POLITIQUE DE CONFIDENTIALITÉ « eSignature »

Sauf indication contraire dans cette politique de confidentialité, les termes utilisés dans cette politique de confidentialité ont la même signification que celle qui leur est donnée dans le RGPD.

Alphabet est le "Responsable du traitement" de vos données à caractère personnel dans le cadre de l'Application eSignature. Connective agit en tant que Processeur de données car il est responsable du soutien et de la maintenance de l'Application eSignature.

Alphabet International est la société mère d’Alphabet et (comme Alphabet elle-même) fait partie du BMW Group. Sur cette base, nous pouvons partager des informations avec les deux.

Alphabet collecte vos données à caractère personnel dans le cadre de votre utilisation de l'Application eSignature si :

- vous complétez l'inscription pour l'utilisation de l'Application eSignature ;

- vous prenez directement contact avec nous, par exemple en saisissant vos données à caractère personnel dans l'Application eSignature, en nous contactant via le portail ou en contactant notre service clientèle ;

- vous répondez à nos campagnes de "marketing direct", par exemple en saisissant des données à caractère personnel en ligne sur l'un de nos sites web ;

- vos données à caractère personnel sont transmises par des tiers ;

Si vous fournissez des informations au nom et pour le compte de quelqu'un d'autre, vous êtes responsable de la communication préalable de la présente politique de confidentialité à cette personne.

Nous pouvons traiter les catégories suivantes de vos données à caractère personnel dans le cadre de votre utilisation de l'Application eSignature :

- Coordonnées (par exemple, nom, adresse électronique, adresse postale, numéro de téléphone portable) ;

- Données contractuelles (par exemple, les contrats) ;

- Données relatives au compte (par exemple, numéro de compte bancaire, VIN, plaque d'immatriculation) ;

- Données d'enregistrement (par exemple, date d'enregistrement, mot de passe) ;

- Données d'identification (par exemple, coordonnées de contact, détails du contrat, détails du compte, carte d'identité) ;

- Données sur vos transactions en tant que client (par exemple, numéro de contrat, numéro de client) ;

- Données financières (par exemple, données de facturation) ;

- Données biologiques (par exemple, l'âge) ;

- Données socioculturelles (par exemple, la nationalité) ;

- Données relatives à vos habitudes et préférences : des informations sur votre utilisation de la plateforme et des données provenant des communications que vous entretenez avec nous, y compris des données collectées par le biais de cookies et d'autres technologies de suivi, à condition que vous ayez donné votre consentement. Vous trouverez de plus amples informations sur notre Politique en matière de cookies ici ;

- Données des utilisateurs (il s'agit des personnes qui ont accès au portail de connexion via BMW Financial Services et de toutes celles dont les données à caractère personnel sont incluses dans les documents téléchargés pour signature) : par exemple, initiateurs, approbateurs, signataires, destinataires, etc. ;

- Données relatives aux ressources humaines : données directement liées à un employé (par exemple, nom, numéro d'identification de l'employé, données relatives au contrat, etc.) ;

Afin d'assurer l'exactitude de vos données à caractère personnel, vous vous engagez à nous notifier toute modification de celles-ci, faute de quoi nous ne pouvons garantir que nous serons en mesure de remplir nos obligations contractuelles et/ou légales et tous les avis seront valablement notifiés à l'adresse ou aux adresses spécifiée(s) dans le(s) contrat(s).

L'utilisation de l'Application eSignature est uniquement destinée à un usage interne (y compris pour les employés), en particulier pour télécharger des documents et les proposer à la signature des employés internes, des employés externes, des fournisseurs et des distributeurs.

Les données à caractère personnel sont traitées dans ce contexte pour les motifs suivants :

1. Respect des obligations légales

- Pour remplir nos obligations légales, par exemple en matière de comptabilité et de fiscalité.

2. Respect des obligations contractuelles (par exemple)

- Dans le cadre de la gestion et de l'administration de votre/vos contrat(s), comme l'adaptation du/des contrat(s) ;

- Alphabet travaille avec des partenaires pour certains éléments facultatifs des contrats. Dans la mesure où cela est nécessaire, nous transmettons vos données à caractère personnel à nos partenaires pour l'exécution de certaines obligations contractuelles ;

- Dans le cadre de la résiliation du ou des accords affichés dans l'Application eSignature, nous vous contacterons.

3. Sur la base de notre intérêt légitime (par exemple)

- Dans le cadre des activités de traitement suivantes, vos données à caractère personnel seront traitées aux fins de nos intérêts légitimes et pourront être partagées avec d'autres entités du groupe BMW AG :

• Dans le cadre de nos activités commerciales générales, nous traitons également vos données à caractère personnel à des fins de rapports et d'analyses internes. Ces analyses et rapports visent à obtenir les informations nécessaires sur notre entreprise et nos produits afin de les adapter et de les optimiser en permanence. Dans la mesure du possible, ces données à caractère personnel sont anonymisées/cryptées. Elles ne visent en aucun cas des personnes ou des groupes de personnes spécifiques et ne sont en aucun cas utilisées pour prendre des mesures contre des personnes ou des groupes de personnes spécifiques.
• Vos données à caractère personnel peuvent également être traitées à des fins de sécurité informatique, de développement et d'utilisation d'applications, et d'optimisation de nos systèmes informatiques.

Seules les personnes pour lesquelles il est nécessaire d’accéder à vos données à caractère personnel afin d'exercer leurs fonctions ou d'atteindre les objectifs décrits ci-dessus y auront accès.

Alphabet peut faire appel à des prestataires de services tels que Connective, ainsi qu'à des prestataires de services informatiques, des consultants externes et des services d'archivage. Un accord de traitement offrant des garanties suffisantes en termes de mesures techniques et organisationnelles conformément au RGPD est conclu avec ces prestataires de services. En aucun cas ces prestataires de services ne pourront utiliser ces données à caractère personnel à des fins autres que celles spécifiées dans l'accord de traitement conclu.

Les données à caractère personnel ne seront partagées avec ces prestataires de services que dans la mesure où elles sont strictement nécessaires à l'exécution de l'accord conclu avec eux.

En principe, Alphabet ne transfère pas vos données à caractère personnel vers des pays situés en dehors de l'Espace Economique Européen. Toutefois, certains prestataires de services peuvent traiter vos données à caractère personnel dans des pays situés en dehors de l'Espace Economique Européen, tels que le Royaume-Uni, les États-Unis d'Amérique et l'Inde. Pour garantir la protection de vos données à caractère personnel, Alphabet a conclu un accord avec ces prestataires de services sur la base des Clauses types de l'UE (disponibles via ce lien).

Si vous souhaitez obtenir de plus amples informations sur les Clauses types de l'UE mentionnées ci-dessus ou en obtenir une copie, veuillez nous contacter via contact.privacy@alphabet.be.

Alphabet respecte le principe de minimisation du stockage lors du traitement de vos données à caractère personnel, ce qui signifie que nous ne conservons généralement vos données à caractère personnel que pendant la durée nécessaire à la réalisation des objectifs pour lesquels elles ont été obtenues à l'origine et pour toute autre fin connexe (par exemple, si nécessaire dans le cadre de la défense contre une réclamation).

Si les données à caractère personnel sont traitées à différentes fins, nous conserverons vos données à caractère personnel jusqu'à ce que la dernière finalité soit remplie (par exemple, si vous retirez votre consentement à recevoir du marketing direct, nous n'utiliserons plus les données à caractère personnel à cette finalité. Toutefois, elles seront toujours traitées dans le cadre de votre utilisation ultérieure de l'Application eSignature).

Les données à caractère personnel relatives à votre ou vos contrat(s) avec Alphabet seront conservées pendant 10 ans après la clôture complète du dossier.

Nous utilisons une série de mesures de sécurité, notamment des outils de cryptage et d'authentification, pour aider à protéger et à maintenir la sécurité, l'intégrité et la disponibilité de vos données à caractère personnel.

Nous nous efforçons, avec nos prestataires de services, sous-traitants et partenaires commerciaux, de maintenir des garanties physiques, électroniques et procédurales pour protéger vos données à caractère personnel conformément aux exigences applicables en matière de protection des données. Nous utilisons des mesures de sécurité telles que :

- Des règles d'accès strictes à vos données à caractère personnel, sur une base « need-to-know » et uniquement aux fins spécifiées ;

- Transfert des données à caractère personnel collectées sous forme cryptée ;

- Pare-feu dans les systèmes informatiques pour empêcher tout accès non autorisé, par exemple par des pirates, et contrôle permanent de l'accès aux systèmes informatiques pour détecter et arrêter l'utilisation abusive de données à caractère personnel ;

- Gestion des infractions et des incidents (système d'information sur la gestion de la sécurité) ;

- Mesures organisationnelles pour le personnel traitant des données à caractère personnel ;

- Gestion des actifs ;

- Politique en matière de cryptographie ;

- Gestion du risque opérationnel ;

- Gestion de la sécurité de la communication ;

- Évaluation d'impact sur la protection des données ("Data Protection Impact Assessment" ou "DPIA").

Vous devez prendre des précautions raisonnables pour empêcher l'accès à votre/vos compte(s) par des personnes non autorisées. Cela comprend les données permettant de se connecter à l'Application eSignature (par exemple, le nom d'utilisateur, le code d'authentification, le mot de passe, etc.) Les mesures raisonnables comprennent, entre autres :

- Verrouiller l'appareil lorsqu'il n'est pas utilisé ;

- Maintenir l'appareil exempt de virus, de logiciels malveillants ou de logiciels espions ;

- Vous déconnecter lorsque vous avez terminé ;

- Personnaliser les mots de passe et les changer régulièrement ;

- Éviter d'utiliser des réseaux WIFI non sécurisés ou non cryptés.

Si vous savez ou soupçonnez que quelqu'un d'autre connaît votre nom d'utilisateur ou votre mot de passe, vous devez en informer immédiatement Alphabet via contact.privacy@alphabet.be.

Droit d'accès (art. 15 RGPD)

Vous pouvez à tout moment demander des informations sur les données à caractère personnel que nous traitons à votre sujet. Ces informations comprennent entre autres les catégories de données à caractère personnel concernées, les finalités pour lesquelles nous les traitons, la source des données à caractère personnel si nous ne les avons pas reçues directement de votre part et, le cas échéant, les destinataires auxquels nous transférons vos données à caractère personnel. Vous pouvez obtenir une copie gratuite de vos données à caractère personnel que nous traitons. Si vous avez besoin de copies supplémentaires, nous nous réservons le droit de facturer ces copies supplémentaires.

Droit de rectification (art. 16 RGPD)

Vous pouvez nous demander de compléter ou de corriger vos données à caractère personnel si elles sont incorrectes. Nous prendrons les mesures appropriées, sur la base des dernières informations dont nous disposons, pour garantir, dans la mesure du possible, l'exactitude, l'exhaustivité et la pertinence des données à caractère personnel que nous traitons.

Droit à l'effacement (art. 17 RGPD)

Vous pouvez nous demander de supprimer vos données à caractère personnel si les conditions légales pour ce faire sont remplies. Conformément à l'art. 17 RGPD, cela pourrait être le cas si :

- Les données à caractère personnel ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou autrement traitées ;

- Vous retirez votre consentement sur lequel le traitement de vos données à caractère personnel est fondé et il n'existe aucune autre base juridique pour leur traitement ;

- Vous vous opposez au traitement de vos données à caractère personnel, et il n'existe pas de motifs légitimes impérieux pour leur traitement, ou si vous vous opposez au traitement de vos données à caractère personnel à des fins de "marketing direct" ;

- Les données à caractère personnel ont été traitées illégalement.

Dans certains cas, nous pouvons refuser votre demande d'effacement sur la base de l'art. 17 RGPD, par exemple si le traitement est nécessaire pour :

- Remplir une obligation légale de traitement ;

- L'exercice du droit à la liberté d'expression et d'information ;

- L’établissement, l’exercice ou la justification d'un droit.

Droit à la limitation du traitement (art. 18 RGPD)

Vous pouvez nous demander de limiter le traitement de vos données à caractère personnel si :

- Vous contestez l'exactitude des données à caractère personnel, pendant une période qui nous permet de vérifier l'exactitude des données à caractère personnel ;

- Le traitement est illégal et vous vous opposez à l'effacement des données à caractère personnel et demandez plutôt la restriction de leur utilisation ;

- Nous n'avons plus besoin de vos données à caractère personnel pour la réalisation des finalités, mais vous avez encore besoin des données à caractère personnel pour l'établissement, l'exercice ou la justification d'un droit légal ;

- Vous vous êtes opposé au traitement, en attendant une réponse à la question de savoir si nos intérêts légitimes l'emportent sur les vôtres.

Droit à la portabilité de vos données à caractère personnel (art. 20 RGPD)

Si cela est techniquement possible, nous transférons, à votre demande, les données à caractère personnel que vous nous avez fournies à un autre responsable du traitement des données que vous avez désigné. Vous pouvez exercer ce droit dans la mesure où le traitement des données est fondé sur votre consentement ou est nécessaire à l'exécution d'un contrat.

Droit d’opposition (art. 21 RGPD)

Vous pouvez vous opposer à tout moment, pour des raisons tenant à votre situation particulière, au traitement de vos données à caractère personnel si ce traitement concerne l'accomplissement d'une mission d'intérêt public ou dans l'exercice de l'autorité publique, ou s'il est fondé sur nos intérêts légitimes ou ceux de tiers. Vous avez le droit de vous opposer à tout moment au traitement de vos données à caractère personnel à des fins de "marketing direct". Si ces conditions légales sont remplies, nous cesserons de traiter vos données à caractère personnel, sauf si nous pouvons fournir des motifs légitimes impérieux pour le traitement qui l'emportent sur vos intérêts ou si nous avons besoin de vos données à caractère personnel pour la constatation, l'exercice ou la justification d'un droit en justice.

Retrait de votre consentement (art. 7 RGPD)

Si le traitement des données est fondé sur votre consentement, vous pouvez le retirer à tout moment. Le retrait de votre consentement n'affecte pas la licéité du traitement fondé sur votre consentement avant son retrait.

Si vous avez des questions concernant l'utilisation de vos données à caractère personnel, si vous n’êtes pas satisfait de la manière dont nous traitons vos données personnelles ou si vous souhaitez exercer l’un de vos droits, veuillez-vous adresser à contact.privacy@alphabet.be.

Si vous n'êtes pas satisfait du traitement de vos données à caractère personnel ou de notre réponse à l'exercice de vos droits, vous avez le droit d'introduire une plainte auprès de l'autorité de contrôle, c'est-à-dire l'Autorité de Protection des Données (rue de la Presse 35, 1000 Bruxelles ; https://www.autoriteprotectiondonnees.be/citoyen ; contact@apd-gba.be ; +32 (0)2 274 48 00).

La version la plus récente de la présente politique de confidentialité sera mise à la disposition de l’utilisateur par Alphabet via l’Application eSignature et prévaudra toujours. Des versions plus anciennes de la présente politique de confidentialité peuvent toujours être obtenues en nous contactant via contact.privacy@alphabet.be.