Peugeot GEMY Pontivy

40, rue Colbert PONTIVYHoraires et Accès

POLITIQUE DE CONFIDENTIALITÉ

I. Introduction

Pour s’adapter aux enjeux du numérique et garantir à nos clients, à nos partenaires commerciaux, à nos collaborateurs et d’une manière générale à l’ensemble des personnes physiques ou morales avec lesquelles nous interagissons, une relation de confiance, de responsabilité et de transparence, le groupe GEMY AUTOMOBILES s’est doté d’une politique de Protection et de Gestion des Données Personnelles.

On entend par données à caractère personnelles (DCP) « toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Le traitement de DCP est « toute opération ou tout ensemble d’opération portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

Les termes « RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) modifié par le Rectificatif au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) publié au JOUE L127 2 du 23/05/2018 ainsi que la réglementation nationale issue de la loi du 6 janvier 1978, dite « Informatique et Libertés », dans sa nouvelle rédaction en vigueur depuis le 1er juin 2019 et son décret d’application n° 2019-536, publié le 30 mai 2019 au JO.

II. Identité du responsable de traitement

La société « GEMY », société à responsabilité limitée au capital de 7 018 638 Euros, ayant son siège social à LAVAL (53000), 21 Quai Sadi Carnot, immatriculée au Registre du Commerce et des Sociétés de LAVAL sous le numéro 403 085 657, intervient dans le cadre de son activité, en qualité de responsable du traitement des DCP collectées et traitées. Toutefois, GEMY intervient également en qualité de responsable conjoint de traitement pour ses filiales (article 26 du RGPD) et informera les personnes concernées.

Conformément aux dispositions de l’article 26.2 du RGPD, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du règlement RGPD, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leur obligations respectives quant à la communication des informations visées aux article 13 et 14 par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis.

III. Périmètre d’application

III.I Dans le champ d’application

La politique générale de protection des données personnelles du groupe GEMY AUTOMOBILES est applicable à l’ensemble des sociétés constitutives du groupe GEMY AUTOMOBILES et à ses sous-traitants.

Elle concerne tous les traitements de données personnelles figurant ou devant figurer dans les registres de traitement tenus par le groupe GEMY AUTOMOBILES et ses filiales.

III.II Hors du champ d’application

Les informations classées comme publiques ne sont pas soumises à cette politique générale.

IV. Données collectées

Dans le cadre de ses activités, le groupe GEMY AUTOMOBILES est susceptible de collecter des données relatives aux personnes morales ou physiques, incluant notamment et de manière non exhaustive :

Données d’identification (exemples : nom, prénoms, date et lieu de naissance, carte d’identité, permis de conduire) ;
Coordonnées personnelles ou professionnelles (exemples : adresse postale, adresse mail, numéro de téléphone fixe et/ou portable)
Données concernant le véhicule (exemples : plaque d’immatriculation, VIN (vehicle identification number) ;
Information financières (exemple : relevé d’identité bancaire) ;
Données informatiques : adresse IP, type de navigateur, système d’exploitation ;
Données de connexion, les fonctions utilisées, les pages utilisées, les choix sélectionnées, l’horodatages des sites, etc.
Données relatives à un processus d’embauche (CV, lettre de motivation et données personnelles associées).

Ces données sont collectées par les sociétés d’exploitation du Groupe GEMY AUTOMOBILES (points de vente) ou par ses partenaires commerciaux (apporteurs d’affaires, prestataires, constructeurs, etc.) par le biais de sites internet, téléphone, courrier, par messagerie électronique ou par une visite dans l’un des centres de services du Groupe GEMY AUTOMOBILES.
Nous nous engageons à ne collecter que les données strictement nécessaires à la réalisation des finalités pour lesquelles elles sont traitées. Ce principe de minimisation des données garantit que seules les informations pertinentes et adaptées à ces finalités sont collectées, dans le respect des droits et libertés des personnes concernées.

Ces données sont collectées suivant les bases légales prévues par le RGPD et à titre indicatif et non exhaustif, aux occasions suivantes :

Lors de l’ouverture d’un compte client sur le site ;
Lors d’une prise de contact physique, en ligne ou sur le site ;
Lors de la commande, réservation ou vente d’un véhicule
Lors d’une prestation de service (service-après-vente, assurances, financement, etc.),
Lors de la participation à une loterie commerciale ou jeux-concours,
Lors de l’inscription à une newsletter,
Lors d’une réponse à une enquête ou questionnaire de satisfaction.

V. Finalité de la collecte des données personnelles

Au sein du groupe GEMY AUTOMOBILES, chaque traitement de données a un objectif, une finalité. Nous nous assurons que les données collectées servent bien l’objectif prévu et que celui-ci repose bien sur une des bases légales prévues par la réglementation, telles que définies par le RGPD :

Le consentement : nous collectons les données avec le consentement explicite de la personne concernée ;- Le contrat : nous collectons les données nécessaires à l'exécution ou à la préparation d’un contrat ;
L’obligation légale : nous collectons les données imposées par des textes légaux conformément à nos obligations légales ;
L’intérêt légitime : nous collectons les données pour la préservation de nos intérêts légitimes ou d’un tiers sans porter atteinte aux droits et libertés fondamentaux des personnes concernées ;
La protection des intérêts vitaux : nous collectons les données lorsqu’elles sont nécessaires pour protéger les intérêts vitaux de la personne concernée ou d'un tiers ;
La mission d'intérêt public : nous collectons les données lorsqu’elles sont nécessaires pour l'exécution d'une mission d'intérêt public ;

En respectant ces principes, le groupe GEMY AUTOMOBILES s’assure que toute collecte de données personnelles est justifiée et légale, garantissant ainsi non seulement la protection mais aussi le respect des droits et la vie privée des individus concernés.

VI. Mentions légales

La demande de consentement d’une personne pour le recueil de ses données personnelles doit être faite de manière claire et compréhensible dans les mentions légales des différentes interfaces de collecte.
Ces mentions légales doivent explicitement préciser :

Les données collectées,
La finalité des traitements
La base légale de la collecte,
Les potentiels sous-traitants impliqués,
Les recours et modalités d’exercice des droits pour la personne concernée.

VII. Transparence et information

Toute collecte de données personnelles s’accompagne d’une information claire et accessible. Cette information porte notamment sur :

Les finalités du traitement : l’utilisation prévue des données collectées.
La base légale : le fondement juridique autorisant le traitement (consentement, exécution d’un contrat, obligation légale, etc).
Les droits des personnes concernées : notamment les droits d’accès, de rectification, de suppression, d’opposition et de portabilité.
Les destinataires des données : les entités ou tiers pouvant avoir accès aux informations collectées.
La durée de conservation : la période pendant laquelle les données seront conservées ou les critères permettant de la déterminer.

Les informations communiquées sont rédigées dans un langage clair et compréhensible, conformément aux exigences du Règlement Général sur la Protection des Données (RGPD). Toute demande d’information ou d’exercice de droits est traitée dans les meilleurs délais et selon les procédures définies.

VIII. Conditions de traitement et stockage

Les données collectées dans le cadre des activités du Groupe GEMY AUTOMOBILES doivent respecter les règles de la présente politique générale.
Chaque traitement doit faire l’objet d’une fiche explicative précisant, entre autres,

Les détails du traitement, la base légale, la finalité,
Les potentiels sous-traitants impliqués dans le traitement,
Les mesures de sécurité relatives à ce traitement ou leur classification,

Les résultats de l’analyse d’impact, le cas échéant.
Ces fiches doivent être regroupées dans des Registres de Traitements, tenus à jour pour chaque entité collectant des données.
Tout nouveau traitement de données doit faire l’objet d’une validation par le DPO et le RSSI du Groupe GEMY AUTOMOBILES, afin d’assurer sa légitimité, son alignement avec l’une des bases légales et l’adoption de mesures de sécurité appropriées.

Toutes les données personnelles collectées sont conservées pour une durée limitée en fonction de la finalité du traitement sans toutefois dépasser la durée légale s’il en existe. Passé ce délai, les données personnelles collectées sont supprimées ou anonymisées à des fins de statistiques internes.

Pour assurer la prise de mesures suffisantes pour la confidentialité et disponibilité des données qui transitent dans son Système d’Information, le Groupe GEMY AUTOMOBILES s’est doté d’une Politique de Sécurité du Système d’Information (PSSI), formalisant notamment la mise en œuvre de mesures techniques et organisationnelles dédiées à la protection et la sécurité des données.
La politique de sécurité du système d’information et la présente politique générale de protection et de gestion des données personnelles forment ensemble la politique RGPD du groupe GEMY.

IX. Respect des droits des personnes concernées

Pour exercer leurs droits d'accès, de modification, droit à l’oubli, d’opposition au(x) traitement(s) ou de portabilité des données, le groupe GEMY AUTOMOBILES met à disposition des personnes concernées les points de contact suivants :

Par mail : dpo-gemy-automobiles@gemy.fr
Par courrier : Groupe GEMY AUTOMOBILES – A l’attention du Délégué à la Protection des Données (DPO/DPD) – 21 Quai Sadi Carnot 53000 Laval

Nos processus internes nous permettent de garantir l’identification et le traitement des demandes dans des délais courts sans dépasser 30 jours.

X. Sécurité des données – durée de conservation

Le groupe GEMY AUTOMOBILES veille à protéger et sécuriser les données personnelles, afin d’assurer leur confidentialité et empêcher qu’elles ne soient altérées, endommagées, détruites ou divulguées à des tiers non autorisés.

Le groupe GEMY AUTOMOBILES a pris des mesures de protection physiques, électroniques et organisationnelles pour prévenir toute perte, mauvaise utilisation, accès ou diffusion non autorisés, altération ou destruction éventuelle de ces Données Personnelles. Ces mesures sont précisées dans la Politique de Sécurité du Système d’Information (PSSI) du groupe GEMY AUTOMOBILES.

Afin de contrôler le respect de ces mesures, le groupe GEMY AUTOMOBILES met en œuvre des campagnes d’audit interne. Ces audits concernent le respect de chaque procédure liée au traitement et sont suivis de mesures correctives.

Les données à caractère personnel que nous collectons sont conservées uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été recueillies, conformément aux exigences légales en vigueur et à nos politiques internes.

Nous avons défini les délais de conservation comme suit :

Finalités	Durée
Gestion des contrats (commande, livraison, etc.)	5 ans	La durée de conservation est tacitement reconduite à chaque nouvelle prise de contact avec la concession.
Pour les opérations de marketing, relance client, suivi de la relation client, etc.	5 ans	À l’issue de ce délai les données sont supprimées ou anonymisées à des fins de statistiques internes.
Besoins administratifs, comptables et fiscaux	10 ans	À l’issue de ce délai les données sont supprimées ou anonymisées à des fins de statistiques internes.
Les prospects	2 ans	À l’issue de ce délai, si le client potentiel n’a pas consenti à l’utilisation de ces DCP et n’a pas répondu aux diverses relances, les DCP sont supprimées.
Cookies du site internet	2 ans	À l’issue de ce délai, si le client potentiel n’a pas consenti à l’utilisation de ces DCP et n’a pas répondu aux diverses relances, les DCP sont supprimées.
Formulaires complétés à partir du site internet	2 ans	À l’issue de ce délai, si le client potentiel n’a pas consenti à l’utilisation de ces DCP et n’a pas répondu aux diverses relances, les DCP sont supprimées.
Données d’embauche (CV, Lettre de motivation, …)	2 ans	À l’issue de ce délai les données sont supprimées ou anonymisées à des fins de statistiques internes.

XI. Destinataires des données

Toutes les Données Personnelles étant confidentielles, leur accès est limité aux collaborateurs, prestataires et partenaires du groupe GEMY AUTOMOBILES qui en ont la nécessité dans le cadre de l'exécution de leur mission, prestation ou contrat. Les responsabilités de chacun des tiers en matière de protection des données, notamment dans le cas d’hébergement ou de transit via des opérateurs tiers, sont précisées dans les mentions RGPD des contrats de sous-traitance.
Tous les collaborateurs du Groupe GEMY AUTOMOBILES, à fortiori ceux ayant accès aux bases de données personnelles sont soumis à des règles de confidentialité et d’hygiène de sécurité informatique précisées dans la Charte Informatique du Groupe.

L’ensemble des destinataires figurent dans les registres de traitement et la liste est disponible sur demande auprès du DPO.

XII. Sous-traitance externe

Dans le cadre de ses activités commerciales, le groupe GEMY AUTOMOBILES peut être amené à partager des données personnelles avec des partenaires commerciaux ou des prestataires de services agissant en qualité de sous-traitants.
Les sous-traitants n'ont accès qu'aux informations strictement nécessaires pour remplir leurs missions et sont tenus de traiter les données personnelles conformément à nos instructions et aux lois applicables en matière de protection des données.
Avant tout partage, nous nous assurons que les sous-traitants respectent nos normes de confidentialité et de sécurité des données en échangeant des Plans d’Assurance Sécurité (PAS) et en mettant en place des accords contractuels appropriés. Ces contrats doivent également inclure une clause permettant au Groupe GEMY AUTOMOBILES d’auditer ou faire auditer le sous-traitant pour évaluer le respect de la présente Politique et règles connexes.

XIII. Classification des données

La réglementation, classifie les données personnelles en quatre catégories :

Données personnelles sensibles : Informations intimes telles que l'origine ethnique, la religion, la santé, etc.
Données personnelles identifiables : Informations directement liées à une personne (nom, adresse, téléphone, e-mail).
Données personnelles non identifiables (anonymisées utilisées à des fins d'analyse et de statistiques)
Données financières et de paiement

Le groupe GEMY ne collecte pas de données sensibles. Dans l’hypothèse où ce serait le cas nous nous engageons à appliquer les mesures de sécurité appropriées pour chacune de ces catégories conformément à notre Politique de Sécurité des Systèmes d’Information (PSSI) après avoir au préalable réalisé une analyse d’impact conformément à la réglementation.

Le Groupe GEMY exige de tous prestataires et sous-traitants de fournir des garanties adéquates pour assurer la sécurité, la protection et la confidentialité des données personnelles. Cette exigence est formalisée par des contrats, qui imposent le respect des dispositions du Règlement Européen. Ces contrats peuvent également prévoir la réalisation de contrôles et d’audits, si nécessaire.

Certaines données à caractères personnel peuvent faire l’objet de transfert vers des pays situés dans l’Union Européenne ou hors l’Union Européenne. Si tel est le cas, les clauses contractuelles européennes, sont prises pour encadrer ces transferts.

XIV. Responsabilités et organisation RGPD

L’organisation RGPD du Groupe GEMY AUTOMOBILES est découpée en 4 acteurs :

Un Délégué à la Protection des Données (DPO) : principal responsable du respect du RGPD dans le groupe. Il est l’interlocuteur entre l’entreprise et les autorités de protection des données, ainsi qu’entre l’entreprise et les personnes concernées (comme les employés et les clients).
Un Référent Conformité des Finalités et Process RGPD Groupe : chargé de veiller à ce que toutes les finalités de traitement des données et les processus au sein du groupe soient conformes aux exigences du RGPD.
Un Référent Sécurité des données : responsable de la sécurité des systèmes d’information et des applications, avec un focus particulier sur les mesures notamment la protection des données personnelles.
Des Référents par pôle : chargés de vérifier le déploiement effectué de la politique de conformité RGPD du groupe au niveau de leurs pôles respectifs. Ils agissent comme les relais du DPO sur le terrain.

Ce comité transverse doit se réunir à intervalles réguliers et à l’initiative du DPO pour assurer dans le temps le respect des règles édictées dans la présente Politique. D’autre part, les responsables de données et les collaborateurs doivent être sensibilisés de manière régulière aux problématiques de confidentialité des données, ainsi qu’au respect de règles d’hygiène de sécurité dans l’utilisation quotidienne des outils du Système d’Informations.

XV. Violations de données et incidents

Le Groupe GEMY AUTOMOBILES est doté de moyens lui permettant d’identifier et informer les personnes impactées par une violation de données personnelles.
Ces incidents sont tracés dans un Registre des Incidents de Sécurité et notifiés à la CNIL en respectant le délai légal de 72H suivant la constatation de la violation.

XVI. Sécurité des sollicitations et préventions de la fraude

Le groupe GEMY tient à vous rappeler qu'il est important de rester vigilant face aux demandes de documents bancaires ou de virements injustifiés, quelle que soit la méthode de communication utilisée (téléphone, courriel, SMS, etc.). Toute sollicitation de ce type provenant d'une source non vérifiée doit être considérée comme suspecte. En cas de doute, nous vous invitons à signaler ces demandes aux contacts indiqués dans la section « VIII. DROIT D’ACCÈS ET RECTIFICATION ».
Nous vous recommandons de ne jamais partager vos informations personnelles avec des tiers non autorisés et de toujours vérifier l'authenticité des communications se présentant comme provenant du groupe GEMY ou de ses filiales.

XVII. Gestion des cookies

Qu’est-ce qu’un cookie ?

Les cookies sont des fichiers contenant des informations permettant d’identifier les visiteurs pour la durée de leur visite sur ce site. Ils sont enregistrés sur le disque dur de votre ordinateur et n’y causent aucun dommage. Ils nous permettent de mesurer l’audience et adapter précisément les contenus à vos besoins. Les cookies servent également à vérifier si votre ordinateur a déjà été connecté à nos pages. Seul le cookie enregistré sur votre ordinateur est identifié.

Cookies nécessaires

Les cookies téléchargés par l’utilisateur pour accéder aux sites internet du groupe GEMY sont indispensables pour le fonctionnement de base du site. Ils permettent des fonctionnalités comme la navigation sur le site et l'accès aux zones sécurisées. Sans ces cookies, le site ne peut pas fonctionner correctement.

Exemption de consentement

Compte tenu du caractère essentiel de ces cookies, ils sont exemptés de l'obligation de consentement préalable. Les utilisateurs n'ont pas à donner leur consentement pour que ces cookies soient utilisés, et par conséquent, il n'y a pas de mécanisme de retrait de consentement pour ces cookies spécifiques.

Information transparente

Bien que le consentement ne soit pas requis, les utilisateurs doivent être informés de l'utilisation de ces cookies dans la politique de confidentialité ou de cookies du groupe GEMY. Cette politique doit être présentée à l’utilisateur lors de sa première visite sur le site. Les utilisateurs doivent comprendre pourquoi ces cookies sont nécessaires et quelles fonctions ils supportent. Les cookies facultatifs doivent pouvoir être désactivés manuellement par une action du visiteur.

Accès au site

Si un utilisateur choisit de bloquer ou de supprimer les cookies nécessaires via les paramètres de son navigateur, il se peut qu'il ne puisse pas utiliser certaines parties du site, voire le site entier. Cette conséquence doit être clairement expliquée aux utilisateurs.

XVIII. Mise à jour

La politique générale de Protection des Données personnelles du groupe GEMY est régulièrement mise à jour. Elle fait l’objet d’une revue annuelle afin de prendre en compte :

Les événements internes : par exemple l’évolution de l’organisation juridique ou encore l’évolution de l’architecture technique et applicative du système d’information ;
Les événements externes : par exemple le changement de législation, nouvelles menaces ou nouveaux enjeux ;
Les améliorations identifiées (best practices) : par exemple dans le cadre des processus de contrôle et d’audit mis en œuvre.

XIX. Application

La politique générale de Protection et de Gestion des données Personnelles du groupe GEMY AUTOMOBILES est d’application immédiate et toutes les sociétés constitutives du groupe GEMY AUTOMOBILES doivent s’inscrire dans une démarche de mise en conformité de leurs pratiques.

La présente politique générale est portée à la connaissance de nos partenaires et de nos clients via notre site internet : https://www.gemy-automobiles.fr/. Elle est également accessible au travers d’un QR code affiché dans les points de vente. Concernant nos collaborateurs du groupe, ils peuvent la retrouver sur le portail intranet : Gemy Sphère.

NOS OCCASIONS EN STOCK

VÉHICULES DE DÉMONSTRATION

OCCASIONS FAIBLE KILOMÉTRAGE

ÉLECTRIQUES ET HYBRIDES

LES ENGAGEMENTS SPOTICAR

DÉCOUVREZ NOTRE GAMME

DÉCOUVREZ L'ÉLECTRIQUE

DÉCOUVREZ L'HYBRIDE

RÉSERVEZ UN ESSAI

THERMIQUE VS ÉLECTRIQUE

LA GAMME PRO

UTILITAIRES D'OCCASION

NOS SERVICES AUX PRO

CONTACTEZ UN CONSEILLER "PRO"

PRENDRE RENDEZ-VOUS

NOS OFFRES DU MOMENT

ENTRETIEN ET RÉPARATIONS

ENTRETIEN VÉHICULE ÉLECTRIQUE

ENTRETIEN VÉHICULE HYBRIDE

MÉCANIQUE ET CARROSSERIE

QUI SOMMES NOUS ?

NOUS REJOINDRE

NOS ACTUALITÉS

ASSURANCES GEMY

FINANCEMENT GEMY

CONTACTEZ UN MÉDIATEUR

INDEX ÉGALITÉ