1      Préambule

1. La présente charte de protection des données personnelles a pour objet de formaliser les règles de déontologie et de sécurité que s’engagent à respecter tous les membres de l’entreprise SUMA et de ses filiales :

• SUMA Cosne – GRANDS CHAMPS automobiles
• SUMA Nevers – GRANDS CHAMPS automobiles
• SUMA Audi Nevers -NEVERS PREMIUM automobiles
• SUMA Macon – MACON SPORT automobiles
• SUMA Audi Mâcon- SAONE PREMIUM automobiles
• SUMA Chalon- SAONE automobiles
• SUMA Audi Chalon- SAONE PREMIUM automobiles
• SUMA Montceau – SOVA BRENOT automobiles
• SUMA Paray – SOVA BRENOT automobiles
• SUMA 03 Vichy
• SUMA 03 Moulins
• Services by SUMA
• SUMA 69 – Honda Lyon
• SBS2

ci-après regroupées sous le nom [SUMA], pour assurer la conformité de nos services avec la réglementation nationale applicable aux données à caractère personnel et du Règlement (UE) n°2016 /679 du 27 avril 2016 sur la protection des données à caractère personnel.

Vous pouvez exercer vos droits d’accès, de rectification, d’opposition, de limitation, de suppression et de portabilité des informations vous concernant en écrivant au Délégué à la protection des données de SUMA à l’adresse email suivante : dpo@suma-auto.com, ou à l’adresse postale suivante : SUMA 210 chemin du Paisy 69760 LIMONEST , accompagné d’une copie d’un titre d’identité ou en cliquant ici.

2. Ainsi, la présente charte de protection des données personnelles illustre le comportement responsable et loyal que chacun doit observer à l’occasion de la réalisation et de l’exploitation des traitements de ces données.

2      Enjeux

3. SUMA entend considérer la protection des données personnelles comme une nécessité visant à sauvegarder:

• d’une part, l’absence d’atteinte à la vie privée et aux libertés de ses clients, partenaires, fournisseurs, prestataires et membres du personnel ;
• d’autre part, la réputation et la responsabilité de ses dirigeants.

 

4. Aussi, SUMA a la volonté d’inscrire ses activités dans le respect des obligations relatives à la protection des données à caractère personnel qui lui incombent et de mettre en œuvre les moyens nécessaires à cet effet.

 

5. Cette volonté s’est traduite par la mise en place de lignes directrices, moyens techniques et humains et de mesures organisationnelles adaptées qui s’inscrivent dans une approche qualitative de l’application de la réglementation applicable à la protection des données à caractère personnel.

 

6. Cette politique a pour objectif de :

• diffuser une culture de la protection des données à caractère personnel au sein de SUMA;
• favoriser l’atteinte et le maintien en condition opérationnelle de la complétude légale ;
• favoriser le maintien d’une adéquation permanente entre, d’une part, les exigences issues du règlement (UE) n°2016/679 du 27 avril 2016, de la législation nationale, des recommandations de la Cnil, et d’autre part, les réalités quotidiennes de SUMA.

7. C’est au cœur de cette démarche responsable et proactive de SUMA que s’inscrit la présente charte.

3      Définition

8. Les termes ci-dessous définis auront entre les parties la signification suivante :

 

• « Cnil » : commission nationale de l’informatique et des libertés ;

 

• « données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

 

• « données à caractère personnel particulières » : données se rapportant à l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ;

 

• « DPO » : délégué à la protection des données tel que prévu par l’article 37 du règlement (UE) n°2016/679 du 27 avril 2016 ;

 

• « fichier », tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

 

• « personne concernée » : personne à laquelle se rapportent les données qui font l’objet d’un traitement ;

 

• « responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre;

 

• « système d’informations » : le système d’informations et de communication, les ordinateurs (fixes ou portables), les périphériques, les assistants personnels, les réseaux informatiques, les photocopieurs, les téléphones, les logiciels, les bases de données, les systèmes de messagerie, intranet, extranet, les services interactifs et les sessions des postes de travail ;

 

• « sécurité des données » : la notion de sécurité des données à caractère personnel comprend des impératifs d’intégrité et de confidentialité des données à caractère personnel. En effet, tout responsable d’un traitement de données à caractère personnel doit prendre toutes les précautions utiles qui, au regard de la nature des données et des risques présentés par un traitement, s’imposent pour préserver l’intégrité et la confidentialité des données et ainsi empêcher que ces dernières ne soient déformées, endommagées ou que des tiers non autorisés en prennent connaissance et y aient accès ;

 

• « sous-traitant » : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

 

• « système d’information » : système informatique de SUMA, comprenant les progiciels, logiciels spécifiques, matériels et serveurs, réseaux (LAN) et la documentation associée ;

 

• «traitement» : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;

 

• « utilisateur » : les personnes salariées ou non, tous statuts juridiques confondus, permanents ou temporaires, autorisées à utiliser les systèmes d’information ;

 

• « zones de commentaires libres » : zones de saisie libre des applications informatiques des systèmes d’information, par exemple les zones « observations ».

4      Périmètre

9. La présente charte a vocation à s’appliquer dès lors qu’un traitement de données à caractère personnel est mis en œuvre ou exploité par un utilisateur au sein de SUMA.

5      Données à caractère personnel

5.1    Principe de loyauté et de licéité

10. Chaque utilisateur s’interdit de réaliser un traitement de données à caractère personnel à partir de données collectées de manière déloyale ou illicite[1].

 

11. Tout utilisateur s’engage à collecter les données à caractère personnel nécessaires à la réalisation du traitement dans le respect du droit à l’information des personnes concernées.

 

12. Les utilisateurs s’interdisent de se procurer des données à caractère personnel auprès de personnes commercialisant de telles données sans s’assurer au préalable que ces personnes disposent des droits nécessaires à la collecte et à la revente de telles données.

 

13. Seules peuvent être collectées les données à caractère personnel strictement nécessaires à la réalisation du traitement dans le respect du droit à l’information des personnes concernées.

 

14. Avant de mettre en œuvre un traitement, l’utilisateur en charge de celui-ci doit vérifier que les personnes concernées ont été informées :

 

• des traitements portant sur les données à caractère personnel les concernant ;
• de leurs droits.

 

15. Si l’information préalable des personnes concernées n’est pas encore assurée, il est nécessaire d’insérer la mention correspondante dans les documents de collecte d’informations ou les documents contractuels.

 

5.2    Finalité déterminée explicitée et légitime

16. Les utilisateurs s’engagent à ce que les données collectées le soient pour des finalités déterminées, explicites et légitimes et à ce que ces dernières ne soient pas traitées ultérieurement de manière incompatible avec les finalités du traitement tels qu’indiquées dans le registre des traitements.

 

17. Ainsi, chaque utilisateur s’engage à ne réaliser que des traitements en adéquation avec les finalités de ce dispositif et à ne pas traiter ultérieurement les données utilisées d’une manière qui soit incompatible avec les finalités initiales du traitement.

 

18. En particulier, chaque utilisateur s’engage à ne pas commercialiser auprès de tiers les données collectées sans s’assurer du respect des formalités préalables, le cas échéant, de l’information des personnes concernées et de la licéité d’une telle commercialisation.

 

5.3    Pertinence adéquation et proportionnalité des données collectées

19. Chaque utilisateur s’engage à ne collecter et à ne traiter que des données strictement utiles à la réalisation de sa mission.

 

20. Les utilisateurs s’interdisent de façon générale de collecter toutes données sur les personnes concernées qui ne seraient pas pertinentes.

5.4    Mises à jour

21. Chaque utilisateur s’engage à mettre à jour régulièrement les données à caractère personnel traitées dans le cadre de ces traitements et stockées dans ses bases de données.

 

 

6      Les bases légales des traitements mis en œuvre par SUMA

22. Tout traitement mis en œuvre par SUMA repose sur une base légale.

 

23. Ainsi, avant toute mise en œuvre d’un traitement, il doit être vérifié qu’au moins une des conditions suivantes est remplie.

6.1    Le consentement de la personne concernée

24. Il est possible de procéder à des traitements lorsque les personnes concernées ont consenti au traitement de leurs données personnelles pour une ou plusieurs finalités spécifiques.

 

25. Ce consentement peut être donné au moyen d’une déclaration écrite, y compris par voie électronique ou d’une déclaration orale[2].

6.2     L’exécution du contrat ou des mesures précontractuelles

26. Le traitement peut également être mis en œuvre lorsqu’il est nécessaire à l’exécution d’un contrat liant SUMA avec la personne concernée.

6.3    Les obligations légales et réglementaires

27. Le traitement de données personnelles est nécessaire pour le respect des obligations légales ou réglementaires de SUMA.

6.4    Les intérêts légitimes

28. Les intérêts légitimes de SUMA ou d’un tiers peuvent être de nature à justifier un traitement par SUMA de données personnelles.

 

29. Ces traitements sont mis en œuvre en prenant en compte les intérêts et les droits fondamentaux des clients, partenaires, fournisseurs et prestataires. A ce titre, ils s’accompagnent de mesures et garanties pour assurer la protection des intérêts et droits de ces derniers qui permettent un équilibre avec les intérêts légitimes poursuivis par SUMA.

7      La politique d’habilitation

30. SUMA a mis en place une politique d’habilitation stricte que chaque collaborateur doit respecter. Les données à caractère personnel traitées ne sont ainsi transmises qu’aux seules personnes autorisées[3].

 

31. Par ailleurs, certaines données personnelles peuvent être adressées à des tiers pour satisfaire aux obligations légales, réglementaires ou conventionnelles ou aux autorités légalement habilitées.

8      Dispositions spécifiques aux traitements comportant des catégories particulières de données à caractère personnel

8.1    Traitement de données à caractère personnel sensibles

32. Le règlement (UE) n°2016/679 du 27 avril 2016 sur la protection des données à caractère personnel pose le principe de l’interdiction de collecter ou de traiter les catégories particulières de données à caractère personnel.

 

33. Les catégories d’informations sensibles sont :

 

• les origines raciales et ethniques ;
• les opinions politiques ;
• les opinions philosophiques ;
• les opinions religieuses ;
• les appartenances syndicales ;
• les informations de santé ;
• les données relatives à la vie sexuelle ou l’orientation sexuelle ;
• des données génétiques et biométriques aux fins d’identifier une personne physique.

 

34. La collecte de ces données est en principe interdite, elle ne peut s’effectuer uniquement dans le stricte cadre des procédures définies par SUMA.

8.2    Traitement portant sur le numéro de sécurité sociale (NIR)

35. Outre le respect des prérequis applicables à tout traitement de données à caractère personnel, la direction ou l’utilisateur concerné doit, avant la mise en œuvre d’un traitement portant sur le numéro de sécurité sociale, vérifier que l’utilisation souhaitée de ce numéro correspond à l’une des hypothèses autorisées par la loi. En tout état de cause, toute utilisation du numéro de sécurité sociale doit faire l’objet d’une analyse préalable afin d’en déterminer sa licéité.

 

36. A défaut, la collecte du numéro de sécurité sociale est interdite.

9      Zone commentaire libre

37. Les zones de commentaires non monitorées doivent être limitées et être utilisées que lorsque cela est strictement nécessaire.

 

38. Ces zones de commentaires libres ne doivent contenir que des données objectives, mesurées, respectant la dignité des personnes concernées.

 

39. Ainsi, l’indication de données d’identification raciales, ethniques, religieuses, politiques, philosophiques, syndicales, ou les données relatives à la santé, à la vie sexuelle des personnes, les informations injurieuses, diffamatoires, blessantes, péjoratives, désobligeantes ou contraires à la dignité des personnes sont strictement interdites.

10      Durée de conservation des données

40. SUMA s’engage à ne conserver les données faisant l’objet des traitements réalisés que pour la durée nécessaire à la finalité du traitement réalisé en accord avec la législation nationale applicable notamment concernant les durées de prescription légale.

 

11      La sécurité des données

41. SUMA accorde une importance particulière à la sécurité des données personnelles.

 

42. Il a mis en place des mesures techniques et organisationnelles adaptées au degré de sensibilité des données personnelles, en vue d’assurer l’intégrité et à la confidentialité les données et de les protéger contre toute intrusion malveillante, toute perte, altération ou divulgation à des tiers non autorisés.

11.1   Principes directeurs

43. Toute personne en charge d’un traitement de données à caractère personnel doit prendre toutes les précautions utiles au regard du risque encouru afin de préserver la sécurité, la confidentialité et l’intégrité des données et d’empêcher toute communication à des tiers non autorisés.

 

44. Le non-respect de cette obligation de sécurité est pénalement sanctionné.

 

45. Ainsi, tout utilisateur s’engage à prendre les mesures de sécurité physiques, techniques et organisationnelles nécessaires pour :

 

• protéger ses activités ;
• préserver la sécurité des données personnelles de ses clients, membres, partenaires, internautes, fournisseurs et prestataires ;

 

contre tout accès, modification, déformation, divulgation, destruction ou accès non autorisés des données personnelles qu’elle détient.

11.2   Règles générales de sécurité en matière d’utilisation du système d’information pour la mise en œuvre d’un traitement

46. Les utilisateurs s’engagent à respecter l’ensemble des règles permettant d’assurer la sécurité des données à caractère personnel faisant l’objet de l’un de leurs traitements, notamment les règles définies dans la Charte utilisateur.

 

47. Ils vérifient et assurent la sécurité de l’accès aux applications qu’ils utilisent et qui contiennent des données à caractère personnel.

 

48. Afin d’assurer la confidentialité des données à caractère personnel qu’ils traitent, les utilisateurs s’interdisent d’en faire part à des services non habilités à en prendre connaissance.

 

49. De la même façon, il est interdit de communiquer par quelque moyen que ce soit à des tiers non autorisés des données à caractère personnel.

 

50. En tout état de cause, il est nécessaire d’informer la direction des systèmes d’information par les outils mis en œuvre, dans les meilleurs délais de tout risque pour la sécurité des données à caractère personnel.

11.3   Règles de sécurité applicables aux échanges de données à caractère personnel avec les tiers

51. Il convient que chacun veille à la sécurisation des transmissions de données à caractère personnel préalablement à leur mise en œuvre.

 

52. Les données à caractère personnel ne peuvent être transmises qu’aux personnes habilitées à en connaître.

 

53. Avant toute transmission de données à caractère personnel, il convient de vérifier que les moyens de communications utilisés sont de nature à assurer la sécurité et la confidentialité des données.

 

54. Tout risque de défaillance de sécurité dont un utilisateur aurait connaissance doit conduire à suspendre la transmission jusqu’à résolution du problème rencontré.

 

55. Tout utilisateur mettant en œuvre un traitement de données à caractère personnel ou amené à réceptionner des données à caractère personnel s’interdit de prendre connaissance des données à caractère personnel qui ne lui sont pas destinées ou dont il n’est pas habilité à prendre connaissance.

11.4   Failles de sécurité

56. Compte tenu des nouvelles obligations en matière de notification des violations de données à la Cnil, une procédure et une politique en matière de réponse à apporter lors d’une faille ou incident de sécurité seront établies.

 

57. La procédure comprend notamment une obligation de notification, dans les cas prévus par le règlement européen, à l’autorité de contrôle compétente, au moins dans les 72 heures après avoir pris connaissance de la violation ainsi que les actions à mettre en œuvre[4].

12      Personne en charge des données personnelles / Data protection officer (DPO)

58. SUMA a mis en place une politique de gouvernance des données personnelles destinée à préserver la vie privée et la protection des données à caractère personnel de ses clients, collaborateurs, membres, partenaires, prestataires et fournisseurs.

 

59. Ainsi, SUMA a désigné un délégué à la protection des données (DPO) afin d’examiner et de traiter les questions relatives aux données à caractère personnel.

 

60. Le DPO a notamment pour mission de veiller au respect de la règlementation en matière de protection des données à caractère personnel du responsable du traitement et coopérer avec la Cnil sur les questions relatives aux traitements.

 

61. Il est l’interlocuteur de la Cnil et de toutes les personnes concernées par une collecte ou un traitement de données à caractère personnel.

 

62. En cas de question sur les données à caractère personnel, il convient de prendre contact avec le DPO à l’adresse dpo@suma-auto.com. Il appartient à ce dernier d’élaborer des pistes de solutions à soumettre dans les délais utiles à la Direction générale.

 

13      Les droits des personnes

63. SUMA est particulièrement soucieux du respect des droits des personnes conformément à la législation et à la règlementation applicable à la matière, les droits concernés sont les suivants :

 

• le droit à l’information ;
• le droit d’accès ;
• le droit de rectification ;
• le droit à l’effacement ou droit à l’oubli ;
• le droit à la portabilité ;
• les droits d’opposition ;
• le droit à la limitation du traitement ;
• le droit d’interrogation ;
• le droit de définir des directives relatives à la conservation, l’effacement et la communication de ses données personnelles après sa mort.

 

64. Chaque utilisateur responsable d’un traitement de données à caractère personnel s’engage à mettre en place, en interne, l’ensemble des moyens humains et techniques permettant d’assurer de façon effective le respect des droits d’accès, de rectification, d’opposition et à l’oubli pour motif légitime des personnes concernées.

 

65. Dans ce cadre, chaque utilisateur, responsable d’un traitement de données à caractère personnel, s’engage à informer, dès réception, le DPO à l’adresse dpo@suma-auto.com en cas de demandes d’accès, de rectification et d’opposition des personnes concernées.

 

66. Le responsable d’un traitement de données pour lequel un tel droit est demandé s’engage à assister le DPO afin qu’il puisse rassembler les informations suivantes dans le délai imparti :

 

• l’existence de données à caractère personnel concernant le demandeur et faisant l’objet du traitement de données à caractère personnel visé ;
• les catégories de données à caractère personnel traitées et les destinataires ou catégories de destinataires auxquels les données sont communiquées ;
• les informations relatives aux transferts de données à caractère personnel envisagés éventuellement à destination d’un Etat non membre de la Communauté européenne.

 

67. Il est précisé qu’il est possible de s’opposer aux demandes manifestement abusives notamment par leur nombre, leur caractère répétitif ou systématique et aux demandes d’accès formulées par les personnes concernées par les traitements de données à caractère personnel réalisés.

14      Relation de sous-traitance

68. Chaque utilisateur qui sous-traite une partie ou la totalité de la mise en œuvre d’un traitement de données à caractère personnel, s’engage à imposer contractuellement à son sous-traitant des garanties de confidentialité des données à caractère personnel par le biais de mesures techniques et humaines de protection de ces données.
69. Ainsi, il doit être fait uniquement appel à un sous-traitant qui présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement et garantisse la protection des droits de la personne concernée.
70. En effet, conformément à ses engagements, SUMA choisit ses sous-traitants et prestataires avec soin et leur impose :
    • un niveau de protection des données personnelles équivalent aux siens ;
    • une utilisation des données personnelles ou des informations uniquement pour assurer la gestion des services qu’ils doivent fournir ;
    • un respect strict de la législation et de la règlementation applicable en matière de confidentialité, et de données personnelles ;
    • la mise en œuvre de toutes les mesures adéquates pour assurer la protection des données personnelles qu’ils peuvent être amenés à traiter ;
    • la définition des mesures techniques, organisationnelles nécessaires pour assurer la sécurité.

 

71. Il en résulte qu’un contrat écrit devra être conclu entre SUMA et le sous-traitant définissant notamment l’objet, la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées ainsi que les obligations et les droits du responsable du traitement.

15      Evolution

72. La présente charte pourra évoluer en fonction du contexte légal et réglementaire et de la doctrine de la Cnil.

 

73. Les éventuelles modifications seront portées à la connaissance des utilisateurs et entreront en vigueur un mois à compter de leur mise à disposition par voie d’affichage.

16      Portée et opposabilité

74. La présente charte est une annexe au règlement intérieur et produit, à ce titre, les mêmes effets à l’égard des utilisateurs.

 

75. L’utilisateur est supposé en avoir pris connaissance avant toute mise en œuvre d’un traitement de données à caractère personnel.

17      Entrée en vigueur

76. La charte est entrée en vigueur le 25/05/2018.

[1] Exemple : utiliser des données à caractère personnel trouvées sur un site internet pour envoyer à la personne concernée de la prospection sans son consentement est déloyale et interdit.

[2] Par exemple, pour l’inscription à la newsletter, le consentement du client se traduira par son action de cocher la case « recevoir la newsletter » sur le formulaire de collecte des données.

[3] Par exemple, les fichiers papiers concernant l’évaluation et la situation salariale des collaborateurs sont placés sous-clé dont seules la direction et les ressources humaines ont accès.

[4] Cette notification prend la forme d’un mél ou d’un courrier faisant état du type de violation de sécurité, de l’ampleur, des traitements et des données concernés.

Plus que jamais, nous restons à votre disposition pour vous apporter jour après jour le meilleur des services.

L’équipe SUMA.