DÉCLARATION DE PROTECTION DES DONNÉES POUR LES VÉHICULES AVEC ACCÈS INTERNET ET POUR L'UTILISATION DES SERVICES EN LIGNE MOBILES (CONNECT)

1. Informations générales

Par la présente déclaration de protection des données, nous vous informons sur la collecte, le traitement et l'utilisation de vos données à caractère personnel issues de l'utilisation d'un véhicule avec accès Internet et lors de l'utilisation des services en ligne mobiles de CUPRA CONNECT (désigné ci-dessous « Services CONNECT Online ») conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD ») ; ainsi que la législation espagnole sur la protection des données 3/2018 ; et aux réglementations locales applicables qui la complètent. L'entité responsable du traitement des données est :

Identité du responsable du traitement des données : SEAT, S.A.U. avec numéro d'identification fiscale A-28049161 (désignée ci-dessous l'« Entité ») Adresse : Autovía A-2, Km. 585, Martorell (Barcelone, Espagne) Courriel : customercare@cupraofficial.com

2. Quelles données à caractère personnel traitons-nous, comment les utilisons-nous et quelle est la base légale ?

Les données traitées dans votre véhicule en général peuvent comporter les catégories suivantes et être considérées comme des données personnelles au moment de leur traitement dans certains cas et certaines circonstances :

• Données générées par l’unité de contrôle électronique (OCU) : Votre véhicule est équipé d’un système technologique d’information et de connectivité (OCU) qui compile et envoie des données générées à travers des capteurs du véhicule, et qui sont nécessaires au fonctionnement correct de celui-ci, afin d’activer certaines fonctions de confort ou d’infodivertissement, et d’utiliser les services en ligne auxquels vous pouvez souscrire.
• Données de l’identificateur de votre véhicule : Chaque véhicule dispose d’un numéro d’identification unique (VIN) qui peut même identifier son propriétaire.
• Données de fonctionnement du véhicule : Il s’agit des données nécessaires au fonctionnement, à l’entretien, à la sécurité et à la conformité corrects du produit. Par exemple : vitesse, kilométrage, accélération, conditions environnementales, niveaux de pression des roues, état de charge de la batterie, système de freinage, etc.
• Données relatives aux fonctions de confort et d’infodivertissement : Par exemple : positions du siège et du volant, réglages du châssis, contrôle du climatiseur, systèmes d’aide au conducteur et informations au conducteur, réglages sur le combiné d’instruments et le système d’infodivertissement, etc., nécessaires en fonction de vos choix.
• Autre type de données, pouvant dériver de l’utilisation du service ou que vous nous fournissez directement en tant qu’utilisateur, par exemple à travers la souscription des Services CONNECT Online. Vous trouverez ci-après des informations sur le traitement des données indiquées et relatives à l’utilisation de votre véhicule.

2.1. Traitement des données relatives à la connectivité Internet

Dans cette section, nous vous informons du traitement de vos données à caractère personnel lors de l'utilisation d'un véhicule ayant accès à Internet en modes en ligne et hors ligne.

A) Traitement des données pour l'activation de la connectivité

Le véhicule est équipé d'usine d'une carte SIM destinée à l'accès Internet. Par conséquent, afin de garantir la connectivité dès que la carte SIM est incluse dans le véhicule, le fournisseur de télécommunications reçoit des informations concernant le numéro d'identification du véhicule (ci-après, « VIN ») auquel la carte SIM a été affectée.

Le véhicule doit se connecter au serveur de données avant de vous être remis chez le concessionnaire ou, au moins, lorsque le véhicule a un kilométrage initial de 25 km. Cette connexion est nécessaire pour certifier l'enregistrement sur notre serveur de données. Si le véhicule était en mode hors ligne juste avant le début du processus de mise à jour, le véhicule retournera automatiquement en mode hors ligne une fois le processus de mise à jour terminé, en raison de l'importance de cette fonction. Une fois cette mise à jour effectuée, si le véhicule est en mode hors ligne, aucune donnée ne sera envoyée depuis le véhicule et, par conséquent, le traitement des données ne s'effectuera que localement dans le véhicule. De même, tous les services en ligne mobiles seront désactivés, à l'exception du service requis par la loi et lié à la sécurité appelé « système d'appel d'urgence - eCall ». Ce service peut aller en ligne.

En outre, il est techniquement nécessaire que le boîtier télématique (Online Connectivity Unit) installé dans le véhicule, nécessaire pour établir la connectivité du véhicule, redémarre régulièrement et se connecte au réseau radio local afin que le véhicule puisse établir une connexion en ligne, par exemple lorsque l'utilisateur du véhicule bascule le véhicule en mode en ligne ou lorsque le système eCall est utilisé en raison d'un accident. Ce processus n'a lieu que si le véhicule n'est actuellement pas en service, mais indépendamment du fait qu'il soit en mode hors ligne ou en ligne. Si le véhicule était en mode hors ligne, il basculera automatiquement en mode hors ligne une fois le redémarrage terminé.

Le type de données à traiter pour ces activités est le kilométrage du véhicule, l'adresse IP, le VIN et le numéro SIM. L'objectif de ces activités de traitement est de garantir une connectivité qui vous permettra d'activer et d'utiliser les services en ligne mobiles disponibles dans le véhicule. Toutes ces données sont basées sur la conclusion du contrat entre vous et le concessionnaire où vous avez acheté votre véhicule avec un accès Internet, ainsi que pour remplir notre obligation légale en tant que fabricants de fournir nos véhicules avec le « système d'appel d'urgence eCall » (articles 6.1.b et 6.1.c du RGPD).

B) Système d'appel d'urgence eCall

Le système d'appel d'urgence (« eCall ») fonctionne à la fois en mode en ligne et hors ligne et est déjà disponible si aucun contrat Services CONNECT Online n'a été conclu. Si le véhicule est en mode hors ligne, une connexion de données ne sera établie que si vous êtes impliquée) dans un accident de la circulation ou si vous passez un appel d'urgence à l'aide du bouton SOS du véhicule.

Si vous êtes impliquée) dans un accident de la circulation, un appel d'urgence automatique est transféré au centre de secours. Des capteurs placés dans l'airbag et le tendeur de ceinture de sécurité permettent au véhicule de détecter lorsqu'un accident s'est produit et, dans ce cas, d'activer le « système d'appel d'urgence eCall » requis par la loi. Par ailleurs, vous pouvez également signaler manuellement votre propre appel d'urgence à tout moment. Lorsqu'elle est activée, une connexion vocale est établie avec le centre de sauvetage, via lequel (selon le cas) d'autres données peuvent également être affichées et transmises (par exemple sur le type et la gravité de l'accident).

Les données suivantes sont également transmises automatiquement et directement du véhicule au centre de secours : type de véhicule, heure, localisation, sens de circulation, nombre de personnes dans le véhicule. Le transfert automatique de données au centre de coordination de secours est basé sur la protection des intérêts vitaux (art. 6.1.d. du RGPD) ainsi que sur une obligation légale (art. 6.1.c. du RGPD) conjointement au règlement (UE) 2015/758 du Parlement européen et du Conseil du 29 avril 2015 concernant les exigences d'approbation type relatives à l'introduction de systèmes eCall intégrés au véhicule basés sur les numéros d'appels d'urgences et modifiant la Directive 2007/46/CE.

C) Communication sécurisée entre le véhicule et le serveur de données, disponibilité technique des services en ligne mobiles.

Si le véhicule est en mode en ligne, certaines données sont transmises depuis le véhicule. Cela signifie que les véhicules « communiquent ». La communication est en partie nécessaire pour garantir que la fonction Car2X disponible dans le véhicule fonctionne de manière techniquement sûre et sans défaut. Des informations détaillées sur le traitement des données en relation avec la fonction Car2X figurent dans la section juridique du système d'infodivertissement et dans la politique de confidentialité Car2X. Vous pourrez à tout moment activer les services en ligne mobiles de Services CONNECT Online pour votre véhicule à votre demande. En outre, le véhicule compare les données en mode en ligne avec le serveur de données pour s'assurer que tous les Services CONNECT Online activés dans le véhicule sont techniquement disponibles et que la communication entre le véhicule et le serveur de données est sécurisée.

Chaque fois que le véhicule est mis en ligne ou que le contact est allumé alors que le véhicule est en mode en ligne, il doit s'authentifier sur le serveur de données ; l'Entité traite les données à caractère personnel suivantes : le VIN, l'adresse IP avec le numéro de carte SIM du véhicule et, seulement si les Services CONNECT Online sont activés, votre identifiant d'utilisateur. L'identifiant d'utilisateur est traité pour vérifier si les Services CONNECT Online ont été activés par un utilisateur principal pour le véhicule afin que les services puissent être fournis en conséquence. De plus, l'heure des systèmes du véhicule est synchronisée avec l'heure du serveur de données lorsque le contact est allumé. Pour vérifier la validité des certificats envoyés par le véhicule pour une communication sécurisée, le véhicule doit avoir l'heure correcte. Ce n'est que de cette manière qu'une communication sécurisée avec le serveur de données peut être établie et que les cyber-attaques de tiers peuvent être neutralisées. Le traitement des données est effectué sur la base de notre intérêt légitime à établir une communication sécurisée entre le véhicule et notre serveur de données et à être en mesure de fournir techniquement les services de base qui sont à votre disposition dans le véhicule sans qu'un contrat distinct doive être conclu, ainsi que les Services CONNECT Online le cas échéant (art. 6.1f du RGPD).

D) Mises à jour logicielles en ligne

Pour des raisons légales, nous vous fournissons des mises à jour logicielles (par ex. du logiciel de l'appareil de commande) via la connexion en ligne du véhicule (« Mises à jour logicielles en ligne ») si vous devenez client « CONNECT ». Dans le cas où vous ne signez pas de contrat pour les Services CONNECT Online, vous pouvez également obtenir les mises à jour logicielles nécessaires en contactant votre concessionnaire et partenaire de services agréés. Par conséquent, avant de procéder à une mise à jour logicielle disponible en ligne, il est nécessaire de déterminer les véhicules pour lesquels un contrat « CONNECT » a été conclu. À cette fin, il est nécessaire de vérifier le VIN de tous les véhicules qui doivent être mis à jour et vérifier le statut de leur contrat « CONNECT ». Si un contrat CONNECT a été conclu, le traitement des données a lieu afin de respecter le contrat (art. 6.1.b du RGPD) tandis que, pour tous les autres propriétaires, le traitement est réalisé en raison de notre intérêt légitime à pouvoir fournir correctement le service « Mise à jour logicielle/Mise à jour du système en ligne ». (Art. 6.1.f du RGPD).

2.2. Traitement des données concernant les Services CONNECT Online (CONNECT)

Dans cette section, nous vous informons du traitement de vos données à caractère personnel lors de l'activation et de l'utilisation des Services CONNECT Online (également désignés ci-après « CONNECT »).

A) Activation des Services CONNECT Online

Pour activer et utiliser les Services CONNECT Online, vous devez d'abord créer un compte User ID. Grâce à l'User ID, vous pouvez vous inscrire aux Services CONNECT Online ou à des services tiers tels que l'importateur dans votre pays. Si vous le faites, le service en ligne que vous avez sélectionné sera lié au compte utilisateur User ID. Le traitement des données nécessaire pour ce faire est réalisé à des fins d'exécution du contrat, ce qui signifie que les conditions générales doivent être acceptées au moment de la création du compte User ID conformément à l'article 6.1 b. du RGPD. L'User ID sert de compte utilisateur central dans lequel vous pouvez gérer de manière centralisée vos données à caractère personnel. Pour plus d'informations sur le traitement des données dans le cadre de l'User ID, veuillez consulter la politique de confidentialité de CUPRA User ID.

Si vous décidez d'activer les Services CONNECT Online, l'Entité traite vos données d'identification et de contact dans le cadre de l'exécution du contrat pour les Services CONNECT Online. (Art. 6.1 b du RGPD). En outre, l'Entité peut traiter les données de facturation et de paiement que vous communiquez en relation avec votre VIN à des fins d'exactitude comptable et de prévention de la fraude. Le fondement juridique de ce traitement est notre intérêt légitime à remplir nos obligations eu égard à l'exactitude comptable (art. 6.1.f du RGPD).

L'Entité traite les données à caractère personnel du véhicule afin de fournir les Services CONNECT Online activés que vous avez contractés, dans la mesure où cela est nécessaire (art. 6.1.b du RGPD). Dans tous les cas, le VIN est traité et, en plus du VIN et de l'User ID, nous enregistrons également l'heure et le type de service utilisé afin d'identifier et d'analyser les défauts, et afin de préserver notre intérêt légitime à améliorer les services en ligne mobiles de sorte qu'ils puissent être mis à la disposition de tous nos clients avec le moins de perturbation possible (art. 6.1.f du RGPD).

Enfin, à partir des données de contact que vous aurez fournies lors de l’enregistrement à CONNECT, SEAT peut vous inviter à participer à une enquête de satisfaction des clients et/ou à une étude de marché concernant le véhicule connecté que vous venez d’acheter. Ces études peuvent être envoyées par SEAT en tant que responsable des services CONNECT sur la base de ses intérêts légitimes (article 6.1.f du RGPD) dans le cadre de son activité de constructeur automobile. En effet, les informations obtenues à travers ce genre d’études peuvent être utilisées de manière globale pour améliorer nos produits et optimiser nos processus de ventes. Il s’agit d’informations de grande valeur et très intéressantes pour SEAT. Si vous souhaitez vous opposer à ce traitement, veuillez suivre les instructions fournies au point 7 de cette déclaration. Nous vous recommandons de lire les informations relatives à la protection des données incluses dans l’étude de marché avant d’y participer.

B) Utilisation des Services CONNECT Online

Si vous avez des doutes ou des questions concernant Services CONNECT Online, vous pouvez contacter votre partenaire de services (partenaire et/ou concessionnaire), l'importateur dans votre pays (par téléphone, courrier, application ou formulaire de contact) ou notre service clientèle à l'adresse customercare@cupraofficial.com. Dans ces cas, les données suivantes seront traitées par nous : informations contractuelles, identifiant de l'utilisateur (nom, adresse e-mail, numéro de téléphone), VIN, données de traitement spécifiques au service et horodatages associés ainsi que d'autres données que vous nous transmettez dans le cadre de votre demande. L'Entité traite les données conformément à l'art. 6.1.b du RGPD aux fins de la mise en œuvre du contrat Services CONNECT Online ou (si vous êtes déjà client) de la mise en place d'un contrat de Services CONNECT Online.

Si les Services CONNECT Online ont été activés par un utilisateur du véhicule (l'« utilisateur principal ») avec son User ID, tout autre utilisateur du véhicule peut également utiliser les Services CONNECT Online dans ce véhicule. Cependant, il n'est pas possible pour différents utilisateurs de se connecter en tant qu'utilisateur principal en même temps. Si vous utilisez les Services CONNECT Online dans un véhicule sans être un client des Services CONNECT Online pour ce véhicule (l'« utilisateur principal »), veuillez noter que l'utilisateur principal concerné peut consulter les données relatives au véhicule générées lors de votre utilisation.

Lors de l'utilisation des Services CONNECT Online, ces données de véhicule sont traitées, ce qui est nécessaire pour fournir les services contractuels respectifs, entre autres, le numéro VIN, l'emplacement, la vitesse, la position, les informations sur le trafic, l'état de charge de la batterie, etc. Pour plus d'informations, veuillez consulter votre portefeuille de services. Pour l'utilisateur principal, le traitement des données est effectué aux fins d'exécution du contrat (art. 6.1.b du RGPD). Pour tous les autres utilisateurs, le traitement des données d'utilisation de leur véhicule est effectué sur la base de notre intérêt légitime à fournir les services en vertu du contrat Services CONNECT Online conclu pour le véhicule (art. 6.1.f du RGPD).

Chaque utilisateur du véhicule a la possibilité de mettre le véhicule en mode hors ligne dans les paramètres. En définissant « Mode hors ligne », vous pouvez empêcher le traitement de vos données à caractère personnel par nous, dans la mesure où la connectivité des données sera désactivée (pour le traitement des données en mode hors ligne, lisez le chapitre « Traitement des données en mode hors ligne »). L'utilisateur principal n'est pas en mesure d'afficher les données sur les trajets en mode hors ligne. Par conséquent, les services en ligne mobiles ne peuvent plus être fournis.

Pour plus d'informations sur le traitement des données lors de l'utilisation de l'application My CUPRA, veuillez vous reporter à sa politique de confidentialité.

B.1. Téléchargement de données à des fins d'apprentissage pour la conduite semi-automatique

L'Entité traite vos données à caractère personnel dans le but de télécharger des données à des fins d'apprentissage pour la conduite semi-automatique. L'objectif du téléchargement de données à des fins d'apprentissage pour la conduite semi-automatique est l'amélioration continue de la fonction Travel Assist avec des données de Swarm pour la conduite semi-automatique. Les données recueillies sont utilisées de manière à ce que « Travel Assist with Swarm Data » apprenne les itinéraires et puisse aider les conducteurs de tous les véhicules équipés de Travel Assist with Swarm Data sur ces itinéraires appris. Les données envoyées sont anonymisées sur une période de 24 heures dans nos serveurs de données, aucune conclusion ne peut être tirée sur des conducteurs individuels. Le téléchargement de données est initialement désactivé et nécessite un consentement spécifique de l'utilisateur dans l'application CUPRA.

• Type de données à caractère personnel : position, horodatage du véhicule, temps de mesure, données de mouvement (vitesse et accélération) ; détection sensorielle de l'environnement immédiat par les capteurs du véhicule : capteurs de caméra (signalisation détectée, voies, objets statiques et dynamiques, mais pas d'image ni de données vidéo), capteurs de radar (objets dynamiques détectés).
• Base juridique : votre consentement donné en cochant la case (article 6.1.a du RGPD). Vous pouvez retirer votre consentement à tout moment sans avoir à vous justifier dans l'application My CUPRA ou en modifiant les paramètres dans le compte utilisateur My CUPRA ID. Le retrait de votre consentement n'affectera pas la licéité du traitement basé sur le consentement avant son retrait.
• Période de conservation : les données téléchargées sont anonymisées dans un délai maximal de 24 heures. Une fois recueillies, la qualité des données envoyées au serveur de données est contrôlée puis les données sont immédiatement anonymisées sur le serveur de données. En outre, la procédure d'anonymisation est constamment examinée pour contrôler son efficacité et son efficience et est développée en permanence en tenant compte des dernières connaissances scientifiques et de l'état de l'art.

B.2. Contrôle vocal en ligne avec données de localisation

Lors de l'utilisation de la fonction de contrôle vocal en ligne, l'Entité traitera votre localisation et la position actuelle de votre véhicule à chaque fois que vous réalisez une commande vocale dans des véhicules équipés du pack CONNECT Plus, et il permettra de les relier, - le cas échéant, lors du traitement de la commande vocale, à des endroits potentiellement intéressants à proximité afin de vous fournir des résultats plus précis (comme des destinations de navigation ou des stations de recharge) plus rapidement. Si ce n'est pas approprié lors du traitement de la commande vocale, la position actuelle du véhicule ne sera plus traitée. La fonction de base de contrôle vocal en ligne restera couverte par la portée contractuellement garantie, même si vous ne donnez pas votre consentement.

• Type de données à caractère personnel : voix, position et données de localisation.
• Base juridique : votre consentement donné en cochant la case (article 6.1.a du RGPD). Vous pouvez retirer votre consentement à tout moment sans avoir à vous justifier dans l'application My CUPRA ou en modifiant les paramètres dans le compte utilisateur My CUPRA ID. Le retrait de votre consentement n'affectera pas la licéité du traitement basé sur le consentement avant son retrait.
• Période de conservation : l'Entité conservera vos données pendant la durée de notre relation contractuelle et, après achèvement, pendant une période maximale de 10 ans selon les dispositions légales locales.

2.3. Activités de traitement en relation avec la sécurité et la conformité de votre véhicule connecté

L’entité réalisera un suivi des états et alertes émis par votre véhicule afin de garantir des aspects relatifs à la sécurité, ainsi que pour détecter d’éventuelles erreurs, les analyser, puis proposer et appliquer des améliorations et solutions. Une fois récupérées, ces données pourront être associées à des données techniques de production et à des visites préalables à l’atelier pour tirer, de cette façon, des conclusions pertinentes pour la sécurité et le bon fonctionnement du véhicule. Les mesures de sécurité opportunes seront appliquées à tout moment pour assurer la sécurité des données traitées, allant même jusqu’à leur anonymisation, sauf en cas de besoin de l’entité pour traiter le VIN. Ce traitement des données est authentifié par l’intérêt légitime de l’entité (art. 6.1 f) du RPGD) en tant que constructeur du véhicule et fournisseur du service CONNECT, afin de pouvoir détecter des erreurs affectant la sécurité et la qualité du produit et service. Ce qui se traduit donc par un avantage direct pour l’utilisateur. Sans l’accès à ces informations, l’entité serait incapable de détecter des erreurs et d’appliquer des améliorations. À propos de ce traitement, l’entité a évalué l’existence de motifs légitimes impérieux qui, selon les termes prévus à l’article 21.1 du RPGD, ne permettent pas à l’intéressé d’exercer son droit d’opposition.

2.4. Activités de traitement relatives à l’optimisation et au développement des fonctions du véhicule et à l’utilisation des services en ligne

Afin d’optimiser et d’améliorer les fonctions de votre véhicule et de les adapter aux attentes du client et de l’évolution du marché en général, et en particulier pour développer un grand nombre de nouvelles fonctions innovantes, votre véhicule émet diverses données tant fonctionnelles que techniques (par exemple, des données d’éléments d’utilisation, consommation, état, contrôle et infodivertissement du véhicule). Ces informations seront associées au VIN et à l’IP de votre véhicule. L’entité n’utilisera pas ces données pour créer des profils ou les évaluer sur la base de véhicules individualisés. En outre, les attributs des données, permettant de créer des profils ou de tirer des conclusions sur votre comportement ou des patrons de comportement au cours de l’utilisation de votre véhicule, ne seront pas utilisés. Une fois ces informations recueillies, les mesures de sécurité opportunes seront appliquées pour assurer la sécurité des données traitées, allant même jusqu’à leur anonymisation, sauf si elles s’avèrent strictement nécessaires au traitement du VIN par l’entité. L’entité traitera les données mentionnées précédemment dans le cadre d’activités limitées à une durée précise, afin d’optimiser la gamme de fonctions du véhicule et de les adapter aux attentes des clients en vue de la protection de leurs intérêts légitimes ou d’un tiers, à moins que ne prévalent des intérêts ou des droits et libertés fondamentaux nécessitant la protection de données personnelles (art. 6.1.f) du RGPD). Vous pourrez désactiver la transmission de données en configurant la confidentialité de votre véhicule. D’autre part, pour vous opposer définitivement au traitement de vos données personnelles, veuillez contacter notre service client.

2.5. Services et applications de tiers

Vous pourrez connecter votre smartphone au véhicule afin de le contrôler à travers le système intégré à votre véhicule (en utilisant des applications comme Android Auto ou Apple CarPlay). L’intégration permet d’utiliser des applications sélectionnées du smartphone. Le type de traitement des données est défini par le fournisseur de l’application correspondante utilisée. Vous pouvez obtenir plus d’informations et configurer la sélection à travers l’application correspondante et le système d’exploitation de votre smartphone. Il est également possible, dans certains cas, d’utiliser des applications gérées par des tiers, comme, par exemple, Google ou Spotify, en combinaison avec les services de divertissement proposés par l’entité via les services CONNECT. En guise d’étape préalable avant de commencer à utiliser ces services, vous devrez lire attentivement et accepter les Conditions générales et la Politique de confidentialité correspondantes du prestataire de service. L’entité ne pourra aucunement être tenue responsable du traitement correspondant.

2.6. Respect des obligations légales.

Lorsque la législation l’indique, l’entité, en tant que constructeur homologué du véhicule, se verra obligée, par les demandes des autorités compétentes, à traiter et communiquer certaines données stockées dans le véhicule et relatives à son propriétaire. Certaines de ces obligations peuvent dériver des enquêtes sur des délits, des accidents de la circulation supposés, du contrôle des ventes d’occasion, etc. De cette manière, il sera possible de communiquer des données de fonctionnement, d’utilisation, de contrôle, d’état et des données techniques du véhicules associées à son VIN, comme par exemple : le kilométrage, la vitesse, l’accélération, le contrôle de navigation, l’état des ceintures de sécurité, les conditions environnementales, les états de la batterie, des liquides et des pressions, etc. Le traitement et la communication des données aux autorités sont protégés par le respect d’une obligation légale (art. 6 paragr. 1, sub. 1 lettre c) du RGPD) de l’entité, en tant que constructeur du véhicule. En outre, de manière spécifique et dans le respect du Règlement d’exécution (UE) nº 2021/392 de la Commission, au niveau du suivi et de la notification des données relatives aux émissions de CO2 des véhicules de tourisme et utilitaires légers, l’entité communiquera les données du véhicule enregistrant la consommation de carburant et les kilomètres parcourus à bord. Ces données seront consultées en atelier lorsque vous amènerez votre véhicule à un partenaire de services et seront envoyées au Groupe Volkswagen AG et à la Commission européenne avec le numéro d’identification de votre véhicule (VIN). Vous pouvez accéder aux informations complètes dans l’ordre de réparation de votre véhicule..

2.7. Événements liés au véhicule et alertes d'entretien

Enfin, dans certains cas d'incidents et d'alertes concernant votre véhicule, il se peut que l’Entité soit amenée à traiter certaines données relatives à votre véhicule (consommation, kilométrage, localisation, type d'incident/alerte...). Ces données peuvent être traitées par l’Entité ainsi que par l'Importateur de votre pays en cas d'incidents sur la route ou d'entretien du véhicule et peuvent être communiquées au Réseau de service officiel (concessionnaires et garages) et à d'autres tiers tels que les compagnies d'assurance (en cas d'accidents ou de pannes) pour la gestion des services, des réparations et des activités d'assistance. L’Entité peut traiter ces données dans le cadre d'une obligation légale (article 6, paragraphe 1, alinéa 1 lettre c) du RGPD), en tant que constructeur automobile, et peut les divulguer à des Entités tierces dans le cas d'opérations de rappel couvertes par la loi, ou avec votre consentement exprès (Article 6.1 f) du RGPD), le cas échéant.

3. Maintenance des données

Nous conserverons vos données à caractère personnel des Services CONNECT Online aussi longtemps que nécessaire pour vous fournir les fonctionnalités incluses dans les Services CONNECT Online et, dans tous les cas, jusqu'à ce que vous demandiez leur suppression. L'Entité conservera vos données pendant la durée de notre relation contractuelle et, après achèvement, pendant une période maximale de 10 ans selon les dispositions légales locales. À la fin de ce délai, vos données personnelles seront anonymisées conformément aux stipulations des cas précédents en relation avec la sécurité et la conformité du produit.

4. Destinataires des données

La divulgation de vos données à caractère personnel et de vos données relatives au véhicule à des tiers ne se fera que dans le respect des obligations légales correspondantes.

4.1. Conseils sur la conclusion de contrats et le service client

Si votre partenaire de services vous a conseillé lors de la conclusion de votre contrat de services en ligne mobiles, le partenaire percevra une prime. Celle-ci est traitée par la société de vente (l'importateur de l'Entité dans votre pays) responsable de votre pays. À cette fin, l'Entité et l'importateur reçoivent le VIN pour pouvoir imputer les primes aux contrats respectifs via les services en ligne mobiles et les verser en conséquence au partenaire de services de l'entité (art. 6.1.f du RGPD). Le VIN n'est pas lié à d'autres données à caractère personnel détenues par l'importateur dans votre pays.

4.2. Serveurs de données et divulgation de données à des tiers

L'Entité mettra les données à la disposition de tiers agissant en tant que sous-traitants de données dans le but de pouvoir proposer les Services CONNECT Online. Ces tiers traiteront les données à caractère personnel toujours en notre nom. L'Entité utilise des serveurs de données fournis par le groupe Volkswagen, qui fournit également un support de maintenance et technique pour les systèmes informatiques. Les fournisseurs du groupe Volkswagen traiteront uniquement des données en notre nom ou sous notre direction.Enfin, nous vous informons que l’Entité peut communiquer vos données à des Entités du groupe VW dans le but de contrôler la qualité et d'optimiser les processus et canaux internes de vente et d'après-vente du groupe. Ce traitement est fondé sur la sauvegarde de nos intérêts légitimes et dans votre intérêt en tant que client de nos voitures.

5. Vos données à caractère personnel sont-elles envoyées en dehors de l’Union européenne ?

L’ensemble du processus de traitement de vos données est réalisé au sein de l’espace économique européen et il fait l’objet du même niveau de protection qu’au sein de l'Espace économique européen. En outre, selon le modèle de véhicule, les données peuvent être traitées sur des serveurs dont les services sont sous-traités en dehors de l'Espace économique européen, ce qui garantit le traitement de vos données avec les garanties correspondantes. En ce sens, nous vous informons que notre Société, en tant que membre du groupe VW, a passé un contrat de services d'hébergement de données avec certains sous-traitants, dont SalesForce, Inc. Amazon Web Services (AWS) et Microsoft Corporation. Ces sociétés chiffrent les données et les traitent exclusivement sur des serveurs de données situés dans l'Union européenne. Étant donné que ces Sociétés sont basées aux États-Unis d'Amérique, l'accès aux données à partir des États-Unis d'Amérique ne peut être exclu et, par conséquent, des clauses contractuelles de l'Union européenne relatives à la protection des données ont été signées afin de garantir que vos données à caractère personnel sont suffisamment protégées. Si vous souhaitez obtenir une copie de ces clauses ou si elles ont été mises à votre disposition, veuillez nous contacter à l'adresse dataprotection@seat.es.

6. Paramètres d'utilisation et de confidentialité

Les Services CONNECT Online sont disponibles pour différents utilisateurs pouvant utiliser le véhicule à un moment donné. En ce sens, différents rôles ont été habilités afin de leur permettre de profiter des avantages du véhicule connecté. Selon la génération du véhicule dont vous disposez, vous pourrez vous enregistrer comme :

• Utilisateur principal : Celui qui s’enregistre et souscrit les services de CONNECT. Le traitement de ses données est principalement habilité par l’exécution de la licence et du contrat des services de CONNECT (art. 6.1. b) du RGPD).
• Utilisateur invité : Dès lors qu’un utilisateur principal existe, tout utilisateur pourra s’enregistrer avec un compte de CUPRA ID comme invité, et utiliser certains services sans avoir à y souscrire. Dans ce cas, la base juridique légitimant le traitement de vos données est l’intérêt légitime (art. 6.1 f) du RPGD).
• Utilisateur anonyme : L’utilisateur anonyme pourra utiliser certains services sans avoir besoin d’un compte de CUPRA ID. Dans ce cas-là, l’entité ne procédera à aucun traitement de vos informations personnelles.

Veuillez noter que les autres utilisateurs connectés dans ce véhicule peuvent voir votre position de stationnement ou vos préférences de réglage. Vous pouvez gérer les paramètres d'utilisation et de confidentialité via le système d'infodivertissement du véhicule. Les paramètres de confidentialité de la voiture vous permettent, selon le modèle du véhicule, de régler le véhicule en mode hors ligne ou de limiter l'envoi de données. Quoi qu'il en soit, une communication peut être établie afin d'assurer l'accès général à Internet du véhicule ou en cas d'accident, pour l'activation du « système eCall ». Vous pouvez également gérer vos données sur votre portail CUPRA ID.

Vous pouvez également réinitialiser le véhicule avec les paramètres d'usine. Pour ce faire, la voiture doit être en mode en ligne. Cette fonction réinitialise les paramètres enregistrés dans la voiture avec les paramètres d'usine, supprime l'utilisateur principal des Services CONNECT Online (le cas échéant) de la voiture et repasse la voiture en mode hors ligne. Il est possible de restaurer les données relatives aux Services CONNECT Online pendant 14 jours si le même User ID est à nouveau enregistré à l'aide du code affiché dans le véhicule. Si cela n'est pas fait dans les 14 jours, les données relatives aux Services CONNECT Online seront également supprimées du serveur de données.

7. Quels sont vos droits et canaux de contact ?

7.1. Définition des droits

Vous pouvez exercer les droits suivants en votre qualité de personne concernée sous l'Entité :

• Accès : Vous pouvez obtenir des informations si l'entité traite vos données à caractère personnel, et consulter vos données à caractère personnel figurant dans les fichiers et serveurs de l'entité.

• Rectification: Vous pouvez modifier vos données à caractère personnel lorsqu'elles sont inexactes et compléter celles qui sont incomplètes.

• Effacement: Vous pouvez demander la suppression de vos données à caractère personnel lorsque, entre autres raisons, les données ne sont plus nécessaires aux fins auxquelles elles ont été collectées.

• Objection : certaines des activités de traitement identifiéesdans la présente déclaration de protection des données, leur base juridique étant l'intérêtlégitime, peuvent être objectées, tandis que d'autres liées principalementà la connectivité du véhicule peuvent ne pas être arrêtées. Par conséquent, veuillez contacter l'Entité si vous souhaitez exercer votredroit d'opposition, et nous répondrons dès que possible en indiquantl'existence ou l'absence de notre intérêt supérieur. De même, si vous souhaitez en savoir plus sur l'évaluation effectuée par l'Entitéconcernant son intérêt légitime, veuillez contacter le délégué à laprotection des données (DPD).

• Limitation de traitement : vous pouvez demander la limitation dutraitement de vos données à caractère personnel lorsque l'un des motifssuivants s'applique :

  • Si vous avez contesté l'exactitude de vos données à caractère personnel, pendant que votre demande est vérifiée ;
  • Si le traitement des données est illégal, lorsque vous vous opposez à la suppression de vos données et demandez la limitation de leur utilisation ;
  • Lorsque l'entité n'a pas besoin de traiter vos données, mais que vous en avez besoin pour l'exercice de la défense de réclamations ;
  • Lorsque vous vous êtes opposée) au traitement de vos données à caractère personnel pour l'accomplissement d'une mission d'intérêt public ou pour la satisfaction d'un intérêt légitime, pendant qu'il est vérifié que les raisons légitimes du traitement prévalent sur les vôtres.

• Portabilité : Vous pouvez recevoir, sous forme électronique, les données à caractère personnel que vous nous avez fournies ainsi que celles obtenues par le biais de votre relation contractuelle avec l'entité, et les transmettre à une autre entité.

• Retrait de consentement : vous pouvez retirer votre consentement à tout moment sans avoir à vous justifier. Le retrait de votre consentement n'affectera pas la licéité du traitementbasé sur le consentement avant son retrait.

Veuillez noter que nous ne traitons le VIN que pour proposer certaines fonctions des Services CONNECT Online, dans ces cas, ces droits ne sont disponibles que dans une mesure limitée conformément à l'article 11 du RGPD. Cela signifie que nous ne sommes tenus de respecter vos droits que si, lors de l'exercice de vos droits, vous nous avez transmis des informations supplémentaires qui nous permettent de faire valoir votre droit.

Enfin, si vous considérez que l'Entité n'a pas traité vos données à caractère personnel conformément à la loi applicable, vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente, qui pour l'Espagne est l'autorité espagnole de protection des données, www.aepd.es.

7.2. Canaux de contact

Vous pouvez gérer votre confidentialité et vos données à caractère personnel à tout moment dans le système d'infodivertissement du véhicule et le portail User ID : https://cupraid.vwgroup.io/. Si vous le préférez, vous pouvez également contacter customercare@cupraoffical.com directement. Vous pouvez exercer ces droits gratuitement, sauf demandes manifestement infondées ou excessives. Si vous souhaitez exercer vos droits de protection des données auprès de l'importateur de l'Entité ou de ses réseaux de concessionnaires et de partenaires de services, veuillez les contacter directement. Si vous avez des doutes sur la protection des données, ou souhaitez contacter le délégué à la protection des données (« DPD »), vous pouvez également contacter le délégué à la protection des données en lui envoyant un e-mail à dataprotection@seat.es.

Version : Septembre 2023