Le groupe GLASSGLASS accorde une importance essentielle au respect de la vie privée et à la protection des données à caractère personnel des personnes avec lesquelles il est en relation. La présente politique a pour objet d’informer, de manière transparente, sur la manière dont les données à caractère personnel sont collectées, utilisées, partagées, conservées et protégées dans le cadre des activités de réparation et de remplacement de vitrage automobile, de calibrage des systèmes d’aide à la conduite et de formation, ainsi que sur les droits reconnus aux personnes concernées et les modalités de leur exercice. Elle s’applique au traitement des données à caractère personnel régi par le règlement (UE) 2016/679 du 27 avril 2016 (le « RGPD ») et par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Les activités du groupe GLASSGLASS sont conduites par les sociétés qui le composent, lesquelles déterminent conjointement les finalités et les moyens de certains traitements. Pour ces traitements, ces sociétés agissent en qualité de responsables conjoints du traitement au sens de l’article 26 du RGPD. Le groupe s’appuie en outre, pour la réalisation des interventions en mobilité, sur des professionnels indépendants membres de son réseau, lesquels n’appartiennent pas aux sociétés du groupe et interviennent dans les conditions précisées au point 1.2.

La présente politique s’adresse aux clients particuliers, aux clients professionnels et gestionnaires de flottes, y compris les flottes de véhicules lourds, aux prospects, aux visiteurs et utilisateurs des sites internet et formulaires en ligne, ainsi qu’aux interlocuteurs des compagnies d’assurance et experts intervenant dans la gestion des sinistres.

Le traitement des données à caractère personnel est mis en œuvre dans le respect des principes énoncés à l’article 5 du RGPD :

• Licéité, loyauté et transparence – les données sont traitées de manière licite, loyale et transparente à l’égard de la personne concernée.

• Limitation des finalités – les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

• Minimisation des données – seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités sont collectées.

• Exactitude – les données sont exactes et, si nécessaire, tenues à jour, les données inexactes étant effacées ou rectifiées dans les meilleurs délais.

• Limitation de la conservation – les données ne sont pas conservées au-delà de la durée nécessaire aux finalités pour lesquelles elles sont traitées.

• Intégrité et confidentialité – les données sont traitées de façon à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite, la perte, la destruction ou les dégâts d’origine accidentelle.

• Responsabilité – les responsables de traitement sont en mesure de démontrer le respect de ces principes.

Selon la relation et la nature de l’intervention, les catégories de données suivantes peuvent être collectées et traitées.

Chaque traitement repose sur l’une des bases légales prévues à l’article 6 du RGPD :

• Gestion des demandes et des interventions – la prise de rendez-vous, l’établissement des devis, la réalisation des interventions de réparation, de remplacement et de calibrage, et le suivi de la relation reposent sur l’exécution du contrat ou de mesures précontractuelles.

• Gestion des sinistres et relations avec les assureurs – la gestion des dossiers de sinistre, la transmission des informations à l’assureur agréé et le traitement de la prise en charge reposent sur l’exécution du contrat et, le cas échéant, sur l’intérêt légitime des parties à la bonne gestion du sinistre.

• Facturation et obligations comptables – la facturation, la tenue de la comptabilité et le respect des obligations fiscales et sociales reposent sur le respect d’obligations légales.

• Garanties et réclamations – la gestion des garanties, des réclamations et du service après-vente repose sur l’exécution du contrat et sur l’intérêt légitime à assurer la qualité des prestations.

• Lutte contre la fraude – la prévention, la détection et la gestion de la fraude, notamment à l’assurance, reposent sur l’intérêt légitime des responsables de traitement et des assureurs.

• Prospection et communication – l’envoi de communications commerciales aux clients sur des prestations analogues repose sur l’intérêt légitime ; la prospection par voie électronique auprès de personnes non clientes repose sur le consentement.

• Amélioration des services et statistiques – la mesure d’audience, l’amélioration des services et le dépôt de cookies non strictement nécessaires reposent sur le consentement de la personne.

• Formation – la gestion des inscriptions, du suivi pédagogique et de la délivrance des attestations par l’institut GLASSGLASS Formation repose sur l’exécution du contrat et sur les obligations légales liées à la certification Qualiopi.

• Gestion des contentieux – la constatation, l’exercice ou la défense de droits en justice reposent sur l’intérêt légitime des responsables de traitement.

Lorsqu’un traitement repose sur l’intérêt légitime au sens de l’article 6, paragraphe 1, point f), du RGPD, une mise en balance est opérée entre cet intérêt et les droits et libertés des personnes concernées, dont le résultat peut être communiqué sur demande.

L’activité s’exerçant exclusivement en mobilité, au moyen de véhicules ateliers, le lieu d’intervention convenu avec la personne concernée fait l’objet d’un traitement de localisation aux fins de planification, d’acheminement du technicien et de sécurité des intervenants et du matériel. La localisation est limitée à ce qui est nécessaire à ces finalités. Les données de géolocalisation des véhicules ateliers et des techniciens, qui relèvent de la relation de travail, font l’objet d’une information distincte et ne sont pas utilisées pour un contrôle permanent de l’activité en dehors du temps d’intervention.

8.1. Origine des données
Les données sont collectées directement auprès de la personne concernée, lors d’une prise de rendez-vous, de la réalisation d’une intervention ou d’un échange. Elles peuvent également être transmises par un tiers, notamment par la compagnie d’assurance ou son mandataire lorsqu’un sinistre est déclaré et orienté vers le réseau au titre d’un agrément, ou par un gestionnaire de flotte pour le compte de ses conducteurs.

Les données dont la fourniture conditionne la réalisation de la prestation ou le respect d’une obligation légale présentent un caractère obligatoire ; leur absence est susceptible d’empêcher la prise en charge de la demande. Les autres données sont facultatives et leur non-communication est sans conséquence sur la prestation.

Les données ne sont communiquées qu’aux destinataires habilités, dans la limite de ce qui est nécessaire à l’accomplissement de leurs missions.

Les sous-traitants n’interviennent que sur la base d’un contrat conforme à l’article 28 du RGPD, qui impose notamment de ne traiter les données que sur instruction documentée des responsables de traitement, de garantir la confidentialité des personnes autorisées à traiter les données, de mettre en œuvre les mesures de sécurité requises par l’article 32, de ne recourir à un autre sous-traitant qu’avec autorisation et sous les mêmes obligations, d’aider les responsables de traitement à répondre aux demandes d’exercice des droits ainsi qu’à respecter leurs obligations de sécurité, de notification des violations et d’analyse d’impact, et, au terme de la prestation, de supprimer ou de restituer les données et d’en justifier.

Les données sont en principe traitées et hébergées au sein de l’Union européenne. Lorsqu’un transfert vers un pays tiers est nécessaire, il n’est réalisé que vers un pays reconnu comme assurant un niveau de protection adéquat par la Commission européenne ou, à défaut, sur le fondement de garanties appropriées au sens des articles 44 à 49 du RGPD, notamment les clauses contractuelles types de la Commission européenne, assorties le cas échéant de mesures supplémentaires. Une copie de ces garanties peut être obtenue à l’adresse indiquée à la rubrique Contact.

Les données sont conservées pour la durée nécessaire aux finalités poursuivies, puis archivées ou supprimées :

• Données clients et interventions – pendant la durée de la relation, puis en archivage intermédiaire jusqu’à l’expiration des délais de prescription et de garantie applicables.

• Données de facturation et comptables – conservées conformément aux obligations légales, notamment dix ans pour les documents comptables.

• Données de sinistre – conservées pour la durée nécessaire à la gestion du dossier et aux délais de prescription propres à la matière, dans le respect des conventions conclues avec les assureurs.

• Données de prospection – conservées trois ans à compter du dernier contact émanant du prospect.

• Cookies et traceurs – la durée de validité du consentement aux cookies n’excède pas treize mois et les informations collectées par leur intermédiaire ne sont pas conservées au-delà de vingt-cinq mois.

• Données de contentieux – conservées le temps nécessaire à l’établissement, à l’exercice ou à la défense d’un droit, jusqu’au terme de la procédure et des voies de recours.

Conformément à l’article 25 du RGPD, les traitements sont conçus de manière à intégrer la protection des données dès leur conception et à garantir, par défaut, que seules les données nécessaires à chaque finalité sont traitées. Cette exigence est prise en compte lors du choix des outils, de la configuration des accès et de la définition des durées de conservation.

Les responsables de traitement mettent en œuvre les mesures techniques et organisationnelles appropriées, au sens de l’article 32 du RGPD, pour garantir un niveau de sécurité adapté au risque, notamment le contrôle des accès, le cloisonnement des habilitations, la journalisation, le chiffrement lorsqu’il est pertinent, la sauvegarde et la sensibilisation des personnes habilitées. Le groupe ne disposant d’aucun centre physique ouvert au public, aucun dispositif de vidéosurveillance n’est mis en œuvre.

En cas de violation de données à caractère personnel, les mesures décrites ci-après sont mises en œuvre, le point de contact central coordonnant la réponse entre les responsables conjoints.

Lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, notamment en raison du recours à la géolocalisation ou d’un traitement à grande échelle, une analyse d’impact relative à la protection des données est conduite préalablement, conformément à l’article 35 du RGPD ; la CNIL est consultée lorsque cette analyse révèle un risque résiduel élevé.

Les responsables de traitement tiennent un registre des activités de traitement conformément à l’article 30 du RGPD, recensant les finalités, les catégories de données et de personnes concernées, les destinataires, les durées de conservation et les mesures de sécurité.

Les sites internet du groupe GLASSGLASS peuvent déposer des cookies et traceurs sur le terminal de l’utilisateur. Conformément à l’article 82 de la loi n° 78-17 du 6 janvier 1978, les cookies strictement nécessaires au fonctionnement du site ou à la fourniture d’un service expressément demandé sont déposés sans consentement préalable. Les autres cookies, notamment de mesure d’audience non exemptée, de personnalisation et de publicité, ne sont déposés qu’après recueil du consentement de l’utilisateur, exprimé au moyen d’un bandeau ou d’un centre de gestion permettant de les accepter, de les refuser ou de les paramétrer librement. Le consentement peut être retiré à tout moment, aussi aisément qu’il a été donné.

Les prestations s’adressent à des personnes majeures, titulaires ou conducteurs des véhicules concernés, ou à des professionnels. Aucune donnée n’est sciemment collectée auprès de mineurs. Si des données relatives à un mineur étaient transmises, elles ne seraient traitées que sous la responsabilité du titulaire de l’autorité parentale et supprimées si leur traitement s’avérait dépourvu de fondement.

Les sites du groupe GLASSGLASS peuvent comporter des liens vers des sites tiers ou des fonctionnalités de réseaux sociaux, auxquels la présente politique ne s’applique pas. Il appartient à l’utilisateur de prendre connaissance des politiques de confidentialité propres à ces tiers, seuls responsables des traitements qu’ils mettent en œuvre.

Toute personne concernée dispose, dans les conditions et limites prévues par le RGPD, des droits énumérés ci-après. La possibilité d’exercer chacun de ces droits et son étendue dépendent du traitement considéré et de son fondement :

• Droit d’accès – s’applique à l’ensemble des traitements, quel que soit leur fondement, et permet d’obtenir la confirmation que des données sont traitées ainsi qu’une copie de celles-ci et une information sur les caractéristiques du traitement.

• Droit de rectification – s’applique à l’ensemble des traitements, quel que soit leur fondement, et permet de faire corriger ou compléter des données inexactes ou incomplètes, notamment les coordonnées et les données relatives au véhicule.

• Droit à l’effacement – s’applique en particulier aux traitements fondés sur le consentement et sur l’intérêt légitime, notamment après retrait du consentement ou exercice du droit d’opposition ; il ne peut être exercé sur les traitements nécessaires au respect d’une obligation légale, tels que la conservation des documents comptables et de facturation, ni sur les données nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice.

• Droit à la limitation du traitement – s’applique à l’ensemble des traitements et permet d’obtenir le gel temporaire de l’utilisation des données, notamment le temps de vérifier leur exactitude ou le bien-fondé d’une opposition.

• Droit à la portabilité – s’applique aux seuls traitements fondés sur le consentement ou sur l’exécution du contrat et mis en œuvre par voie automatisée, notamment la gestion des demandes et des interventions ; il ne s’applique pas aux traitements fondés sur une obligation légale ou sur l’intérêt légitime, et porte sur les seules données fournies par la personne.

• Droit d’opposition – s’applique aux traitements fondés sur l’intérêt légitime, notamment la lutte contre la fraude, la gestion des garanties et l’amélioration des services, pour des raisons tenant à la situation particulière de la personne ; il s’exerce en revanche sans condition et à tout moment lorsque le traitement a une finalité de prospection. Il ne s’applique pas aux traitements fondés sur le contrat ou sur une obligation légale.

• Droit de retirer son consentement – s’applique aux seuls traitements fondés sur le consentement, notamment le dépôt de cookies non strictement nécessaires et la prospection par voie électronique auprès des personnes non clientes ; il peut être exercé à tout moment, sans que ce retrait ne remette en cause la licéité du traitement réalisé antérieurement.

• Directives post-mortem – s’appliquent à l’ensemble des traitements et permettent de définir des directives relatives au sort des données après le décès et, pour un proche, d’obtenir communication des données concernant un défunt dans les conditions prévues par la loi.

Les données ne font pas l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques à l’égard de la personne concernée ou l’affectant de manière significative. Si un tel traitement devait être mis en œuvre, la personne concernée en serait préalablement informée et bénéficierait des garanties prévues à l’article 22 du RGPD.

En sa qualité d’entreprise à mission, le groupe GLASSGLASS inscrit le traitement des données dans sa raison d’être. Les données ne font l’objet d’aucune cession à des tiers à des fins commerciales étrangères aux finalités décrites par la présente politique, la minimisation des données est recherchée à chaque étape et la transparence à l’égard des personnes concernées est érigée en principe de gouvernance, en cohérence avec l’engagement de proximité et de responsabilité du groupe au service des territoires.

La présente politique peut être modifiée afin de tenir compte de l’évolution des activités, des traitements ou de la réglementation. La version applicable est celle publiée à la date de la consultation ; la mention de version et la date figurant en tête du document permettent d’en suivre les évolutions. En cas de modification substantielle, les personnes concernées en sont informées par un moyen approprié.

Pour toute question relative à la présente politique ou pour exercer ses droits, la personne concernée peut s’adresser au délégué à la protection des données ou au point de contact central, par voie postale 4458, Chemin du Marquis - 38430 MOIRANS ou par courrier électronique à dpo@glassglass.fr.