POLITIQUE DE PROTECTION DES DONNEES PERSONNELLES

 

 ARTICLE 1. PRÉAMBULE

La présente politique de confidentialité concerne la relation entre GROUPE GSA S.A.S., ci-après dénommée « GSA », et toute personne bénéficiant ou souhaitant bénéficier des services proposés par GSA.

GSA est une société de courtage en assurances qui propose aux particuliers, aux professionnels et entreprises de tous secteurs des assurances conçues et adaptées à leurs besoins.

Le site web http://www.groupegsa.com/ est édité par la société par actions simplifiée Groupe GSA S.A.S, au capital de 555.000 euros, immatriculée au registre du commerce et des sociétés de Paris sous le numéro 351 513 163, dont le siège social est situé 5 rue Magellan, 75008 Paris.

Le site est hébergé par la société EQUINOA, agence conseil en stratégie digitale, société par actions simplifiées au capital de 244.000 euros, immatriculée au registre du commerce et des sociétés de Paris sous le numéro 484 915 475, et dont le siège social est situé 92 rue Réaumur, 75002 Paris.

GSA peut être amenée, pour ses activités, à traiter des données à caractère personnel, et entend traiter celles-ci dans le respect de la règlementation en vigueur, et notamment le Règlement Général sur la Protection des Données n°2016/679 du 27 avril 2016, entré en vigueur le 25 mai 2018, et la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés telle que modifiée par la loi n°2018-493 du 20 juin 2018.

Soucieux d’être un partenaire de valeur protégeant les données personnelles, GSA, en qualité de responsable de traitement, a mis en place la présente Politique de protection des données personnelles (ci-après « la Politique »), et s’engage à traiter ces données conformément à ses principes, et conformément aux principes de transparence, de détermination et de légitimité des finalités, d’exactitude, de proportionnalité et de minimisation, de sécurité et de confidentialité, de responsabilité et de protection dès la conception et par défaut.

A cette fin, GSA a dûment désigné un DPO qui peut être contacté selon les modalités détaillées ci-dessous.

Il peut être contacté à l’adresse suivante : dpo@groupegsa.com.

 

ARTICLE 2. DÉFINITIONS

Pour l’interprétation et l’exécution de la présente politique de protection des données à caractère personnel (ci-après « la Politique »), les termes employés ci-après sont définis de la façon suivante :

« Client » : désigne la personne (représentant légal d’une société le cas échéant) souscrivant un contrat d’assurance et/ou bénéficiant ou souhaitant bénéficier des services proposés par GSA, le terme de Client incluant le « Client potentiel » ;

« Données à caractère personnel » ou « Données » : désigne toute donnée permettant d’identifier directement ou indirectement une personne physique, telles que nom, prénom, mail, adresse postale, téléphone, etc. ;

« Délégué à la Protection des Données » ou « DPO » : désigne la personne en charge de conseiller et de contrôler le Responsable du traitement en matière de protection des Données à caractère personnel. En l’espèce, le DPO de GSA est :

Madame Maryline SUISSA

5 rue Magellan, 75008 Paris

Désigné auprès de la CNIL le 25 octobre 2018

Désignation N°DPO-32243

 

« Extranet » : désigne l’Espace Client accessible à l’adresse URL suivante : https://extranet.groupegsa.com/connexion ;

« Responsable du traitement » : désigne la personne, le service ou l’organisme qui détermine les finalités et les moyens du traitement de Données à caractère personnel, à savoir en l’espèce GSA ;

« Site Web » : désigne le site accessible à l’adresse URL suivante http://www.groupegsa.com/ ;

« Sous-Traitant » : désigne la personne physique ou morale qui traite des Données à caractère personnel pour le compte du Responsable du traitement, sur ses instructions et sous son autorité ;

« Traitement » : désigne toute opération sur les Données à caractère personnel, et notamment l’enregistrement, la collecte, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction, sans que cette liste soit exhaustive ;

 « Utilisateur » : désigne toute personne se connectant et naviguant sur le Site Web ;

« Vous » : désigne le Client ;

« Tiers » : désigne toute personne en lien (contractuel ou non) avec le Client dans le cadre de la souscription ou de l’exécution du contrat d’assurance ou de garantie financière, tels que : associés, collaborateurs, propriétaires d’immeubles, bailleurs, locataires, occupants d’immeuble voisins, toute personne en litige avec le Client, intervenant des entreprises de travaux, expert, etc.

 

ARTICLE 3. CHAMPS D’APPLICATION DE LA PRESENTE POLITIQUE

La présente Politique énonce les principes et lignes directrices pour la protection des Données à caractère personnel, et pour la sauvegarde des droits des personnes concernées par les Traitements réalisés par GSA.

La Politique est susceptible d’être complétée ou remplacée par tout document contractuel ayant le même objet conclu par GSA à l’égard d’une ou plusieurs personnes concernées.

La Politique s’applique à toutes les Données à caractère personnel traitées par GSA, quel que soit leur mode de collecte ou de Traitement.

GSA intervient en qualité de Responsable du Traitement de Données à caractère personnel, mais également en qualité de Sous-Traitant, pour le compte d’autres Responsables de Traitement avec lesquels GSA s’est engagé contractuellement. Dans le cadre de leurs relations avec le Responsable de Traitement, les personnes concernées sont informées par ce dernier lorsque GSA intervient en qualité de Sous-Traitant ou pour le compte d’un Sous-Traitant.

A ce titre, la Politique trouve à s’appliquer même lorsque GSA intervient comme Sous-Traitant ou Sous-Traitant ultérieur.

 

ARTICLE 4. PROVENANCE ET CATEGORIES DE DONNEES

Lorsque l’Utilisateur navigue sur le Site Web, et dans le cadre de ses missions, les Données suivantes sont susceptibles d’être collectées et traitées :

  • Données d’identification (notamment prénom(s), nom(s), date et lieu de naissance, photo d’identité, copie de la carte d’identité ou du passeport, profession) ;
  • Données relatives aux caractéristiques des personnes concernées (condamnations ou infractions pénales, données démographiques, données financières, coordonnées bancaires, dossier médical, données de santé, nationalité et citoyenneté) ;
  • Données relatives aux moyens de contact (notamment adresse électronique, adresse postale, numéro de téléphone fixe ou mobile) ;
  • Données relatives aux aptitudes des qualifications des personnes concernées (études, certifications, profession, fonction, branche d’activité, affiliations professionnelles) ;
  • Données relatives aux habitudes et activités des personnes concernées (comportement, habitudes de consommation, activités pratiquées, heures de travail, arrêts de travail, congés) ;
  • Données de santé (notamment régime d’assurance maladie) ;
  • Données salariales (notamment salaire mensuel, autres revenus, situation familiale) ;
  • Données bancaires (notamment mensualités cumulées des crédits en courts, banque actuelle) ;
  • Données relatives au patrimoine immobilier à assurer (notamment type d’habitation, nombre de pièces, système d’alarme et de protection, superficie des locaux) ;
  • Données relatives au patrimoine mobilier à assurer (notamment nature des biens (tableaux, bijoux, sculptures, bateau, voiture, matériel professionnel, marchandises), valeur unitaire des biens, valeur totale des biens par nature, nombre des biens, données d’identification des biens);
  • Données d’identification de la société (notamment nom, adresse du siège social, secteur d’activité, extrait Kbis) ;
  • Données relatives à la mobilité (notamment localisation des déplacements à l’étranger, durée des déplacements à l’étranger) ;
  • Données relatives au parcours professionnel et universitaire (notamment nom, coordonnées de l’école, institut, université);
  • Données relatives à l’historique de trafic et de navigation sur le Site ;
  • Données de localisation ;
  • L’adresse IP ;
  • Données de connexion ;
  • Données relatives au terminal ; cela peut notamment inclure les applications de l’appareil utilisées par l’Utilisateur pour naviguer et utiliser le Site, la version (ou le type) du navigateur, les plug-ins utilisés ou encore le système d’exploitation ;
  • Données de tracking (clics, ).

 

Pour certaines finalités, comme l’établissement de devis ou d’audit, ou l’exécution d’un contrat, d’autres données pourront être collectées, notamment :

  • Copie des statuts ;
  • Copie de la carte professionnelle ;
  • Attestation de Responsabilité Civile Professionnelle (RCP) et détournement des préposés ;
  • Nom de l’assureur ou du garant financier actuel ;
  • Procès-verbal de nomination du représentant légal ;
  • Données de paiement (chèque bancaire) ;
  • Actionnariat (désignation, quote-part, activité) ;
  • Référence des comptes bancaires :
  • Chiffre d’affaires ;
  • Dernier rapport d’audit ;
  • Relevé de sinistralité et attestation de résiliation ;
  • Etat des privilèges et nantissements sur la société ;
  • Bilan et compte de résultat certifiés et détaillés relatifs au dernier exercice ;
  • Coordonnées du contact chez le Client ;
  • Informations relatives aux Clients nécessaires au traitement d’un sinistre garantie par une protection juridique ou une assurance propriétaire non occupant (photographies, films vidéo pris dans le cadre familial).

 

Dans le cadre de la souscription ou l’exécution d’un contrat, GSA est également susceptible de collecter et traiter les Données suivantes :

  • Nom(s) et prénom(s), adresse postale et électronique des bailleurs ;
  • Pièces et informations sur les locataires (candidats compris), notamment celles visées par le Décret n° 2015-1437 du 5 novembre 2015 fixant la liste des pièces justificatives pouvant être demandées au(x) candidat(s) à la location ;
  • Coordonnées et informations en lien avec le sinistre, concernant des Tiers tels que :
    • Nom(s) et Prénom(s), adresse postale et électronique du propriétaire de l’immeuble assuré, pièces justificatives de la qualité du bailleur assuré (titre de propriété ou dernier avis de taxe foncière), RIB ;
    • Différentes informations sur le locataire en impayé (telles que copie du contrat multirisques habitation du locataire concernant le lot immobilier garanti, dernières coordonnées téléphoniques et email connues du locataire, copie du bail et de ses annexes (état des lieux de sorties), acte de caution (lorsque le cumul est possible), dossier de recouvrement, nouvelle adresse et coordonnées téléphoniques et email du locataire suite à son départ, décomptes détaillés des sommes dues ;
    • Informations concernant les tiers en lien avec le sinistre comme Les nom et adresse de l’auteur du Sinistre, des victimes, des témoins éventuels ;
  • Dans le cadre d’un audit garantie financière, peuvent être collectés les nom et prénom des associés non gérants, leur part dans le capital, leur modalité de rémunération (dividende, etc.), le montant d’avance en compte courant, le nom et prénom des collaborateurs, notamment ceux chargés de la comptabilité, le cas échéant le nom du bailleur du Client ;
  • Toutes informations afférentes aux Tiers avec lequel le Client est en litige dans le cadre d’un sinistre protection juridique.

 

Le Groupe GSA Assurances s’engage à limiter la collecte de ces données à leur strict nécessaire. Il est rappelé que celles-ci sont collectées à l’initiative de GSA et, le cas échéant, des autres Responsables de traitement dont elle dépendrait. La collecte des Données à caractère personnel peut également l’être à l’initiative des personnes concernées.

 

ARTICLE 5. PERSONNES CONCERNEES

GSA, en qualité de Responsable de Traitement ou en qualité de Sous-Traitant, ultérieur ou non, est susceptible d’effectuer des traitements sur les Données à caractère personnel des catégories de personnes physiques suivantes :

  • Visiteurs des sites internet et extranet (consultation) ;
  • Utilisateurs du Site Web et de l’Extranet (saisie de données) ;
  • Clients potentiels personnes physiques ;
  • Employés et dirigeants des clients potentiels personnes morales ;
  • Clients personnes physiques ;
  • Employés et dirigeants des clients personnes morales ;
  • Ayants-droit personnes physiques des clients personnes physiques ou morales ;
  • Partenaires commerciaux personnes physiques ;
  • Employés et dirigeants des partenaires commerciaux personnes morales ;
  • Fournisseurs et sous-traitants personnes physiques ;
  • Employés et dirigeants des fournisseurs et sous-traitants personnes physiques ;
  • Employés et dirigeants personnes physiques de GSA ou de l’une de ses filiales ;
  • Tout tiers identifié au moyen d’un document au format réglementé dont GSA est le destinataire.

 

ARTICLE 6. BASE LEGALE POUR LA COLLECTE ET LE TRAITEMENT DES DONNEES

En conformité avec la règlementation en vigueur et ses principes, GSA opère une collecte et une utilisation de Données à caractère personnel dans le strict respect de la règlementation en vigueur, et ce dans les conditions suivantes :

  • Lorsque l’Utilisateur ou le Client a donné son consentement libre, spécifique et éclairé concernant le traitement de ses Données ;
  • Lorsque cela est nécessaire à l’exécution d‘un contrat (traitement des sinistres) ou dans le cadre de relations commerciales ;
  • Lorsque cela est nécessaire au respect d’obligations légales ou règlementaires, par exemple en matière de gestion de la paie, de lutte contre la fraude et contre la corruption, ou d’audit financier ;
  • Lorsque les intérêts légitimes de GSA justifient le traitement des Données à caractère personnel des Utilisateurs ou des Clients.

 

 ARTICLE 7. FINALITES DES TRAITEMENTS

Les Données à caractère personnel collectées auprès des Utilisateurs et/ou Clients, et utilisées par GSA le sont pour des finalités déterminées, explicites et légitimes.

Les Données collectées sont susceptibles de varier en fonction du contexte de la collecte, à savoir notamment pour les finalités suivantes :

  • Proposition de formations ;
  • Adhésion des Clients ;
  • Maintien du fichier Clients ;
  • Création de « l’Espace Client » ;
  • Signature électronique ;
  • Proposition et souscription de contrats ;
  • Passation, gestion et exécution de contrats, et notamment des contrats d’assurance ;
  • Traitement des déclarations de sinistres ;
  • Amélioration de l’expérience client ;
  • Réalisation d’enquêtes de satisfaction ;
  • Réalisation d’analyses statistiques sur les Clients ;
  • Établissement de statistiques liées au trafic sur le Site Web et l’Extranet ;
  • Établissement de fichiers à des fins de statistiques commerciales ;
  • Établissement de statistiques liées aux contrats d’assurance ;
  • Communication auprès des Clients, et notamment souscription à la newsletter ;
  • Démarchage et prospection à des fins commerciales portant sur des produits d’assurance ;
  • Participation à des opérations de promotion commerciale ;

 

Les finalités suivantes ne nécessitent pas obligatoirement le consentement express des Personnes Concernées. Elles sont basées sur l’exécution d’un ou plusieurs contrats ou pour l’exécution de mesures précontractuelles, afin de respecter la réglementation en vigueur ou afin de permettre à GSA de protéger ses intérêts légitimes :

  • Analyse de risques et détermination des besoins du Client ou du Client potentiel ;
  • Exercice du devoir de conseil ;
  • Établissement des devis d’assurance ;
  • Aide à la souscription des contrats d’assurance ;
  • Gestion des contrats d’assurance ;
  • Gestion des sinistres ;
  • Gestion des primes ou cotisations afférentes aux contrats d’assurance ;
  • Exécution d’un contrat de travail ;
  • Amélioration de l’expérience client ;
  • Réalisation d’enquêtes de satisfaction ;
  • Participation à des opérations de promotion commerciale ;
  • Recueil et conservation aux fins de lutte contre le blanchiment de capitaux et le financement du terrorisme ;
  • Exécution de toutes obligations d’ordre public ;
  • Conservation à des fins probatoires ;
  • Établissements de fichiers à des fins statistiques.

 

Les différents contrats nécessitant la collecte et le traitement de Données à caractère personnel sont, sans que cette liste soit exhaustive :

  • Contrat de protection juridique ;
  • Assurance habitation ;
  • Assurance œuvres d’art ;
  • Assurance objets de valeur ;
  • Assurance automobile ;
  • Assurance multirisques professionnels ;
  • Assurance loyers impayés ;
  • Assurance marchandises transportées ;
  • Assurance immeuble ;
  • Assurance risques industriels ;
  • Assurance santé ;
  • Assurance locaux professionnels ;
  • Assurance voyage ;
  • Assurance risques financiers.

 

Selon les circonstances, GSA peut également être amenée à utiliser vos Données à caractère personnel pour des finalités imposées par la règlementation en vigueur.

Les Données sont directement collectées auprès des Utilisateurs/Clients.

Nous vous rappelons que les Données à caractère personnel peuvent également être utilisées dans le cadre des dispositions légales relatives à la lutte contre le blanchiment de capitaux et le financement du terrorisme, ou encore dans le cadre de l’exercice de la défense d’un droit.

 

ARTICLE 8. DESTINATAIRES DES DONNEES

Les Données à caractère personnel collectées et/ou reçues et traitées par GSA sont destinées :

  • Au personnel de GSA habilité à opérer un traitement de Données ;
  • Aux sous-traitants de GSA chargés de la réalisation d’opération de traitements de Données pour le compte et sur instruction documentée de GSA, en tant que Responsable du traitement ;
  • Aux partenaires de GSA, dans le cadre de ses activités de courtage.

 

GSA s’engage à ne transmettre des Données à caractère personnel à ses filiales ou à des tiers « importateurs de données » que lorsque cela s’avère strictement nécessaire (par exemple pour l’établissement de devis d’assurance auprès d’une entreprise d’assurance ou l’hébergement de services par un tiers prestataire).

Dans l’hypothèse où GSA procéderait à une transmission de Données à caractère personnel à des tiers, celui-ci s’engage à ce que ces derniers opèrent un Traitement conforme à la présente Politique. Par voie de conséquence, GSA s’engage à garantir la confidentialité et la sécurité des Données, et ce notamment au moyen d’actes juridiques conclus avec les Sous-Traitants et les Tiers.

Dans certaines hypothèses, GSA peut être amenée à divulguer des Données à caractère personnel à des Tiers, tels que des organismes publics ou des autorités judiciaires, et ce notamment afin de se conformer à la règlementation en vigueur et de respecter ses obligations légales.

 

ARTICLE 9. SOUS-TRAITANCE

Dans le cadre de ses activités, GSA fait appel à des Sous-Traitants. GSA informe par écrit les Utilisateurs/Clients de tout changement concernant l’ajout ou le remplacement de Sous-Traitants.

GSA fait preuve d’une vigilance particulière dans la sélection des Sous-Traitants qui traitent des Données à caractère personnel en son nom. GSA s’engage à s’assurer que les Sous-Traitants présentent des garanties identiques de confidentialité et de sécurité et que les Traitement opérés par eux soient effectués en conformité avec la règlementation en vigueur, et notamment le RGPD.

 

 ARTICLE 10. DUREE DE CONSERVATION DES DONNÉES

GSA a la qualité de Responsable du traitement et s’engage à respecter les durées de conservation imposées par la réglementation en vigueur.

GSA applique le principe de limitation de la durée de conservation des données afin de ne conserver les Données à caractère personnel que pour la durée strictement nécessaire à la réalisation des finalités du Traitement, étant précisé que ce qui est nécessaire dépend de circonstances spécifiques, telles que des réglementations exigeant de conserver les informations pendant une durée déterminée ou les périodes de prescription pour les contentieux légaux. Lorsqu’un délai de prescription est imposé par la loi, la durée de conservation ne pourra y être inférieure.

Agissant en tant que Responsable de traitement, GSA s’engage à respecter les durées de conservation imposées par la réglementation en vigueur, notamment en matière de gestion de fichiers clients et de prospection commerciale : les Données à caractère personnel ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale. Elles peuvent être conservées à des fins de prospection commerciale pour une durée de trois (3) ans à compter de la fin de la relation commerciale ou du dernier contact. Au terme de ce délai de trois ans, GSA pourra reprendre contact avec ses clients/prospects afin de savoir s’ils souhaitent continuer à recevoir des sollicitations commerciales.

La conservation des Données à caractère personnel à des fins probatoires donne lieu à un archivage intermédiaire dont l’accès est strictement limité. A l’issue du délai de prescription correspondant, les Données seront détruites ou feront l’objet d’une anonymisation irréversible afin que les Personnes Concernées ne soient plus identifiables par quelque moyen que ce soit.

 

ARTICLE 11. CONFIDENTIALITE ET SECURITE DES DONNÉES

GSA reconnait pleinement sa qualité de Responsable de traitement et s’attache à garantir une sécurité des Traitements opérés sur les Données à caractère personnel, afin d’éviter toute violation de celles-ci. Constitue une violation des Données au sens du RGPD une violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données.

A cette fin, GSA prend des mesures techniques et organisationnelles afin de garantir un niveau de sécurité adapté aux risques liés aux Traitements.

Conformément à la règlementation en vigueur, GSA s’engage à respecter les principes de sécurité, de confidentialité et d’intégrité des Données à caractère personnel collectées auprès des Clients/Utilisateurs.

 

Article 11.1 Confidentialité

GSA s’engage à préserver la confidentialité des Données à caractère personnel à l’égard de son personnel, de ses collaborateurs et de toute personne susceptible d’y avoir accès.

Le personnel de GSA habilité à avoir accès aux Données à caractère personnel s’engage à respecter la confidentialité et est susceptible d’être soumis à une obligation légale ou contractuelle de confidentialité. De même, le personnel habilité a reçu la formation nécessaire en matière de protection des Données à caractère personnel.

Fidèle à ses valeurs, et lorsque cela est justifié, GSA peut être amenée à proposer une limitation des Données à caractère personnel collectée, une anonymisation de ces Données ou à recourir à la pseudonymisation.

 

Article 11.2 Mesures de sécurité mises en œuvre

GSA met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

GSA s’appuie sur la combinaison de plusieurs niveaux de sécurité. Les mesures peuvent être humaines, physiques ou logiques afin de contribuer à la sécurité de ses systèmes d’information.

En termes de sécurité humaine, les mesures mises en place par GSA sont notamment :

  • Des sessions de formation afin de sensibiliser le personnel de GSA aux connaissances fondamentales en matière de protection des données à caractère personnel en général et du RGPD en particulier ;
  • Un accompagnement des équipes par le DPO, en contact régulier avec le personnel de GSA.

 

En termes de sécurité physique, les mesures mises en place par GSA sont notamment :

  • Accès limités et surveillés aux locaux de GSA ;
  • Vidéoprotection ;
  • Un accès restreint du personnel de l’informatique administrateur des serveurs ou ayant des opérations de maintenance à réaliser ;
  • Un accès limité aux salles des serveurs : accès par badge, caméra de surveillance et suivi des entrées et sorties ;
  • Une gestion des privilèges : seuls les administrateurs peuvent configurer un ordinateur ou un serveur. GSA met en place une ségrégation des rôles d’administrateurs ;
  • Des composants de sécurité périmétrique de type firewalls, proxy et reverse proxy filtrent les accès aux ressources de GSA.

 

En termes de sécurité logique, les mesures mises en place par GSA sont notamment :

  • Le paramétrage des ordinateurs, serveurs et téléphones portables selon un protocole identique qui tient compte des dernières versions des éditeurs ;
  • La protection des serveurs et ordinateurs via un anti-virus, régulièrement mis à jour ;
  • Le cryptage de tous les disques durs des ordinateurs portables des collaborateurs.

 

GSA entend privilégier le stockage des Données au sein de l’Union européenne ou, à tout le moins, des solutions de stockage dans des pays hors Union européenne présentant des garanties suffisantes, et ce en conformité avec la législation en vigueur.

Le DPO de GSA est systématiquement associé aux nouveaux projets informatiques susceptibles de modifier les traitements de Données à caractère personnel : création de nouvelles fonctionnalités, changement de solution logicielle, changement de support d’hébergement des Données à caractère personnel, etc. Cette organisation favorise le déploiement du principe du « Privacy by design ».

 

ARTICLE 12. SITES WEB TIERS

Le Site Web peut contenir des liens, notamment hypertextes, et/ou des offres de partenaires renvoyant vers un site web tiers.

GSA n’exerce aucun contrôle sur le contenu des sites web tiers ou sur les pratiques de ces tiers en matière de protection des Données à caractère personnel qu’ils pourraient recueillir et décline toute responsabilité relative à ces contenus. Il est de votre responsabilité de vous renseigner sur les politiques de protection des Données à caractère personnel de ces tiers.

 

ARTICLE 13. DROITS DES UTILISATEURS/CLIENTS

Conformément à la règlementation en vigueur, les Utilisateurs/Clients disposent des droits suivants :

  • Droit d’information

GSA s’engage à informer les Utilisateurs/Clients de la collecte et de l’utilisation des Données à caractère personnel et s’engage ainsi à produire une information concise, transparente et accessible sur les conditions et modalités de la collecte et du traitement des Données.

Les informations souhaitées peuvent être obtenues en contactant le DPO à l’adresse : dpo@groupegsa.com

 

  • Droit d’accès

Les Utilisateurs/Clients disposent d’un droit d’accès permettant d’obtenir des informations sur l’existence d’un traitement et de ses modalités.

Les Utilisateurs/Clients disposent également du droit d’obtenir une copie de leurs Données, en en faisant la demande auprès de GSA suivant les modalités de contact définies infra.

 

  • Droit de rectification

Les Utilisateurs/Clients peuvent solliciter GSA afin de procéder à la rectification de leurs Données, notamment lorsque celles-ci ne sont plus à jour.

Ce droit s’exerce en contactant le DPO à l’adresse dpo@groupegsa.com.

GSA pourra, le cas échéant, opposer à la demande un intérêt légitime ou des motifs impérieux lorsque la législation applicable le prévoit.

 

  • Droit d’opposition

Les Utilisateurs/Clients ont le droit de s’opposer à tout moment, pour des raisons tenant à leur situation particulière, à un traitement des Données à caractère personnel les concernant.

Le droit d’opposition est limité par notamment l’intérêt légitime de GSA à traiter les Données à caractère personnel et autres exigences légales – comme les motifs impérieux.

Les Utilisateurs/Clients ont le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques les concernant ou les affectant de manière significative de façon similaire.

 

  • Droit à l’effacement des Données (ou « droit à l’oubli »)

Sous réserve de la règlementation en vigueur, et notamment des exceptions (par exemple, en matière de conservation nécessaire au respect d’une obligation légale), les Utilisateurs/Clients peuvent réclamer l’effacement des Données à caractère personnel qui leur sont relatives :

  • Lorsque les Données à caractère personnel ne pas ou ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou autrement traitées ;
  • Lorsque l’Utilisateur/Client retire le consentement sur lequel est fondé le traitement et qu’aucun autre fondement juridique au traitement n’existe ;
  • Lorsque l’Utilisateur/Client estime que le traitement de ses Données à caractère personnel constitue un traitement illicite ;
  • Lorsque les Données à caractère personnel doivent être effacées en vertu d’une obligation légale prévue par le droit de l’Union ou le droit de l’Etat membre auquel GSA est soumise, soit la France ;
  • Lorsque l’Utilisateur/Client s’est opposé au Traitement des Données et que GSA n’a pas de motif légitime ou impérieux pour refuser la demande.

 

GSA sera seul décisionnaire du bien-fondé des demandes et pourra, le cas échéant, opposer à la demande un intérêt légitime ou des motifs impérieux lorsque la législation applicable le prévoit.

Par exemple, GSA peut valablement s’opposer à la destruction des données contenues dans les documents comptables, leur durée conservation étant fixée par la loi.

 

  • Droit à la limitation du traitement

L’Utilisateur/Client peut obtenir de GSA la limitation du Traitement lorsque l’un des éléments suivants s’applique :

  • Lorsque l’exactitude des Données à caractère personnel est contestée, et ce pendant une durée permettant à GSA de vérifier l’exactitude des Données ;
  • Lorsque le Traitement est illicite et que l’Utilisateur/Client s’oppose à l’effacement de ses Données et qu’il exige, en lieu et place, la limitation du Traitement ;
  • Lorsque les Données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées mais que l’Utilisateur/Client en a besoin pour la constatation, l’exercice ou la défense de droits en justice ;
  • Lorsque l’Utilisateur/Client s’oppose au traitement qui serait fondé sur l’intérêt légitime de GSA, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par GSA prévalent sur ceux de la personne concernée.

 

  • Droit à la portabilité des Données

L’Utilisateur/Client peut obtenir de GSA les Données précédemment fournies à ce dernier dans un format structuré, couramment utilisé et lisible par machine.

L’Utilisateur/Client peut également transmettre ces Données à un autre responsable du traitement ou demander à ce que les Données les concernant soient directement transmises par GSA à un autre si cela est techniquement possible.

  

  • Droit de retrait du consentement

L’Utilisateur/Client peut, en utilisant les moyens mis en œuvre par GSA à cet effet, retirer son consentement à tout moment lorsque ses Données à caractère personnel sont traitées sur la base de celui-ci.

Le retrait du consentement effectué par l’Utilisateur/Client ne vaut que pour l’avenir, et ne saurait donc remettre en cause la licéité du traitement effectué avant ce retrait.

  

  • Droit d’introduire une réclamation auprès d’une autorité de contrôle

Si l’Utilisateur/Client estime que ses droits ne sont pas respectés, il bénéficie de la faculté d’introduire une réclamation auprès d’une autorité de contrôle, telle que la Commission Nationale Informatique et Libertés en France.

  

  • Droit de décider du sort des Données après la mort

L’Utilisateur/Client dispose du droit d’organiser le sort de ses Données post-mortem par l’adoption de directives générales ou particulières.

 

 ARTICLE 14. EXERCICE DES DROITS

Pour les demandes d’exercice de droits, l’Utilisateur/Client est invité à contacter directement le DPO à l’adresse électronique dpo@groupegsa.com.

GSA pourra demander la communication de la copie d’une pièce justificative d’identité dans tous les cas où elle considère que l’identité de l’Utilisateur/Client n’est pas suffisamment établie, ou qu’il existe ou peut exister un doute raisonnable sur l’identité du demandeur. Le niveau des vérifications effectuées par GSA lors du traitement des demandes d’exercice de droits variera en fonction de la nature des demandes, de la sensibilité des informations communiquées et du contexte dans lequel la demande est effectuée.

GSA s’engage à répondre à toute demande dans les meilleurs délais, et en tout état de cause dans un délai d’un (1) mois à compter de la réception de la demande complète. Ce délai peut néanmoins être prorogé de deux (2) mois compte tenu de la complexité et du nombre de demandes.

 Si vous estimez que vos droits ne sont pas respectés ou ne pas avoir pu exercer vos droits conformément au RGPD ou à toute disposition légale en vigueur en matière de protection des Données à caractère personnel, vous pouvez formuler une réclamation auprès de la Commission nationale de l’Informatique et des Libertés (CNIL), 3 place de Fontenoy TSA 80715 /75334 Paris Cedex 07.

  

ARTICLE 15. NOTIFICATIONS DES VIOLATION DE DONNEES

GSA met tout en œuvre pour protéger les Données à caractère personnel des Utilisateurs/Clients collectées et traitées. Néanmoins, aucune technologie de transmission ou de stockage n’est infaillible.

En cas de violation de Données à caractère personnel, GSA, en tant que Responsable du traitement, s’engage à notifier la violation en question à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, dans les soixante-douze heures (72h) au plus tard après en avoir pris connaissance, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

 En cas d’atteinte aux Données à caractère personnel conservées par GSA, celle-ci s’engage, lorsque l’atteinte est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, à communiquer cette violation aux Utilisateurs/Clients concernés (si elle dispose d’un moyen de contact, comme une adresse de courrier électronique) dans les meilleurs délais.

  

ARTICLE 16. TRANSFERTS INTERNATIONAUX DE DONNEES

Les Données à caractère personne collectées et traitées sont conservées dans l’Union européenne.

Toutefois, il est possible que, dans le cadre de certaines de nos missions, des Données soient transférées à des sous-traitants situés hors de l‘Union européenne. Soucieuse de protéger la vie privée et les Données à caractère personnel des Utilisateurs/Clients, GSA met en place un programme complet en matière de protection des Données à caractère personnel, incluant des règles d’entreprise contraignantes (Binding Corporate Rules ou BDR) ou la signature des clauses contractuelles types adoptées par la Commission Européenne dont l’objet est d’encadrer ces transferts de Données hors Union européenne, en assurant notamment un niveau de protection des Données adéquat.

GSA ne transférera les Données à caractère personnel des Utilisateurs/Clients qu’à des tiers s’étant engagés par écrit à fournir un niveau de protection adéquat.

  

ARTICLE 17. MODIFICATIONS ET DE LA PRESENTE POLITIQUE

GSA se réserve le droit de modifier la présente Politique. En cas de modification de la Politique, GSA adressera un courrier électronique d’information aux Clients pour les en avertir.

En tout état de cause, les Utilisateurs/Clients sont invités à consulter régulièrement la Politique mise à leur disposition.

  

ARTICLE 18. COORDONNEES

GSA peut être contacté selon les modalités de contact indiquées sur le Site Web et à l’adresse électronique suivante : contact@groupegsa.com

Le DPO peut être joint à l’adresse électronique suivante : dpo@groupegsa.com.