Mentions légales et Politique de confidentialité Move

Le RGPD sensibilise tous les acteurs de l’Union Européenne et plus encore, sur une multitude de problématiques liées à la gestion, à l'exploitation et à la conservation des données à caractère personnel.

Ce document a pour objet d’encadrer les traitements de données à caractère personnel relatifs à la Solution Move. Il complète les Conditions Générales et Particulières Move (« Contrat Move » ou « Contrat ») conclues entre TEMSYS et ses clients (« Entreprises »), ainsi que les conditions générales d’utilisation de la Solution Move (« CGU »).

Par conséquent, ce document n’a pas pour ambition d’être exhaustif mais uniquement de permettre aux Entreprises et, le cas échéant, à leurs préposés (« Utilisateurs »), d’être en possession des informations essentielles relatives à la politique de gestion des données à caractère personnel de TEMSYS.

• •
  Transparence et équité : dès lors que des données à caractère personnel sont traitées, Temsys communique notamment aux personnes concernées l’identité et les coordonnées du responsable de traitement et, le cas échéant, de son délégué à la protection des données, ainsi que les raisons pour lesquelles les données à caractère personnel sont traitées. Quand la nature des traitements l’exige, Temsys sollicite le consentement préalable de la personne concernée. En aucun cas, les données à caractère personnel ne sont utilisées à d’autres fins que celles décrites dans le présent document.
• •
  Légitimité : Temsys ne collecte et ne traite aucune donnée à caractère personnel sans motif légitime. Les données ne sont pas traitées, ultérieurement, d’une manière incompatible avec les finalités pour lesquelles elles ont été collectées.
• •
  Minimisation de la collecte : Temsys collecte les données à caractère personnel nécessaires aux finalités décrites dans le présent document. Les données à caractère personnel dites « sensibles » font l’objet d’une attention particulière : elles sont traitées par Temsys uniquement quand cela est strictement nécessaire et ce, conformément aux conditions propres qui lui sont attachées par le RGPD. Toutes les mesures adéquates sont prises afin de s’assurer que les données à caractère personnel sont exactes, complètes, à jour et conservées pendant une durée déterminée.
• •
  Sécurité : Temsys a mis en place les mesures techniques et organisationnelles appropriées afin d’éviter toute forme de traitement non autorisé ou illicite voire la perte de données.
• •
  Confidentialité : Temsys prend les dispositions nécessaires afin que seules les personnes autorisées aient accès aux données à caractère personnel et qu’elles s’engagent à garder ces données confidentielles.

Temsys et chaque Entreprise, en qualité de responsables du traitement, voire de responsable conjoint du traitement, un certain nombre de traitements portant sur des données à caractère personnel qui sont nécessaires à l’exécution du Contrat Move et au bon déroulement de leurs activités respectives. A cet égard, Temsys a répertorié ci-après la liste des finalités pour lesquelles il effectue des traitements dans le cadre de sa relation d’affaires avec les Entreprises :

Etant précisé que lorsque la base juridique d’un traitement est une obligation légale ou réglementaire, il s’agit d’une obligation légale ou règlementaire s’imposant à Temsys directement ou indirectement en tant qu’agent (« Agent ») de Prestataire de Service de Paiement (« PSP »).

Etat-civil, identité, données d'identification, images

Exemples de données traitées :

• •
  Nom
• •
  Prénom
• •
  Adresse électronique
• •
  Numéro de téléphone
• •
  Adresse postale
• •
  Date de naissance
• •
  Pays de naissance
• •
  Nationalité
• •
  Matricule interne employeur

Vie personnelle (habitudes de vie, situation familiale, etc.)

Exemples de données traitées :

• •
  Commune de naissance
• •
  Commune de résidence

Vie professionnelle (CV, scolarité, formation professionnelle, distinctions, etc.)

Exemple de données traitées :

• •
  Fonction, description de poste
• •
  Catégorie socioprofessionnelle

Informations d'ordre économique et financier (revenus, situation financière, situation fiscale, etc.)

Exemples de données traitées :

• •
  Bulletins de salaire ou déclaration de revenus
• •
  Déclaration de patrimoine
• •
  Avis d’imposition
• •
  Résidence fiscale
• •
  Statut US Person
• •
  Numéro de carte de paiement Move
• •
  IBAN virtuel
• •
  Compte utilisateur Move

Données de connexion (adresse IP, logs, etc.)

Exemple de données traitées :

• •
  Identifiants et mots de passe pour accéder à Move
• •
  Adresse IP

Données de localisation (déplacements, données GPS, GSM, etc.)

Exemples de données traitées :

• •
  Données de localisation déclaratives de l’Utilisateur dans le cadre de Prestations telles que les indemnités kilométriques et le rapport d’émissions carbones.

Toute donnée se rapportant à une personne identifiée ou identifiable

Temsys collecte des données via des cookies afin d’améliorer l’expérience de navigation des Utilisateurs. Les cookies sont notamment utilisés pour stocker les préférences et paramètres afin de faire gagner du temps, d’activer la connexion, de lutter contre la fraude, d’analyser les performances du site web, de la Solution Move et des services associés fournis par Temsys, et de réaliser des statistiques de visites.

La durée de conservation est donc initialement fixée par le loueur en fonction du besoin opérationnel nécessaire à l’exécution de chaque contrat individuel de location et prenant en considération les éventuelles recommandations de la CNIL.

La durée de conservation est donc initialement fixée par Temsys en fonction du besoin opérationnel nécessaire à l’exécution de chaque Contrat et prenant en considération les éventuelles recommandations de la CNIL ou encore les obligations de Temsys agissant en tant qu’Agent de PSP.

Toutefois, certaines durées de conservation plus longues peuvent résulter de textes législatifs et réglementaires (notamment, mais non exclusivement, celles prévues par le code de commerce, le code civil et le code de la consommation) ou des de Temsys agissant en tant qu’Agent de PSP. Certains textes imposent également de conserver des documents/informations contenant des données à caractère personnel, pendant une durée précise, à des fins de preuve ou en prévision d'un éventuel contentieux jusqu'à la prescription de l'action en question. Par exemple, en matière commerciale, les obligations se prescrivent, en principe, par cinq ans si elles ne sont pas soumises à des prescriptions spéciales (article L.110-4 du code de commerce). Temsys est donc dans l'obligation de conserver certaines données à caractère personnel au-delà de l’exécution des Contrats bien qu'elle n'en ait plus l’usage sous forme d’archives dites intermédiaires.

A l’issue de ces périodes, les données à caractère personnel sont purgées ou anonymisées.

Les données à caractère personnel sont susceptibles d’être diffusées :

• 1.
  1.
  aux collaborateurs Temsys ;
• 2.
  2.
  à des partenaires ;

Temsys s’est associé avec différents partenaires afin de pouvoir offrir à ses clients et prospects des offres diversifiées et adaptées à leurs besoins. Ces partenariats peuvent être passés avec différents types d’opérateurs économiques tels que :

• •
  des prestataires de services techniques,
• •
  des acteurs de la mobilité,
• •
  des établissements bancaires,
• •
  des assureurs.

Les engagements de chaque partenaire font l’objet d’un encadrement contractuel détaillé, précisant la nature et les modalités d’échange de données et comportant des obligations en termes de sécurité et de confidentialité mises à charge de chacun ainsi que des obligations et mesures prises pour assurer le respect des principes énoncés par les textes applicables en vigueur en matière de données à caractère personnel.

• 1.
  1.
  à des sous-traitants, prestataires (prestataires de service technique) et conseils ;
• 2.
  2.
  à des courtiers et assureurs ;

Temsys a recours à des tiers spécialement habilités pour exécuter, par exemple, des prestations de contrôle de justificatif de paiement, des enquêtes,…

Lors du recours à ces prestataires, Temsys veille à sélectionner des prestataires et fournisseurs présentant des garanties suffisantes pour assurer la mise en œuvre effective des missions qui leur sont confiées (compétence, niveau de sécurité, notoriété, solidité financière, lieu de localisation des serveurs ou centres informatiques…). Les obligations et niveaux de prestation font l’objet d’un encadrement contractuel détaillé destiné à assurer que le prestataire ne pourra agir que sur instruction de Temsys et comportant des obligations en termes de sécurité et de confidentialité mises à charge du prestataire, ainsi que des obligations et mesures prises pour assurer le respect des principes énoncés par le RGPD.

• 1.
  1.
  au Groupe Société Générale auquel appartient le loueur ;
• 2.
  2.
  à toute autorité administrative et judiciaire.

**Sous-traitant

**Comdata : www.comdatagroup.com/fr/ SKIPR : www.skipr.co

Toutes les bases de données de Temsys sont aujourd’hui localisées au sein de l’Union Européenne.

Temsys peut avoir recours aux services de sous-traitants basés dans et en dehors du territoire de l’Union Européenne, y compris dans des pays qui ne sont pas considérés par la Commission Européenne comme des pays assurant un niveau de protection suffisant et ayant accès à certaines données à caractère personnel. Dans ces circonstances, Temsys a pris soin de mettre en place :

a. des règles internes d'entreprise (BCR) ; ou b. des Clauses Contractuelles Types adoptées par la Commission Européenne.

La politique de sécurité de l'information de Temsys se décline au travers de mesures organisationnelles (y compris la sensibilisation et la formation du personnel concerné), de logiciels et de matériels afin de lutter contre la destruction, la perte ou l’altération accidentelle ou illicite de données, la divulgation ou l’accès non autorisé à des données et contre toute autre forme de traitement illicite.

Un Responsable de la Sécurité des Systèmes d’Information (RSSI) rattaché à la Direction du Contrôle Interne applique la politique de sécurité informatique qui émane de la politique de sécurité du Groupe Société Générale.

Les principes qui président la politique de sécurité de Temsys sont les suivants :

• •
  Une approche de la sécurité globale, adaptée (en termes économique ou de facilité d’usage) et intégrée (c’est-à-dire diffusée dans chaque projet et chacune des applications du système d’information),
• •
  Une démarche d’amélioration en continu et en cycle court (gestion des incidents liés à la sécurité de l’information, des audits, des évolutions technologiques,…),
• •
  Une gestion proactive de la sécurité qui s’appuie sur l’implication du Comité de Direction de Temsys, une gouvernance renforcée de la sécurité et la diffusion d’une culture de la sécurité de l’information.

Accès collaborateurs et tiers

L’accès aux données à caractère personnel est limité à des personnes autorisées dont le statut, les fonctions, les responsabilités induisent ou justifient spécifiquement le traitement des données concernées. Afin de garantir la sécurité des informations et leur confidentialité, les accès au système d’information et à l’ensemble de ses composantes applicatives sont soumis à habilitation individuelle.

Les profils sont administrés en interne par le RSSI en collaboration avec la Direction des Ressources Humaines et les métiers. L’accès au système d’information s’effectue par authentification en associant un login et un mot de passe dit complexe, renouvelé à intervalle régulier.

Les accès au système d’information depuis l’extérieur de l’entreprise se font :

• •
  au travers d’un extranet en HTTPS avec double bastion de firewall, DMZ privé et DMZ publique ; ou
• •
  au travers d’un client VPN avec chiffrement des données échangées.

Un système de traçabilité permet de suivre l’historique des activités effectuées par tout utilisateur du réseau informatique et des applications de Temsys. Des actions complémentaires de journalisation répondent à plusieurs objectifs dont :

• •
  la résolution des problèmes techniques et l’optimisation du fonctionnement des systèmes informatiques,
• •
  la vérification du respect des règles de sécurité du système d’information,
• •
  la détection de toute tentative d’intrusion ou d’altération du système d’information,
• •
  la détection d’activités illégales ou contraires au règlement intérieur.

Règle en matière de confidentialité

Les données à caractère personnel sont divulguées uniquement aux personnes ayant à en prendre connaissance pour les finalités nécessaires. Pour ses échanges en interne, Temsys s’est également doté d’un système de classification des informations en fonction de leur niveau de sensibilité.

Les contrats intègrent des clauses de confidentialité imposant à nos co-contractants de ne pas divulguer de données. En outre, ils doivent informer les personnes destinataires du caractère confidentiel des informations qui leur sont transmises et s’engager à respecter une obligation de confidentialité de même nature que celle prévue dans le contrat qu’ils ont signé.

Sauvegarde des données

Les données sont répliquées sur le site de back up, en temps réel, au travers d’une technologie dite de « Flash Copy » qui consiste à copier, de façon immédiate, la donnée, sans interruption de l’activité.

Une fois les données répliquées, elles sont stockées sur des supports qui eux-mêmes suivent un processus d’archivage selon plusieurs périodicités.

De plus, a été mise en place une procédure de restauration des supports afin de s’assurer de la bonne lecture dans la durée de ces dernières.

Procédure anti-intrusion

Tous les postes de travail et serveurs sont équipés d’un antivirus mis à jour quotidiennement.

Une procédure de « patch management » définit les règles et modalités de déploiement des correctifs publiés par les éditeurs.

Les actifs informatiques sont protégés d’attaques externes par différents moyens :

• •
  étanchéité des composantes réseaux par zone, garantie par le déploiement de firewall et de reverse proxy,
• •
  protection des services exposés sur internet par des solutions WAF, Ddoss et double bastion de Firewall.

Les collaborateurs sont régulièrement formés et sensibilisés à la sécurité informatique. Des tests de sécurité sont également réalisés pour valider l’application des règles de sécurité (Test de phishing par exemple).

Sécurité physique des bâtiments

Les principaux bâtiments de Temsys sont munis des outils de surveillance suivants :

• •
  accès aux locaux par badge,
• •
  vidéosurveillance,
• •
  agent de sécurité.

Procédure en cas de faille de sécurité

Dans l’hypothèse où un incident de sécurité se produirait, différents scénarios sont prévus en fonction de la nature des données concernées, du type et de l’ampleur de l’incident.

Pour ce faire, Temsys s’est notamment doté des moyens suivants :

• •
  cellule de crise ;
• •
  procédure d’escalade au niveau groupe ;
• •
  procédure d’isolement du matériel informatique impacté.

Depuis l’entrée en vigueur du RGPD, il existe de nouvelles obligations de notification des violations de données à caractère personnel. En effet, le RGPD généralise l’obligation de notification des failles de sécurité à l’autorité de contrôle compétente et impose une nouvelle obligation de communication aux personnes concernées par une violation de leurs données personnelles, et ce, dans les meilleurs délais, lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés de cette personne.

Toute personne concernée par un traitement de données à caractère personnel peut exercer un certain nombre de droits auprès de Temsys.

Les droits en question sont les suivants :

• •
  Droit d’Accès
• •
  Droit à la Rectification de toute donnée à caractère personnel inexacte
• •
  Droit à l’Effacement(droit à l’oubli) lorsque l’un des motifs suivants s’applique :

  • •
    les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
  • •
    le retrait du consentement de la personne concernée ;
  • •
    le traitement est illicite ;
  • •
    le respect d’une obligation légale d’effacement.
• •
  Droit à la Limitation dans les circonstances suivantes:

  • •
    l'exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant à Temsys de vérifier l'exactitude des données à caractère personnel ;
  • •
    le traitement est illicite et la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation ;
  • •
    Temsys n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice ;
  • •
    Lorsqu’une personne s'est opposée au traitement de données à caractère personnel la concernant, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par Temsys prévalent sur ceux de la personne concernée.
• •
  Droit à la Portabilité : toute personne a le droit d’obtenir une copie des données à caractère personnel la concernant que le loueur détient dans ses bases et ce, dans un format structuré et facilement réutilisable.
• •
  Droit d’Opposition.

En outre, toute personne à également le droit de demander la mise à disposition des documents juridiques utilisés lors d’un transfert de données à caractère personnel vers un pays tiers.

Ces droits peuvent être exercés par courrier électronique à l’adresse de Temsys : contact-donneespersonnelles@ayvens.com ou par courrier postal à :

Ayvens France - Direction du Contrôle Interne

28 allée d’Aquitaine

92000 Nanterre

Temsys s’engage à communiquer à la personne concernée toute information sur les mesures prises à la suite de sa demande, dans les meilleurs délais et, en tout état de cause, dans un délai d’un (1) mois à compter de la réception de sa demande ou, le cas échéant, dans un délai de deux (2) mois lorsque la demande est complexe.

Tout exercice des droits formulé auprès de Temsys sera automatiquement signalé par ce dernier à ses sous-traitants, partenaires, responsable conjoint, le cas échéant, et autres destinataires sans que la personne concernée n’ait besoin de procéder à des démarches supplémentaires.

Par ailleurs, toute personne concernée par un traitement de données à caractère personnel a le droit d’introduire une réclamation devant une autorité de contrôle.

Pour toute information ou exercice de vos droits Informatique et Libertés sur les traitements de données personnelles vous pouvez contacter la Commission Nationale de l'Informatique et des Libertés (CNIL) qui agit en tant qu'autorité de contrôle.

Par téléphone : 01 53 73 22 22

Par courrier : 3 Place de Fontenoy TSA 80715 75334 PARIS CEDEX 07

Le contenu de ce document a vocation à évoluer périodiquement et sans préavis en fonction de l’entrée en vigueur de nouveaux textes applicables et notamment du Règlement dit e-Privacy, de la loi Informatique et Libertés amendée, des éventuelles recommandations CNIL et/ou du G29 et des évolutions des produits, services et prestations proposés par Temsys.