Confidentialité

La présente Politique de confidentialité des données explique :

1. les principes clés qui régissent le Traitement des Données à caractère personnel par le Groupe GEFCO ;
2. les différents types d’informations que le Groupe GEFCO collecte et pourquoi elle les collecte, en fonction du type de Personne concernée par le Traitement des Données à caractère personnel ;
3. la façon dont le Groupe GEFCO utilise ces informations ;
4. la façon dont le Groupe GEFCO protège ces informations ;
5. la façon dont le Groupe GEFCO sécurise le transfert des Données à caractère personnel ;
6. la façon dont les Personnes concernées peuvent exercer leurs droits conformément aux Lois applicables en matière de protection des données.

La présente Politique ne peut contredire le droit national et/ou régional applicable dans les juridictions dans lesquelles GEFCO SA et ses Filiales exercent des activités et la Politique sera interprétée dans ce sens dans la mesure du possible. En cas de conflit entre la présente Politique et toute loi nationale et/ou régionale applicable, les dispositions obligatoires de la loi en question prévaudront sur les dispositions de la présente Politique.

1 Définitions

1.1 « Données à caractère personnel » fait référence à toute information se rapportant à une personne physique identifiée ou identifiable (« Personne concernée ») ; est réputée être une personne physique identifiable toute personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

1.2 « Données personnelles sensibles » fait référence aux Données à caractère personnel révélant des informations relatives à l’origine raciale ou ethnique, aux opinions politiques, à la religion ou aux convictions philosophiques, aux infractions et aux condamnations pénales, aux antécédents criminels, à l’appartenance syndicale, aux données génétiques, aux données biométriques, à l’état de santé et à la vie sexuelle ou à l’orientation sexuelle d’une personne, conformément à la ou aux loi(s) applicable(s) en matière de protection des données.

1.3 « Filiales » fait référence à toutes les entreprises contrôlées par, ou sous le contrôle commun de, GEFCO SA.

1.4 « GEFCO SA » désigne GEFCO SA, une personne morale de droit français dont le siège social est sis au 77/81, rue des Lilas d’Espagne, 92400 Courbevoie, France et immatriculée au Registre du commerce et des sociétés sous le numéro RCS Nanterre B 542 050 315.

1.5 « Groupe GEFCO » désigne GEFCO SA et/ou n’importe laquelle de ses Filiales qui Traitent des Données à caractère personnel en tant que Responsable du traitement ou, le cas échéant, en tant que Sous-traitant.

1.6 « Loi(s) applicable(s) en matière de protection des données » fait référence aux lois et règlements locaux pertinents en matière de protection des données à caractère personnel, de sécurité des données, de conservation des données et de confidentialité des données auxquels les Personnes concernées sont soumises, y compris le RGPD.

1.7 « Règlement général sur la protection des données » ou « RGPD » fait référence au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE.

1.8 « Responsable du traitement » fait référence à la personne physique ou morale, à l’autorité publique, à l’agence ou à un autre organisme qui, seul(e) ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement des Données à caractère personnel.

1.9 « Sous-traitant » fait référence à toute personne physique ou morale qui Traite des Données à caractère personnel pour le compte du Responsable du traitement, conformément à des instructions écrites spécifiques.

1.10 « Tiers » fait référence aux auditeurs, comptables, contractants, agents, fournisseurs et fournisseurs de services tiers autorisés de GEFCO SA et de ses Filiales qui Traitent des Données à caractère personnel.

1.11 « Traiter », « Traite(nt) », « Traitement » et « Traité(e)(s) » font référence à toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

2 Principes clés

2.1 Conformité aux Lois en matière de protection des données
Lors de la gestion de Données à caractère personnel en tant que Responsable du traitement, le Groupe GEFCO et le Personnel du Groupe GEFCO conviennent que les Données à caractère personnel seront :
- Traitées par le groupe GEFCO de manière licite, loyale et transparente au regard de la Personne concernée (« licéité, loyauté, transparence ») ;
- collectées pour des finalités déterminées, explicites et légitimes, et qu’elles ne seront pas Traitées ultérieurement d’une manière incompatible avec ces finalités (« limitation des finalités ») ;
- adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont Traitées (« minimisation des données ») ;
- exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les Données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont Traitées, soient effacées ou rectifiées sans tarder (« exactitude ») ;
- Traitées de façon à garantir une sécurité adéquate des Données à caractère personnel, y compris la protection contre le Traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (« intégrité et confidentialité ») ;
- conservées sous une forme permettant l’identification des Personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont Traitées ; les Données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront Traitées exclusivement à des fins d’archivage conformément aux règlements applicables en matière de prescription (« limitation de la conservation »).

2.2 Licéité
Le Groupe GEFCO ne Traitera de Données à caractère personnel qu’en conformité avec les Lois applicables en matière de protection des données, et plus spécifiquement lorsque : 
(i) le Traitement est nécessaire à l’exécution d’un contrat auquel la Personne concernée est partie ou à l’exécution de mesures précontractuelles à la demande de celle-ci (tel que le Traitement des Données à caractère personnel des clients ou fournisseurs du Groupe GEFCO qui sont nécessaires à la gestion de leur relation contractuelle) ;

(ii) la Personne concernée a consenti au Traitement de ses Données à caractère personnel pour une ou plusieurs finalités spécifiques (telles que le Traitement des données de géolocalisation des camions et des conducteurs en vue du suivi et du traçage de la livraison de biens dans le contexte des activités du Groupe GEFCO) ;

(iii) le Traitement est nécessaire au respect d’une obligation légale à laquelle le Responsable du traitement est soumis (telle que la comptabilité financière, la gestion du Traitement de la paie des employés, la tenue de registres à des fins fiscales ou la communication d’informations à des organismes publics, à des organismes chargés de l’application des lois ou à des Tiers légitimes et autorisés tels que les avocats ou les comptables professionnels de GEFCO, conformément à l’ensemble des lois applicables…) ;

(iv) le Traitement est nécessaire aux fins des intérêts légitimes poursuivis par le groupe GEFCO ou par un Tiers (tel que le Traitement des Données à caractère personnel pertinentes des employés par le service des Ressources humaines, la gestion du recrutement, l’application de procédures de sécurité physique et logique…).

2.3 Transparence

Le Groupe GEFCO Traite les Données à caractère personnel de manière loyale et licite conformément à la ou aux Loi(s) applicable(s) en matière de protection des données. À cette fin, le Groupe GEFCO informe les Personnes concernées des finalités pour lesquelles il Traitera leurs Données à caractère personnel et fournit toutes les informations qu’il doit fournir conformément à la ou aux Loi(s) applicable(s) en matière de protection des données, afin de s’assurer que les Personnes concernées comprennent la façon dont leur Données à caractère personnel seront Traitées par le Groupe GEFCO.
Quelques exemples non exhaustifs de Traitement des Données à caractère personnel pouvant être effectué par le Groupe GEFCO sont brièvement décrits ci-dessous.

2.3.1 Traitement effectué par le Groupe GEFCO en tant que Responsable du traitement

Le Groupe GEFCO peut Traiter les catégories suivantes de Données à caractère personnel, lesquelles peuvent varier selon le profil de la Personne concernée.
Clients et futurs clients : aux fins de la gestion de la relation contractuelle du Groupe GEFCO avec ses clients et futurs clients et de l’information de ceux-ci quant aux services qu’il propose, le Groupe GEFCO Traite généralement leurs informations de contact personnelles (telles que le nom, l’adresse e-mail, le numéro de téléphone, le titre, l’adresse) et leurs informations financières (informations de paiement, données de gestion de la relation client, informations relatives au processus de paiement des factures et au suivi).

Fournisseurs et sous-traitants : aux fins de la gestion de la relation contractuelle du Groupe GEFCO avec ses Fournisseurs et sous-traitants, le Groupe GEFCO Traite généralement leurs informations de contact personnelles (telles que le nom, l’adresse e-mail, le numéro de téléphone, le titre, l’adresse), leurs informations financières (informations de paiement, informations relatives au processus de paiement des factures et au suivi), ainsi que les informations de localisation des conducteurs aux fins du suivi et du traçage des biens que le Groupe GEFCO gère dans le contexte de ses activités via certains services ou applications tels que GEFCO Drive et/ou GEFC@NNECT.

Employés : aux fins de la gestion du recrutement et des ressources humaines au sein du Groupe GEFCO, le Groupe GEFCO Traite généralement les informations de contact personnelles des candidats et employés (telles que le nom, l’adresse e-mail, le numéro de téléphone, le titre, l’adresse), les données administratives des employés (telles que les informations relatives aux carrières, aux évaluations, à la formation, à l’allocation des ressources informatiques, aux voitures…) ainsi que les données relatives à l’organisation du travail des employés (telles que les informations ayant trait au planning des employés, à l’organisation des voyages d’affaires…) ;

Visiteurs : dans le contexte du contrôle de l’accès aux locaux du Groupe GEFCO, le Groupe GEFCO peut Traiter des informations de contact personnelles (telles que le nom, l’adresse e-mail, le téléphone, le nom de l’entreprise…) et des images (capturées par ses systèmes de vidéoprotection et de vidéosurveillance).

2.3.2 Traitement effectué par le Groupe GEFCO en tant que Sous-traitant

À l’occasion, le Groupe GEFCO peut agir en tant que Sous-traitant de Données à caractère personnel pour le compte de clients. En pareil cas, le Groupe GEFCO n’agira qu’en conformité avec les instructions claires et détaillées du client, qui devront être établies par écrit. Si cela est impossible (par exemple en cas de conflit avec la législation actuelle ou future), l’Entreprise informera rapidement le client de son incapacité à se conformer à ses instructions. Lorsque le Groupe GEFCO cesse d’agir pour le compte du client, il restituera, détruira ou continuera de protéger convenablement (au choix du client) toutes les Données à caractère personnel qu’il a reçues dudit client.

Sauf disposition contraire spécifique figurant dans l’accord convenu entre le Groupe GEFCO (en tant que Sous-traitant des Données à caractère personnel) et le client (en tant que Responsable du traitement des Données à caractère personnel), le Groupe GEFCO est autorisé à (i) utiliser tout moyen technique qu’il jugera adapté pour fournir les services et Traiter les Données à caractère personnel (tel que la sélection de solutions logicielles appropriées), le tout conformément aux politiques de sécurité du Groupe GEFCO, (ii) recruter des sous-traitants ultérieurs pour fournir une partie des services, accéder aux données du client et les utiliser, y compris en dehors de l’Union européenne, sous réserve que les sous-traitants ultérieurs soient liés par des accords écrits les obligeant à assurer un niveau de protection des Données à caractère personnel au moins équivalent à celui exigé par la présente Politique de confidentialité des Données et tout mécanisme approprié conformément à la Section 2.8 (Transfert des Données à caractère personnel).

Lorsque le Groupe GEFCO agit en tant que Sous-traitant, le GEFCO Groupe collaborera avec le client afin de se conformer à la ou aux Loi(s) applicable(s) en matière de protection des données, par exemple (i) en informant le client au sujet des activités de Traitement que le Groupe GEFCO effectue afin qu’il puisse informer les Personnes concernées en conséquence, (ii) en mettant en place, à la demande du client, les mesures raisonnables permettant la mise à jour, la correction, l’anonymisation ou la suppression des Données à caractère personnel (sous réserve de certaines exceptions limitées), et (iii) en envoyant au client toute demande qu’il reçoit de la part de personnes physiques concernant l’accès à leurs Données à caractère personnel Traitées par le Groupe, de sorte que le client puisse répondre à ces demandes.
Lorsqu’il agit en tant que Sous-traitant de Données à caractère personnel, le Groupe GEFCO traitera dans tous les cas lesdites Données à caractère personnel conformément à ses politiques et procédures de sécurité, ne transférera de Données à caractère personnel que lorsque le client aura consenti à un tel transfert (ce qu’il pourra faire à l’avance au titre des conditions générales de l’accord signé avec le Groupe GEFCO) et informera le client en cas de manquement grave à la sécurité en lien avec les Données à caractère personnel de sorte que le client puisse informer les Personnes concernées, le cas échéant.

2.4 Limitation des finalités

Le Groupe GEFCO ne Traitera de Données à caractère personnel qu’aux fins (i) définies dans toute notification mise à la disposition de la Personne concernée, (ii) exigées par la loi ou (iii) ayant fait l’objet d’un consentement des individus concernés. La notification peut être effectuée, entre autres, par le biais de la présente Politique, du site Internet du Groupe GEFCO, d’accords contractuels, de panneaux d’affichage, de notifications formelles, de lettres d’information, etc.

2.5 Accès, rectification, suppression et opposition

Les Personnes concernées peuvent demander l’accès à leurs Données à caractère personnel détenues par le Groupe GEFCO dès lors que ces demandes sont raisonnables et autorisées par la Loi applicable en matière de protection des données. Le Groupe GEFCO convient de rectifier, modifier, ou supprimer les Données à caractère personnel de la Personne concernée sur demande dès lors que lesdites données sont inexactes ou qu’elles sont utilisées d’une manière allant à l’encontre de la présente Politique.
Les Personnes concernées peuvent s’opposer au Traitement de leurs Données à caractère personnel pour des motifs légitimes, dans la mesure exigée ou autorisée par les Lois applicables en matière de protection des données.
Afin d’exercer leurs droits, les Personnes concernées peuvent contacter le Groupe GEFCO conformément à la Section 3 de la présente Politique de confidentialité des données.

2.6 Qualité et Proportionnalité des données

Les Données à caractère personnel doivent être correctes et le cas échéant, à jour. Les Données à caractère personnel détenues par le Groupe GEFCO doivent être appropriées, pertinentes et non excessives et ne doivent pas être conservées plus longtemps que ce qui est nécessaire aux fins du Traitement concerné, le tout conformément aux politiques d’archivage du Groupe GEFCO et aux dispositions relatives aux obligations en termes de conservation des données figurant dans la ou des Loi(s) applicable(s) en matière de protection des données.

2.7 Sécurité et confidentialité

Le Groupe GEFCO prend des précautions raisonnables pour protéger les Données à caractère personnel contre la destruction ou la perte, l’altération, la divulgation ou l’accès non autorisé(e), accidentel(le) ou illégal(le). Ces précautions incluent des mesures de sécurité techniques, physiques et organisationnelles, telles que des mesures visant à prévenir l’accès non autorisé. Les mesures applicables demeurent confidentielles, mais sont dûment documentées dans les politiques en matière de technologies de l’information et de gestion des risques adoptées par le Groupe GEFCO.

2.8 Transfert des Données à caractère personnel

Le Groupe GEFCO Traite et obligera les Tiers à Traiter les Données à caractère personnel dans les juridictions adéquates conformément à ce qui est établi dans la ou les Loi(s) applicables en matière de protection des données. Si le Traitement implique un transfert des Données à caractère personnel vers un pays se trouvant hors de l’Union européenne et n’étant pas couvert par l’une des exceptions prévues par les Lois applicables en matière de protection des données, le Groupe GEFCO s’engage à sécuriser le transfert au moyen d’un des mécanismes suivants :
- clauses contractuelles types approuvées par la Commission européenne (telles que les Clauses contractuelles types pour les Responsables du traitement des données 2004/915/CE ou les Clauses contractuelles types pour les Sous-traitants de données 2010/87/UE ou toute version ultérieure) ;
- règles d’entreprise contraignantes : dans le cas où les Tiers concernés ont adopté les Règles d’entreprise contraignantes de l’UE couvrant les Données à caractère personnel Traitées par des Tiers ;
- tout autre mécanisme officiellement reconnu par les Lois applicables en matière de protection des données comme garantissant un niveau de protection adéquat des Données à caractère personnel.

3 Contact, Questions & Réclamations

Afin d’exercer vos droits, d’exprimer une préoccupation, de soulever une question, de faire une réclamation ou d’obtenir davantage d’informations concernant le Traitement de vos Données à caractère personnel par le Groupe GEFCO, vous pouvez envoyer un e-mail à l’adresse suivante : data.privacy@gefco.net, en y joignant une preuve d’identité valide (sauf si la Personne concernée est employée par le Groupe GEFCO).
Le Groupe GEFCO s’engage à répondre à votre demande dans un délai raisonnable, qui n’excédera pas 3 mois, en fonction de la complexité de la demande et/ou du nombre de demandes qu’il reçoit.
En cas de litige, la Personne concernée pourra déposer une plainte auprès de l’Autorité de régulation locale chargée de la confidentialité des données (en France, la CNIL).

4 Modifications apportées à la présente Politique

Le Groupe GEFCO peut modifier la présente Politique de confidentialité des données de temps à autre pour refléter ses pratiques actuelles en matière de confidentialité. Lorsque nous modifierons la présente déclaration, nous réviserons la date de « mise à jour » figurant en haut de ce document. Nous vous invitons à relire régulièrement la présente Politique de confidentialité afin de vous tenir informe(é) de la façon dont le Groupe GEFCO protège vos Données à caractère personnel.