CHARTE DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
Date de la dernière mise à jour le 18/10/2024
CEGELEASE est une société par actions simplifiée (SAS) au capital de 10 000 000 euros, immatriculée au RCS de LILLE Métropole sous le numéro unique d’identification 622 018 091, intermédiaire en assurances – n° ORIAS 16 005 214, numéro APE : 4651Z, dont le siège social se trouve au 1 allée du Progrès – 59320 ENGLOS.
CEGELEASE SAS (et ses marques « MINILEASE, MEDILEASE, CEGELEASE et PHARMALEASE ») attachent la plus grande importance à la protection de vos données personnelles.
CEGELEASE SAS, en sa qualité de responsable de traitement, est amenée à traiter, de manière automatisée ou non, les données à caractère personnel (i) du signataire du Contrat de financement, (ii) des dirigeants et représentants légaux de la société cliente, (iii) des bénéficiaires effectifs de cette dernière, (iv) des personnes politiquement exposées de la société cliente et du groupe de la société cliente et (v) des collaborateurs de la société cliente en contact avec CEGELEASE SAS (ci-après « les personnes concernées »).
Les traitements et la collecte de données à caractère personnel sont effectués conformément à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« LIL »), et, au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (« RGPD »).
La présente politique de confidentialité informe les personnes concernées des traitements réalisés et des droits dont elles disposent.
A ce titre, le signataire du Contrat de financement s’engage à informer les personnes nommées ci-avant des traitements de leurs données à caractère personnel effectués par CEGELEASE SAS et plus particulièrement à porter à leur connaissance les informations ci-dessous.
1. Les catégories de données à caractère personnel collectées
CEGELEASE SAS s’engage à collecter et traiter des données à caractère personnel de façon adéquate, pertinente et limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont collectées et traitées.
Les catégories de données collectées sont :
- Les données d’identité et de contact
- Les données relatives à leur situation professionnelle
- Les données sur les caractéristiques de l’opération de financement
- Les données de navigation : identifiant de navigation et adresse IP
2. Les finalités et les bases légales des traitements réalisés par CEGELEASE SAS
Les traitements ayant pour base légale l’exécution d’un contrat ou de mesures précontractuelles :
- La gestion, l’étude de la demande d’octroi de financements, la sélection des risques. Les données à caractère personnel seront conservées pour une durée de cinq (5) ans à compter du terme du financement ou pour une durée de six (6) mois à compter de la notification de la décision de refus de financement.
- La gestion de la relation contractuelle y compris d’éventuelles actions en recouvrement ou la cession de créance et la gestion des incidents de paiement. Les données à caractère personnel seront conservées pour une durée de cinq (5) ans à compter du terme du contrat, ou le cas échéant, de l’extinction de la créance.
- L’intermédiation en assurance. Les données à caractère personnel seront conservées pour une durée de cinq (5) ans à compter du terme du contrat d’assurance.
Les traitements ayant pour base légale une obligation légale ou réglementaire à laquelle CEGELEASE SAS est soumis :
- Le respect des obligations légales et réglementaires, notamment en matière de gestion du risque opérationnel (dont la sécurité des réseaux informatiques), de la lutte contre le blanchiment des capitaux et le financement du terrorisme. Les données à caractère personnel seront conservées pour une durée de cinq (5) ans à compter du terme du contrat ou le cas échéant, de l’extinction de la créance.
- La tenue de la comptabilité générale. Les données et pièces comptables seront conservées pendant une durée de dix (10) ans, augmentée de l’exercice en cours, conformément aux dispositions de l’article L.123-22 du code de commerce.
- La délivrance et la gestion des certificats électroniques liés aux signatures électroniques seront conservées dix (10) ans à partir de la signature.
Les traitements ayant pour base légale l’intérêt légitime CEGELEASE SAS dans le respect des droits et libertés fondamentaux :
- La prévention, la détection et la lutte contre la fraude. Les données générant des alertes de suspicion de fraude peuvent être conservées jusqu’à douze (12) mois à compter de l’émission de l’alerte sauf pour celles qualifiées de fraudes avérées avec une durée de conservation maximale de 5 (cinq) ans à compter de la qualification.
- La prospection commerciale, la réalisation d’animations commerciales et de campagnes publicitaires. Concernant d’éventuelles opérations de prospection commerciale, les données à caractère personnel seront conservées pour une durée de trois (3) ans à compter du terme du contrat ou du dernier contact émanant de la personne concernée.
- La réalisation d’études d’opinion, de satisfaction et statistiques. Les données à caractère personnel seront conservées pour une durée maximum de cinq (5) ans à compter du terme du contrat en fonction de la nature de l’étude effectuée et à compter de cette dernière.
Les traitements ayant pour base légale votre consentement :
- CEGELEASE SAS est susceptible de procéder à l’enregistrement des conversations téléphoniques aux fins (i) d’amélioration de l’accueil téléphonique, et, (ii) du respect des obligations légales et réglementaires en matière de sécurité des transactions effectuées. Les données à caractère personnel seront conservées pour une durée maximale de six (6) mois pour les enregistrements et d’un (1) an pour les transcriptions.
- La gestion des cookies et traceurs soumis à consentement des personnes concernées incluant les utilisateurs des sites internet gérés par CEGELEASE SAS. Les données seront conservées au maximum treize (13) mois après leur collecte.
Les données à caractère personnel seront conservées pour la durée nécessaire à l’accomplissement de la finalité pour laquelle elles ont été collectées tel que mentionné ci-dessus et seront ensuite supprimées.
Par exception, ces données pourront être archivées pour gérer les réclamations et contentieux en cours ainsi que pour répondre à nos obligations légales et/ou réglementaires et/ou encore pour répondre aux demandes des autorités autorisées à en faire la demande.
Si CEGELEASE SAS est amené à traiter des données pour des finalités autres que celle énoncés ci-avant, les personnes concernées en seront informées préalablement.
3. La communication à des destinataires, tiers ou non
Ces données pourront être communiquées par CEGELEASE SAS à une société du groupe Société Générale, à ses intermédiaires et assureurs pour les finalités énumérées ci-dessus ou en vue de la mise en commun de moyens et de la présentation de produits et services dans la limite nécessaire à l’exécution des prestations concernées.
Les données pourront aussi être communiquées aux prestataires et sous-traitants du responsable de traitement dans les limites nécessaires à l’exécution des finalités décrites à la rubrique « Les finalités et les bases légales des traitements réalisés par CEGELEASE SAS ».
Elles pourront également être communiquées aux Autorités de Contrôle, Institutions et Organismes Français et/ou de l’Union Européenne.
En outre, lesdites données peuvent, le cas échéant, faire l’objet d’une communication aux bénéficiaires ou cessionnaires subrogés dans les droits du Prêteur dans le cadre d’opérations de titrisation ou de cessions de créances dans les limites nécessaires à l’exécution des finalités au point 2.
4. Les transferts de données à caractère personnel en dehors de l’Union Européenne
Dans le cadre de l’utilisation d’outils informatiques et de la sécurité des réseaux informatiques ou de la mise en commun de moyens ou d’opérations de maintenance informatique, certains traitements, dans la stricte limite nécessaire, sont susceptibles d’impliquer des transferts de données à caractère personnel vers des pays non-membres de l’Espace Economique Européen dont les législations en matière de protection des données diffèrent de celles de l’Union Européenne.
Dans le cas où CEGELEASE SAS a recours à des sous-traitants et prestataires situés hors de l’Espace Economique Européen et localisés dans un pays ne présentant pas un niveau de protection adéquat au sens de la réglementation applicable, CEGELEASE SAS sécurisera de tels transferts par :
- La conclusion de clauses contractuelles types reconnues par la Commission européenne, ou
- Le recours à un prestataire qui a adopté des règles d’entreprise contraignantes, reconnues par les autorités de contrôles européennes, ou
- Un code de conduite approuvé assorti d’un engagement du prestataire, contraignant et exécutoire, d’appliquer les garanties appropriées.
Si les mécanismes de transferts cités ci-dessus étaient jugés insuffisants, eu égard à la loi applicable dans le pays de destination, CEGELEASE SAS s’engage à mettre en œuvre toutes les mesures complémentaires nécessaires.
5. La sécurité des données
CEGELEASE SAS prend toutes les mesures physiques, techniques et organisationnelles pour garantir la confidentialité, l’intégrité et la disponibilité des données à caractère personnel afin de les protéger contre la perte, la destruction accidentelle, l’altération et l’accès non autorisé.
6. Les droits des personnes concernées
Les personnes concernées disposent, dans les conditions prévues par la réglementation, d’un droit :
- d’accès à leurs données leur permettant d’obtenir toutes les informations concernant le traitement réalisé sur celles-ci,
- de rectification pour modifier et/ou compléter leurs données,
- d’effacement de leurs données dès lors qu’elles ne sont plus nécessaires au regard de la finalité pour laquelle elles ont été collectées,
- à la limitation du traitement afin de suspendre, temporairement, la réalisation du traitement,
- de portabilité afin de recevoir les données fournies, dans un format structuré, couramment utilisé et lisible par une machine,
- d’opposition :
- à tout moment et sans frais, sans avoir à motiver leur demande, à ce que leurs données soient utilisées à des fins de prospection commerciale ;
- à un traitement de données pour des raisons tenant à leur situation particulière lorsque le traitement est fondé sur l’intérêt légitime CEGELEASE SAS. Dans ce cas, CEGELEASE SAS cessera le traitement sauf lorsqu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur leurs intérêts droits et libertés ou pour la constatation, l’exercice ou la défense d’un droit en justice ;
- de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques les concernant ou les affectant de manière significative de façon similaire sauf lorsque le traitement est nécessaire à la conclusion ou à l’exécution du contrat ou au respect d’obligations légales ou réglementaires auxquelles CEGELEASE SAS est soumis. Les personnes concernées ont le droit d’obtenir une intervention humaine ainsi que d’exprimer votre point de vue auprès CEGELEASE SAS et de contester la décision automatique qui leur aura été opposée,
- de retrait de leur consentement, à tout moment, pour les cas où celui-ci aurait été demandé.
Elles disposent également du droit de définir des directives, spécifiques ou générales, relatives à la conservation, à l’effacement et à la communication de leurs données à caractère personnel après leur décès.
6.1. L’exercice des droits des personnes concernées
Les personnes concernées peuvent exercer leurs droits, par courrier postal, en s’adressant au Service Relation Clientèle – CEGELEASE SAS – 1 allée du Progrès – 59320 ENGLOS ou par courrier électronique à l’adresse suivante : dpo-cegelease.fr@socgen.com.
6.2. L’introduction d’une réclamation
Elles ont le droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité de contrôle en charge du respect des obligations en matière de données à caractère personnel, sis au 3, place de Fontenoy – 75334 Paris Cedex 07, si elles estiment que leurs droits concernant la gestion de leurs données à caractère personnel ne sont pas respectés.
7. Le responsable du traitement et le délégué à la protection des données
Le responsable du traitement est CEGELEASE SAS, sis 1 allée du Progrès – 59320 ENGLOS
Les coordonnées du DPO sont : dpo-cegelease.fr@socgen.com ou l’adresse postale ci-dessus à l’attention du « délégué à la protection des données ».