Le site internet https://www.ocean.fr (ci-après « le Site Internet ») est un service proposé par la société Océan (ci-après « Océan » ou « Océan by Shiftmove »), société par actions simplifiée au capital de 1 000,00 euros, immatriculée au registre du commerce et des sociétés d’Aix en Provence sous le numéro 944 982 578, dont le siège social est situé Les Pléiades, Bâtiment D et E, 860 rue René Descartes, 13100, Aix-en-Provence.

La présente politique de confidentialité s’applique à l’ensemble des internautes naviguant sur le Site Internet ainsi qu’à toute personne utilisant les services proposés par celui-ci (le(s) « utilisateur(s) »).

Pour la bonne compréhension de la politique de confidentialité, les termes « données personnelles », « responsable du traitement », « sous-traitant » ; « personne concernée », « traitement » et « finalité » ont le sens qui leur est donné par le Règlement général sur la protection des données, officiellement dénommé règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD »), ainsi que par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle que modifiée, notamment par la loi n° 2018-493 du 20 juin 2018 et l’ordonnance n° 2018-1125 du 12 décembre 2018 (ci-après la « Loi Informatique et Libertés »), ensemble la « Réglementation applicable ».

Les termes « nous » ou « nos » que nous utilisons aux présentes désignent Océan by Shiftmove.

Les termes « vous » ou « vos » que nous utilisons aux présentes désignent l’utilisateur.

Chez Océan by Shiftmove, nous accordons une grande importance à la protection de votre vie privée et nous engageons à traiter vos données personnelles conformément à la Réglementation applicable. Vos données peuvent, dans certains cas, être partagées au sein du groupe Shiftmove (ci-après le « Groupe »), comprenant notamment Shiftmove GmbH, Avrios AG, Vimcar GmbH, et leurs filiales, lorsque cela est nécessaire à la gestion de votre demande, à la fourniture de nos services ou à des finalités commerciales légitimes clairement précisées ci-dessous. 

La présente politique de confidentialité a pour objectif de décrire la manière dont Océan by Shiftmove traite les données personnelles de ses utilisateurs, de présenter leurs droits et les moyens de les exercer.

A – Site web : informations sur toutes les opérations de traitement de données effectuées dans le cadre de l’exploitation ou de l’utilisation de notre site web.

B – Fourniture de notre produit : informations sur le traitement des données à caractère personnel pour la fourniture de notre produit en tant que sous-traitant et en tant que responsable du traitement.

C – Informations destinées aux candidats : informations sur le traitement des données à caractère personnel des candidats.

 

I. Responsable du traitement

Le responsable du traitement au sens de l’article 4, paragraphe 7, du RGPD est :

Océan SAS

860 Rue René Descartes,

13290 Aix-en-Provence

France

Si vous avez des questions ou des préoccupations concernant le traitement de vos données à caractère personnel ou l’exercice de vos droits, vous pouvez nous contacter en utilisant les coordonnées fournies ici.

II. Délégué à la protection des données

Vous pouvez contacter notre délégué à la protection des données à l’adresseprivacy@ocean.fr ou par courrier postal à l’adresse ci-dessus, en indiquant « Délégué à la protection des données » sur votre courrier.

III. Vos droits

Vous avez le droit de demander la confirmation que nous traitons ou non des données à caractère personnel vous concernant. Si tel est le cas, nous nous ferons un plaisir de vous fournir des informations sur ces données à caractère personnel ainsi que les informations énumérées à l’article 15 du RGPD. En outre, sous réserve des exigences légales applicables, vous disposez d’un droit de rectification (art. 16 du RGPD), d’un droit à la limitation du traitement (art. 18 du RGPD), d’un droit à l’effacement (art. 17 du RGPD), d’un droit à la portabilité des données (art. 20 du RGPD) et d’un droit d’opposition au traitement (art. 21 du RGPD). Si le traitement repose sur votre consentement, vous avez le droit de retirer ce consentement à tout moment (article 7, paragraphe 3, du RGPD) ; la licéité du traitement effectué sur la base du consentement jusqu’au retrait n’en est pas affectée. 

Pour exercer vos droits en tant que personne concernée, veuillez nous contacter en utilisant les coordonnées fournies à l’adresse privacy@ocean.fr

En outre, vous avez le droit de déposer à tout moment une réclamation auprès d’une autorité de contrôle compétente si vous estimez que le traitement de vos données à caractère personnel enfreint les dispositions relatives à la protection des données (art. 77 du RGPD).

A - Site web

I. Accès et gestion de l’espace client 

  1. Finalités du traitement et catégories de données personnelles traitées

Dans le cadre de votre utilisation du Site Internet, nous traitons les données personnelles nécessaires à :

  • L’accès à votre espace client ;
  • La gestion de votre espace client.

Les données personnelles suivantes peuvent être collectées :

  • Données d’identification : ce sont les informations que nous utilisons pour identifier un utilisateur. Cela inclut : l’identifiant de l’espace client, le mot de passe (haché), prénom, nom, adresse e-mail professionnel, numéro de téléphone professionnel, code postal.
  1. Base légale du traitement

Le traitement de ces données personnelles est fondé sur l’exécution du contrat, conformément à l’article 6, paragraphe 1, point b) du RGPD, dans la mesure où ces données sont nécessaires à l’accès et à la gestion de votre espace client.

  1. Durée de conservation 

Nous conservons vos données personnelles jusqu’à ce que vous nous demandiez de procéder à la suppression de votre espace client ou à l’issue d’une période d’inactivité (aucune interaction active) de 1 ans d’inactivité.

II. Contact, gestion des demandes commerciales et assistance

  1. Finalités du traitement et catégories de données personnelles traitées

Dans le cadre de votre utilisation du Site Internet, vous pouvez nous envoyer des demandes commerciales et d’assistance notamment lorsque vous sollicitez une démonstration des services via le formulaire de contact ou les coordonnées mis à votre disposition. Lors de la soumission d’un formulaire, les champs obligatoires signalés au moyen d’une astérisque (*) doivent être renseignés. 

Nous pouvons traiter votre nom, prénom, adresse e-mail, société, numéro de téléphone et toute autre information liée à votre demande. 

  1. Base légale du traitement

Le traitement de ces données repose sur l’article 6, paragraphe 1, point b) du RGPD dans le cadre de mesures précontractuelles ou contractuelles, ou sur notre intérêt légitime à répondre à votre demande conformément à l’article 6, paragraphe 1, point f) du RGPD. Les informations facultatives sont fournies sur la base de votre consentement (article 6, paragraphe 1, point a) du RGPD). 

  1. Durée de conservation 

Si vous nous contactez dans le cadre d’une question ou d’une réclamation liée à un contrat en cours, nous conservons vos données personnelles pendant toute la durée de la relation commerciale.

Si vous nous contactez dans le cadre d’une demande de démonstration de services ayant abouti à la conclusion d’un contrat, vos données personnelles sont conservées pendant toute la durée de la relation commerciale.

Si vous nous contactez dans le cadre d’une demande de démonstration de services n’ayant pas abouti à la conclusion d’un contrat, vos données personnelles sont conservées pendant une durée de trois (3) ans à compter du dernier contact émanant de votre part.

  1. Destinataires

Les données personnelles collectées dans le cadre de la gestion des demandes commerciales sont transmises aux services internes d’Océan. Elles sont traitées via notre système interne de gestion de la relation client (CRM) développé par Océan SAS. Les données sont traitées exclusivement dans des centres de données en France. 

Elles peuvent également être transmises, le cas échéant, à des prestataires de services agissant en qualité de sous-traitants, notamment pour l’hébergement des données. Ces prestataires traitent les données personnelles uniquement sur instruction d’Océan by Shiftmove et conformément à des obligations contractuelles garantissant un niveau approprié de protection des données, conformément à l’article 28 du RGPD.

5.Transfert de données personnelles

Les demandes d’assistance peuvent impliquer un transfert de données à une filiale du Groupe au Maroc. Un contrat de traitement des données basé sur les clauses contractuelles types de l’UE a été conclu avec l’entité MAPPING CONTROL Maroc SARL.AU, filiale du groupe Optimum Automotive, et Optimum Automotive SAS. Les demandes d’assistance sont gérées via notre outil interne Zendesk, exploité par Zendesk Inc., 181 S. Fremont St., San Francisco, CA 94105, USA. Un contrat de traitement des données a été conclu avec Zendesk, basé sur les clauses contractuelles types de l’UE. Zendesk est certifié selon le EU-US Data Privacy Framework. 

III. Inscription à la newsletter

  1. Finalités du traitement et catégories de données personnelles traitées

Dans le cadre de l’envoi de la newsletter et de la gestion de votre abonnement, nous traitons vos données personnelles.

Les catégories de données traitées sont les suivantes :

  • Données d’identification : informations permettant de vous identifier et de vous contacter, telles que votre adresse électronique.
  • Données commerciales : préférences marketing.
  1. Base légale du traitement

Le traitement de vos données personnelles repose sur votre consentement préalable, conformément à l’article 6, paragraphe 1, point a) du RGPD.

Vous pouvez retirer votre consentement à tout moment, sans porter atteinte à la licéité du traitement effectué avant ce retrait. Chaque communication électronique comporte un moyen simple permettant de se désinscrire, notamment via un lien de désinscription.

  1. Durée de conservation

Les données personnelles traitées à des fins d’envoi de la newsletter sont conservées jusqu’au retrait de votre consentement ou, au plus tard, pendant une durée de trois (3) ans à compter du dernier contact émanant de votre part.

En cas de retrait de votre consentement, vos données sont conservées en liste d’exclusion afin de garantir la prise en compte du retrait de votre consentement.

  1. Destinataires

Les données personnelles collectées dans le cadre de la gestion de votre abonnement sont transmises aux services internes habilités d’Océan by Shiftmove, dans la limite de leurs attributions respectives.

Elles peuvent également être transmises, le cas échéant, à des prestataires de services agissant en qualité de sous-traitants, notamment pour l’hébergement des données, la gestion des outils marketing. Ces prestataires traitent les données personnelles uniquement sur instruction d’Océan by Shiftmove et conformément à des obligations contractuelles garantissant un niveau approprié de protection des données, conformément à l’article 28 du RGPD.

IV. Communications commerciales portant sur des produits ou services analogues

  1. Finalités du traitement et catégories de données personnelles traitées

Dans le cadre de la promotion de ses activités, Océan peut adresser à ses clients ou utilisateurs existants des communications commerciales relatives à des produits ou services analogues à ceux qu’ils utilisent déjà, c’est-à-dire des services relevant du même domaine d’activité ou répondant à des besoins similaires. Ces communications ont notamment pour finalité de :

  • Informer les clients de nouveaux services, fonctionnalités ou solutions similaires à ceux déjà utilisés ;
  • Proposer des offres complémentaires ou évolutions des services existants ;
  • Analyser et améliorer l’efficacité des campagnes marketing et la pertinence des communications adressées.

Dans ce contexte, les catégories de données personnelles susceptibles d’être traitées sont les suivantes :

  • Données d’identification : ce sont les informations que nous utilisons pour identifier un utilisateur. Cela inclut : l’identifiant de l’espace client, prénom, nom de famille, adresse e-mail professionnel.
  • Données commerciales : telles que les services utilisés, les demandes de démonstration ou les interactions avec les communications marketing.
  1. Base légale du traitement

Le traitement de vos données personnelles à des fins de prospection commerciale repose sur notre intérêt légitime, conformément à l’article 6, paragraphe 1, point f) du RGPD, lorsque la prospection est adressée à des professionnels en lien avec leur activité, et qu’elle porte sur des produits ou services analogues à ceux déjà fournis ou susceptibles de les intéresser dans le cadre de leurs fonctions.

Dans ce cadre, nous veillons à ce que nos intérêts légitimes ne portent pas atteinte à vos droits et libertés fondamentaux notamment en vous permettant de vous opposer à tout moment à la réception de telles communications.

Vous disposez, à tout moment, du droit de vous opposer à la réception de communications commerciales, conformément à l’article 21 du RGPD. Chaque communication comporte un moyen simple permettant d’exercer ce droit.

  1. Bases de données acquises auprès de tiers

Dans le cadre de nos activités de prospection, nous pouvons également acquérir ou louer des bases de données de contacts auprès de prestataires de services spécialisés tels qu’Ellisphere, The MEG @baseB2B et DNA DATA. 

Ces bases de données sont constituées selon des critères définis, incluant des informations relatives aux entreprises et des coordonnées professionnelles.

Des engagements contractuels sont conclus avec ces prestataires afin de :

  • garantir l’origine licite des données ;
  • assurer la mise à jour régulière des informations ;
  • encadrer le traitement conformément aux exigences du RGPD.

Le traitement de ces données repose sur notre intérêt légitime (article 6, paragraphe 1, point f) du RGPD) à développer et promouvoir notre activité commerciale.

Les personnes concernées peuvent exercer leur droit d’opposition à tout moment en nous contactant via les coordonnées mentionnées dans la présente politique. Lorsque les données personnelles n’ont pas été collectées directement auprès de la personne concernée, celle-ci est informée, conformément à l’article 14 du RGPD, dans un délai raisonnable suivant l’obtention des données et au plus tard lors de la première communication.

  1. Durée de conservation

Les données sont conservées pendant la durée de la relation contractuelle, puis pendant une durée maximale de trois (3) ans à compter de la fin de la relation commerciale, sauf opposition de la personne concernée.

En cas d’exercice du droit d’opposition à la prospection, les données sont conservées dans une liste d’exclusion afin de garantir la prise en compte de cette opposition et d’éviter tout nouvel envoi de communications commerciales.

À l’expiration des durées applicables, les données sont supprimées ou anonymisées, sauf conservation en archivage intermédiaire lorsque cela est nécessaire pour la constatation, l’exercice ou la défense de droits en justice.

  1. Destinataires

Les données personnelles collectées dans le cadre de la gestion des communications commerciales sont transmises aux services internes habilités d’Océan by Shiftmove, dans la limite de leurs attributions respectives.

Elles peuvent également être transmises, le cas échéant, à des prestataires de services agissant en qualité de sous-traitants, notamment pour l’hébergement des données, la gestion des outils marketing ou l’envoi des communications électroniques. Ces prestataires traitent les données personnelles uniquement sur instruction d’Océan by Shiftmove et conformément à des obligations contractuelles garantissant un niveau approprié de protection des données, conformément à l’article 28 du RGPD.

V. Participation aux webinaires et événements en ligne

  1. Finalités du traitement et catégories de données personnelles traitées

Lorsque vous participez à un webinaire en ligne, nous traitons vos données personnelles afin de gérer votre inscription, votre participation à l’événement et d’assurer l’organisation technique du webinaire.

Les catégories de données traitées sont les suivantes :

  • Données d’identification : Nom, adresse e-mail, dénomination sociale de votre entreprise, numéro de téléphone ;
  • Autres : Contenu audio, vidéo et textuel transmis.
  1. Base légale du traitement

Le traitement de vos données personnelles est nécessaire à l’organisation et à la gestion de votre participation au webinaire ou à l’événement en ligne, que vous avez sollicité en vous inscrivant. Il repose, à ce titre, sur l’article 6, paragraphe 1, point b) du RGPD, relatif à l’exécution de mesures précontractuelles prises à la demande de la personne concernée ou à l’exécution d’un contrat.

  1. Durée de conservation

Les données relatives à l’inscription et à la participation à un webinaire ou à un événement en ligne sont conservées pendant la durée nécessaire à l’organisation de l’événement et au suivi qui en découle.

À défaut de relation contractuelle ultérieure, les données sont conservées pendant une durée n’excédant pas trois (3) ans à compter du dernier contact émanant du participant. 

 

VI. Cookies

  1. Finalités des traitements

Le terme « cookie » désigne un petit fichier texte enregistré sur le terminal de l’utilisateur à l’occasion de la consultation du Site Internet. Il permet à son émetteur d’identifier le terminal concerné pendant la durée de validité du cookie et de collecter certaines informations.

Les cookies utilisés par Océan poursuivent différentes finalités décrites ci-dessous.

L’utilisateur est informé que certains cookies sont strictement nécessaires au fonctionnement du Site Internet et ne peuvent être désactivés, tandis que d’autres sont soumis à son consentement préalable, qu’il peut retirer à tout moment.

1.1. Cookies strictement nécessaires au fonctionnement du Site Internet

Ces cookies sont indispensables au bon fonctionnement du Site Internet et à la fourniture des services expressément demandés par l’utilisateur. Ils permettent notamment :

  • D’assurer la navigation sur le Site Internet et l’accès à ses fonctionnalités essentielles ;
  • De sécuriser l’accès aux espaces réservés ;
  • De mémoriser les choix effectués par l’utilisateur (par exemple, identifiants de session ou données d’authentification) ;
  • De garantir l’intégrité et la sécurité du Site Internet.

Ces cookies ne peuvent pas être désactivés via le module de gestion des cookies dans la mesure où ils sont nécessaires à la fourniture du service.

Le traitement des cookies strictement nécessaires au fonctionnement du Site Internet repose sur l’article 6, paragraphe 1, point f) du RGPD, au titre de l’intérêt légitime d’Océan à assurer la sécurité, le bon fonctionnement et l’accessibilité du Site.

1.2. Cookies soumis au consentement

Les cookies décrits ci-dessous ne sont déposés qu’après obtention de votre consentement, conformément à l’article 6, paragraphe 1, point a) du RGPD.

Vous pouvez retirer votre consentement à tout moment via l’outil de gestion des cookies accessible sur le Site Internet.

1.2.1. Google Analytics / Matomo Nous utilisons Google Analytics (fournisseur : Google Ireland Ltd) et Matomo (fournisseur : InnoCraft Ltd). Ces outils permettent de mesurer et d’analyser l’audience et les performances du Site Internet. Les données collectées incluent des informations sur les utilisateurs, telles que leur comportement les pages consultées, la durée des visites, les interactions réalises, leur localisation géographique, et des informations relatives à l’appareil utilisé. Ces informations nous permettent d’améliorer le contenu, l’ergonomie et le fonctionnement du Site.. Un accord de sous-traitance de données intégrant les clauses contractuelles types de l’UE a été conclu avec Google. Google est certifié EU-US Data Privacy Framework.

  1. Bing Ads / Google Ads-DoubleClick Nous utilisons Bing Ads (fournisseur Microsoft Ireland)et Google Ads (Doubleclick) (fournisseur : Google Ireland Ltd) pour évaluer l’efficacité de nos campagnes publicitaires, mesurer les conversions et diffuser des annonces ciblées auprès des utilisateurs. Ces outils collectent des informations sur vos interactions avec nos publicités.  Un accord de sous-traitance de données intégrant les clauses contractuelles types de l’UE a été conclu avec Google et Microsoft. Google est certifié EU-US Data Privacy Framework.
  2. Facebook Pixel / LinkedIn Insight. Nous utilisons Facebook Pixel (fournisseur : Meta Platforms Ireland Limited) et LinkedIn Insight (fournisseur : LinkedIn Ireland Unlimited Company) pour mesurer l’efficacité de nos campagnes menées sur les réseaux sociaux, suivre les conversions, mesurer la performance des campagnes publicitaires. Ces outils collectent des informations sur vos interactions avec nos publicités sur les réseaux sociaux. Des accords de sous-traitance de données intégrant les clauses contractuelles types de la Commission européenne ont été conclus avec les Meta Platforms Ireland Limited et LinkedIn Ireland Unlimited Company.
  3. Axeptio. Nous utilisons Axeptio (fournisseur : Agilitation SAS) afin de recueillir, gérer et conserver les préférences des utilisateurs concernant le dépôt des cookies. Cet outil permet notamment d’enregistrer votre choix (acceptation, refus ou paramétrage des cookies), d’assurer la traçabilité du consentement et de garantir la conformité du Site Internet aux exigences de la Réglementation applicable. Les données relatives au consentement sont conservées afin de démontrer le respect de nos obligations légales.
  1. Données personnelles traitées

Les données personnelles suivantes peuvent être collectées :

  • Données d’identification : Il s’agit des informations permettant d’identifier un utilisateur dans le cadre de l’accès à son espace client, notamment l’identifiant de connexion et le mot de passe (conservé sous forme hachée).
  • Données de navigation : Il s’agit des informations relatives à l’accès et à l’utilisation du Site Internet, telles que les informations issues des cookies, la date et l’heure de connexion, l’URL des pages consultées, la durée de consultation des pages ou les interactions réalisées sur le Site.
  • Données techniques : Il s’agit des informations techniques relatives à votre terminal et à votre environnement de navigation, telles que le type de navigateur utilisé, les paramètres associés, l’appareil utilisé et l’adresse IP.

Ces données personnelles sont collectées par l’intermédiaire des cookies ou de technologies similaires. 

  1. Durée de conservation

Si des cookies sont placés sur votre terminal, nous conservons les données qui en résultent uniquement pour la durée strictement nécessaire à la réalisation de leur finalité, et en tout état de cause pour une durée maximale de treize (13) mois à compter de leur dépôt.

En pratique, les durées de conservation varient selon les catégories de cookies, comme suite:

  • Google Analytics : les cookies sont conservés pour une durée pouvant aller jusqu’à treize (13) mois 
  • Google Ads et Facebook Pixel : les cookies sont conservés pour une durée maximale d’environ trois (3) mois; 
  • Bing Ads : les cookies peuvent avoir une durée de conservation plus courte (24 heures) ou équivalente à treize (13) mois selon leurs finalités ; 
  • Axeptio : les cookies sont conservés pour une durée d’environ six (6) mois; 
  • Matomo, LinkedIn Insight ou Google reCAPTCHA : ces cookies ne donnent lieu qu’à une conservation limitée à la session ou à l’interaction;
  • Google Fonts et CDN  ne déposent pas de cookies et n’entraînent donc pas de conservation de données sur votre terminal.
  1. Paramétrage des cookies

Vous pouvez faire le choix à tout moment d’exprimer et de modifier vos souhaits en matière de cookies, par les moyens décrits ci-dessous :

Vous êtes informé de la collecte de ces informations dès votre première connexion sur le Site Internet par l’intermédiaire du bandeau d’information relatif aux cookies. 

Lorsque vous cliquez sur le bouton « Paramétrer et refuser » le bandeau vous permet (i) d’accepter tous les cookies ou par l’intermédiaire des boutons « Sélectionner tous les cookies » et « J’accepte tout », (ii) de sélectionner les cookies que vous voulez accepter et (iii) de n’accepter aucun cookie.

Lorsque vous cliquez sur le bouton « Tout accepter et continuer » vous consentez au dépôt de la totalité des cookies facultatifs, soumis au consentement.

La configuration de chaque logiciel de navigation est différente. Elle est généralement décrite dans le menu d’aide de votre logiciel de navigation. Nous vous invitons donc à en prendre connaissance. Vous pourrez ainsi savoir de quelle manière modifier vos souhaits en matière de cookies.

VII. Transferts internationaux de données

Océan by Shiftmove traite vos données principalement au sein de l’Union européenne (UE) et de l’Espace économique européen (EEE). Si des  transferts de données en dehors de l’UE/EEE ont lieu, ils sont effectués uniquement si des garanties adéquates sont mises en place, notamment via une décision d’adéquation de la Commission européenne ou les clauses contractuelles types de l’UE avec des mesures de sécurité supplémentaires. 

VIII. Sécurité des données personnelles

Océan by Shiftmove met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité et la confidentialité de vos données personnelles et d’empêcher leur perte, leur altération, leur divulgation ou leur accès non autorisé. Nous veillons également à ce que seules les personnes dûment habilitées puissent accéder à vos données personnelles lorsque cet accès est nécessaire à l’exercice de leurs fonctions.

B - Fourniture de nos produits

Océan fournit la plateforme Océan en tant que sous-traitant. Dans ce contexte, un sous-traitant est une entité qui traite des données à caractère personnel pour le compte d’un responsable du traitement tiers et conformément à ses instructions strictes. Nos clients professionnels qui achètent et déploient l’application Océan sont les responsables du traitement au sens de la législation applicable en matière de protection des données. Ils déterminent les finalités commerciales spécifiques, les bases juridiques et les paramètres du traitement des données, et ils assument la responsabilité principale de la protection des droits des personnes concernées.

Les informations fournies ci-dessous détaillent les principales caractéristiques opérationnelles de la plateforme Océan qui peuvent être déterminées avec certitude sur la base de notre rôle de prestataire de services techniques.

1. Informations relevant du traitement des commandes (contexte du sous-traitant)

1.1 Catégories de données traitées

La plateforme SaaS Océan comprend une interface web unifiée ainsi que trois applications mobiles distinctes. Pour garantir une clarté absolue, les catégories de données à caractère personnel traitées sont directement associées à ces interfaces spécifiques :

  •     Application Manager et interface Web (superviseurs / gestionnaires de flotte) :

      Coordonnées du responsable et des contacts professionnels, notamment prénom, nom, adresse e-mail professionnelle et numéro de téléphone.

      Données d’autorisation de compte et de connexion, y compris les profils de compte utilisateur, les droits d’accès attribués, les mots de passe cryptés et les fichiers journaux du système.

      Métadonnées de communication, y compris les journaux et le contenu des SMS ou des appels téléphoniques passés directement depuis l’application vers les conducteurs.

  •     Application pour techniciens (gestion des véhicules et des appareils) :

      Profils de compte et d’authentification du personnel technique et de maintenance autorisé.

      Données télématiques et techniques du véhicule, notamment le kilométrage cumulé, les heures de fonctionnement, les diagnostics CAN-bus, les codes d’erreur actifs et l’état de maintenance.

      Identifiants matériels et de connexion, y compris les identifiants des appareils, les sorties des capteurs et les journaux de configuration matérielle.

      Données de localisation sélective des actifs utilisées exclusivement à des fins de dépannage, de validation des diagnostics et de prévention des vols.

  •     Application conducteur (interface conducteur) :

      Profils principaux des conducteurs, y compris prénom et nom, adresse e-mail, numéro de téléphone, identifiant interne du conducteur/numéro de badge et affectations de véhicules.

      Données télématiques et indicateurs de conduite opérationnels, y compris les coordonnées GPS en temps réel, le suivi d’itinéraire, les points de départ et d’arrivée du trajet, la vitesse, la distance et les signatures de comportement de conduite (par exemple, suivi des freinages ou accélérations brusques pour le calcul du score de conduite écologique).

      Bouton de basculement en temps réel pour la configuration du mode privé.

      Dossiers de conformité réglementaire en matière de transport, comprenant les ensembles de données légales du tachygraphe et du chronotachygraphe pour les poids lourds (PL).

  •     Données de base générales de la plateforme :

      Données structurelles de l’organisation, y compris les centres de coûts, les unités commerciales, les départements et les lignes hiérarchiques opérationnelles.

      Journaux de l’environnement informatique, y compris les adresses IP, les identifiants des appareils, les types de navigateurs, les paramètres de langue et les données relatives aux versions logicielles.

      Documents physiques facultatifs, y compris les photographies de l’état des véhicules ou la documentation relative aux réparations téléchargée par les utilisateurs de la plateforme.

1.2 Finalités du traitement des données

Le traitement des données au sein d’Océan sert des objectifs opérationnels spécifiques à l’écosystème, qui sont configurés et contrôlés par nos entreprises clientes :

  •     Fonctionnalités de l’application Manager et de l’interface Web : permettent la surveillance continue de la flotte, la cartographie de l’efficacité des itinéraires, la planification prédictive des interventions et le suivi en temps réel des activités. Facilitent la compilation de tableaux de bord de direction, de rapports sur l’empreinte carbone dans le cadre de la responsabilité sociale des entreprises (RSE), la surveillance de la fatigue des conducteurs afin de réduire les risques opérationnels, ainsi que les flux de travail comptables automatisés (par exemple, le calcul des frais de déplacement ou la documentation relative à la conformité fiscale des entreprises).
  •     Fonctionnalités de l’application pour techniciens : prend en charge la surveillance en temps réel de l’état des véhicules, la planification proactive de la maintenance basée sur des données télématiques en temps réel, le suivi des stocks et les protocoles d’immobilisation à distance des véhicules afin de protéger les actifs contre toute utilisation non autorisée ou tout vol.
  •     Fonctionnalités de l’application conducteur : fournit des informations transparentes sur la conduite directement à chaque conducteur via des scores écologiques personnels afin de promouvoir des habitudes de conduite plus sûres et plus fluides. Protège les droits à la vie privée des employés d’ s en dehors des heures de travail grâce à des paramètres de mode granulaires et garantit un accès mobile immédiat aux listes de contrôle de sécurité, aux profils d’assurance et aux procédures de déclaration d’accident.

1.3 Mode d’utilisation privée du conducteur

Afin de protéger la vie privée des conducteurs en dehors des heures de travail, l’application mobile Océan intègre un commutateur « Mode privé » conçu dès le départ pour respecter la vie privée. Cette configuration fonctionne selon les paramètres suivants :

Les conducteurs peuvent activer le mode privé à tout moment via un bouton dédié dans l’application conducteur ou via un bouton physique installé directement dans l’habitacle du véhicule. De plus, ils peuvent définir des horaires réguliers en dehors de leurs heures de travail pour activer automatiquement le mode privé.

Une fois le mode privé activé (par exemple, après les heures de travail normales ou pendant l’utilisation personnelle), le système bloque immédiatement la collecte des coordonnées GPS en temps réel et de l’historique des itinéraires. Les gestionnaires de flotte et les superviseurs ne peuvent pas voir la position ni les déplacements du véhicule. La plateforme enregistre et met à jour uniquement le kilométrage cumulé. Cela permet aux entreprises clientes de suivre la distance totale parcourue dans le cadre des contrats de location et de s’assurer de la conformité fiscale des employés sans suivre les déplacements ou les comportements individuels des conducteurs.

1.4 Destinataires du traitement des données (sous-traitants)

Pour fournir l’écosystème SaaS Océan, Océan s’associe à des sous-traitants tiers soigneusement audités. Chaque entité est liée contractuellement par des accords de traitement des données (DPA) stricts et opère avec des instruments de conformité vérifiés, notamment les décisions d’adéquation de l’UE ou les clauses contractuelles types (SCC) :

  •     Infrastructure d’hébergement principale :

      Amazon Web Services EMEA SARL (hébergement en Île-de-France, France) : fournit l’hébergement dans un centre de données secondaire, la gestion sécurisée des bases de données et le traitement actif des charges de travail.

  •     Connectivité mobile et configuration matérielle à distance :

      SFR Mobile (France) : fournit des cartes SIM M2M cellulaires et assure la transmission sécurisée des données pour les équipements embarqués dans les véhicules.

      Mobistar (Belgique) : fournit des réseaux de télécommunications et des profils de connectivité cellulaire pour maintenir les flux de communication en direct des appareils.

      ACTIA Automotive (France) : gère les profils de suivi des appareils par liaison radio et la configuration à distance du matériel télématique de la flotte.

  •     Passerelles de données télématiques automobiles OEM :

      Kuantic SAS (France) : traite les flux de données télématiques natifs collectés via des composants matériels intégrés afin de faciliter la mise en place de tableaux de bord de suivi de flotte.

      Mobilisights S.p.A. (Italie) : rationalise l’ingestion des données de diagnostic natives des véhicules provenant des flottes connectées du groupe Stellantis.

      Renault SAS (France) : Ingère et traite les paramètres télématiques directs d’usine provenant des profils de véhicules connectés du groupe Renault.

      BMW (Allemagne) : synchronise les paramètres de flotte connectés directement depuis l’usine à partir des systèmes embarqués des véhicules de la marque BMW.

      Ford Smart Mobility U.K. Limited (Royaume-Uni) : fournit des paramètres télématiques directement depuis l’usine pour les véhicules d’entreprise Ford, conformément aux décisions d’adéquation en vigueur entre l’UE et le Royaume-Uni et aux clauses contractuelles types.

  •     Services de communication et utilitaires de plateforme :

      FREE2MOVE SAS (France) : relie les configurations de véhicules partagés, les moteurs de planification à la demande et les journaux d’utilisation pour les systèmes de covoiturage d’entreprise.

      PRAXEDO (France) : Assure la planification intégrée des services sur le terrain, le suivi opérationnel des itinéraires et la gestion des bons de travail des équipes.

      SendinBlue / Brevo (France) : Exécute les notifications par e-mail à l’échelle de la plateforme et les procédures de routage des alertes système critiques.

      Zoho Corporation B.V. (Pays-Bas) : fournit des environnements de support client, des canaux de communication avec les clients et des files d’attente pour la résolution des problèmes techniques.

1.5 Durée de conservation et cadre de rétention

Océan conservera les données traitées dans le cadre du traitement des commandes aussi longtemps que nos clients le demanderont. Cette instruction s’applique pendant toute la durée de la relation contractuelle entre Océan et ses clients. Océan supprimera les données traitées au plus tard 30 jours après la résiliation du contrat ou sur instruction du responsable du traitement.

Pour la surveillance des déplacements en temps réel, les entreprises clientes peuvent ajuster les profils de conservation au sein du logiciel. Cela leur permet de configurer l’historique de géolocalisation en direct et les cartes d’itinéraire de manière à ce qu’ils soient automatiquement et irréversiblement supprimés après quelques mois. La durée maximale de conservation est d’un an, après quoi les données de localisation sont automatiquement supprimées. Veuillez tenir compte des recommandations de la CNIL

1.6 Sécurité du traitement

Océan met en œuvre des mesures techniques et organisationnelles (MTO) robustes, conformément à l’article 32 du RGPD, afin de protéger les données à caractère personnel. Une liste exhaustive de toutes les mesures techniques et organisationnelles prises figure à l’annexe 2 de notre accord de traitement des données :

  •     Contrôle d’accès et isolation : les environnements physiques et logiques sont protégés par des points de contrôle vérifiés par badge, une séparation stricte des zones de test et de production, et l’isolation des applications exposées sur le Web au sein d’une zone démilitarisée (DMZ).
  •     Authentification et autorisation : les systèmes appliquent les principes du privilège minimal et de l’accès « au strict nécessaire ». L’accès des utilisateurs est géré via des profils Active Directory dédiés et des jetons multifactoriels cryptés utilisant l’infrastructure à clé publique (PKI) du groupe Orange.
  •     Ingénierie logicielle sécurisée : les améliorations apportées aux produits suivent les méthodologies de développement sécurisé établies par l’OWASP, notamment l’analyse du code source, la modélisation systématique des menaces et des tests d’intrusion réalisés au moins une fois par an par un tiers.
  •     Intégrité et transmission des données : tout le trafic réseau contenant des données à caractère personnel est chiffré à l’aide de protocoles cryptographiques modernes et sécurisés sur des canaux VPN et TLS. Les équipements matériels, les dispositifs de stockage et les supports de sauvegarde sont soumis à des protocoles d’effacement sécurisé des données lorsqu’ils sont mis hors service ou réaffectés.

1.7 Exercice de vos droits en tant que personne concernée

Le respect et la protection des droits des personnes concernées conformément à l’article 3 du RGPD relèvent fondamentalement de la responsabilité du responsable du traitement, c’est-à-dire des clients d’Océan. Si vous êtes un utilisateur ou un conducteur au sein de l’application Océan, veuillez contacter la société qui a acheté votre instance Océan pour exercer vos droits en tant que personne concernée.

 

Océan aide ses clients à répondre aux demandes d’exercice des droits des personnes concernées conformément aux termes de notre accord de traitement des données.

 

2. Traitement en tant que responsable du traitement

Dans certains cas techniques et organisationnels spécifiques, Océan (Océan SAS) détermine de manière indépendante les moyens et les finalités du traitement des données et agit en tant que responsable du traitement au sens du RGPD. Ce champ d’application indépendant s’applique strictement au suivi de la sécurité de la plateforme, à l’optimisation technique, à la création de comptes et aux processus de service client.

2.1 Données de connexion / Fichiers journaux

Lorsque vous vous connectez à nos plateformes logicielles ou interagissez avec celles-ci, notre infrastructure enregistre automatiquement les événements système, les statistiques de connectivité et les journaux de performance afin de maintenir la sécurité opérationnelle, de diagnostiquer les bogues des applications et d’optimiser la stabilité de la plateforme.

Données à caractère personnel traitées :

  •     Clés d’identification des utilisateurs, y compris les identifiants de compte internes ou les jetons de session pseudonymisés.
  •     Propriétés techniques de l’appareil, y compris le fabricant du matériel, le modèle de l’appareil, le type de système d’exploitation et la version du système d’exploitation.
  •     Spécifications de l’application mobile, y compris la version active de l’application et la configuration de la version de la plateforme.
  •     Mesures d’interaction et de navigation, y compris les pages consultées, les fonctionnalités utilisées, les outils cliqués et les chemins de navigation détaillés.
  •     Paramètres de connexion géographiques, y compris une localisation physique approximative dérivée de la connexion réseau de l’utilisateur.
  •     Horodatages de connexion, y compris la date et l’heure exactes de l’accès, les liens de référence entrants et le volume de données récupérées.
  •     Adresses IP du réseau, qui sont automatiquement tronquées au dernier octet lors de la collecte afin de protéger l’identité de l’utilisateur.
  •     Données de diagnostic technique, notamment les codes d’erreur, les journaux de plantage du logiciel, les détails des alertes système et les sorties de console.

Le traitement est effectué sur la base de notre intérêt légitime conformément à l’article 6, paragraphe 1, point f), du RGPD. L’objectif officiel du traitement est d’assurer un environnement applicatif stable, fonctionnel et sécurisé, d’effectuer un dépannage programmatique et d’analyser les journaux de serveur afin d’identifier ou de prévenir les exploits frauduleux. Les données sont transférées à Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg. Tous les journaux de connexion principaux sont traités et stockés en mode natif au sein de centres de données européens sécurisés situés en Île-de-France, en France.

2.2 Assistance client et interaction

Nous traitons les tickets de service client entrants et les communications directes sur la plateforme afin de résoudre les bugs techniques des logiciels, de répondre aux demandes de renseignements sur les ventes de produits et de gérer les flux de travail du service d’assistance.

Données à caractère personnel traitées :

  •     Données d’identité, notamment le prénom, le nom et les identifiants des comptes d’entreprise.
  •     Coordonnées professionnelles, notamment adresses e-mail professionnelles et numéros de téléphone de l’entreprise.
  •     Coordonnées de l’organisation, notamment le nom de l’employeur ou de l’entreprise.
  •     Contenu des communications, y compris le texte des messages, les captures d’écran téléchargées, les journaux du service d’assistance et les pièces jointes relatives au dépannage.
  •     Journaux de soumission du système, y compris les horodatages de connexion, les environnements de navigateur et les signatures d’appareils capturés lors de la création du ticket.

Le traitement est fondé sur l’article 6, paragraphe 1, point b) du RGPD pour l’exécution de tâches d’assistance contractuelles, ou sur l’article 6, paragraphe 1, point f) du RGPD pour nos intérêts commerciaux légitimes. La finalité officielle du traitement est la gestion efficace, l’acheminement administratif et la résolution technique des demandes des clients ainsi que l’analyse des indicateurs de performance. Le destinataire de ces données est Zoho Corporation B.V., Beneluxlaan 4B, 3527 HT Utrecht, Pays-Bas.

Les données à caractère personnel sont supprimées dès que la demande d’assistance spécifique a été entièrement traitée et résolue, et qu’aucune communication de suivi n’est requise, sous réserve des obligations légales applicables en matière d’archivage des entreprises.

II. Utilisation de l’apprentissage automatique et de l’IA dans nos produits

Océan s’engage pleinement à intégrer de manière responsable, appropriée et sécurisée les outils et les prestataires s’appuyant sur l’IA. Pour ce faire, nous avons mis en place une politique stricte d’utilisation de l’IA qui limite le déploiement des technologies dépendantes de l’IA exclusivement au développement et à la fourniture de nos produits. De plus, aucune des fonctionnalités d’IA proposées par Océan à ses clients n’implique de prise de décision automatisée au sens de l’article 22 du RGPD. Conformément à nos engagements en matière de protection des données, nous garantissons qu’aucune donnée à caractère personnel soumise à l’accord de protection des données n’est utilisée pour l’entraînement de l’IA, sous quelque forme que ce soit. Océan collabore uniquement avec des fournisseurs sécurisés et rigoureusement contrôlés, et s’appuie systématiquement sur des techniques robustes de pseudonymisation et d’anonymisation afin de protéger les données à caractère personnel dans toute la mesure du possible.

III. Durée de conservation

Sauf indication contraire dans les descriptions des différentes activités de traitement, nous traitons généralement vos données aussi longtemps que nécessaire pour atteindre la finalité du traitement. Nous supprimons vos données conformément aux durées de conservation légales (jusqu’à 10 ans, le cas échéant) dès que la finalité du traitement n’est plus applicable ou lorsque la loi l’exige, par exemple lorsque vous retirez votre consentement.

 

IV. Transferts internationaux de données

Océan traite généralement vos données uniquement sur des serveurs situés au sein de l’Union européenne ou de l’Espace économique européen. Si Océan traite des données en dehors de l’Union européenne, cela est explicitement indiqué dans la présente politique de confidentialité.

 

Lors du transfert de vos données à caractère personnel en dehors de l’Union européenne ou de l’Espace économique européen, Océan a pris toutes les mesures nécessaires pour garantir le respect des exigences légales et réglementaires relatives à vos données à caractère personnel. Cela inclut, entre autres, de s’assurer qu’il existe une base juridique pour le transfert de données et que des garanties appropriées sont en place pour assurer un niveau élevé de protection de vos données. En outre, nous mettons en œuvre des mesures pour assurer la protection de vos données à caractère personnel conformément aux réglementations applicables en matière de protection des données.

Lorsque nous transférons vos données à caractère personnel en dehors du Royaume-Uni, de l’EEE ou de la Suisse, nous veillons à ce qu’au moins l’une des garanties suivantes soit appliquée, conformément aux lois applicables en matière de protection des données : (1) le transfert est effectué vers des pays ou des organisations jugés adéquats par la Commission européenne, le gouvernement britannique ou les autorités suisses ; ou (2) nous utilisons des dispositions contractuelles approuvées par les autorités susmentionnées, telles que les « clauses contractuelles types » (SCC). Pour plus d’informations sur les mécanismes spécifiques que nous utilisons pour transférer vos données à caractère personnel, n’hésitez pas à nous contacter.

C - Informations destinées aux candidats

I. Recrutement de candidats

  1. Finalités du traitement et catégories de données

Dans le cadre du traitement de votre candidature, nous collectons et traitons les données que vous nous avez fournies afin d’évaluer votre adéquation au poste et de mener à bien le processus de recrutement.

 Ces données comprennent généralement :

  • Données d’identification : Nom, adresse, numéro de téléphone, adresse électronique, date et lieu de naissance, photo (facultative), liens vers vos réseaux sociaux professionnels (LinkedIn et Indeed).
  • Données de formation : CV, lettre de motivation, certificats, références ; diplômes, études, formations, formations complémentaires, compétences linguistiques et connaissances spécialisées.
  • Expérience professionnelle : Informations sur vos anciens employeurs, postes occupés, domaines d’activité.
  • Autres : Centres d’intérêt, loisirs, activités de bénévolat.
  1. Base légale du traitement

Le traitement de vos données repose sur l’exécution de mesures précontractuelles liées à un contrat de travail, conformément à l’article 6, paragraphe 1, point b) du RGPD. 

Si le traitement de vos données est nécessaire à la défense de nos droits en justice après la fin du processus de recrutement, il peut être fondé sur l’article 6, paragraphe 1, point f) du RGPD, notamment pour la défense de nos intérêts légitimes, par exemple dans le cadre d’une action en justice.

Si vous avez consenti à la conservation de vos données dans notre base de données de candidatures, cette conservation est fondée sur votre consentement, conformément à l’article 6, paragraphe 1, point a) du RGPD. Vous pouvez retirer votre consentement à tout moment pour l’avenir en nous contactant via les options mentionnées ci-dessous.

  1. Destinataires des données

3.1 Prestataires de services

Nous utilisons le logiciel Workable, fourni par Workable Software Limited, 10-12 York Way, Londres, N1 9AA, Royaume-Uni, pour gérer nos candidatures. Nous avons conclu un accord de traitement des données avec ce prestataire. Lorsque vous utilisez Workable, vos données peuvent être transférées au Royaume-Uni. Nous avons donc conclu des clauses contractuelles types avec Workable. Workable est également soumis à la décision d’adéquation de la Commission européenne.

Nous utilisons également les logiciels de visioconférence Google Meet (fourni par Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlande) et Microsoft Teams (fourni par Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irlande) pour mener des entretiens en ligne. Nous avons conclu des accords de traitement des données avec ces prestataires de services.

3.2 Services internes et filiales du Groupe

Après réception de votre candidature, vos données personnelles seront examinées par le service des ressources humaines. Les candidatures retenues seront ensuite transmises aux responsables des postes à pourvoir. Seules les personnes en charge du processus de recrutement auront accès à vos données personnelles. Vos données personnelles pourront être transférées aux filiales du Groupe dans la mesure où cela est nécessaire à l’exécution du processus de recrutement.

  1. Durée de conservation

Les données seront conservées pendant la durée nécessaire à l’aboutissement du processus de recrutement. 

A l’issue du processus de recrutement, les données des candidats non-retenus seront conservées en base active pendant une durée de trois (3) mois afin que ces derniers puissent obtenir des explications sur les raisons ayant conduit à cette décision. A l’issue de cette période, les données pourront être conservée en base d’archivage intermédiaire à des fins probatoires pour une durée de cinq (5) ans.

Après avoir recueilli, le cas échéant, leur consentement, les données des candidats non retenus pourront être conservées exclusivement en vue d’alimenter une CVthèque, pendant une période de deux (2) ans.

Les données concernant les candidats retenus seront intégrées dans leur dossier salarié et seront conservées jusqu’à cinq ans après la fin de la relation contractuelle.

  1. Destinataires

Les données personnelles collectées dans le cadre de la gestion du recrutement peuvent être transmises :

  • Aux services internes habilités d’Océan by Shiftmove, dans la limite de leurs attributions respectives ;
  • Aux sociétés du Groupe Shiftmove, lorsque ce partage est nécessaire à l’organisation de certaines activités internes ;
  • Le cas échéant, aux autorités administratives ou judiciaires, lorsque la loi l’exige ou dans le cadre de la défense de nos droits.

Elles peuvent également être transmises, à des prestataires de services agissant en qualité de sous-traitants, notamment pour l’hébergement des données. Ces prestataires traitent les données personnelles uniquement sur instruction d’Océan by Shiftmove et conformément à des obligations contractuelles garantissant un niveau approprié de protection des données, conformément à l’article 28 du RGPD.

II. Enquêtes de satisfaction des candidats

  1. Finalité du traitement et catégories de données

Afin d’améliorer notre processus de recrutement, nous envoyons des enquêtes de satisfaction à différentes étapes de celui-ci. Les résultats sont agrégés et pseudonymisés. Toutefois, en cas de réponse personnalisée, nous pourrions être en mesure de vous identifier. 

Les données personnelles peuvent être traitées :

  • Données d’identification : Nom, adresse e-mail.
  • Données de connexion : Adresse IP.
  • Autres : Réponses aux questions de l’enquête.
  1. Base légale du traitement

Le traitement de vos données est fondé sur notre intérêt légitime à améliorer notre processus de recrutement, conformément à l’article 6, paragraphe 1, point f) du RGPD.

  1. Destinataires

Nous collaborons avec Starred B.V., Singel 542, 1017 AZ, Amsterdam, Pays-Bas, pour la réalisation de nos enquêtes. Un accord de traitement des données conforme à l’article 28 du RGPD a été conclu avec ce prestataire.

  1. Durée de conservation

Les données des enquêtes sont pseudonymisées et agrégées immédiatement après leur collecte. Les réponses individuelles aux questions sont supprimées après 6 mois.