Politique de confidentialité de Citiz dans la métropole de Rennes

1. Introduction

1.1. Contexte

La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental dont le régime juridique a été considérablement renforcé tant par le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) que par la Loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.

Citédia Métropole veille en permanence, en sa qualité de responsable de traitement, à la protection des données à caractère personnel et au respect des obligations qui s’imposent à elle pour la collecte, l’utilisation et la conservation de ces données.

Dans un souci de transparence et de strict respect de ses obligations, Citédia Métropole a adopté la présente politique de confidentialité afin d’informer l’ensemble des personnes concernées des principes d’utilisation et de protection des données à caractère personnel collectées qu’elle met en œuvre.

1.2. Fonction

Cette politique de confidentialité a pour rôle de présenter les engagements de Citédia Métropole dans la mise en œuvre du service d’autopartage en matière de traitement des données personnelles des visiteurs du site internet, prospects et clients. Elle doit permettre de comprendre quelles informations sont collectées, comment elles sont utilisées, selon quelles modalités elles sont traitées, et comment exercer ses droits.

1.3. Objectifs

Ce document vise à présenter ces informations de manière concise, transparente, compréhensible et aisément accessible conformément aux principes de transparence prévus par la réglementation. Il a pour but de permettre à chacun de comprendre facilement dans quelles conditions ses données personnelles sont traitées.

2. Références

Citédia Métropole s’engage à respecter les dispositions :

  • du Règlement Européen (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ;
  • de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles ;
  • de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par différents décrets dont le décret n° 2019-536 du 29 mai 2019.

3. La politique de confidentialité

3.1. Article 1 : le responsable de traitement

Les données à caractère personnelles sont traitées par Citédia Métropole, société publique locale (SPL) au capital de 800 000 euros dont le numéro d’immatriculation est le RCS RENNES 823 513 098.

3.2. Article 2 : la collecte des données à caractère personnel

Citédia Métropole informe les personnes concernées par les traitements de données à caractère personnel qu’elle met en œuvre lors de chaque collecte de données via des mentions d’information.

3.3. Article 3 : l’utilisation des données à caractère personnel

Lorsque Citédia Métropole est amenée à traiter des données, elle le fait pour des finalités spécifiques, en effet chaque traitement de données mis en œuvre est déterminé par une finalité légitime, déterminée et explicite.

Citédia Métropole s’engage à ne collecter et traiter que des données adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées.

3.4. Article 4 : les données à caractère personnel traitées par Citédia Métropole

On entend par données à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Les données à caractère personnel peuvent être recueillies directement auprès de la personne concernée. Mais ces données peuvent également être recueillies de manière indirecte.

Les catégories de données à caractère personnel ainsi recueillies par Citédia Métropole sont :

  • Données d’identification : prénom, nom, adresse postale, numéro de téléphone personnel, adresse électronique personnelle, numéro client, identifiants.
  • Données liées à la vie personnelle : permis de conduire, pièces d’identité, factures (nom, prénom, adresse postale, date et heure de location et nombre de km parcourus), justificatifs de tarifs préférentiels (attestation employeur, attestation de logement, carte étudiante, abonnement STAR, numéro carte Korrigo), données liées aux restrictions de conduite, données liées aux infractions et recouvrement des amendes.
  • Données liées à la vie professionnelle : fonctions exercées, numéro de téléphone professionnel, adresse électronique professionnelle.
  • Données bancaires : RIB (uniquement clients professionnels), numéro de carte bancaire (crypté).
  • Données technologiques : adresse IP, identifiant de l’appareil, type de navigateur, système d’exploitation, identifiants d’appareils portables, données de géolocalisation, pages web visitées.

3.5. Article 5 : les bases juridiques et les finalités des traitements des données à caractère personnel

FinalitésBase juridique
Gestion de la prospection commercialeConsentement
Gestion des clients et exécution du contratNécessaires à l’exécution d’un contrat ou à l’exécution des mesures précontractuelles
Gestion de la géolocalisation dans le cadre de la lutte contre le vol des véhiculesNécessaires à l’exécution d’un contrat
Traitement des amendes et recouvrement des amendesObligations légales
Gestion des fournisseurs, partenaires, prestataires et sous-traitantsNécessaires à l’exécution d’un contrat ou à l’exécution des mesures précontractuelles
Gestion des obligations légales et réglementaires Obligations légales

3.6. Article 6 : les destinataires des données à caractère personnel

Vos données à caractère personnel sont traitées par les personnes habilitées de Citédia Métropole et peuvent également être transférées à des tiers dans les cas suivants :

  • lorsque Citédia Métropole doit partager vos données à caractère personnel avec ses sous-traitants (salariés habilités de France Autopartage, PAYZEN et e-Prunes), prestataires de service et/ou prestataires techniques ;
  • organismes bancaires ;
  • en application d’une loi, d’un règlement ou en vertu d’une décision d’une autorité réglementaire ou judiciaire.

3.7. Article 7 : le transfert des données à caractère personnel

Lorsque Citédia Métropole transfère des données personnelles en dehors de l’Union européenne, elle s’assure que le pays tiers concerné dispose d’un niveau de protection jugé adéquat par la réglementation européenne (RGPD). Dans le cas contraire, Citédia Métropole s’assure que le transfert est réalisé conformément à la réglementation pour garantir la protection de ces informations.

3.8. Article 8 : les durées de conservation des données à caractère personnel

InformationsDurée de conservation
Pour les informations relatives à nos clients10 ans à compter de la fin du contrat
Pour les informations liées à la géolocalisation3 mois
Pour les informations liées aux infractions et recouvrement des amendes12 mois à compter de la date de l’infraction (45 jours en base active + archivage intermédiaire)
Pour les informations relatives à la prospection commerciale3 ans à compter de la fin de la relation commerciale  
Pour les informations relatives à nos fournisseurs, partenaires, prestataires et sous-traitants10 ans à compter de la fin de la relation commerciale
Pour les informations liées aux obligations légales et réglementaires  10 ans

3.9. Article 9 : la sécurité des données à caractère personnel

Citédia Métropole veille à mettre en œuvre les meilleures pratiques afin d’assurer la sécurité de vos données personnelles, conformément aux recommandations de la CNIL. Le système d’information de Citédia Métropole est protégé par des mesures organisationnelles, physiques et logicielles conformes à l’état de l’artnotamment :

  • Mesures de sauvegarde :
    • Sauvegardes régulières réalisées selon une politique rigoureuse.
    • Sauvegardes chiffrées et stockées sur des sites distincts.
    • Tests de restauration périodiques effectués pour vérifier l’intégrité des données.
  • Mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement :
  • Application stricte du principe de moindre privilège.
  • Accès individualisés, limités aux seuls besoins opérationnels.
  • Utilisation d’une politique de gestion des droits et des accès.
  • Mécanismes de journalisation en place pour tracer les actions et détecter les anomalies.
  • Sensibilisation et habilitation des utilisateurs autorisés.
  • Mesures assurant de disposer de moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique :
    • Mise en place d’un plan de reprise d’activité (PRA).
    • Sauvegardes externalisées et chiffrées.
  • Mesures de protection des données pendant la transmission :
  • Chiffrement des échanges via le protocole SSL (HTTPS).
  • Accès filtrés et tracés via reverse proxy.
  • Mesures de protection des données pendant le stockage :
  • Mots de passe des utilisateurs hachés et salés avant stockage.
  • Mise en œuvre de mécanismes de verrouillage de compte et de détection de comportements suspects.
  • Mesures relatives à la suppression des données :
    • Suppression sécurisée des données selon des procédures conformes à la réglementation.

Citédia Métropole choisit ses partenaires, sous-traitants et hébergeurs en tenant compte de leur capacité à garantir la sécurité des données qui leur sont confiées ainsi qu’en s’assurant régulièrement que ses partenaires, sous-traitants et hébergeurs sont à même d’assurer cette sécurité.

Pour plus d’informations concernant :

3.10. Article 10 : les droits des personnes

3.10.a) Droit d’accès

Vous avez le droit d’accéder à vos données à caractère personnel. Nous vous transmettrons une copie.

3.10.b) Droit à la rectification

Vous avez le droit d’obtenir une rectification de vos données à caractère personnel dans le cas ou celles-ci seraient inexactes, incomplètes ou obsolètes.

3.10.c) Droit à l’effacement

Vous avez le droit d’obtenir la suppression de vos données à caractère personnel dans les situations prévues par la législation applicable en matière de protection des données (« droit à l’oubli »).

3.10.d) Droit à la limitation

Vous avez le droit de demander une limitation du traitement de vos données à caractère personnel dans les situations visées par le droit applicable.

3.10.e) Droit d’opposition

Vous avez le droit de vous opposer au traitement de vos données à caractère personnel lorsque celles-ci ont été collectées et traitées sur la base des intérêts légitimes de Citédia Métropole en quel cas il vous appartiendra de justifier votre demande en nous expliquant votre situation particulière.

3.10.f) Droit à la portabilité

Vous avez le droit de disposer de la portabilité de vos données à caractère personnel lorsque celles-ci ont été collectées et traitées sur la base du consentement ou de l’exécution des mesures précontractuelles ou d’un contrat.

3.10.g) Droit de retirer son consentement

Vous avez le droit de retirer votre consentement au traitement de vos données à caractère personnel (sans que cela affecte la licéité du traitement) lorsque vos données personnelles ont été traitées et collectées sur la base de votre consentement.

3.10.h) Modalités d’exercice des droits

Ces droits peuvent être exercés par courrier auprès de CITEDIA METROPOLE – CITIZ RENNES METROPOLE : 6, place des Colombes 35000 à Rennes ou par courriel à l’adresse : dpo@citedia.com.

Vous pouvez consulter le site cnil.fr pour plus d’informations sur vos droits.

3.10.i) Droit d’introduire un recours

Vous disposez du droit d’introduire une réclamation auprès de la CNIL, l’autorité de contrôle.

3.11 Modification de la politique

Cette politique de confidentialité peut faire l’objet de mises à jour.

Date de mise à jour de la présente politique de confidentialité : septembre 2025