NOTICE D’INFORMATION RELATIVE A LA PROTECTION DES DONNÉES PERSONNELLES

Dernière mise à jour en mai 2024

 

Avant-propos : principaux changements

En tant que partenaire de confiance, nous accordons une grande importance à la protection de vos données personnelles. Nous avons fait évoluer cette Notice pour qu’elle soit plus transparente en améliorant les informations sur  :

  • Les traitements liés à la prospection commerciale
  • Les traitements de lutte contre le blanchiment et le financement du terrorisme et les sanctions internationales (gel des avoirs)

Introduction

La protection de vos données personnelles est au cœur de nos préoccupations, le Groupe BNP Paribas a adopté des principes forts dans sa Charte de confidentialité des données personnelles disponible à l’adresse suivante : BNP Paribas - Charte de confidentialité des données personnelles.

Arval Luxembourg SA (“Nous”), en tant que responsable du traitementdes données, est responsable de la collecte et du traitement de vos données personnelles dans le cadre de ses activités.

Notre métier est de proposer à nos clients (particuliers, entrepreneurs, PME (Petites et Moyennes Entreprises) et grandes entreprises) une offre étendue de solutions de leasing de véhicules et de mobilité

En tant que membre d’un Groupe intégré de banque-assurance en collaboration avec les différentes entités du Groupe BNP Paribas, nous fournissons à nos clients une offre complète de produits et services de banque, d’assurance et de location (LOA, LLD).

L’objectif de la présente notice est de vous expliquer comment nous traitons vos données personnelles et comment vous pouvez les contrôler et les gérer.

  1. ÊTES-VOUS CONCERNÉS PAR CETTE NOTICE ?

Vous êtes concernés par cette notice, si vous êtes (“Vous”) :

  • un de nos clients ou en relation contractuelle avec nous  ;
  • un membre de la famille de notre client. En effet, nos clients peuvent parfois être amené à partager avec nous des informations portant sur leur famille lorsque cela est nécessaire pour leur fournir un produit ou service ou mieux les connaître ;
  • une personne intéressée par nos produits ou services dès lors que vous nous communiquez vos données personnelles (en agence, sur nos sites et applications, lors d’événements ou d’opérations de parrainage) pour que nous vous contactions.
  • un employé de nos clients corporate.

Si vous êtes un fournisseur externe ou un partenaire d'une entité d'Arval basée dans l'EEE / au Royaume-Uni / en Suisse, veuillez consulter notre Notice d’information sur la protection des données personnelles.

Lorsque vous nous fournissez des données personnelles relatives à d’autres personnes, n’oubliez pas de les informer de la communication de leurs données et inviter les à prendre connaissance de la présente Notice. Nous prendrons soin de faire de même dès lors que nous le pouvons (c’est à dire lorsque nous avons les coordonnées des personnes).

  1. COMMENT POUVEZ-VOUS CONTRÔLER LES TRAITEMENTS QUE NOUS REALISONS SUR VOS DONNÉES PERSONNELLES ?

Vous avez des droits qui vous permettent d’exercer un contrôle significatif sur vos données personnelles et la façon dont nous les traitons.

Si vous souhaitez exercer les droits décrits ci-dessous, merci de nous envoyer une demande par courrier postal adressé à Arval Luxembourg SA, DPO office, Arval Luxembourg S.A., 2, Rue Nicolas Bové L-1253 Luxembourg, RC B57655 ou en remplissant notre questionnaire Data Protection . Veuillez s’il vous plaît nous founir  un scan/copie de votre pièce d’identité lorsque cela est nécessaire.

Si vous avez des questions concernant l’utilisation de vos données personnelles en vertu de la présente Notice, veuillez contacter notre Délégué à la protection des données à l’adresse suivante :

  • le département RGPD d'Arval Luxembourg NV/SA par e-mail at privacy@arval.lu ou par courrier à l'adresse suivante : Arval Luxembourg, département RGPD,2, Rue Nicolas Bové L-1253 Luxembourg, ; ou
  • le délégué à la protection des données (DPD) par e-mail ou par courrier à l'adresse suivante : BGL BNP Paribas SA,  Délégué à la protection des données –50, avenue J-F Kennedy, L-2951 Luxembourg.

 

2.1 Vous pouvez demander l’accès à vos données personnelles

Si vous souhaitez avoir accès à vos données personnelles, nous vous fournirons une copie des données personnelles sur lesquelles porte votre demande ainsi que les informations se rapportant à leur traitement.

Votre droit d’accès peut se trouver limité lorsque la réglementation le prévoit. C’est le cas de la réglementation relative à la lutte contre le blanchiment des capitaux et le financement du terrorisme qui nous interdit de vous donner directement accès à vos données personnelles traitées à cette fin. Dans ce cas, vous devez exercer votre droit d’accès auprès de la Commission nationale pour la protection des données (CNPD)- https://cnpd.public.lu/fr/particuliers/faire-valoir.html, qui nous interrogera.

 

2.2 Vous pouvez demander la rectification de vos données personnelles

Si vous considérez que vos données personnelles sont inexactes ou incomplètes, vous pouvez demander qu’elles soient modifiées ou complétées. Dans certains cas, une pièce justificative pourra vous être demandée.

 

2.3 Vous pouvez demander l’effacement de vos données personnelles

Si vous le souhaitez, vous pouvez demander la suppression de vos données personnelles dans les limites autorisées par la loi.

 

2.4 Vous pouvez vous opposer au traitement de vos données personnelles fondé sur l’intérêt légitime

Si vous n’êtes pas d’accord avec un traitement fondé sur l’intérêt légitime, vous pouvez vous opposer à celui-ci, pour des raisons tenant à votre situation particulière, en nous indiquant précisément le traitement concerné et les raisons. Nous ne traiterons plus vos données personnelles sauf à ce qu’il existe des motifs légitimes et impérieux de les traiter ou que celles-ci sont nécessaires à la constatation, l’exercice ou la défense de droits en justice.

 

2.5 Vous pouvez vous opposer au traitement de vos données personnelles à des fins de prospection commerciale

Vous avez le droit de vous opposer à tout moment au traitement de vos données personnelles à des fins de prospection commerciale, y compris au profilage dans la mesure où il est lié à une telle prospection.

 

2.6 Vous pouvez suspendre l’utilisation de vos données personnelles

Si vous contestez l’exactitude des données que nous utilisons ou que vous vous opposez à ce que vos données soient traitées, nous procéderons à une vérification ou à un examen de votre demande. Pendant le délai d’étude de votre demande, vous avez la possibilité de nous demander de suspendre l’utilisation de vos données.

 

2.7. Vous avez des droits face à une décision automatisée

Par principe, vous avez le droit de ne pas faire l’objet d’une décision entièrement automatisée fondée sur un profilage ou non qui a un effet juridique ou vous affecte de manière significative. Nous pouvons néanmoins automatiser ce type de décision si elle est nécessaire à la conclusion/à l'exécution d'un contrat conclu avec nous, autorisée par la réglementation ou si vous avez donné votre consentement.

En toute hypothèse, vous avez la possibilité de contester la décision, d’exprimer votre point de vue et de demander l’intervention d’un être humain qui puisse réexaminer la décision.

 

2.8. Vous pouvez retirer votre consentement

 

Si vous avez donné votre consentement au traitement de vos données personnelles vous pouvez retirer ce consentement à tout moment.

 

2.9. Vous pouvez demander la portabilité d’une partie de vos données personnelles

Vous pouvez demander à récupérer une copie des données personnelles que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine. Lorsque cela est techniquement possible, vous pouvez demander à ce que nous transmettions cette copie à un tiers.

 

2.10 Comment déposer une plainte auprès de l’Autorité de protection des données ?

En plus des droits mentionnés ci-dessus, vous pouvez introduire une réclamation auprès de l’autorité de contrôle compétente, qui est le plus souvent celle de votre lieu de résidence, l’Autorité de protection des données.

 

  1. POURQUOI ET SUR QUELLE BASE LEGALE UTILISONS-NOUS VOS DONNÉES PERSONNELLES ?

L’objectif de cette section est de vous expliquer pourquoi nous traitons vos données personnelles et sur quelle base légale nous nous reposons pour le justifier.

 

3.1 Vos données personnelles sont traitées pour nous conformer à nos différentes obligations légales

 

Vos données personnelles sont traitées lorsque cela est nécessaire pour nous permettre de respecter les réglementations auxquelles nous sommes soumis, notamment les réglementations bancaires et financières.

 

3.1.1 Nous utilisons vos données personnelles pour :

 

  • gérer et déclarer les risques (de nature financière, de crédit, de nature juridique, de conformité ou liés à la réputation, etc.) auxquels le Groupe BNP Paribas est susceptible d’être confronté dans le cadre ses activités ;
  • contribuer à la lutte contre la fraude fiscale et satisfaire nos obligations de notification et de contrôle fiscal ;
  • enregistrer les opérations à des fins comptables ;
  • prévenir, détecter et déclarer les risques liés à la Responsabilité Sociale de l’Entreprise et au développement durable ;
  • détecter et prévenir la corruption ;
  • respecter les dispositions applicables aux prestataires de service de confiance délivrant des certificats de signature électronique ;
  • échanger et signaler différentes opérations, transactions ou demandes ou répondre à une demande officielle émanant d’une autorité judiciaire, pénale, administrative, fiscale ou financière locale ou étrangère dûment autorisée, un arbitre ou un médiateur, des autorités chargées de l’application de la loi, d’organes gouvernementaux ou d’organismes publics.

 

3.1.2 Nous traitons aussi vos données personnelles pour lutter contre le blanchiment d’argent et le financement du terrorisme

Nous appartenons à un Groupe bancaire qui doit disposer d’un système robuste de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB/FT) au niveau de nos entités, et piloté au niveau central, ainsi que d’un dispositif permettant d’appliquer les décisions de sanctions aussi bien locales, qu’européennes ou internationales.

Dans ce contexte, nous sommes responsables de traitement conjoints avec BNP Paribas SA, maison mère du Groupe BNP Paribas (le terme « nous » dans la présente section englobe également BNP Paribas SA).

Les traitements mis en œuvre pour répondre à ces obligations légales sont détaillées en annexe 1.

 

3.2 Vos données personnelles sont traitées pour exécuter un contrat auquel vous êtes partie ou des mesures précontractuelles prises à votre demande

Vos données personnelles sont traitées lorsqu’elles sont nécessaires à la conclusion ou l’exécution d’un contrat pour :

  • définir votre score de risque de crédit et votre capacité de remboursement ;
  • évaluer (par exemple sur la base de votre score de risque de crédit) si nous pouvons vous proposer un produit ou un service et à quelles conditions (par exemple le prix) ;
  • vous fournir les produits et services souscrits conformément au contrat applicable ;
  • vous fournir des produits, des services, des installations spécifiques (par ex. des bornes de recharge électrique) ou des solutions de mobilité;
  • conclure un contrat avec vous. Nous pouvons traiter des données à caractère personnel afin de vous enregistrer en tant que nouveau client, de conclure un contrat avec vous et de l’exécuter;
  • gérer la facturation et le recouvrement;
  • vous fournir des services relatifs à la préparation, à la livraison ou à l’utilisation et à la gestion des Véhicules:
  • configurer et établir un devis pour votre Véhicule;
  • livrer votre Véhicule sur le lieu de votre choix, éventuellement avec des équipements liés à des dispositifs de recharge électrique du Véhicule, en collaboration avec des prestataires sélectionnés;
  • à des fins d’assurance; 
  • les campagnes de rappel des FEO en cas de défaut;
  • fournir des rapports;
  • gérer les taxes de circulation;
  • fournir des services de conseil;
  • gérer l’entretien, les pannes, les inspections du véhicule, les demandes de réparations de sinistres concernant les Véhicules;
  • fournir une assistance routière;
  • fournir un véhicule de remplacement en cas de besoin:
  • vous fournir une carte carburant (pour payer votre carburant), des cartes de mobilité (pour recharger votre Véhicule électrique);
  • vous fournir d’autres solutions de mobilité souscrites dans le cadre du contrat applicable;
  • vous sensibiliser à l’impact de votre conduite sur l’environnement ou vous aider à conduire de manière plus sécurisée;
  • gérer les amendes de circulation et de stationnement et les infractions liées à l’utilisation du Véhicule dans le cadre du service "Gestion des amendes", dans les mesures autorisées par la loi;
  • vous donner accès à nos plateformes numériques. Nous pouvons traiter des données à caractère personnel lorsque vous utilisez nos plateformes numériques à certaines fins (par exemple pour gérer vos informations personnelles, les données liées aux Véhicules ou pour accéder à des informations sur les trajets);
  • vous donner accès aux locaux et aux biens d’Arval. Nous pouvons traiter des données à caractère personnel lorsque vous nous rendez visite dans nos locaux, et ce afin de maintenir des contrôles d’accès et de sécurité appropriés;
  • communiquer avec vous. Nous pouvons traiter des données à caractère personnel lorsque vous souhaitez nous contacter, lorsque vous nous demandez des informations sur notre société ou nos services ou lorsque votre contrat doit être mis à jour;
  • gérer les dettes existantes (identification des clients en situation d’impayé) ;
  • répondre à vos demandes et vous assister dans vos démarches ;
  • gérer la fin du contrat.

 

3.3 Vos données personnelles sont traitées pour répondre à notre intérêt légitime ou celui d’un tiers

Lorsque nous fondons un traitement sur l’intérêt légitime, nous opérons une pondération entre cet intérêt et vos intérêts ou vos libertés et droits fondamentaux pour nous assurer qu’il y a un juste équilibre entre ceux-ci. Si vous souhaitez obtenir plus de renseignements sur l’intérêt légitime poursuivi par un traitement, veuillez nous contacter à privacy@arval.lu 

 

3.3.1 Dans le cadre de notre activité de de prestataire de service de mobilité, nous utilisons vos données personnelles pour :

 

3.3.1.1 Si vous êtes client private lease ou prospect :

 

  • Gérer les risques auxquels nous sommes exposés :
    • nous conservons la preuve d’opérations ou de transactions, y compris sous format électronique ;
    • nous surveillons vos transactions pour gérer, prévenir et détecter les fraudes ;
    • nous effectuons le recouvrement des dettes ;
    • nous traitons les réclamations légales et les éléments de défense en cas de litige ;
    • nous développons des modèles statistiques individuels afin de faciliter la définition de votre capacité d’emprunt. 
  • Réaliser des opérations financières telles que les ventes de portefeuilles de dettes, les titrisations, le financement ou le refinancement du Groupe BNP Paribas.

 

3.3.1.2 Pour toutes les catégories de personnes concernées :

  • Améliorer la cybersécurité, gérer nos plateformes et sites internet, et assurer la continuité des activités.
  • Implémenter des solutions informatiques;
  • Maintenir les systèmes d’information dans des conditions opérationnelles;
  • Prévenir les dommages corporels et les atteintes aux personnes et aux biens via la vidéosurveillance.
  • Améliorer l’automatisation et l’efficacité de nos processus opérationnels et nos services à la clientèle (ex. remplissage automatique des plaintes, suivi de vos demandes et amélioration de votre satisfaction sur la base des données collectées lors de nos intéractions avec vous comme les enregistrements téléphoniques, les courriels ou les chats).
  • Vous accompagner dans la gestion de votre budget par la catégorisation automatique de vos données de transactions
  • Vendre les véhicules usagés ;
  • Faire des études statistiques et développer des modèles prédictifs et descriptifs à des fins :
    • commerciales : pour identifier les produits et services que nous pourrions vous offrir pour répondre au mieux à vos besoins, pour créer de nouvelles offres ou identifier de nouvelles tendances chez nos clients, pour développer notre politique commerciale en tenant compte des préférences de nos clients
    • de sécurité: pour prévenir les potentiels incidents et amléiorer la gestion de la sécurité  ;
    • de conformité (telle que la lutte contre le blanchiment de capitaux et le financement du terrorisme) et de gestion des risques ;
    • de lutte contre la fraude.
  • Organiser des jeux concours, des loteries, des opérations promotionnelles, effectuer des enquêtes d’opinion et de satisfaction des clients.

 

3.3.1.3 Si vous êtes employé de l'un de nos clients corporate :

 

  • Vous fournir des services relatifs à la préparation, à la livraison ou à l’utilisation et à la gestion des Véhicules, y compris:
    • configurer et établir un devis pour votre Véhicule;
    • livrer votre Véhicule sur le lieu de votre choix, éventuellement avec des équipements liés à des dispositifs de recharge électrique du Véhicule, en collaboration avec des prestataires sélectionnés;
    • assister les FEO lors des campagnes de rappel en cas de défaut;
    • assurer la réparation, l’entretien et le remplacement des pneus du Véhicule;
    • gérer les accidents et les assurances;
    • pour l’assistance routière;
  • Vous fournir une carte carburant (pour payer votre carburant), des cartes de mobilité (pour vous offrir des solutions de mobilité multiples);
  • Vous sensibiliser à l’impact de votre conduite sur l’environnement ou vous aider à conduire de manière plus sécurisée;
  • Gérer les amendes de circulation et de stationnement et les infractions liées à l’utilisation du Véhicule dans le cadre du service "Gestion des amendes", dans les mesures autorisées par la loi;
  • Gérer nos comptes clients, gérer la relation contractuelle avec les clients qui vous emploient ou vous tenir informé de l’évolution de nos services;
  • Fournir à nos clients des services de gestion de flotte en relation avec l'utilisation habituelle des Véhicules (kilomètres parcourus, consommation de carburant ou d’énergie alternative, etc.);
  • Vous donner accès à nos plateformes numériques. Nous pouvons traiter des données à caractère personnel lorsque vous utilisez nos plateformes numériques à certaines fins (par exemple pour gérer vos informations personnelles, les données liées aux Véhicules ou pour accéder à des informations sur les trajets);
  • Piloter la résolution des contentieux, vous assister et répondre à vos demandes et réclamations;
  • Vous donner accès aux locaux et aux biens d’Arval. Nous pouvons traiter des données à caractère personnel lorsque vous nous rendez visite dans nos locaux, et ce afin de maintenir des contrôles d’accès et de sécurité appropriés;
  • Communiquer avec vous. Nous pouvons traiter des données à caractère personnel lorsque vous souhaitez nous contacter, lorsque vous nous demandez des informations sur notre société ou nos services ou lorsque votre contrat doit être mis à jour;
  • Fournir des rapports à nos clients;
  • Gérer les taxes de circulation;
  • Fournir des services de conseil à nos clients;
  • Gérer la facturation,
  • Gérer la fin du contrat.

 

3.3.2 Nous utilisons vos données personnelles pour vous envoyer des offres commerciales par voie électronique, courrier papier et téléphone

En tant qu'entité du Groupe BNP Paribas, nous voulons être en mesure de vous offrir l'accès à l’ensemble de notre gamme de produits et services répondant le mieux à vos besoins.

Dès lors que vous êtes client et sauf opposition de votre part, nous pourrons vous adresser ces offres par voie électronique pour nos produits et services et ceux du Groupe dès lors qu’ils sont similaires à ceux que vous avez déjà souscrits.

Nous veillons à ce que ces offres commerciales portent sur des produits ou services en lien avec vos besoins et complémentaires à ceux que vous avez déjà pour s’assurer du juste équilibre entre nos intérêts respectifs.

 

Nous pourrons aussi vous adresser par téléphone et courrier postal, sauf opposition de votre part, les offres concernant nos produits et services ainsi que ceux du Groupe et de nos partenaires de confiance.

 

3.3.3 Nous analysons vos données personnelles pour réaliser un profilage standard afin de personnaliser nos produits et nos offres

Pour améliorer votre expérience et votre satisfaction, nous avons besoin de déterminer à quel panel de clients vous appartenez. Pour cela, nous établissons un profil standard à partir des données pertinentes que nous sélectionnons parmi les informations :

  • que vous nous avez directement communiquées lors de nos interactions avec vous ou encore lors de la souscription d’un produit ou d’un service ;
  • qui résultent de votre utilisation de nos produits et services;
  • issue de votre utilisation de nos divers canaux : sites et applications (comme par exemple si vous êtes appétent au digital, si vous préférez un parcours client pour souscrire à un produit ou service avec plus d’autonomie (selfcare)) ;

Sauf opposition de votre part, nous réaliserons cette personnalisation basée sur une profilage standard. Nous pourrons aller plus loin pour mieux répondre à vos besoins, si vous y consentez, en réalisant une personnalisation sur mesure comme indiqué ci-dessous.

 

3.4 Vos données personnelles sont traitées si vous y avez consenti

Pour certains traitements de données personnelles, nous vous donnerons des informations spécifiques et vous demanderons votre consentement. Nous vous rappelons que vous pouvez retirer votre consentement à tout moment.

En particulier, nous vous demandons votre consentement pour :

  • Une personnalisation sur-mesure de nos offres et nos produits ou services basée sur des profilages plus sophistiqués permettant d’anticiper vos besoins et comportements ;
  • Toute offre par voie électronique portant sur des produits et services non similaires à ceux que vous avez souscrits ou des produits et services de nos partenaires de confiance ;
  • Utiliser vos données de navigation (cookies) à des fins commerciales ou pour enrichir la connaissance de votre profil.

 

D’autres consentements au traitement de vos données personnelles pourront vous être demandés lorsque cela est nécessaire.

 

 

  1. QUELS TYPES DE DONNÉES PERSONNELLES COLLECTONS-NOUS ?

Nous collectons et utilisons vos données personnelles, à savoir toute information qui vous identifie ou permet de vous identifier.

 

En fonction notamment du type de produit ou de service que nous vous fournissons et des échanges que nous avons avec vous, nous collectons différents types de données personnelles vous concernant.

 

Si vous êtes client private lease ou prospect, nous collectons :

  • Données d’identification : par exemple, nom complet, genre, lieu et date de naissance, nationalité, numéro de carte d’identité, numéro de passeport, numéro de permis de conduire, numéro d’immatriculation du véhicule, photo, signature  ;
  • Informations de contact : (privées ou professionnelles) adresse postale, adresse de courrier électronique, numéro de téléphone ;
  • Informations relatives à votre situation patrimoniale et vie de famille : par exemple, statut marital, régime matrimonial, nombre d’enfants et âge, étude ou emploi des enfants, composition du foyer, biens que vous possédez : appartement ou maison ;
  • Mode de vie : loisirs et centres d’intérêts, voyages, votre environnement (nomade, sédentaire)
  • Informations économiques, financières et fiscales : par exemple, identifiant fiscal, statut fiscal, pays de résidence, salaire et autres revenus, montant de vos actifs ;
  • Informations relatives à l’éducation et à l’emploi : par exemple, niveau d’étude, emploi, nom de l’employeur et rémunération ;
  • Informations bancaires et financières en lien avec les produits et services que vous détenez : par exemple, coordonnées bancaires, produits et services détenus et utilisés (crédit, assurance, épargne et investissements, leasing, protection habitation), numéro de carte, virements de fonds, patrimoine, profil d’investisseur déclaré, antécédents de crédit, incidents de paiement ;
  • Données de transaction : transactions comprenant les données relatives aux bénéficiaires dont leurs noms complets, adresses et coordonnées ainsi que les détails des transactions bancaires, montant, date, heure et type de transaction (carte bancaire, virement, chèque, prélèvement automatique) ;
  • Données relatives à vos habitudes et préférences en lien avec l’utilisation de nos produits et services ;
  • Données collectées dans le cadre de nos interactions avec vous :  vos commentaires, suggestions, besoins collectés lors de nos échanges avec vous en physique dans nos Agences (comptes rendus) et en ligne lors de communications téléphoniques (conversation), discussion par courrier électronique, chat, chatbot, échanges sur nos pages sur les réseaux sociaux et vos dernières réclamations/plaintes. Vos données de connexion et de suivi telles que les cookies et traceurs à des fins non publicitaires ou analytiques sur nos sites Internet, nos services en ligne, nos applications, nos pages sur les réseaux sociaux ;
  • Données du système de vidéoprotection (dont les caméras de vidéosurveillance) et de géolocalisation : par exemple les lieux des retraits ou des paiements à des fins de sécurité, ou afin de déterminer la localisation de l’agence ou du prestataire de services le plus proche de vous ;
  • Données concernant vos appareils (téléphone portable, ordinateur, tablette, etc.) : adresse IP, caractéristiques techniques et données d’identification uniques ;
  • Identifiants de connexion ou dispositifs de sécurité personnalisés utilisés pour vous connecter au site Internet et aux applications d’Arval.

 

Si vous êtes employé de l'un de nos clients corporate / prospects, nous collectons :

  • des informations d’identification: par ex. nom complet, sexe, lieu et date de naissance, nationalité, numéro de carte d’identité, numéro de passeport, numéro de permis de conduire, numéro d’immatriculation du véhicule, photographie, signature);
  • des coordonnées: adresse postale (privée ou professionnelle), adresse e-mail, numéro de téléphone;
  • des informations sur le style de vie: loisirs et intérêts, voyages, votre environnement (nomade, sédentaire);
  • des données relatives à vos habitudes et préférences d’utilisation de nos produits et services;
  • des données recueillies à partir de nos interactions avec vous: par ex. vos commentaires, suggestions, besoins recueillis lors de nos échanges avec vous en personne dans nos agences (rapports) et en ligne pendant les communications téléphoniques (conversations), discussions par e-mail, chat, chatbot, échanges sur nos pages de réseaux sociaux et vos dernières réclamations, vos données de connexion et de suivi, comme celles des cookies et traceurs à des fins non publicitaires ou analytiques sur nos sites web, services en ligne, applications, pages de réseaux sociaux;
  • des données de vidéoprotection (notamment de CCTV) et de géolocalisation: par ex. indiquant les emplacements des retraits ou des paiements, pour des raisons de sécurité, ou pour identifier l’emplacement de l’agence ou des prestataires de services les plus proches pour vous;
  • des données relatives à vos appareils (GSM, ordinateur, tablette, etc.): adresse IP, caractéristiques techniques et données d’identification unique;
  • des identifiants de connexion personnalisés ou des fonctionnalités de sécurité utilisées pour vous connecter au site web et aux applications Arval.

 

Que vous soyez un client private lease ou un employé de l'un de nos clients corporate, Nous pouvons collecter des données sensibles telles que des données de santé, des données biométriques, ou des données relatives aux infractions pénales, dans le respect des conditions strictes définies par les réglementations en matière de protection des données.

 

  1. AUPRES DE QUI COLLECTONS-NOUS DES DONNÉES PERSONNELLES ?

Nous collectons des données personnelles directement auprès de vous, cependant nous pouvons aussi collecter des données personnelles d’autres sources.

 

Nous collectons parfois des données provenant de sources publiques :

  • des publications/bases de données mises à disposition par des autorités ou des tierces parties officielles (par exemple le Journal Officiel de la République Française, le Registre du Commerce et des Sociétés, les bases de données gérées par des autorités de contrôle du secteur financier) ;
  • des sites Internet/pages des réseaux sociaux d’entités juridiques ou de clients professionnels contenant des informations que vous avez rendues publiques (par exemple, votre propre site Internet ou votre page sur un réseau social) ;
  • des informations publiques telles que celles parues dans la presse.

 

Nous collectons aussi des données personnelles de tierces parties :

  • d’autres entités du Groupe BNP Paribas ;
  • de nos clients (entreprises ou particuliers) ;
  • de nos partenaires commerciaux (y compris des constructeurs et des concessionnaires automobiles) ;
  • de prestataires de services d’initiation de paiement et d’agrégateurs de compte (prestataires de services d’information sur les comptes) ;
  • des tiers tels que les agences de référence de crédit et les agences de prévention de la fraude ;
  • des courtiers de données qui sont chargés de s’assurer qu’ils recueillent des informations pertinentes de manière légale.

 

  1. AVEC QUI PARTAGEONS-NOUS VOS DONNÉES PERSONNELLES ET POURQUOI?

6.1 Avec les entités du Groupe BNP Paribas

En tant que société membre du Groupe BNP Paribas, nous collaborons étroitement dans le monde entier avec les autres sociétés du groupe. Vos données personnelles pourront ainsi être partagées entre les entités du Groupe BNP Paribas, lorsque c’est nécessaire, pour :

  • nous conformer à nos différentes obligations légales et réglementaires décrites précédemment.
  • répondre à nos intérêts légitimes qui sont :
  • de gérer, prévenir, détecter les fraudes ;
  • faire des études statistiques et développer des modèles prédictifs et descriptifs à des fins commerciales, de sécurité, de conformité, de gestion des risques et de lutte contre la fraude ;
    • améliorer la fiabilité de certaines données vous concernant détenues par d’autres entités du Groupe ;
    • de vous offrir l’accès à l’ensemble des produits et services du Groupe répondant le mieux à vos envies et besoins ;
    • de personnaliser le contenu et les prix des produits et services ;

 

Pour les clients assurés auprès de Greenval Insurance DAC ("Greenval"), vos données peuvent être partagées avec Greenval agissant en tant que responsable du traitement, aux fins de la gestion par Greenval des demandes d'indemnisation, des polices et des primes d'assurance. Pour plus d'informations sur la manière dont Greenval traite vos données personnelles, veuillez consulter la politique de protection des données de Greenval ici.

Vos données personnelles peuvent également être partagées entre les sociétés du Groupe Arval afin de mener des études statistiques et de développer des modèles prédictifs et descriptifs à des fins commerciales, de sécurité, de conformité, de gestion des risques et de lutte contre la fraude.

Dans ce contexte, Nous et ces autres sociétés du Groupe Arval pouvons agir en tant que co-responsables du traitement des données au moyen d’un outil commun, grâce auquel il existe un accès partagé et une utilisation mutuelle des données à caractère personnel des clients et des conducteurs.

Les personnes concernées peuvent soumettre leurs demandes relatives aux droits des personnes concernées à l’un ou l’autre des co-responsables du traitement des données. Les co-responsables du traitement s’informent mutuellement de ces demandes et se soutiennent pour y répondre.

Le traitement est fondé sur l’intérêt légitime des coresponsables du traitement d’améliorer leurs produits et services en menant de telles études statistiques.

 

6.2 Avec des destinataires, tiers au groupe BNP Paribas et des sous-traitants

Afin de réaliser certaines des finalités décrites dans la présente Notice, nous sommes susceptibles lorsque cela est nécessaire de partager vos données personnelles avec :

  • des sous-traitants qui réalisent des prestations pour notre compte par exemple des services informatiques, des services d’impression, de télécommunication, de recouvrement, de conseil, de distribution et de marketing ;
  • des partenaires bancaires et commerciaux, des agents indépendants, des intermédiaires ou des courtiers, des institutions financières, des contreparties, des référentiels centraux avec qui nous avons des liens si un tel transfert est nécessaire pour vous fournir des services ou des produits ou pour satisfaire à nos obligations contractuelles ou mener à bien des transactions (par exemple des banques, des banques correspondantes, des dépositaires, des émetteurs de titres, des agents payeurs, des plates-formes d’échange, des compagnies d’assurances, des opérateurs de système de paiement, des émetteurs ou des intermédiaires de cartes de paiement, les sociétés de caution mutuelle ou organisme de garantie financière) ;
  • des autorités financières, fiscales, administratives, pénales ou judiciaires, locales ou étrangères, des arbitres ou des médiateurs, des autorités ou des établissements ou institutions publics (tels que la Banque de France, la Caisse des dépôts et des Consignation), à qui nous ou tout membre du Groupe BNP Paribas sommes tenus de divulguer des données :
    • à leur demande ;
    • dans le cadre de notre défense, une action ou une procédure ;
    • afin de nous conformer à une réglementation ou une recommandation émanant d’une autorité compétente à notre égard ou à l’égard de tout membre du Groupe BNP Paribas ;
  • des prestataires de services de paiement tiers (informations concernant vos comptes bancaires), pour les besoins de la fourniture d’un service d’initiation de paiement ou d’information sur les comptes si vous avez consenti au transfert de vos données à cette tierce partie 
  • certaines professions réglementées telles que des avocats, des notaires, ou des commissaires aux comptes lorsque des circonstances spécifiques l’imposent (litige, audit, etc.) ainsi qu’à nos assureurs ou tout acheteur actuel ou potentiel des sociétés ou des activités du Groupe BNP Paribas.

 

  1. TRANSFERTS INTERNATIONAUX DE DONNÉES PERSONNELLES

En cas de transferts internationaux depuis l’Espace économique européen (EEE) vers un pays n’appartenant pas à l’EEE, le transfert de vos données personnelles peut avoir lieu sur la base d’une décision rendue par la Commission européenne, lorsque celle-ci a reconnu que le pays dans lequel vos données seront transférées assure un niveau de protection adéquat. En cas de transfert de vos données vers un pays dont le niveau de protection de vos données n’a pas été reconnu comme adéquat par la Commission européenne, soit nous nous appuierons sur une dérogation applicable à la situation spécifique (par exemple, si le transfert est nécessaire pour exécuter un contrat conclu avec vous, comme notamment lors de l’exécution d’un paiement international) ou nous prendrons l’une des mesures suivantes pour assurer la protection de vos données personnelles :

  • des clauses contractuelles types approuvées par la Commission européenne ;
  • des règles d’entreprise contraignantes.

 

Pour obtenir une copie de ces mesures visant à assurer la protection de vos données ou recevoir des détails relatifs à l’endroit où elles sont accessibles, vous pouvez nous adresser une demande écrite à privacy@arval.lu

 

  1. PENDANT COMBIEN DE TEMPS CONSERVONS-NOUS VOS DONNÉES PERSONNELLES ?

Nous conserverons vos données personnelles pendant la période requise pour nous conformer aux lois et règlements applicables ou une autre période en ce qui concerne nos exigences opérationnelles, telles que la bonne tenue des comptes, la facilitation de la gestion de la relation client et la réponse aux réclamations légales ou aux demandes réglementaires.

 

Par exemple :

  • Gérer et signaler les risques, surveiller les opérations et les transactions afin d'identifier les écarts, prévenir et détecter les fraudes et remplir les obligations de contrôle fiscal et de notification - 10 ans après la fin des contrôles internes.
  • KYC (Know Your Customer) - Effectuer une analyse et un contrôle KYC des clients (entreprises et utilisateurs physiques) avant la signature d'un contrat et les classer en fonction du risque - 10 ans après la fin de la relation contractuelle avec le client.
  • Traitement du risque de crédit pour constituer et suivre un dossier de risque de crédit pour chaque client, gérer l'analyse du risque de crédit et décider des mesures à prendre pour le recouvrement du crédit - 10 ans après la fin de la relation contractuelle avec le client
  • Facture / Billing - Enregistrer les transactions à des fins comptables et se conformer aux obligations légales en matière de sécurité financière - 7 ans  à compter du 1er janvier de l'année suivant la date de facturation .
  • Sinistres - Pour la gestion des accidents de véhicules et à des fins d'assurance - 5 ans après la fin de la relation contractuelle avec le client.
  • Amendes - Gérer les amendes de circulation et de stationnement et les infractions liées à l'utilisation du véhicule dans le cadre du service " Gestion des amendes " dans la mesure où cela est légalement autorisé - 5 ans  après la date de l’amende
  • Améliorer l'efficacité de nos processus et services en cas de plainte - 5 ans après la fin de la relation contractuelle avec notre client.
  • Collecter tous les leads B2C/B2B2C et faire une offre – 1 an après la date du dernier contact pour les clients rétail (les cleints private lease, et les clients PME, les professions libérales, et les indépendants) - 3 ans après la date du dernier contact pour les clients corporate.
  • Fournir aux clients les produits et services souscrits pour les services liés à la préparation, la livraison ou l'utilisation des véhicules - 10 ans après la fin de la relation contractuelle avec le client
  • Recherche & Développement afin de mener des études statistiques et de développer des modèles prédictifs - Durée du projet R&D

 

  1. COMMENT SUIVRE LES ÉVOLUTIONS DE CETTE NOTICE DE PROTECTION DES DONNÉES PERSONNELLES ?

Dans un monde où les technologies évoluent en permanence, nous revoyons régulièrement cette Notice et la mettons à jour si besoin.

 

Nous vous invitons à prendre connaissance de la dernière version de ce document en ligne, et nous vous informerons de toute modification significative par le biais de notre site Internet ou via nos canaux de communication habituels.

 

  1. COMMENT MA VIE PRIVÉE EST-ELLE PROTÉGÉE QUAND JE DISPOSE D'UN VEHICULE A MOTEUR CONNECTÉE ARVAL ?

Nos Véhicules peuvent être équipés d’un boitier télématique installé par le constructeur et/ou installé par Arval. Dans ce cas, nous sommes susceptibles de collecter et exploiter des données personnelles via le boitier télématique (ci-après « Connected Vehicle»).

 Vous serez informé si  vous avez un « Connected Vehicle »  :

  • lorsque la mention « Connected Vehicle» apparait dans la liste d’option de la confirmation de la commande, ou dans la liste d’option de l’attestation de livraison, ou via un sticker apposé sur le pare-brise(ici il s’agit d’un boîtier Arval)
  • lorsque vous avez reçu une communication de la part d’Arval vous indiquant que nous collectons des données personnelles via le boitier télématique (ici il s’agit d’un boîtier constructeur).

Arval collecte et exploite certaines données à caractère personnel tel qu’indiquée dans le tableau ci-dessous, dans son intérêt légitime. Les finalités des traitements de données personnelles et la durée de conservation ne dépasseront pas les indications ci-dessous.

Les données GPS sont utilisées par le dispositif télématique dans le but limité de calculer le kilométrage du véhicule. Toutefois, Arval n'accède pas aux données GPS , sauf pour les raisons spécifiques énoncées dans le tableau ci-dessous (par exemple, en cas de vol du véhicule).

 

DONNÉES

FINALITÉS

DURÉE DE CONSERVATION

Kilométrage au compteur à chaque fin de journée

  • Optimiser la gestion des véhicules avant, après et entre les contrats de location
  • Proposition proactive d'adaptation du contrat de leasing individuel (durée et/ou kilométrage)
  • Pour les véhicules loués par les clients corporate : préparer des analyses commerciales pour les entreprises clientes et les conseiller sur l'utilisation de la flotte et les possibilités d'électrification

Durée du contrat + 1 an

Les données, c'est-à-dire le volume de carburant, le montant de la transaction, le type de carburant, le numéro d'identification du véhicule

  • Calculer la consommation de carburant et les émissions de CO2
  • Pour les véhicules loués par les clients corporate : préparer des analyses commerciales pour les entreprises clientes et les conseiller sur l'utilisation de la flotte et les possibilités d'électrification

Durée du contrat + 1 an

Dernier niveau d'énergie (carburant ou batterie)

  • Calculer la consommation de carburant et les émissions de CO2
  • Pour les véhicules loués par les clients corporate : préparer des analyses commerciales pour les entreprises clientes et les conseiller sur l'utilisation de la flotte et les possibilités d'électrification.

Durée du contrat + 1 an

  • Prochaines dates d’entretien (le cas échéant)
  • Alertes du tableau de bord du véhicule
  • DTC (Diagnostic Trouble Code I Code d’erreur de diagnostic) alertes techniques(le cas échéant)
  • Pour les Véhicules Electriques: état de santé de la batterie
  • Proposition proactive d'adaptation du contrat de leasing individuel (durée et/ou kilométrage)
  • Entretien proactif du Véhicule à Moteur (alerte indiquant la prochaine révision et/ou le prochain entretien du Véhicule à Moteur)
  • Détection d'une altération de l'affichage du kilométrage au compteur

Durée du contrat + 1 an

  • En cas de vol de la voiture : collecte des positions de géolocalisation une fois la plainte officielle complétée
  • En cas de
    (dette douteuse, détournement) : collecte des positions de géolocalisation une fois la plainte officielle complétée
  • Optimiser la gestion des réclamations 
  • Augmenter le taux de récupération des véhicules volés
  • Augmenter le taux de récupération des véhicules
  • Géolocalisation des données  collectée et stockée jusqu’à la clôture de la plainte pour vol, puis immédiatement supprimées
  • Géolocalisation des données collectée et stockée jusqu’à la clôture de la plainte, puis immédiatement supprimées
  • Données sur les trajets : Horodatage de départ et d'arrêt, kilométrage, temps de conduite, type de route (urbaine, route, autoroute), niveau et consommation de carburant, niveau de batterie pour les véhicules électriques, type d'environnement (jour, nuit, crépuscule)
  • Événements de conduite par trajet (freinage violent, virage, changement de voie brutal, vitesse, gaspillage d'énergie au freinage, accélération brutale, marche au ralenti) et scores calculés associés

 

Ces données sont pseudonymisées* dans un délai d'un à deux mois après leur collecte et, en tout état de cause, avant toute utilisation par Arval aux fins énumérées dans la colonne suivante.

  • Améliorer la connaissance des véhicules
    • Mieux comprendre les performances des modèles de véhicules et les coûts d'entretien
    • Mieux identifier les produits de mobilité en fonction des modèles d'utilisation et de l'activité.
  • Recherche et développement en relation avec :
    • Le conseil : Transition énergétique, benchmark, corrélation entre les conditions d'utilisation des véhicules à moteur et les composantes du TCO / carburant et autres énergies ou consommations
    • Assurance : compréhension des usages, offre segmentée
    • Maintenance : gestion du temps de fonctionnement, amélioration des processus opérationnels, maintenance préventive/proactive, réduction des coûts des pneus et optimisation de leur utilisation, optimisation des coûts (huile, plaquettes de frein, etc...), défauts potentiels des batteries, évaluation du kilométrage en fin de contrat, réparations, etc...
    • Marketing : compréhension de l'usage, opportunités d'offres segmentées
  • Réalisation de statistiques de sinistralité afin de
    • trouver la corrélation entre le niveau de risque (accidents de voiture) et les habitudes d'utilisation (à des fins d'assurance)
    • mieux identifier les produits de mobilité en fonction des habitudes d'utilisation et de l'activité
  • Réaliser des statistiques de consommation de carburant afin de
    • améliorer la qualité du service fourni au locataire et
    • fournir des conseils sur le choix des véhicules (véhicule pertinent pour un usage donné en fonction de l'activité du véhicule, de la consommation de carburant, du contexte de conduite)

> 2 ans

*"Pseudonymisation" signifie le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.

 

Si votre employeur a souscrit à Arval Connect, votre employeur, en tant que responsable du traitement des données, vous informera des activités de traitement effectuées pour ses propres besoins.

 

 

Annexe 1 Traitement des données personnelles pour lutter contre le blanchiment d’argent et le financement du terrorisme

Nous appartenons à un Groupe bancaire qui doit disposer d’un système robuste de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB/FT) au niveau des entités, piloté au niveau central, d’un dispositif de lutte contre la corruption, ainsi que d’un dispositif permettant le respect des Sanctions internationales (il s’agit de toutes les sanctions économiques ou commerciales, y compris toutes les lois, les règlements, mesures de restriction, embargo ou gel des avoirs, décrétés, régis, imposés ou mis en œuvre par la République Française, l’Union européenne, le US departement of the Treasury’s Office of Foreign Asset Control, et toute autorité compétente dans le territoire où nous sommes établis).

Dans ce contexte, nous sommes responsables de traitement conjoints avec BNP Paribas SA, maison mère du Groupe BNP Paribas (le terme « nous » utilisé dans la présente section englobe donc également BNP Paribas SA).

A des fins de LCB/FT et de respect des Sanctions internationales, nous mettons en œuvre les traitements listés ci-après pour répondre à nos obligations légales :

  • Un dispositif de connaissance de la clientèle (KYC – Know Your Customer) raisonnablement conçu pour identifier, mettre à jour et confirmer l’identité de nos clients, y compris celle de leurs bénéficiaires effectifs et de leurs mandataires le cas échéant ;
  • Des mesures d’identification et de vérification renforcées des clients à risque élevé, des Personnes Politiquement Exposées « PPE » (les PPE sont des personnes désignées par la réglementation qui du fait de leurs fonctions ou position (politiques, juridictionnelles ou administratives ) sont plus exposées à ces risques) ainsi que des situations à haut risque ;
  • Des politiques et des procédures écrites, ainsi que des contrôles raisonnablement conçus pour s’assurer que la Banque n’entre pas en relation - ni ne maintient - de relation avec des Banques fictives ;
  • Une politique, basée sur son évaluation des risques et de la situation économique, consistant à ne généralement pas exécuter ou s’engager dans une activité ou relation d’affaires, quelle que soit la devise :
    • pour, pour le compte de, ou au bénéfice de toute personne, entité ou organisation faisant l’object de Sanctions par la République Française, l’Union européenne, les Etats-Unis, les Nations-Unies, ou, dans certains cas, d’autres sanctions locales dans les territoires dans lesquels le Groupe opère ;
    • impliquant, directement ou indirectement des territoires sous sanctions dont la Crimée/Sébastopol, Cuba, l’Iran, la Corée du Nord ou la Syrie ;
    • impliquant des institutions financières ou des territoires qui pourraient être liés à, ou contrôlés, par des organisations terroristes, reconnues en tant que telles par les autorités compétentes en France, au sein de l’Union européenne, des Etats-Unis ou de l’ONU.
  • Le filtrage de nos bases clients et des transactions, raisonnablement conçu pour assurer le respect des lois applicables ;
  • Des systèmes et processus visant à détecter les opérations suspectes, et effectuer les déclarations de soupçon auprès des autorités concernées ;
  • Un programme de conformité raisonnablement conçu pour prévenir et détecter la corruption et le trafic d’influence conformément à la loi « Sapin II », au U.S FCPA, et au UK Bribery Act.

 

 

Dans ce cadre, nous sommes amenés à faire appel :

  • à des services fournis par des prestataires externes tels que Dow Jones Factiva (fourni par Dow Jones & Company, Inc.) et le service World-Check (fourni par les prestataires REFINITIV, REFINITIV US LLC et London Bank of Exchanges) qui tiennent à jour des listes de PPE ;
  • aux informations publiques disponibles dans la presse sur des faits en lien avec le blanchiment d’argent, le financement du terrorisme ou des faits de corruption ;
  • à la connaissance d’un comportement ou d’une situation à risque (existence de déclaration de soupçons ou équivalent) qui peuvent être identifiés au niveau du Groupe BNP Paribas.

Nous procédons à ces contrôles lors de l’entrée en relation, mais également tout au long de la relation que nous entretenons avec vous, sur vous-même, mais également sur les transactions que vous réalisez. A l’issue de la relation et si vous avez fait l’objet d’une alerte, cette information sera conservée afin de vous identifier et d’adapter notre contrôle si vous entrez de nouveau en relation avec une entité du Groupe BNP Paribas, ou dans le cadre d’une transaction à laquelle vous êtes partie. 

Pour répondre à nos obligations légales, nous échangeons entre entités du Groupe BNP Paribas des informations collectées à des fins de LCB/FT, de lutte contre la corruption ou d’application des Sanctions internationales. Lorsque vos données sont échangées avec des pays hors de l’Espace Economique Européen ne présentant pas un niveau de protection adéquat, les transferts sont encadrés par les clauses contractuelles types de la Commission Européenne. Lorsque pour répondre à des réglementations de pays non-membres de l’UE, des données complémentaires sont collectées et échangées, ces traitements sont nécessaires pour permettre au Groupe BNP Paribas et à ses entités de respecter à la fois leurs obligations légales, et d’éviter des sanctions localement ce qui constitue notre intérêt légitime.

 

Annexe 2 Décisions automatisées, y compris le profilage

Si vous êtes un prospect d'Arval Private Lease, les données que vous fournissez dans le cadre de l'évaluation de votre solvabilité peuvent être (partiellement) traitées automatiquement par Arval et ses sous-traitants. Si un tel traitement automatique s'applique à vous, nous vous en informerons spécifiquement. Dans ce cas, si vous n'êtes pas d'accord avec cette prise de décision automatisée, vous pouvez contacter Arval ou le sous-traitant concerné. Votre demande sera alors (également) traitée manuellement par un employé.