PROTECTION DES DONNÉES

1.      CETTE NOTICE VOUS CONCERNE-T-ELLE ?

La présente notice de confidentialité vous concerne si vous êtes (« vous ») :

• l’un ou l’une de nos clientes et clients ou en relation contractuelle avec nous ;
• un membre de la famille de notre clientèle. En effet, nos clientes et clients doivent dans certains cas partager avec nous des informations sur leur famille pour la fourniture d’un produit ou d’un service ou simplement pour mieux les connaître ;
• une personne intéressée par nos produits ou services lorsque vous nous fournissez vos données personnelles (en agence, sur nos sites web et applications, lors d’événements ou d’opérations de parrainage) afin que nous puissions vous contacter ;
• un ou une employé-e de nos entreprises clientes.

 

Lorsque vous nous fournissez des données personnelles concernant d’autres personnes, veillez à les informer de la divulgation de ces données et à les inviter à lire la présente notice de confidentialité. Nous veillerons à faire de même dans la mesure du possible (p. ex. si nous disposons des coordonnées de la personne).

2.      COMMENT POUVEZ-VOUS CONTRÔLER LES ACTIVITÉS DE TRAITEMENT QUE NOUS EFFECTUONS SUR VOS DONNÉES PERSONNELLES ?

Vous disposez de droits qui vous permettent d’exercer un réel contrôle sur vos données personnelles et sur la manière dont nous les traitons.

Si vous souhaitez exercer les droits énumérés ci-dessous, veuillez en faire la demande en envoyant un courrier à l’adresse suivante : Arval (Suisse) SA, Suurstoffi 22, 6343 Rotkreuz ou sur nos sites web avec une copie numérisée/papier de votre carte d’identité si nécessaire.

Si vous avez des questions sur l’utilisation de vos données personnelles dans le cadre de la présente notice de confidentialité, veuillez contacter notre délégué à la protection des données à l’adresse suivante : privacy@arval.ch.

2.1      Vous pouvez demander l’accès à vos données personnelles

Si vous souhaitez avoir accès à vos données personnelles, nous vous fournirons une copie des données personnelles que vous avez demandées ainsi que des informations relatives à leur traitement.

Votre droit d’accès peut être limité dans les cas prévus par les lois et réglementations. C’est le cas de la réglementation sur la lutte contre le blanchiment de capitaux et le financement du terrorisme, qui nous interdit de vous donner un accès direct à vos données personnelles traitées à cette fin.

2.2      Vous pouvez demander la rectification de vos données personnelles

Si vous estimez que vos données personnelles sont inexactes ou incomplètes, vous pouvez demander que ces données personnelles soient modifiées ou complétées en conséquence. Dans certains cas, des pièces justificatives pourront être exigées.

2.3      Vous pouvez demander la suppression de vos données personnelles

Si vous le souhaitez, vous pouvez demander la suppression de vos données personnelles, dans la mesure où la loi le permet.

2.4      Vous pouvez vous opposer au traitement de vos données personnelles sur la base d’intérêts légitimes

Si vous n’êtes pas d’accord avec une activité de traitement sur la base d’un intérêt légitime, vous pouvez vous y opposer, pour des raisons liées à votre situation particulière, en nous informant précisément de l’activité de traitement concernée et des raisons de votre opposition. Nous cesserons de traiter vos données à caractère personnel, sauf s’il existe des motifs légitimes impérieux pour le faire ou si le traitement est nécessaire pour constater, exercer ou défendre des droits en justice.

2.5      Vous pouvez vous opposer au traitement de vos données personnelles à des fins de prospection commerciale

Vous avez le droit de vous opposer à tout moment au traitement de vos données personnelles à des fins de prospection commerciale, y compris le profilage, dans la mesure où il est lié à cette prospection.

2.6      Vous pouvez suspendre l’utilisation de vos données personnelles

Si vous mettez en doute l’exactitude des données personnelles que nous utilisons ou si vous vous opposez au traitement de vos données personnelles, nous vérifierons ou examinerons votre demande. Vous pouvez nous demander de suspendre l’utilisation de vos données personnelles pendant l’examen de votre demande.

2.7      Vous avez des droits contre une décision automatisée

Par principe, vous avez le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé reposant sur le profilage ou autre, qui a un effet juridique ou vous affecte de manière significative. Toutefois, nous pouvons automatiser une telle décision si elle est nécessaire à la conclusion ou à l’exécution d’un contrat avec nous, si elle est autorisée par la réglementation ou si vous avez donné votre consentement.

Dans tous les cas, vous avez le droit de contester la décision, d’exprimer votre point de vue et de demander l’intervention d’une personne compétente pour revoir la décision.

2.8      Vous pouvez révoquer votre consentement

Si vous avez donné votre consentement au traitement de vos données personnelles, vous pouvez révoquer ce consentement à tout moment.

2.9      Vous pouvez demander la portabilité d’une partie de vos données personnelles

Vous pouvez demander une copie des données personnelles que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine. Lorsque cela est techniquement possible, vous pouvez demander que nous transmettions cette copie à un tiers.

2.10      Comment déposer une plainte auprès du Préposé fédéral à la protection des données et à la transparence ?

En plus des droits mentionnés ci-dessus, vous pouvez déposer plainte auprès de l’autorité de surveillance compétente, qui est généralement celle de votre lieu de résidence, le PFPDT (Préposé fédéral à la protection des données et à la transparence) en Suisse.

 

3.      POURQUOI ET SUR QUELS FONDEMENTS JURIDIQUES UTILISONS-NOUS VOS DONNÉES PERSONNELLES ?

Dans cette section, nous vous expliquons pourquoi nous traitons vos données personnelles et sur quels fondements juridiques nous le faisons.

3.1      Vos données personnelles sont traitées pour nous conformer à nos différentes obligations réglementaires

Vos données personnelles sont traitées lorsque cela est nécessaire pour nous permettre de respecter la réglementation à laquelle nous sommes soumis, notamment la réglementation bancaire et financière.

3.1.1      Nous utilisons vos données personnelles pour :

• Gérer et signaler les risques (financiers, de crédit, juridiques, de conformité ou de réputation, etc.) que le Groupe BNP Paribas est susceptible d’encourir dans le cadre de ses activités ;
• Contribuer à la lutte contre la fraude fiscale et remplir les obligations de contrôle et de notification en matière fiscale ;
• Enregistrer les transactions à des fins comptables ;
• Prévenir, détecter et signaler les risques liés à la responsabilité sociale des entreprises et au développement durable ;
• Détecter et prévenir les pots-de-vin ;
• Nous conformer aux dispositions applicables aux prestataires de services de confiance délivrant des certificats de signature électronique ;
• Échanger et signaler différentes opérations, transactions ou ordres ou répondre à une demande officielle d’une autorité financière, fiscale, administrative ou étrangère dûment autorisée, des autorités financières, fiscales, administratives, pénales ou judiciaires, des arbitres ou médiateurs, des forces de l’ordre, des agences d’État ou des organismes publics.
   

3.1.2      Nous traitons également vos données personnelles à des fins de lutte contre le blanchiment d’argent et le financement du terrorisme

En tant que membre d’un groupe bancaire, nous devons disposer d’un solide système de lutte contre le blanchiment d’argent et le financement du terrorisme (LBA/FT) dans chacune de nos entités gérées de manière centralisée, ainsi que d’un système d’application des sanctions locales, européennes et internationales.

Dans ce contexte, nous sommes responsables de traitement conjoints avec BNP Paribas SA, la société mère du Groupe BNP Paribas (le terme « nous » dans cette section inclut également BNP Paribas SA).

Les activités de traitement effectuées pour répondre à ces obligations légales sont détaillées en annexe 1.

3.2      Vos données personnelles sont traitées pour exécuter un contrat auquel vous êtes partie ou des mesures précontractuelles prises à votre demande

Vos données personnelles sont traitées lorsqu’il est nécessaire de conclure ou d’exécuter un contrat pour :

• Déterminer votre score de risque de crédit et votre capacité de remboursement ;
• Évaluer (p. ex. sur la base de votre score de risque de crédit) si nous pouvons vous offrir un produit ou un service et à quelles conditions (p. ex. prix) ;
• Vous fournir les produits et services souscrits dans le cadre du contrat applicable ;
• Vous fournir des produits, des services, des installations spécifiques (telles que des stations de recharge pour véhicules électriques) ou des solutions de mobilité ;
• Conclure un contrat avec vous. Nous pouvons traiter des données à caractère personnel afin de vous enregistrer en tant que nouveau client, de conclure un contrat et de l’exécuter avec vous ;
• Nous occuper de la facturation, de l’établissement des factures et du recouvrement ;
• Vous fournir des services liés à la préparation, à la livraison ou à l’utilisation et à la gestion des véhicules :
• Configurer et chiffrer votre véhicule ;
• Livrer votre véhicule sur le lieu de votre choix, éventuellement avec des équipements liés aux dispositifs de recharge des véhicules électriques en partenariat avec des prestataires sélectionnés ;
• À des fins d’assurance ; 
• Dans le cadre des campagnes de rappel des équipementiers en cas de défaut ;
• Fournir des rapports ;
• Gérer l’impôt sur les véhicules ;
• Fournir des services de conseil ;
• Gérer les demandes d’entretien, de dépannage, d’inspection des véhicules, de réparation concernant les véhicules ;
• Fournir une assistance routière ;
• Fournir un véhicule de secours en cas de besoin ;
• Vous fournir une carte de carburant (pour payer votre carburant), des cartes de mobilité (pour recharger votre véhicule électrique) ;
• Vous fournir d’autres solutions de mobilité souscrites dans le cadre du contrat applicable ;
• Vous sensibiliser à l’impact de votre conduite sur l’environnement ou si vous souhaitez améliorer votre sécurité sur la route ;
• Gérer les amendes de circulation et de stationnement et les infractions liées à l’utilisation du véhicule dans le cadre du service « Gestion des amendes » dans la mesure autorisée par la loi ;
• Vous fournir un accès à nos plateformes numériques. Nous sommes susceptibles de traiter des données personnelles lorsque vous utilisez nos plateformes numériques à plusieurs fins (pour gérer vos informations personnelles ou les données relatives aux véhicules ou pour obtenir un accès à des informations sur les déplacements par exemple) ;
• Permettre l’accès aux locaux et aux actifs d’Arval. Nous pouvons traiter des données personnelles lorsque vous nous rendez visite dans nos locaux afin de maintenir un contrôle d’accès et de sécurité approprié ;
• Communiquer avec vous. Nous pouvons traiter des données à caractère personnel lorsque vous souhaitez nous contacter, lorsque vous nous demandez des informations sur notre société ou nos services ou lorsque le contrat doit être mis à jour ;
• Gérer les dettes existantes (identification des clients ayant des dettes impayées) ;
• Répondre à vos demandes et vous assister ;
• Gérer la fin du contrat.

3.3      Vos données personnelles sont traitées pour satisfaire notre intérêt légitime ou celui d’un tiers

Lorsque nous fondons une activité de traitement sur un intérêt légitime, nous mettons cet intérêt en balance avec vos intérêts ou vos droits et libertés fondamentaux afin de garantir un juste équilibre entre eux. Si vous souhaitez obtenir de plus amples informations sur l’intérêt légitime poursuivi par une activité de traitement, veuillez nous contacter à l’adresse privacy@arval.ch.

3.3.1      Dans le cadre de notre activité de fournisseur de services de mobilité, nous utilisons vos données personnelles pour :

3.3.1.1      Si vous êtes un-e client-e ou prospect-e de leasing pour particuliers :

• Gérer les risques auxquels nous sommes exposés :
  • nous conservons la preuve des opérations ou des transactions, y compris sous forme de preuve électronique ;
  • nous surveillons vos transactions pour gérer, prévenir et détecter les fraudes ;
  • nous effectuons le recouvrement de créances ;
  • nous nous occupons des réclamations et des défenses en cas de litige ;
  • nous développons des modèles statistiques individuels afin d’aider à définir votre solvabilité ;

• Réaliser des opérations financières telles que des cessions de portefeuilles de créances, des titrisations, des financements ou des refinancements du Groupe BNP Paribas.

3.3.1.2      Pour toutes les catégories de personnes concernées :

• Renforcer la cybersécurité, gérer nos plateformes et nos sites web et assurer la continuité des activités ;
• Mettre en œuvre des solutions de technologie de l’information ;
• Maintenir les systèmes d’information opérationnels ;
• Utiliser la vidéosurveillance pour prévenir les blessures et les dommages corporels et matériels ;
• Améliorer l’automatisation et l’efficacité de nos processus opérationnels et de nos services à la clientèle (p. ex. remplissage automatique des réclamations, suivi de vos demandes et amélioration de votre satisfaction sur la base des données personnelles collectées lors de nos interactions avec vous, telles que les enregistrements téléphoniques, les e-mails ou les chats) ;
• Vendre des véhicules d’occasion ;
• Mener des études statistiques et développer des modèles prédictifs et descriptifs pour :
  • finalité commerciale : identifier les produits et services susceptibles de répondre au mieux à vos besoins, créer de nouvelles offres ou identifier de nouvelles tendances chez nos clients, développer notre politique commerciale en tenant compte des préférences de nos clients
  • finalité de sécurité : prévenir les incidents potentiels et améliorer la gestion de la sécurité ;
  • finalité de conformité (p. ex. lutte contre le blanchiment d’argent et le financement du terrorisme) et gestion des risques ;
  • finalités de lutte contre les fraudes ;
• Organiser des concours, des loteries, des opérations promotionnelles, réaliser des sondages et des enquêtes de satisfaction des clients.

3.3.1.3      Si vous êtes un ou une employé-e de nos entreprises clientes :

• Vous fournir des services liés à la préparation, à la livraison ou à l’utilisation et à la gestion des véhicules, notamment pour :
  • configurer et coter votre véhicule ;
  • livrer votre véhicule sur le lieu de votre choix, éventuellement avec des équipements liés aux dispositifs de recharge des véhicules électriques en partenariat avec des prestataires sélectionnés ;
  • aider dans le cadre des campagnes de rappel des équipementiers en cas de défaut ;
  • assurer la réparation, l’entretien et le remplacement des pneus du véhicule ;
  • finalités de gestion des accidents et d’assurance ;
  • l’assistance ;
• Vous fournir une carte de carburant (pour payer votre carburant), des cartes de mobilité (pour vous fournir des solutions de mobilité multiple) ;
• Vous sensibiliser à l’impact de votre conduite sur l’environnement ou si vous souhaitez améliorer votre sécurité sur la route ;
• Gérer les amendes de circulation et de stationnement et les infractions liées à l’utilisation du véhicule dans le cadre du service « Gestion des amendes » dans la mesure autorisée par la loi ;
• Gérer les comptes de nos clients, gérer la relation contractuelle avec nos clients dont vous êtes un ou une employé-e ou vous tenir informé-e du développement de nos services ;
• Fournir à nos clients des services de gestion de flotte en relation avec les habitudes des véhicules (kilomètres parcourus, consommation de carburant ou d’énergie alternative, etc.) ;
• Vous fournir un accès à nos plateformes numériques. Nous sommes susceptibles de traiter des données personnelles lorsque vous utilisez nos plateformes numériques à plusieurs fins (pour gérer vos informations personnelles ou les données relatives aux véhicules ou pour obtenir un accès à des informations sur les déplacements par exemple) ;
• Gérer la résolution des litiges, vous assister et répondre à vos demandes et réclamations ;
• Permettre l’accès aux locaux et aux actifs d’Arval. Nous pouvons traiter des données personnelles lorsque vous nous rendez visite dans nos locaux afin de maintenir un contrôle d’accès et de sécurité approprié ;
• Communiquer avec vous. Nous pouvons traiter des données à caractère personnel lorsque vous souhaitez nous contacter, lorsque vous nous demandez des informations sur notre société ou nos services ou lorsque le contrat doit être mis à jour ;
• Fournir des rapports à nos clients ;
• Gérer l’impôt sur les véhicules ;
• Fournir des services de conseil à nos clients ;
• Nous occuper de la facturation et de l’établissement des factures.

3.3.2      Nous utilisons vos données personnelles pour vous transmettre des offres commerciales par voie électronique, postale et téléphonique

En tant que membre du Groupe BNP Paribas, nous voulons être en mesure de vous offrir l’accès à la gamme complète de produits et services qui répondent le mieux à vos besoins.

Lorsque vous faites partie de la clientèle et sauf opposition de votre part, nous pouvons vous envoyer ces offres par voie électronique pour nos produits et services et ceux du Groupe si elles sont similaires à celles auxquelles vous avez déjà souscrit.

Nous ferons en sorte que ces offres commerciales concernent des produits ou des services qui correspondent à vos besoins et qui sont complémentaires à ceux dont vous disposez déjà, afin de garantir l’équilibre de nos intérêts respectifs.

Nous pouvons également vous adresser, par téléphone et par courrier, sauf opposition de votre part, des offres concernant nos produits et ainsi que ceux du Groupe et de nos partenaires de confiance.

3.3.3      Nous analysons vos données personnelles pour effectuer un profilage standard afin de personnaliser nos produits et nos offres

Pour améliorer votre expérience et votre satisfaction, nous devons déterminer à quel groupe de clients vous appartenez. À cette fin, nous établissons un profil type à partir de données pertinentes que nous sélectionnons parmi les informations suivantes :

• les informations que vous nous avez communiquées directement au cours de nos interactions avec vous ou lorsque vous souscrivez à un produit ou à un service ;
• résultant de votre utilisation de nos produits ou services ;
• à partir de votre utilisation de nos différents canaux : sites web et applications (p. ex. si vous êtes doué pour le numérique, si vous préférez un parcours client pour souscrire un produit, ou un service avec plus d’autonomie (selfcare) ;

Sauf opposition de votre part, nous effectuerons cette personnalisation sur la base d’un profilage standard. Nous pouvons aller plus loin pour mieux répondre à vos besoins, si vous y consentez, en effectuant une personnalisation sur mesure comme décrit ci-dessous.

3.4      Vos données personnelles sont traitées si vous avez donné votre consentement

Pour certains traitements de données personnelles, nous vous donnerons des informations spécifiques et vous demanderons votre consentement. Vous pouvez bien sûr révoquer votre consentement à tout moment.

En particulier, nous vous demandons votre consentement pour :

• La personnalisation de nos offres et de nos produits ou services sur la base d’un profilage plus complexe afin d’anticiper vos besoins et vos comportements ;
• Toute offre électronique de produits et services non similaires à ceux auxquels vous avez souscrit ou de produits et services de nos partenaires de confiance ;
• L’utilisation de vos données de navigation (cookies) à des fins commerciales ou pour améliorer la connaissance de votre profil.

Nous pouvons vous demander un consentement supplémentaire pour traiter vos données personnelles si nécessaire.

4.     QUELS TYPES DE DONNÉES PERSONNELLES RECUEILLONS-NOUS ?

Nous collectons et utilisons vos données personnelles, c’est-à-dire toute information qui vous identifie ou permet de vous identifier.

En fonction notamment des types de produits ou de services que nous vous fournissons et des interactions que nous avons avec vous, nous recueillons différents types de données personnelles à votre sujet :

Si vous êtes un-e client-e ou prospect-e de leasing pour particuliers, les données que nous collectons sont les suivantes :

• Informations d’identification : p. ex. nom complet, sexe, lieu et date de naissance, nationalité, numéro de carte d’identité, numéro de passeport, numéro de permis de conduire, numéro d’immatriculation du véhicule, photographie, signature ;
• Informations de contact : adresse postale (privée ou professionnelle), adresse électronique, numéro de téléphone ;
• Informations relatives à votre situation financière et familiale : p. ex. statut marital, régime matrimonial, nombre d’enfants et âge, études ou emploi des enfants, composition du ménage, bien que vous possédiez : appartement ou maison ;
• Mode de vie : loisirs et centres d’intérêt, voyages, votre environnement (nomade, sédentaire) ;
• Informations économiques, financières et fiscales : p. ex. numéro d’identification fiscale, statut fiscal, pays de résidence, salaire et autres revenus, valeur de vos actifs ;
• Informations sur la formation et la carrière : p. ex. niveau de formation, emploi occupé, nom de l’employeur et rémunération ;
• Informations bancaires et financières liées aux produits et services que vous détenez : p. ex. coordonnées bancaires, produits et services détenus et utilisés (crédit, assurance, épargne et investissements, leasing, protection du domicile), numéro de carte de crédit, transferts d’argent, avoirs, le profil de l’investisseur déclaré, historique de crédit, incidents de paiement ;
• Données relatives aux transactions : transactions, y compris données du bénéficiaire telles que noms complets, adresses et coordonnées ainsi que détails des transactions bancaires, montant, date, heure et type de transaction (carte de crédit, virement, chèque, débit direct) ;
• Données relatives à vos habitudes et préférences en matière d’utilisation de nos produits et services ;
• Données collectées lors de nos interactions avec vous : p. ex. vos commentaires, suggestions, besoins recueillis lors de nos échanges avec vous en personne dans nos agences (rapports) et en ligne lors de communications téléphoniques (conversation), discussion par e-mail, chat, chatbot, échanges sur nos pages sur les réseaux sociaux et vos dernières réclamations. Vos données de connexion et de suivi telles que les cookies et les traceurs à des fins non publicitaires ou analytiques sur nos sites web, services en ligne, applications, pages sur les réseaux sociaux ;
• Données collectées à partir du système de vidéoprotection (y compris CCTV) et de la géolocalisation : p. ex. affichage des lieux de retrait ou de paiement pour des raisons de sécurité, ou pour identifier l’emplacement de l’agence ou des prestataires de service les plus proches ;
• Données relatives à vos appareils (téléphone mobile, ordinateur, tablette, etc.) : adresse IP, caractéristiques techniques et données d’identification ;
• Identifiants de connexion personnalisés ou fonctions de sécurité utilisés pour vous connecter au site web et aux applications d’Arval.

Si vous êtes un ou une employé-e de nos entreprises clientes, les données que nous collectons sont les suivantes :

• Informations d’identification : p. ex. nom complet, sexe, lieu et date de naissance, nationalité, numéro de carte d’identité, numéro de passeport, numéro de permis de conduire, numéro d’immatriculation du véhicule, photographie, signature ;
• Informations de contact : adresse postale (privée ou professionnelle), adresse électronique, numéro de téléphone ;
• Mode de vie : loisirs et centres d’intérêt, voyages, votre environnement (nomade, sédentaire) ;
• Données relatives à vos habitudes et préférences en matière d’utilisation de nos produits et services ;
• Données collectées lors de nos interactions avec vous : p. ex. vos commentaires, suggestions, besoins recueillis lors de nos échanges avec vous en personne dans nos agences (rapports) et en ligne lors de communications téléphoniques (conversation), discussion par e-mail, chat, chatbot, échanges sur nos pages sur les réseaux sociaux et vos dernières réclamations. Vos données de connexion et de suivi telles que les cookies et les traceurs à des fins non publicitaires ou analytiques sur nos sites web, services en ligne, applications, pages sur les réseaux sociaux ;
• Données collectées à partir du système de vidéoprotection (y compris CCTV) et de la géolocalisation : p. ex. affichage des lieux de retrait ou de paiement pour des raisons de sécurité, ou pour identifier l’emplacement de l’agence ou des prestataires de service les plus proches ;
• Données relatives à vos appareils (téléphone mobile, ordinateur, tablette, etc.) : adresse IP, caractéristiques techniques et données d’identification ;
• Identifiants de connexion personnalisés ou fonctions de sécurité utilisés pour vous connecter au site web et aux applications d’Arval.

Que vous soyez un ou une client-e de leasing pour particuliers, ou un ou une employé-e de nos entreprises clientes, nous pouvons recueillir des données sensibles telles que des données de santé, des données biométriques ou des données relatives à des infractions pénales, sous réserve du respect des conditions strictes énoncées dans les réglementations sur la protection des données.

 5.    AUPRÈS DE QUI RECUEILLONS-NOUS DES DONNÉES PERSONNELLES ?

Nous recueillons des données personnelles directement auprès de vous. Nous pouvons néanmoins aussi recueillir des données personnelles auprès d’autres sources.

Nous collectons parfois des données provenant de sources publiques :

• Publications/bases de données mises à disposition par des autorités officielles ou des tiers (p. ex. Journal officiel de la République française, registre du commerce et des sociétés, bases de données gérées par les autorités de surveillance du secteur financier) ;
• Sites web/pages sur les réseaux sociaux d’entités juridiques ou de clients commerciaux contenant des informations que vous avez divulguées (p. ex. votre propre site web ou page sur les réseaux sociaux) ;
• Informations publiques, comme celles publiées dans la presse.

Nous collectons également des données personnelles auprès de tiers :

• Autres entités du Groupe BNP Paribas ;
• Nos clients (entreprises ou particuliers) ;
• Nos partenaires commerciaux (notamment constructeurs automobiles, concessionnaires automobiles, équipementiers) ;
• Prestataires de services de paiement et des agrégateurs de comptes (prestataires de services d’informations sur les comptes) ;
• Tiers, tels qu’agences de référence de crédit et agences de prévention des fraudes ;
• Courtiers en données, qui sont tenus de s’assurer qu’ils collectent les informations pertinentes de manière licite.

 6.    AVEC QUI PARTAGEONS-NOUS VOS DONNÉES PERSONNELLES ET POURQUOI ?

• Avec les entités du Groupe BNP Paribas

En tant que membre du Groupe BNP Paribas, nous travaillons en étroite collaboration avec les autres sociétés du groupe partout dans le monde.

Vos données personnelles peuvent donc être partagées entre les entités du Groupe BNP Paribas, le cas échéant, pour :

• Nous conformer à nos diverses obligations légales et réglementaires décrites ci-dessus ;
• Satisfaire nos intérêts légitimes qui sont :
• gérer, prévenir et détecter les fraudes ;
  • mener des études statistiques et développer des modèles prédictifs et descriptifs à des fins commerciales, de sécurité, de conformité, de gestion des risques et de lutte contre la fraude ;
  • renforcer la fiabilité de certaines données vous concernant détenues par d’autres entités du Groupe ;
  • vous offrir l’accès à tous les produits et services du Groupe qui répondent le mieux à vos besoins et à vos souhaits ;
  • personnaliser le contenu et les prix des produits et services.

Notre financement et notre refinancement constituent également un intérêt légitime impliquant que vos données personnelles peuvent être partagées avec les entités du Groupe BNP Paribas qui se chargent de notre refinancement. 

Vos données personnelles peuvent également être partagées entre les sociétés du groupe Arval pour mener des études statistiques et développer des modèles prédictifs et descriptifs à des fins commerciales, de sécurité, de conformité, de gestion des risques et de lutte contre la fraude.

Dans ce contexte, nous et ces autres sociétés du Groupe Arval pouvons agir en tant que responsables de traitement conjoints en utilisant un outil commun proposant un accès partagé et une utilisation mutuelle des données personnelles des clients et des conducteurs.

Les demandes des personnes concernées concernant leurs droits peuvent être soumises à l’un ou l’autre des responsables conjoints du traitement. Les responsables de traitement conjoints s’informent mutuellement de ces demandes et se soutiennent afin d’y répondre.

Le traitement est fondé sur l’intérêt légitime des responsables de traitement conjoints à améliorer leurs produits et services en menant de telles études statistiques.

• Avec des destinataires en dehors du Groupe BNP Paribas et des sous-traitants

Afin de réaliser certaines des finalités décrites dans la présente notice de confidentialité, nous pouvons, le cas échéant, partager vos données personnelles avec :

• Les sous-traitants qui fournissent des services en notre nom (p. ex. services informatiques, logistique, services d’impression, télécommunications, recouvrement de créances, conseil, distribution et marketing).
• Les partenaires bancaires et commerciaux, les agents indépendants, les intermédiaires ou courtiers, les établissements financiers, les contreparties, les référentiels centraux avec lesquels nous sommes en relation si cette transmission est nécessaire pour nous permettre de fournir les services et produits ou d’exécuter nos obligations contractuelles ou notre transaction (p. ex. banques, banques correspondantes, dépositaires, conservateurs, émetteurs de titres, agents payeurs, plateformes d’échange, compagnies d’assurance, opérateurs de systèmes de paiement, émetteurs ou intermédiaires de cartes de paiement, sociétés de garantie mutuelle ou institutions de garantie financière) ;
• Les autorités financières, fiscales, administratives, pénales ou judiciaires locales ou étrangères, les arbitres ou médiateurs, les autorités ou institutions publiques (p. ex. Banque de France, Caisse des dépôts et des Consignations), auxquels nous, ou tout membre du Groupe BNP Paribas, sommes tenus de divulguer des informations :
  • à leur demande ;
  • pour notre défense, une action ou procédure ;
  • pour respecter une réglementation ou une recommandation émise par une autorité compétente s’appliquant à nous ou à tout membre du Groupe BNP Paribas ;
• Les prestataires de services de paiement tiers (informations sur vos comptes bancaires), aux fins de la fourniture d’un service de paiement ou d’information sur les comptes si vous avez consenti au transfert de vos données personnelles à ce tiers ;
• Certaines professions réglementées telles que les avocats, les notaires ou les commissaires aux comptes lorsque cela s’avère nécessaire dans des circonstances spécifiques (litige, audit, etc.) ainsi qu’à nos assurances ou à un acquéreur réel ou potentiel des sociétés ou activités du Groupe BNP Paribas.

 7.    TRANSFERTS INTERNATIONAUX DE DONNÉES PERSONNELLES

Le transfert de vos données personnelles peut avoir lieu dans le cas de transferts internationaux depuis la Suisse ou l’Espace économique européen (EEE) vers un pays hors de l’EEE (pays tiers). Vous pouvez notamment compter sur le transfert de vos données dans tous les pays dans lesquels le Groupe BNP Paribas est représenté par des sociétés du Groupe, des succursales ou d’autres agences (https://www.arval.com/worldwide-presence) ainsi que dans d’autres pays d’Europe, des États-Unis et du monde où se trouvent des prestataires que nous utilisons. Si le PFPDT ou la Commission européenne a reconnu qu’un pays tiers offre un niveau de protection des données adéquat, vos données personnelles peuvent être transmises sur cette base.

Pour les transferts dans un pays tiers où le niveau de protection n’a pas été reconnu comme adéquat par le PFPDT et la Commission européenne, nous nous appuierons sur une dérogation applicable à la situation spécifique (p. ex. si le transfert est nécessaire à l’exécution de notre contrat avec vous, comme dans le cas d’un paiement international), ou nous mettrons en œuvre l’une des garanties suivantes pour assurer la protection de vos données personnelles :

• Les clauses contractuelles types de la Commission européenne approuvées par le PFPDT ;
• Des règles d’entreprise contraignantes.

Pour obtenir une copie de ces garanties ou des précisions sur l’endroit où elles sont disponibles, vous pouvez envoyer une demande écrite comme indiqué au point 2.

8.    COMBIEN DE TEMPS CONSERVONS-NOUS VOS DONNÉES PERSONNELLES ?

Nous conservons vos données personnelles pendant la durée requise pour nous conformer aux lois et règlements applicables ou pendant une durée différente, conforme à nos exigences opérationnelles, telles que la bonne tenue des comptes, la simplification de la gestion de la relation client et la réponse aux réclamations juridiques ou aux demandes réglementaires.

Par exemple :

• Gérer et signaler les risques, surveiller les opérations et les transactions afin d’identifier les écarts, prévenir et détecter les fraudes et remplir les obligations de contrôle fiscal et de notification - 10 ans après la fin des contrôles internes
• KYC (Know Your Customer) - Effectuer une analyse et un contrôle KYC des clients (entreprises et utilisateurs physiques) avant de signer un contrat et les classer en fonction du risque - 10 ans après l’analyse KYC
• Traitement du risque de crédit pour constituer et suivre un dossier de risque de crédit pour chaque client, gérer l’analyse du risque de crédit et décider des mesures à prendre pour le recouvrement des créances - 10 ans après la fin de l’analyse du risque de crédit
• Facture / facturation - Enregistrement des transactions à des fins comptables et respect des obligations légales en matière de sécurité financière - 10 ans après la date de la facture
• Réclamations d’indemnisation par l’assurance - Pour la gestion des accidents avec des véhicules et à des fins d’assurance - 10 ans après la fin de la relation contractuelle avec le client)
• Amendes - Gestion des amendes de circulation et de stationnement et des infractions liées à l’utilisation du véhicule dans le cadre du service « Gestion des amendes » dans la mesure autorisée par la loi - 10 ans après la fin de la relation contractuelle avec le client
• Améliorer l’efficacité de nos processus et services en cas de réclamation - 10 ans après la clôture de la réclamation
• Recueillir tous les leads B2C/B2B2C et proposer une offre - 10 ans après la fin de la relation contractuelle avec le client
• Fournir aux clients les produits et services souscrits pour les services liés à la préparation, la livraison ou l’utilisation des véhicules - 10 ans après la fin de la relation contractuelle avec le client

• Recherche et développement afin de mener des études statistiques et développer des modèles prédictifs - Durée du projet de R&D

 9.    COMMENT SUIVRE L’ÉVOLUTION DE CETTE NOTICE DE CONFIDENTIALITÉ

Dans un monde où les technologies évoluent constamment, nous réexaminons régulièrement la présente notice de confidentialité et la mettons à jour si nécessaire.

Nous vous invitons à consulter la dernière version de ce document en ligne, et nous vous informerons de toute modification importante par le biais de notre site web ou de nos canaux de communication habituels.

10.    COMMENT MA VIE PRIVÉE EST-ELLE PROTÉGÉE LORSQUE JE POSSÈDE UN VÉHICULE AUTOMOBILE CONNECTÉ ARVAL ?

Si votre véhicule est un véhicule à moteur connecté Arval, certaines données sont collectées par Arval via la télétransmission de données à partir de l’équipement télématique installé dans le véhicule (« dispositif »). Arval peut traiter ces données pour servir ses intérêts légitimes comme décrit dans le tableau ci-dessous. Les finalités du traitement et la durée de conservation des données ne dépasseront pas les indications fournies ci-dessous.

DONNÉES	FINALITÉS	DURÉE DE CONSERVATION
Kilométrage à la fin de chaque journée Dates du prochain entretien (le cas échéant) Avertissements sur le tableau de bord du véhicule (le cas échéant) Avertissements techniques du DTC (Diagnostic Trouble Code) (le cas échéant) Pour les véhicules électriques : état de santé de la batterie	Proposition proactive d’ajustement du contrat de location individuel (durée et/ou kilométrage) Entretien proactif du véhicule à moteur (avertissement pour la prochaine date d’entretien et/ou de service du véhicule à moteur) Détection de l’altération de l’affichage du kilométrage sur le compteur Gestion proactive des services d’entretien. Entretien préventif. Gestion proactive du contrat (kilométrage/durée) Gestion proactive des services d’entretien. Entretien préventif. Gestion proactive des conditions contractuelles (kilométrage/durée)	Durée du contrat + 1 an
En cas de vol du véhicule : collecte des positions de géolocalisation en présence d’une demande formelle et officielle En cas de créance irrécouvrable ou d’appropriation frauduleuse : collecte des positions de géolocalisation en présence d’une demande formelle et officielle Alertes pour les accidents Horodatage et position (ou adresse) Gravité de l’accident (4 niveaux de « FAKE » à « HARD », obtenus par traitement avancé en temps réel des données du capteur) Force G maximale à l’impact Angle d’impact sur le véhicule Nombre d’impacts Cinétique avant et après l’accident Rapports d’accident Mêmes données que pour les alertes pour les accidents, avec les données supplémentaires suivantes : Enregistrements historiques des données des capteurs de 20 secondes avant l’événement jusqu’à 20 secondes après, à chaque fois qu’un accident est détecté et qu’une alerte est envoyée : : Accélérations sur 3 axes Vitesse angulaire sur 3 axes (données gyroscopiques) Vitesse et position GPS	Optimiser la gestion des sinistres  Augmenter le taux de récupération des véhicules volés Augmenter le taux de récupération des véhicules Amélioration du processus de réparation, Faciliter et vérifier les circonstances des demandes d’indemnisation Faciliter la gestion des demandes d’indemnisation Diminution de la fraude à l’assurance Mieux identifier la responsabilité des tiers Amélioration du processus de réparation, Faciliter et vérifier les circonstances des demandes d’indemnisation Faciliter la gestion des demandes d’indemnisation Diminution de la fraude à l’assurance Mieux identifier la responsabilité des tiers	Données de géolocalisation collectées et conservées jusqu’à la clôture de la demande d’indemnisation pour vol, et conservées 30 jours après la collecte Données de géolocalisation collectées et conservées jusqu’à la clôture de la demande, et conservées 30 jours après la collecte 10 ans 10 ans
- Données de déplacement : Horodatage de départ et d’arrêt, kilométrage, temps de conduite, type de route (ville, route, autoroute), niveau et consommation de carburant, niveau de la batterie pour les véhicules électriques, type d’environnement (jour, nuit, crépuscule) - Événements survenus pendant la conduite par trajet (freinage brutal, virage, changement de voie brutal, vitesse, gaspillage d’énergie au freinage, accélération brutale, ralenti) et scores calculés correspondants Ces données sont pseudonymisées* dans un délai d’un à deux mois après leur collecte et, en tout état de cause, avant toute utilisation par Arval aux fins énumérées dans la colonne suivante.	Améliorer la connaissance des véhicules - Mieux comprendre les performances des modèles de véhicules et les coûts d’entretien  - Mieux identifier les produits de mobilité en fonction des modèles d’utilisation et de l’activité Recherche et développement en relation avec : - Conseil : transition énergétique, benchmark, corrélation entre les conditions d’utilisation des véhicules à moteur et le coût total de possession des composants / carburant et autres énergies ou consommations - Assurance : compréhension des usages, offre segmentée - Entretien : gestion du temps de fonctionnement, amélioration des processus opérationnels, entretien préventif/proactif, réduction des coûts des pneus et optimisation de leur utilisation, optimisation des coûts (huile, plaquettes de frein, etc.), défauts potentiels des batteries, tout en évaluant le kilométrage en fin de contrat, les réparations, etc. … - Marketing : compréhension de l’utilisation, opportunités d’offres segmentées Réaliser des statistiques sur les taux de sinistres afin de Trouver la corrélation entre le niveau de risque (accidents de voiture) et les habitudes d’utilisation (à des fins d’assurance) Mieux identifier les produits de mobilité en fonction des modèles d’utilisation et de l’activité  Réaliser des statistiques de consommation de carburant afin de Améliorer la qualité du service fourni au preneur de leasing et Fournir des conseils sur le choix des véhicules (véhicule pertinent pour une utilisation donnée selon l’activité du véhicule, la consommation de carburant, le contexte de conduite)	Jusqu’à 10 ans

* La « pseudonymisation » désigne le traitement de données à caractère personnel de telle sorte que ces données ne puissent plus être attribuées à une personne concernée spécifique sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et fassent l’objet de mesures techniques et organisationnelles visant à garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.

Si votre employeur souscrit à Arval Connect, celui-ci, en tant que responsable du traitement, vous informera des activités de traitement effectuées à ses propres fins.

ANNEXE 1

Traitement des données personnelles dans le cadre de la lutte contre le blanchiment d’argent et le financement du terrorisme

Nous faisons partie d’un groupe bancaire qui doit adopter et gérer un solide programme de lutte contre le blanchiment d’argent et le financement du terrorisme (LBC/FT) pour toutes ses entités et piloté au niveau central, un programme de lutte contre la corruption, ainsi qu’un mécanisme visant à assurer la conformité avec les sanctions internationales (à savoir toutes les sanctions économiques ou commerciales, y compris les lois, règlements, mesures restrictives, embargos et mesures de gel des avoirs qui y sont associés, qui sont promulgués, administrés, imposés ou appliqués par la République française, l’Union européenne, la Suisse, l’Office of Foreign Assets Control du Département du Trésor américain et toute autorité compétente dans les territoires où le Groupe BNP Paribas est établi).

Dans ce contexte, nous agissons en tant que responsables de traitement conjoints avec BNP Paribas SA, la société mère du Groupe BNP Paribas (le terme « nous » utilisé dans cette annexe inclut donc également BNP Paribas SA).

Afin de respecter nos obligations en matière de lutte contre le blanchiment d’argent et le financement du terrorisme ainsi que les sanctions internationales, nous effectuons les traitements énumérés ci-après pour nous conformer à nos obligations légales :

• Un programme Know Your Customer (KYC) raisonnablement destiné à identifier, vérifier et mettre à jour l’identité de nos clients, y compris, le cas échéant, de leurs bénéficiaires effectifs et fondés de pouvoir respectifs ;
• Une diligence renforcée pour les clients à haut risque, les Personnes Politiquement Exposées ou « PPE » (les PPE sont des personnes définies par la réglementation qui, en raison de leur fonction ou de leur position (politique, juridictionnelle ou administrative), sont plus exposées à ces risques), et pour les situations de risque accru ;
• Des politiques, procédures et contrôles raisonnablement destinés à garantir que la Banque n’établit pas ou n’entretient pas de relations avec des banques fictives ;
• Une politique, basée sur l’évaluation interne des risques et la situation économique, consistant à ne pas traiter ou à ne pas s’engager, quelle que soit la devise, dans une activité ou une société :
  • pour, au nom de ou au bénéfice de toute personne physique, entité ou organisation faisant l’objet de sanctions de la part de la République française, de l’Union européenne, de la Suisse, des États-Unis, des Nations unies ou, dans certains cas, d’autres sanctions locales dans les territoires où le Groupe opère ;
  • impliquant des territoires directement ou indirectement sanctionnés, notamment la Crimée/Sébastopol, Cuba, l’Iran, la Corée du Nord ou la Syrie ;
  • impliquant des établissements financiers ou des territoires qui pourraient être liés ou contrôlés par des organisations terroristes, reconnues comme telles par les autorités compétentes en France, dans l’Union européenne, en Suisse, aux États-Unis ou aux Nations Unies.
• Le filtrage des bases de données clients et des transactions raisonnablement destiné à garantir le respect des lois applicables ;
• Les systèmes et processus conçus pour détecter et signaler toute activité suspecte aux autorités réglementaires compétentes ;
• Un programme de conformité raisonnablement destiné à prévenir et détecter les pots-de-vin, la corruption et la prise d’influence illicite conformément à la loi française « Sapin II », au FCPA américain et au UK Bribery Act.

Dans ce contexte, nous faisons appel :

• • à des services fournis par des prestataires externes qui tiennent à jour des listes de PPE, tels que Dow Jones Factiva (fourni par Dow Jones & Company, Inc.) et le service World-Check (fourni par REFINITIV, REFINITIV US LLC et London Bank of Exchanges) ;
  • aux informations publiques disponibles dans la presse sur les faits liés au blanchiment d’argent, au financement du terrorisme ou à la corruption ;
  • à la connaissance d’un comportement ou d’une situation à risque (existence d’une déclaration de transaction suspecte ou équivalent) identifiable au niveau du Groupe BNP Paribas.

Nous effectuons ces contrôles lorsque vous entrez en relation avec nous, mais aussi tout au long de la relation que nous entretenons avec vous, tant sur vous-même que sur les transactions que vous effectuez. À la fin de la relation et si vous avez fait l’objet d’une alerte, ces informations seront conservées afin de vous identifier et d’adapter nos contrôles si vous entrez dans une nouvelle relation avec une entité du Groupe BNP Paribas, ou dans le cadre d’une transaction à laquelle vous êtes partie. 

Afin de nous conformer à nos obligations légales, nous échangeons entre entités du Groupe BNP Paribas des informations recueillies à des fins de lutte contre le blanchiment d’argent et le financement du terrorisme, de lutte contre la corruption ou d’application des sanctions internationales. Lorsque vos données sont échangées avec des pays en dehors de la Suisse ou de l’Espace économique européen qui n’offrent pas un niveau de protection adéquat, ces transferts sont régis par les clauses contractuelles types de la Commission européenne. Lorsque des données supplémentaires sont collectées et échangées afin de se conformer à la réglementation de pays non membres de l’UE, ce traitement est nécessaire pour notre intérêt légitime, qui est de permettre au Groupe BNP Paribas et à ses entités de se conformer à leurs obligations légales et d’éviter les sanctions locales.