
POLITIQUE DE PROTECTION DES DONNÉES PERSONNELLES DU GROUPE OPTEVEN
Le Groupe OPTEVEN, à travers ses entités (ci-après « nous« ), attache la plus grande importance à la protection des données personnelles de ses clients, représentants, fournisseurs, partenaires commerciaux ou simples utilisateurs de ses sites internet (ci-après « vous« ).
Nous veillons tout particulièrement à inscrire l’ensemble de nos actions relatives au traitement de données personnelles (telles que définies ci-après) dans le socle légal et réglementaire que constituent les dispositions du Règlement général sur la protection des données (« RGPD ») UE 2016/679 du 27 avril 2016, et celles de la loi Informatique et libertés n°78-16 du 6 janvier 1978 modifiée (« LIL »).
L’objectif de la présente politique de protection des données personnelles est de vous informer sur la nature des données personnelles que nous collectons, les traitements que nous opérons et leurs finalités, les personnes avec qui nous sommes amenés à partager ces données, la durée pendant laquelle nous les conservons, les moyens mis en œuvre pour assurer leur sécurité, ainsi que les droits dont vous disposez dessus.
La politique de protection des données personnelles se compose de treize (13) sections :
- Définitions
- Quel est le responsable de traitement ?
- Quelles sont les données personnelles que nous traitons ?
- Sur quelles bases légales et pour quelles finalités traitons-nous vos données personnelles ?
- Qui traite vos données personnelles ?
- Avec qui partageons-nous vos données personnelles ?
- Où sont traitées vos données personnelles ?
- Combien de temps sont conservées vos données personnelles ?
- Quelles sont vos préférences en matière de prospection commerciale ?
- Comment assurons-nous la sécurité des traitements ?
- Quels sont vos droits sur vos données personnelles ?
- Comment nous contacter pour exercer vos droits ?
- Modification de la politique
1. Définitions
- Qu’est-ce qu’une donnée à caractère personnel ?
Une donnée à caractère personnel est toute information permettant directement ou indirectement d’identifier une personne physique :
- par référence à un identifiant, tel qu’un nom, une adresse, un numéro d’identification (exemple : numéro de sinistre), un identifiant en ligne (exemple : courriel), un numéro de téléphone, une date de naissance ;
- par référence à un ou plusieurs éléments spécifiques propres à son identité physique (exemple : écriture manuscrite, photo…), économique (données bancaires) ou sociale (abonnements, réseaux sociaux…) ;
- par recoupement de plusieurs données parmi celles précédemment évoquées.
Les données à caractère personnel seront dénommées ci-après « données personnelles ».
- Qu’est-ce qu’un traitement de données ?
Un traitement de données est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés portant sur des données personnelles, ce qui inclut notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
- Qu’est-ce qu’un responsable de traitement ?
Un responsable de traitement est toute personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et moyens d’un traitement. Dans le cas où le traitement est supervisé par plus d’une personne, on parle alors de responsables conjoints ou de co-responsables de traitement.
- Qu’est-ce qu’un sous-traitant ?
Un sous-traitant est toute personne physique ou morale qui traite des données personnelles pour le compte du responsable de traitement. Les sous-traitants du Groupe OPTEVEN interviennent sous sa responsabilité, son contrôle, et suivant ses instructions pour le traitement de tout ou partie de nos données personnelles nécessaires à l’accomplissement de leurs prestations.
2. Qui est le responsable de traitement ?
Selon la nature de la relation que nous entretenons avec vous et/ou le(s) contrat(s) que vous avez souscrit(s) auprès des entités du Groupe OPTEVEN, le responsable de traitement de vos données personnelles peut être l’une des entités, ou plusieurs des entités suivantes conjointement :
- OPTEVEN Assurances, société anonyme à conseil de surveillance et directoire au capital social de 5 335 717 euros, entreprise d’assurances régie par le Code des assurances, immatriculée au Registre du Commerce et des Sociétés de Lyon sous le numéro 379 954 886, dont le siège social est situé 10 rue Olympe de Gouges 69100 Villeurbanne ;
- et/ou OPTEVEN Services, société par actions simplifiée au capital social de 365 878 euros, immatriculée au Registre du Commerce et des Sociétés de Lyon sous le numéro 333 375 426, dont le siège social est situé 10 rue Olympe de Gouges 69100 Villeurbanne ;
- et/ou OPTEVEN Courtage, société par actions simplifiée à associé unique au capital social de 6 384 430 euros, immatriculée au Registre du Commerce et des Sociétés de Lyon sous le numéro 843 914 300, dont le siège social est situé 10 rue Olympe de Gouges 69100 Villeurbanne, immatriculée à l’ORIAS sous le numéro 18008174 (www.orias.fr).
Par exemple, si votre contrat concerne une prestation d’assurance « panne mécanique », le responsable de traitement sera OPTEVEN Assurances. Si votre contrat concerne une prestation d’entretien de votre véhicule, le responsable de traitement sera OPTEVEN Services. Le responsable du traitement est identifié sur votre contrat.
Lorsqu’une entité OPTEVEN agit en tant que sous-traitant, vous pouvez vous référer aux conditions générales ou particulières de votre contrat pour avoir des informations complémentaires concernant la détermination du responsable de traitement.
3. Quelles sont les données personnelles que nous traitons ?
Selon le principe de minimisation des données, nous ne collectons que les données strictement nécessaires à l’accomplissement des finalités de traitements déterminées.
En fonction du contrat d’assurance souscrit ou du service proposé, nous collectons certaines catégories de données personnelles de manière directe (si vous avez souscrit un contrat auprès d’une entité OPTEVEN) ou indirecte (si vous êtes le bénéficiaire d’une garantie d’assurance souscrite par l’un de nos partenaires) :
- données d’identification : nom, prénom, date et lieu de naissance, numéro de carte d’identité, permis de conduire… ;
- coordonnées personnelles : adresse postale, adresse email, numéro de téléphone fixe et/ou portable… ;
- données de votre véhicule : plaque d’immatriculation, numéro de moteur/châssis, VIN (vehicle identification number) … ;
- données relatives à votre contrat : numéro d’identification client, numéro de contrat, numéro de garantie, numéro de sinistre… ;
- données relatives aux déclarations de sinistres : historique des déclarations de sinistres… ;
- informations financières : relevé d’identité bancaire, numéro et date de validité de votre carte bancaire… ;
- données de connexion et de traçabilité[1] : adresse IP, logs, identifiant de connexion à nos sites internet et/ou à nos applications mobiles… ;
- données de localisation : position GPS du téléphone mobile dans le cadre de l’utilisation d’applications mobiles dédiées à l’assistance, éditées par OPTEVEN, afin de permettre au bénéficiaire du contrat d’assistance d’être géolocalisé pour les besoins de sa prise en charge, et lui permettre de suivre l’arrivée du prestataire d’assistance chargé de son dépannage…
[1] Pour davantage d’informations, veuillez vous référer à la politique des cookies du Groupe OPTEVEN.
4. Sur quelles bases légales et pour quelles finalités traitons-nous vos données personnelles ?
Un traitement de données personnelles n’est licite que s’il s’inscrit dans l’une des bases légales édictées par l’article 6 du RGPD, et si les données collectées répondent à des finalités déterminées, explicites et légitimes :
- Le traitement est nécessaire à la conclusion ou à l’exécution d’un contrat qui nous lie (ce incluant à l’exécution de mesures précontractuelles) pour :
- élaborer des devis proposant des solutions adaptées à vos besoins ;
- recueillir vos besoins afin de garantir la fourniture d’un conseil client éclairé et cohérent ;
- mettre en œuvre les prestations prévues dans votre contrat ;
- assurer la bonne gestion des sinistres ;
- traiter les réclamations et les contentieux ;
- fournir un service d’assistance en ligne dédié aux utilisateurs d’applications mobiles éditées par OPTEVEN, en tant que bénéficiaires de prestations d’assistance…
- Vous avez consenti au traitement de vos données personnelles pour une ou plusieurs finalités spécifiques, telles que :
- des actions de prospection commerciale par voie électronique[1];
- le dépôt de certaines catégories de cookies lors de la navigation sur un site internet dont l’éditeur est une des entités du Groupe OPTEVEN…
- Le traitement est nécessaire au respect d’une obligation légale à laquelle le Groupe OPTEVEN est soumis, comme :
- la lutte contre le blanchiment des capitaux et le financement du terrorisme ;
- la lutte contre la corruption et le trafic d’influence ;
- la réponse à toute requête officielle d’une autorité publique (autorité de contrôle) ou judiciaire dûment habilitée ;
- la surveillance et la gestion des risques…
- Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le Groupe OPTEVEN :
- la lutte contre la fraude ;
- la formation et sensibilisation de notre personnel par l’enregistrement des appels émis ou reçus par nos plateformes d’appel ;
- la réalisation d’études actuarielles ou de statistiques ;
- la réalisation d’actions de prospection commerciale non soumises à votre consentement2;
- la gestion des avis et consultations sur les produits, services ou contenus…
[1] Pour davantage d’informations, veuillez vous référer à la politique des cookies du Groupe OPTEVEN.
[1] Pour davantage d’informations concernant vos droits en matière de prospection commerciale, veuillez vous référer à la section 9 « Quelles sont vos préférences en matière de prospection commerciale ? »
5. Qui traite vos données personnelles ?
Vos données personnelles sont recueillies et traitées par les entités du Groupe OPTEVEN dans le cadre de leurs missions et attributions.
Tous les collaborateurs du Groupe OPTEVEN amenés à traiter des données personnelles y sont dûment habilités par leur chaîne hiérarchique.
Ils sont du reste sensibilisés aux principes de confidentialité et de sécurité des données, ainsi qu’au respect des règles internes édictées par le Groupe OPTEVEN en conformité avec les réglementations française et européenne applicables.
6. Avec qui partageons-nous vos données personnelles ?
Dans le cadre de nos activités, nous sommes amenés à communiquer certaines de vos données personnelles à différents destinataires, tels que nos sous-traitants, prestataires de services dûment autorisés par le Groupe OPTEVEN (dépanneurs-remorqueurs, gestion de créances, marketing en ligne, prestataires informatiques, imprimerie, logistique, enquête d’opinion, études de marché, etc…), partenaires, avocats, ou experts qui en ont besoin dans le cadre de leurs activités.
Lorsqu’ils agissent comme sous-traitants au sens du RGPD, ces destinataires sont contractuellement tenus de respecter la confidentialité et la sécurité de vos données personnelles, et de les utiliser uniquement aux fins exclusives des prestations que nous leur avons confiées.
Les échanges d’informations sont réalisés au travers de protocoles sécurisés. Afin d’assurer un haut niveau de sécurisation de vos données personnelles, nos sous-traitants sont soumis à des mesures de contrôle et d’audit.
En dehors des destinataires ci-dessus énumérés et à moins d’y être contraints par une autorité judiciaire, par la loi, ou la défense de nos intérêts en justice, nous nous engageons à ne pas communiquer, ni partager, mettre à disposition, vendre ou louer vos données personnelles à des tiers sans votre consentement exprès et préalable.
7. Où sont traitées vos données personnelles ?
Vos données sont traitées au sein de l’Union européenne.
Nous pouvons être amenés à transférer vos données personnelles à des sous-traitants situés en dehors de l’Union européenne dans la mesure où cela s’avère nécessaire à l’exécution des prestations contractuelles, ou pour répondre à une obligation légale (ex : obligations de déclaration fiscale).
Dans une telle situation, le transfert de vos données personnelles est limité aux pays ayant été reconnus par la Commission européenne comme disposant d’un niveau de protection adéquat. Pour les autres pays, un tel transfert ne pourra avoir lieu que si le responsable de traitement assortit le transfert de garanties appropriées, telles que des clauses contractuelles types approuvées par la Commission européenne, ou des règles d’entreprise contraignantes.
Exceptionnellement, et dans des cas limitativement prévus, le transfert vers un pays tiers pourra déroger aux conditions précitées, s’il s’avère par exemple nécessaire à l’exécution du contrat, ou s’il repose sur votre consentement explicite et préalable.
8. Combien de temps conservons-nous vos données personnelles ?
Nous nous engageons à conserver vos données personnelles dans un environnement sécurisé, uniquement pour une durée adéquate et nécessaire à l’atteinte des finalités pour lesquelles elles ont été collectées ou pendant la durée de conservation minimale prévue par la législation applicable notamment en matière civile, fiscale, commerciale et pénale.
Ceci inclut notamment la conservation de certaines données à caractère personnel au terme de notre relation contractuelle, afin de respecter nos obligations légales et à des fins probatoires pour la constatation, l’exercice ou la défense de nos droits en justice dans le cadre d’éventuelles procédures judiciaires.
Peuvent être citées, à titre d’exemples de durées de conservation :
- les données traitées dans le cadre d’une relation contractuelle sont conservées pendant toute la durée de vie du contrat, puis sont archivées jusqu’au terme des prescriptions légales applicables ;
- les données traitées à des fins de facturation sont conservées pendant une durée de dix (10) ans à compter de la fin du contrat ;
- en l’absence de conclusion d’un contrat, les données transmises dans le cadre d’un devis sont supprimées trois (3) ans après le dernier contact ;
- les données traitées dans le cadre de la lutte contre le blanchiment et le financement du terrorisme sont conservées pendant cinq (5) ans à compter de la fin de la relation contractuelle ;
- les données traitées dans le cadre de la lutte contre la fraude sont conservées pendant cinq (5) ans en cas de fraude avérée, ou un (1) an en cas de suspicion de fraude classée sans suite ;
- les cookies sont conservés pendant une période de treize (13) mois à compter de leur collecte ;
- les enregistrements téléphoniques sont conservés pendant six (6) mois.
9. Quelles sont les règles en matière de prospection commerciale ?
Nous réalisons diverses actions de prospection commerciale afin de proposer à nos prospects et clients les produits et services les plus adaptés à leurs besoins.
Dans l’optique de protéger la vie privée et les données des personnes concernées, ces actions sont réglementairement encadrées selon le mode de prospection :
- en matière de prospection électronique (mail/SMS/MMS) : votre consentement exprès et préalable est requis, à moins que vous ne soyez déjà client OPTEVEN, et que la prospection porte sur des produits ou services analogues proposés par la même entité OPTEVEN. Vous conservez la possibilité de retirer votre consentement à tout moment ;
- en matière de prospection téléphonique : vous pouvez vous opposer à ce type de prospection dès la collecte initiale de vos données, ou à tout moment au cours de notre relation contractuelle. Vous avez par ailleurs la possibilité de vous inscrire gratuitement sur la liste d’opposition au démarchage téléphonique « BLOCTEL » (bloctel.gouv.fr).
Vous bénéficiez du même droit d’opposition concernant la prospection commerciale basée sur l’analyse de votre comportement ou de vos habitudes de consommation (« profilage »).
10. Comment assurons-nous la sécurité des traitements ?
La sécurité des traitements de données personnelles, et plus généralement la sécurité de son système d’information constituent une priorité pour le Groupe OPTEVEN qui s’appuie, à cette fin, sur une politique de sécurité des systèmes d’information (PSSI), ainsi qu’une une charte informatique interne répondant à plusieurs impératifs :
- principe de sécurisation des traitements : le Groupe OPTEVEN met en œuvre des mesures techniques et organisationnelles destinées à garantir un haut niveau de sécurité des traitements de données personnelles, et dont l’effectivité, la cohérence et l’efficacité sont prises en compte par la PSSI ;
- principe de veille continue : des tests et audits de sécurité sont régulièrement menés, afin de contribuer à prévenir toute faille de sécurité susceptible d’entraîner une violation de données personnelles ;
- gestion des violations de données : une violation de données personnelles se caractérise par une violation de sécurité, d’origine malveillante ou accidentelle entraînant la destruction, la perte, l’altération ou la divulgation non autorisée des données.
Malgré tous nos efforts pour assurer la conservation de vos données personnelles dans un environnement sécurisé, nous ne pouvons nous prémunir complètement de tout risque de piratage informatique.
Nous prenons toutes les mesures utiles pour limiter les actions intrusives et les actes malveillants. En cas de violation de données personnelles vous concernant, nous notifions la violation à la Commission Nationale de l’Informatiques et des Libertés (CNIL) dans les meilleurs délais, et si possible 72 heures au plus tard après en avoir eu connaissance, à moins que l’incident en question ne soit pas susceptible d’engendrer un risque pour vos droits et libertés.
Lorsqu’une telle violation est susceptible d’engendrer un risque élevé pour vos droits et libertés, nous vous informons de ladite violation dans les meilleurs délais.
Nous sommes particulièrement vigilants sur la protection de vos données bancaires, et sécurisons les échanges lors des transactions et actes de paiement en utilisant des protocoles de chiffrement robustes.
11. Quels sont vos droits sur vos données personnelles ?
- Vous disposez des droits suivants sur vos données personnelles :
- droit d’accès : vous pouvez obtenir confirmation du traitement ou non de données personnelles vous concernant, ainsi que l’accès auxdites données et toute information relative aux conditions de leur traitement ;
- droit de rectification : vous pouvez demander la mise à jour de vos données personnelles lorsque vous considérez que celles-ci sont inexactes ou incomplètes ;
- droit à l’effacement : vous pouvez demander la suppression de l’ensemble de vos données personnelles dans les cas prévus par la réglementation ;
- droit à la limitation du traitement : vous pouvez demander de faire cesser pour une période limitée tout traitement autre que la conservation des données sur certaines de vos données personnelles, parce que vous contestez l’exactitude de ces données (le temps pour nous d’effectuer les vérifications nécessaires), ou vous contestez la licéité du traitement opéré sur ces données, ou vous souhaitez utiliser ces données pour la constatation, l’exercice ou la défense de droits en justice alors que nous allions les supprimer ;
- droit d’opposition pour motifs légitimes : uniquement pour les traitements fondés sur notre intérêt légitime, vous pouvez vous opposer au traitement de vos données personnelles dans la mesure où cela est justifié par des raisons tenant à votre situation particulière ou dans le cas où cette opposition concerne de la prospection commerciale, y compris le profilage. Dans ce dernier cas, vous disposez d’un droit général d’opposition que nous mettrons en œuvre sans que vous n’ayez à justifier d’une situation particulière ;
- droit à la portabilité : vous pouvez obtenir la récupération des données personnelles dont nous disposons au format électronique, pour votre usage personnel ou celui d’un autre responsable de traitement, lorsque ces données personnelles répondent aux conditions cumulatives suivantes :
- vous avez fourni ces données à une entité OPTEVEN, ou elles résultent de votre utilisation de nos services,
- ces données ont été collectées sur la base de votre consentement ou de l’exécution de la relation contractuelle qui vous lie avec une entité OPTEVEN ;
- droit de retirer votre consentement : lorsque vous avez donné votre consentement à un traitement de vos données personnelles, vous pouvez le retirer facilement et à tout moment, sans remettre en cause les opérations effectuées préalablement à ce retrait ;
- droit de définir le sort de vos données post mortem : vous pouvez définir des directives générales ou particulières relatives au sort de vos données personnelles après votre décès (concernant leur conservation, leur effacement, et le cas échéant leur communication).
12. Comment nous contacter pour exercer vos droits ?
Le Groupe OPTEVEN s’est doté d’un délégué à la protection des données (DPO pour data protection officer) en la personne de Maître Thomas ROCHE.
Si vous souhaitez exercer vos droits indiqués ci-dessus ou pour toute information sur la protection des données personnelles, nous vous invitons à nous adresser votre demande par courrier électronique à l’adresse dpo@opteven.com, ou par courrier postal à l’adresse OPTEVEN – DPO / Direction Juridique et Conformité – 10 rue Olympe de Gouges – 69100 Villeurbanne.
Dans le cadre de l’exercice de ces droits, il pourra vous être demandé un justificatif d’identité et, le cas échéant, toute information utile au traitement de votre demande.
Vous pouvez également introduire une réclamation directement auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) sur le site www.cnil.fr.
13. Modification de la politique de protection des données personnelles
Cette politique est susceptible d’être révisée en fonction des évolutions légales ou réglementaires, ou d’une modification interne des conditions de traitement des données personnelles.
Nous vous invitons à la consulter régulièrement à la rubrique « Protection des données personnelles » du site internet www.opteven.com .