Utilisateur.

4. Contacts et Réclamations

Contact

Pour toute demande concernant les traitements de ses Données, l’Utilisateur peut adresser une demande au Délégué à la Protection des données de E-PRUNES par e-mail à l’adresse contact@e-prunes.com ou par courrier postal à l’adresse suivante : 6 Cité Paradis, 75010 Paris - France

Le délégué à la protection des données a pour mission de veiller au respect de la Réglementation Applicable et de la présente politique.

Réclamations

En l’absence de réponse ou si l’Utilisateur n’est pas satisfait de la réponse apportée, il a la possibilité d’introduire une réclamation auprès de l’autorité de protection et de contrôle compétente de l’Etat membre de l’Union Européenne au sein duquel il réside habituellement.

France - Commission Nationale de l’Informatique et des Libertés - http://www.cnil.fr/

Les Utilisateurs peuvent retrouver l’ensemble de ces informations dans la Politique de protection des données à caractère personnel de E-PRUNES accessible directement dans les CGU.

5. Cookies

L’Utilisateur est informé que lors de ses visites sur le site, un cookie peut s’installer automatiquement sur son logiciel de navigation.

En naviguant sur le site, il les accepte.

Un cookie est un élément qui ne permet pas d’identifier l’Utilisateur mais sert à enregistrer des informations relatives à la navigation de celui-ci sur le site Internet. L’Utilisateur pourra désactiver ce cookie par l’intermédiaire des paramètres figurant au sein de son logiciel de navigation.