POLITIQUE DE CONFIDENTIALITE
Et de protection des données personnelles
1. Objet et champ d’application
La présente Politique de confidentialité et de protection des données personnelles (ci-après la « Politique ») a pour objet de définir les engagements de la société PARTIR, exploitant les enseignes PARTIR et VISITEURS (ci-après « la Société » ou « nous »), en matière de collecte, de traitement et de protection des données à caractère personnel des personnes physiques concernées par ses activités. La Société exerce des activités de voyagiste et de tour-opérateur. L’enseigne PARTIR est spécialisée dans la conception et la commercialisation de voyages de groupes sur mesure (entreprises, associations, collectivités, comités d’entreprise), tandis que l’enseigne VISITEURS propose des circuits accompagnés, des voyages itinérants à dominante culturelle et des séjours à destination d’une clientèle grand public, via un réseau d’agences de voyages et en vente directe. La présente Politique s’applique à l’ensemble des traitements de données personnelles mis en œuvre par la Société dans le cadre de ses activités, qu’ils soient réalisés par ses propres services ou par des sous-traitants agissant pour son compte. Elle couvre notamment les données collectées auprès des clients, prospects, partenaires commerciaux (agences de voyages distributrices, prestataires locaux), salariés, candidats à l’embauche et utilisateurs des sites internet et applications de la Société. La Société s’engage à traiter les données personnelles dans le respect du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (ci-après le « RGPD »), de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la « Loi Informatique et Libertés »), ainsi que de l’ensemble des textes pris pour leur application et des lignes directrices de la Commission nationale de l’informatique et des libertés (CNIL) et du Comité européen de la protection des données (CEPD).
2. Définitions
Au sens de la présente Politique, les termes ci-après ont la signification suivante, conformément aux définitions de l’article 4 du RGPD
|
Terme |
Définition |
|
Données personnelles |
Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro de réservation, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité. |
|
Traitement |
Toute opération ou ensemble d’opérations effectuées sur des données personnelles, telles que la collecte, l’enregistrement, la structuration, la conservation, l’adaptation, la consultation, l’utilisation, la communication par transmission, la diffusion, l’effacement ou la destruction. |
|
Responsable de traitement |
La personne physique ou morale qui détermine les finalités et les moyens du traitement. En l’espèce, la société PARTIR. |
|
Sous-traitant |
La personne physique ou morale qui traite des données personnelles pour le compte du Responsable de traitement, conformément à ses instructions (par exemple, un hébergeur, un prestataire de paiement, un éditeur de logiciel de réservation). |
|
Personne concernée |
La personne physique dont les données font l’objet d’un traitement (client, prospect, salarié, partenaire, utilisateur du site). |
|
Destinataire |
La personne physique ou morale, l’autorité publique ou tout autre organisme qui reçoit communication de données personnelles. |
|
Consentement |
Toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou un acte positif clair, que des données la concernant fassent l’objet d’un traitement. |
|
Violation de données |
Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles. |
|
DPO / Délégué à la protection des données |
La personne désignée pour veiller au respect de la réglementation relative à la protection des données au sein de la Société, point de contact des personnes concernées et de la CNIL. |
|
AIPD / Analyse d’impact |
L’analyse d’impact relative à la protection des données, réalisée préalablement à la mise en œuvre d’un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, conformément à l’article 35 du RGPD. |
3. Principes directeurs
Conformément à l’article 5 du RGPD, la Société s’engage à respecter les principes fondamentaux suivants dans le cadre de l’ensemble de ses traitements de données personnelles.
3.1. Licéité, loyauté et transparence
Les données personnelles sont traitées de manière licite, loyale et transparente au regard de la personne concernée. La Société veille à informer les personnes concernées, au moment de la collecte, de l’identité du responsable de traitement, des finalités poursuivies, de la base juridique du traitement, des destinataires, de la durée de conservation et de l’ensemble des droits dont elles disposent, dans un langage clair et accessible.
3.2. Limitation des finalités
Les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement d’une manière incompatible avec ces finalités. Toute nouvelle utilisation des données fait l’objet d’une analyse de compatibilité préalable, conformément aux critères posés par l’article 6, paragraphe 4, du RGPD et aux lignes directrices du Groupe de travail « Article 29 » (avis 03/2013 sur la limitation des finalités).
3.3. Minimisation des données
Seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées sont collectées. La Société procède à un examen régulier de la pertinence des données collectées, notamment lors de la conception de nouveaux formulaires ou de l’évolution de ses systèmes d’information, selon une approche de protection des données dès la conception (« privacy by design », article 25 du RGPD).
3.4. Exactitude
La Société prend toutes les mesures raisonnables pour que les données inexactes, au regard des finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder. Des procédures de mise à jour et de vérification périodique sont mises en place, et les personnes concernées sont invitées à signaler toute modification de leurs données.
3.5. Limitation de la conservation
Les données personnelles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. La Société définit, pour chaque catégorie de traitement, des durées de conservation proportionnées, à l’expiration desquelles les données sont supprimées ou anonymisées, conformément au référentiel de durées de conservation établi par la CNIL et à la législation applicable (notamment le Code du tourisme et le Code de commerce).
3.6. Intégrité et confidentialité
Les données personnelles sont traitées de façon à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques et organisationnelles adaptées aux risques identifiés. Les mesures de sécurité mises en œuvre sont détaillées à la section 10 de la présente Politique.
3.7. Responsabilité (« accountability »)
La Société est en mesure de démontrer sa conformité avec l’ensemble des principes énoncés ci-dessus. Elle tient à cette fin un registre des activités de traitement conformément à l’article 30 du RGPD, documente ses analyses d’impact le cas échéant, conserve les preuves de consentement lorsque celui-ci constitue la base légale du traitement, et réalise des audits internes périodiques de conformité.
4. Identité du responsable de traitement
Le responsable de traitement des données personnelles collectées dans le cadre des activités des enseignes PARTIR et VISITEURS est la société PARTIR, société [forme juridique] au capital de 200 000 euros, immatriculée au Registre du commerce et des sociétés de Paris sous le numéro [RCS], dont le siège social est situé [adresse complète], Paris 9e.
5. Délégué à la protection des données (DPO)
La Société a désigné un Délégué à la protection des données (DPO), conformément aux articles 37 à 39 du RGPD, afin de veiller à la conformité des traitements mis en œuvre, de conseiller la direction et les équipes opérationnelles et de servir de point de contact pour les personnes concernées et la CNIL. Le DPO peut être contacté pour toute question relative à la protection des données personnelles aux coordonnées suivantes : dpo@visiteurs.com, DPO Partir & Visiteurs 43 rue de la Chaussée d’Antin 75009 Paris. Le DPO est également le point de contact pour l’exercice des droits des personnes concernées tels que détaillés à la section 9 de la présente Politique.
6. Catégories de données collectées, finalités et bases juridiques
La Société, dans le cadre de ses activités de voyagiste, est amenée à collecter et traiter différentes catégories de données personnelles, pour des finalités déterminées et sur le fondement de bases juridiques spécifiques, conformément à l’article 6 du RGPD. Le tableau ci-après présente de manière détaillée les principales activités de traitement
|
Finalité du traitement |
Catégories de données |
Base juridique |
Durée de conservation |
|
Gestion des demandes de devis, des réservations et de l’exécution des contrats de voyage (circuits, séjours, croisières, autotours, voyages sur mesure, voyages de groupes) |
Données d’identification (civilité, nom, prénom, date de naissance), coordonnées (adresse postale, e-mail, téléphone), données de passeport/pièce d’identité, préférences de voyage (type d’hébergement, niveau de confort, régime alimentaire, besoins spécifiques), composition du groupe |
Exécution du contrat (art. 6.1.b RGPD) ; pour les données de santé éventuelles : consentement explicite (art. 9.2.a RGPD) |
Durée de la relation contractuelle, puis 5 ans à compter de la fin du contrat (prescription civile de droit commun, art. 2224 Code civil) |
|
Gestion des paiements et de la facturation |
Données bancaires (IBAN, coordonnées de carte bancaire via prestataire de paiement sécurisé), montants, historique des transactions |
Exécution du contrat (art. 6.1.b RGPD) ; obligation légale (art. 6.1.c RGPD, notamment Code de commerce art. L.123-22) |
Données de transaction : 10 ans (obligation comptable). Données de carte bancaire : suppression après la transaction, sauf consentement pour faciliter les achats ultérieurs (13 mois max, délibération CNIL n° 2018-303) |
|
Gestion de la relation client et service après-vente (réclamations, incidents, assistance durant le voyage) |
Données d’identification, coordonnées, historique des voyages, contenu des échanges (e-mails, appels, courriers) |
Exécution du contrat (art. 6.1.b RGPD) ; intérêt légitime (art. 6.1.f RGPD) pour l’amélioration de la qualité de service |
Durée de la relation contractuelle, puis 5 ans (prescription civile) |
|
Prospection commerciale, newsletters, offres personnalisées, invitations à des événements |
Données d’identification, coordonnées, préférences de voyage, historique des voyages, données de navigation |
Consentement (art. 6.1.a RGPD) pour la prospection électronique envers les prospects ; intérêt légitime (art. 6.1.f RGPD et art. L.34-5 CPCE) pour les clients existants (produits/services analogues) |
3 ans à compter du dernier contact actif du prospect ; durée de la relation commerciale pour les clients, puis 3 ans |
|
Gestion des partenariats commerciaux (agences de voyages distributrices, prestataires locaux, guides, hôteliers) |
Données d’identification et coordonnées professionnelles des interlocuteurs, données contractuelles |
Exécution du contrat (art. 6.1.b RGPD) ; intérêt légitime (art. 6.1.f RGPD) |
Durée de la relation contractuelle, puis 5 ans |
|
Gestion du site internet et des applications (formulaires de contact, création de compte en ligne, demandes de brochure) |
Données de navigation (adresse IP, type de navigateur, pages visitées, durée de visite), cookies et traceurs, données fournies via les formulaires |
Consentement (art. 6.1.a RGPD) pour les cookies non essentiels ; intérêt légitime pour les cookies strictement nécessaires (lignes directrices CNIL du 17 sept. 2020) |
Données de navigation : 13 mois maximum (recommandation CNIL). Données de formulaire : voir durées applicables selon la finalité |
|
Gestion des avis clients et témoignages |
Données d’identification, contenu de l’avis, note attribuée, date du voyage |
Consentement (art. 6.1.a RGPD) pour la publication ; intérêt légitime pour la collecte interne |
Durée de publication de l’avis ; suppression sur demande ou après 5 ans |
|
Gestion des ressources humaines (recrutement, gestion du personnel, paie, formation) |
Données d’identification, CV, lettre de motivation, données d’état civil, numéro de sécurité sociale, données bancaires pour la paie, évaluations professionnelles |
Exécution du contrat de travail (art. 6.1.b RGPD) ; obligations légales (art. 6.1.c RGPD, Code du travail) |
Candidatures non retenues : 2 ans (recommandation CNIL). Données des salariés : 5 ans après le départ (sauf obligations légales plus longues, par ex. bulletins de paie : 5 ans, DADS/DSN : 6 ans) |
|
Gestion des obligations légales et réglementaires (lutte contre le blanchiment, prévention de la fraude, contentieux) |
Données d’identification, données transactionnelles, copies de pièces d’identité |
Obligation légale (art. 6.1.c RGPD) ; intérêt légitime (art. 6.1.f RGPD) pour la prévention de la fraude |
Durées fixées par la réglementation applicable (5 ans pour les obligations LCB-FT, 10 ans pour les pièces comptables) |
|
Gestion des données de santé et données sensibles (régimes alimentaires liés à des raisons médicales ou religieuses, handicap, conditions médicales nécessitant une adaptation du voyage) |
Données de santé (allergies, mobilité réduite, traitements médicaux spécifiques), préférences alimentaires liées à des convictions religieuses |
Consentement explicite (art. 9.2.a RGPD) ; nécessité pour des motifs d’intérêt public dans le domaine de la santé publique le cas échéant |
Durée strictement nécessaire à l’organisation du voyage, puis suppression dans un délai de 3 mois après le retour, sauf contentieux |
|
Assurance voyage et gestion des sinistres |
Données d’identification, données médicales (avec consentement), circonstances du sinistre |
Exécution du contrat (art. 6.1.b RGPD) ; consentement explicite pour les données de santé |
Durée du contrat d’assurance, puis 2 ans (prescription en matière d’assurance, art. L.114-1 Code des assurances) ou 5 ans si contentieux |
|
Vidéosurveillance des locaux (agence physique VISITEURS, siège social) |
Images vidéo des personnes entrant dans les locaux |
Intérêt légitime (art. 6.1.f RGPD) pour la sécurité des biens et des personnes |
30 jours maximum (recommandation CNIL, sauf enquête en cours) |
7. Données sensibles et catégories particulières
Dans le cadre spécifique de l’organisation de voyages, la Société peut être amenée à collecter des données relevant de catégories particulières au sens de l’article 9 du RGPD, notamment des données de santé (allergies alimentaires, mobilité réduite, traitements médicaux nécessitant des aménagements durant le voyage) et des données révélant des convictions religieuses (préférences alimentaires spécifiques). Ces données ne sont collectées que sur la base du consentement explicite de la personne concernée, recueilli de manière distincte et spécifique, et exclusivement lorsque cela est strictement nécessaire à l’adaptation des prestations de voyage. La Société met en œuvre des mesures de sécurité renforcées pour la conservation de ces données, dont l’accès est strictement limité aux personnes habilitées dont les fonctions justifient qu’elles y accèdent. Ces données sont supprimées dans un d
8. Balance des intérêts
Lorsque la Société fonde un traitement sur son intérêt légitime (article 6, paragraphe 1, point f, du RGPD), elle procède préalablement à une mise en balance entre cet intérêt et les droits et libertés fondamentaux des personnes concernées, conformément aux lignes directrices du Groupe de travail « Article 29 » (avis 06/2014 sur la notion d’intérêt légitime) et à la pratique décisionnelle de la CNIL.
8.1. Prospection commerciale auprès des clients existants
L’intérêt légitime de la Société réside dans la nécessité de fidéliser sa clientèle et de promouvoir des produits et services analogues à ceux déjà acquis, ce qui constitue une attente raisonnable du client dans le secteur du tourisme. L’impact sur les droits des personnes concernées est limité dans la mesure où chaque communication comporte un mécanisme de désinscription simple et effectif, et où la fréquence des sollicitations est encadrée. La Société considère que, dans ces conditions, son intérêt légitime prévaut, sans porter atteinte de manière disproportionnée aux droits des personnes.
8.2. Amélioration de la qualité de service
La Société a un intérêt légitime à analyser les retours d’expérience et les réclamations de ses clients pour améliorer ses prestations. Ce traitement ne porte pas atteinte de manière disproportionnée aux droits des personnes dans la mesure où il porte sur des données non sensibles déjà collectées dans le cadre contractuel, où les résultats sont agrégés et où les personnes disposent d’un droit d’opposition.
8.3. Sécurité des locaux (vidéosurveillance)
L’intérêt légitime de la Société est de protéger la sécurité de ses employés, de ses clients et de ses biens. Le dispositif est proportionné (caméras limitées aux zones d’accès et espaces de vente, aucune captation sonore, durée de conservation limitée à 30 jours) et les personnes sont informées par panneau d’affichage et par la présente Politique. Le personnel et les représentants du personnel ont été informés préalablement.
9. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la Loi Informatique et Libertés, les personnes dont les données sont traitées par la Société disposent des droits suivants.
9.1. Droit d’accès
Toute personne concernée a le droit d’obtenir du responsable de traitement la confirmation que des données la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données ainsi que les informations prévues à l’article 15 du RGPD (finalités, catégories de données, destinataires, durée de conservation, existence de droits, droit d’introduire une réclamation, source des données, existence d’une décision automatisée). La Société fournit une copie des données faisant l’objet du traitement. Pour toute copie supplémentaire demandée par la personne, la Société peut exiger le paiement de frais raisonnables basés sur les coûts administratifs.
9.2. Droit de rectification
Toute personne concernée a le droit d’obtenir, dans les meilleurs délais, la rectification des données inexactes la concernant et de faire compléter les données incomplètes, y compris en fournissant une déclaration complémentaire.
9.3. Droit à l’effacement (« droit à l’oubli »)
Toute personne concernée a le droit d’obtenir l’effacement de ses données dans les cas prévus à l’article 17 du RGPD, notamment lorsque les données ne sont plus nécessaires au regard des finalités, lorsque le consentement est retiré, lorsque la personne s’oppose au traitement sans motif légitime impérieux prévalant, ou lorsque les données ont fait l’objet d’un traitement illicite. Ce droit ne s’applique pas lorsque le traitement est nécessaire au respect d’une obligation légale ou à la constatation, l’exercice ou la défense de droits en justice.
9.4. Droit à la limitation du traitement
La personne concernée a le droit d’obtenir la limitation du traitement dans les cas prévus à l’article 18 du RGPD, notamment lorsqu’elle conteste l’exactitude des données pendant la durée de vérification, lorsque le traitement est illicite et que la personne s’oppose à l’effacement, ou lorsque la Société n’a plus besoin des données mais que celles-ci sont nécessaires à la personne pour la constatation, l’exercice ou la défense de droits en justice.
9.5. Droit à la portabilité
Lorsque le traitement repose sur le consentement ou sur l’exécution d’un contrat et qu’il est effectué à l’aide de procédés automatisés, la personne concernée a le droit de recevoir les données la concernant dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement. Ce droit s’applique notamment aux données de réservation et aux informations de compte client.
9.6. Droit d’opposition
Toute personne concernée a le droit de s’opposer, à tout moment, pour des raisons tenant à sa situation particulière, à un traitement fondé sur l’intérêt légitime. La Société ne traite alors plus les données, à moins qu’elle ne démontre l’existence de motifs légitimes et impérieux prévalant sur les intérêts, droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice. Lorsque les données sont traitées à des fins de prospection commerciale, la personne a le droit de s’opposer à tout moment et sans avoir à justifier de motif.
9.7. Droit de retrait du consentement
Lorsque le traitement est fondé sur le consentement, la personne concernée a le droit de retirer son consentement à tout moment, sans que cela ne compromette la licéité du traitement fondé sur le consentement effectué avant ce retrait. Le retrait du consentement est aussi simple que son octroi.
9.8. Droit de définir des directives relatives au sort des données après le décès
Conformément à l’article 85 de la Loi Informatique et Libertés, toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données personnelles après son décès. Ces directives peuvent être générales (enregistrées auprès d’un tiers de confiance certifié par la CNIL) ou particulières (communiquées directement à la Société).
9.9. Droit de ne pas faire l’objet d’une décision automatisée
Toute personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative. À la date de la présente Politique, la Société ne met pas en œuvre de décision individuelle entièrement automatisée au sens de l’article 22 du RGPD.
9.10. Modalités d’exercice des droits
Les droits des personnes concernées s’exercent en adressant une demande au DPO de la Société, par courrier électronique à l’adresse dpo@visiteurs.com, par courrier postal à l’adresse du siège social mentionnée à la section 4, ou par tout moyen écrit conférant date certaine. La Société s’engage à répondre aux demandes dans un délai d’un mois à compter de la réception de la demande, ce délai pouvant être prolongé de deux mois compte tenu de la complexité et du nombre de demandes, conformément à l’article 12, paragraphe 3, du RGPD. En cas de prolongation, la Société en informe la personne dans le délai initial d’un mois. La Société ne procède à une vérification de l’identité du demandeur que lorsqu’elle a des doutes raisonnables quant à l’identité de la personne, conformément aux lignes directrices du CEPD sur le droit d’accès.
9.11. Réclamation auprès de l’autorité de contrôle En cas de difficulté dans la gestion de ses données personnelles, toute personne concernée dispose du droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL), autorité de contrôle compétente pour le territoire français, dont les coordonnées sont les suivantes : CNIL,3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07, site internet : www.cnil.fr.
10. Mesures de sécurité techniques et organisationnelles
Conformément à l’article 32 du RGPD, la Société met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque,compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes. Ces mesures comprennent notamment les dispositions suivantes.
10.1. Mesures techniques
Le chiffrement des données en transit (protocoles TLS/SSL) et au repos pour les données les plus sensibles (données bancaires, données de santé) est systématiquement mis en œuvre. La Société déploie des pare-feu, des systèmes de détection et de prévention des intrusions, des solutions antivirus et anti-malware à jour, ainsi que des dispositifs de journalisation et de surveillance des accès aux systèmes d’information. Les accès aux données personnelles sont protégés par une authentification forte (identifiant et mot de passe robuste, authentification multifacteur pour les accès à distance). Les sauvegardes régulières des données sont réalisées et testées, et les supports de sauvegarde sont stockés dans des conditions de sécurité adéquates.
10.2. Mesures organisationnelles
La gestion des habilitations repose sur le principe du moindre privilège : chaque collaborateur n’accède qu’aux données strictement nécessaires à l’exercice de ses fonctions.. Les habilitations font l’objet de revues régulières et sont mises à jour lors des changements de poste, de statut – notamment en cas de passage du statut de salarié à celui de prestataire indépendant – ou de départ des collaborateurs. L’ensemble des collaborateurs sont soumis à une obligation de confidentialité contractuelle et bénéficient de sessions de sensibilisation régulières à la protection des données et à la cybersécurité. Des procédures de gestion des incidents de sécurité et de notification des violations de données sont documentées et testées.
10.3. Sécurité physique
L’accès aux locaux hébergeant les systèmes d’information et les archives contenant des données personnelles est encadré par des dispositifs de contrôle d’accès. Les postes de travail sont verrouillés automatiquement après une période d’inactivité. Les documents papier contenant des données personnelles sont détruits de manière sécurisée à l’expiration de leur durée de conservation.
11. Destinataires des données et sous-traitants
Dans le cadre de ses activités, la Société est amenée à communiquer des données personnelles à différentes catégories de destinataires, dans le strict respect du principe de minimisation et de la nécessité liée aux finalités poursuivies.
11.1. Destinataires internes
Au sein de la Société, seuls les collaborateurs dument habilités, dans le cadre de leurs fonctions, accèdent aux données personnelles : équipes commerciales et conseillers voyage pour la gestion des réservations et de la relation client, service comptable et financier pour la facturation et les paiements, service des ressources humaines pour la gestion du personnel, direction générale et DPO pour le pilotage de la conformité.
11.2. Sous-traitants
La Société fait appel à des sous-traitants au sens de l’article 28 du RGPD pour la réalisation de certaines prestations. Chaque sous-traitant est sélectionné en fonction de ses garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Un contrat ou un avenant de sous-traitance conforme à l’article 28, paragraphe 3, du RGPD est conclu avec chaque sous-traitant. Les principales catégories de sous-traitants incluent les hébergeurs de données et prestataires d’infrastructure informatique, les éditeurs de logiciels de réservation et de gestion commerciale (GDS, back-office voyagiste), les prestataires de paiement en ligne, les prestataires de routage d’e-mails et de communication, les prestataires d’assurance voyage (en qualité de responsable conjoint ou de sous-traitant selon le cas), ainsi que les experts-comptables et commissaires aux comptes.
11.3. Partenaires et prestataires locaux
locaux (hôtels, compagnies aériennes, compagnies de transport, guides touristiques, excursionnistes) les données strictement nécessaires à l’exécution de leur prestation. La Société s’assure contractuellement que ces prestataires respectent les exigences de protection des données applicables et ne traitent les données que pour les finalités strictement définies.
11.4. Autorités publiques
La Société peut être amenée à communiquer des données personnelles aux autorités publiques compétentes (autorités fiscales, douanières, de police, judiciaires) en exécution d’obligations légales ou sur réquisition judiciaire. Les données transmises aux autorités consulaires des pays de destination, lorsque cela est requis pour l’obtention de visas ou pour des raisons de sécurité, sont également visées.
12. Transferts de données hors de l’Union européenne
Dans le cadre de son activité de voyagiste, la Société est amenée à transférer des données personnelles vers des pays situés en dehors de l’Espace économique européen (EEE), notamment aux prestataires locaux (hôtels, transporteurs, réceptifs, guides) des pays de destination. Conformément aux articles 44 à 49 du RGPD, ces transferts ne sont réalisés que lorsqu’ils bénéficient de l’une des garanties suivantes. En premier lieu, lorsque le pays de destination fait l’objet d’une décision d’adéquation de la Commission européenne (article 45 du RGPD), le transfert s’effectue sans garantie supplémentaire spécifique. En deuxième lieu, en l’absence de décision d’adéquation, la Société met en place des clauses contractuelles types adoptées par la Commission européenne (décision d’exécution 2021/914 du 4 juin 2021), complétées le cas échéant par des mesures supplémentaires conformément aux recommandations 01/2020 du CEPD. En troisième lieu, dans les cas où le transfert est nécessaire à l’exécution du contrat de voyage entre la personne concernée et la Société (article 49, paragraphe 1, point b, du RGPD), le transfert est effectué sur ce fondement dérogatoire, après information de la personne concernée. Lorsqu’un transfert isolé, qui ne s’inscrit pas dans une relation d’affaires stable, est nécessaire à l’exécution du contrat de voyage ou aux mesures précontractuelles prises à la demande de la personne concernée (pré-réservation), la Société peut mobiliser la dérogation de l’article 49, § 1, b) du RGPD en respectant les trois conditions cumulatives : un lien étroit et nécessaire entre le transfert et la finalité contractuelle, en limitant les données transmises à celles strictement indispensables à cette finalité ; une information préalable de la personne concernée portant sur le transfert envisagé et sur l’absence de décision d’adéquation et de garanties appropriées pour le pays de destination ; la conservation de ce choix par une trace écrite du recours à cette dérogation. A titre exceptionnel, le transfert peut être réalisé sur le fondement du consentement explicite de la personne concernée en respectant les conditions de recueil de ce consentement. La Société procède, préalablement à tout transfert vers un pays tiers, à une évaluation de l’impact du transfert (« Transfer Impact Assessment ») conformément aux recommandations du CEPD, afin de vérifier que la législation du pays de destination n’empêche pas le respect des garanties essentielles de la protection des données et, si nécessaire, de mettre en œuvre des mesures supplémentaires (chiffrement, pseudonymisation, minimisation des données transférées).
13. Cookies et traceurs
La Société utilise des cookies et traceurs sur ses sites internet, conformément à l’article 82 de la Loi Informatique et Libertés, à la directive 2002/58/CE (directive « ePrivacy ») et aux lignes directrices et recommandation de la CNIL du 17 septembre 2020 sur les cookies et autres traceurs.
13.1. Cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement du site et à la fourniture du service demandé par l’utilisateur (par exemple, gestion du panier de réservation, maintien de la session utilisateur, mémorisation de la langue). Ils ne nécessitent pas le consentement de l’utilisateur conformément aux lignes directrices de la CNIL.
13.2. Cookies de mesure d’audience
La Société utilise des outils de mesure d’audience pour analyser la fréquentation et l’utilisation de ses sites internet. Lorsque ces outils sont configurés conformément aux conditions d’exemption définies par la CNIL (finalité strictement limitée à la mesure d’audience pour le compte exclusif de l’éditeur, absence de recoupement avec d’autres traitements, durée de vie du cookie limitée à 13 mois, durée de conservation des données collectées limitée à 25 mois), ils sont exemptés du recueil du consentement. À défaut, le consentement est recueilli préalablement.
13.3. Cookies de personnalisation et cookies tiers
Les cookies de personnalisation (mémorisation des préférences de recherche, affichage de contenus adaptés) et les cookies tiers (réseaux sociaux, publicité ciblée, outils d’analyse non exemptés) ne sont déposés qu’après avoir recueilli le consentement libre, spécifique, éclairé et univoque de l’utilisateur, par le biais d’un bandeau de gestion des cookies (Consent Management Platform) présentant clairement les différentes finalités et permettant d’accepter ou de refuser chaque catégorie de cookies de manière granulaire.
13.4. Gestion des préférences
L’utilisateur peut à tout moment modifier ses préférences en matière de cookies en accédant au module de gestion des cookies accessible depuis chaque page du site (lien « Gérer mes cookies » en pied de page), ou en configurant les paramètres de son navigateur. Le retrait du consentement n’affecte pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La Société conserve la preuve du consentement de l’utilisateur pendant une durée de six mois, conformément à la recommandation CNIL.
14. Gestion des violations de données personnelles
Conformément aux articles 33 et 34 du RGPD, la Société a mis en place une procédure de gestion des violations de données personnelles.
14.1. Notification à l’autorité de contrôle
En cas de violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, la Société notifie la violation à la CNIL dans les meilleurs délais et, si possible, dans un délai de 72 heures après en avoir pris connaissance, conformément à l’article 33 du RGPD. La notification comporte la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables, ainsi que les mesures prises ou envisagées pour remédier à la violation et atténuer ses effets.
14.2. Communication aux personnes concernées
Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, la Société communique la violation aux personnes concernées dans les meilleurs délais, en des termes clairs et simples, conformément à l’article 34 du RGPD, sauf si des mesures techniques ou organisationnelles de protection ont été appliquées aux données (chiffrement rendant les données incompréhensibles) ou si la communication exigerait des efforts disproportionnés (auquel cas une communication publique est effectuée).
14.3. Documentation interne
Toute violation de données, qu’elle fasse ou non l’objet d’une notification à la CNIL, est documentée dans un registre interne des violations de données, conformément à l’article 33, paragraphe 5, du RGPD, en mentionnant les faits, les effets et les mesures correctives adoptées.
15. Analyse d’impact relative à la protection des données (AIPD)
Conformément à l’article 35 du RGPD et aux lignes directrices du CEPD concernant l’AIPD (WP 248 rév.01), la Société réalise une analyse d’impact préalablement à la mise en œuvre de tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Elle se réfère également à la liste des traitements pour lesquels une AIPD est requise, publiée par la CNIL (délibération n° 2018-327 du 11 octobre 2018). L’AIPD comprend une description systématique des opérations de traitement envisagées et de leurs finalités, une évaluation de la nécessité et de la proportionnalité du traitement au regard des finalités, une évaluation des risques pour les droits et libertés des personnes concernées, ainsi que les mesures envisagées pour faire face aux risques. Le DPO est systématiquement consulté dans le cadre de la réalisation des AIPD.
16. Encadrement de la sous-traitance
La Société s’engage à ne faire appel qu’à des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des personnes concernées, conformément à l’article 28 du RGPD. Chaque sous-traitant fait l’objet d’un contrat ou d’un acte juridique au sens de l’article 28, paragraphe 3, du RGPD, stipulant notamment l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données et les catégories de personnes concernées, les obligations et les droits du responsable de traitement, ainsi que l’ensemble des clauses obligatoires prévues par le RGPD (instructions documentées, confidentialité, sécurité, soustraitance ultérieure, assistance pour les droits des personnes, notification des violations, restitution ou destruction des données, audits). La Société tient à jour une liste de ses sous-traitants et de leurs sous-traitants ultérieurs, et procède à des audits périodiques de la conformité de ses sous-traitants.
17. Protection des données dès la conception et par défaut
Conformément à l’article 25 du RGPD, la Société met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles destinées à intégrer les principes de protection des données dans chaque projet impliquant un traitement de données personnelles (« privacy by design »). Par défaut, la Société s’assure que seules les données personnelles nécessaires à chaque finalité spécifique sont traitées (« privacy by default »). Cette exigence s’applique à la quantité de données collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, les formulaires de collecte sont conçus pour ne recueillir que les données strictement nécessaires, les options de partage de données sont désactivées par défaut, et les durées de conservation sont paramétrées dans les systèmes d’information pour garantir une purge automatique.
18. Registre des activités de traitement
Conformément à l’article 30 du RGPD, la Société tient un registre écrit (sous forme électronique) de l’ensemble des activités de traitement de données personnelles effectuées sous sa responsabilité. Ce registre mentionne, pour chaque traitement, le nom et les coordonnées du responsable de traitement et du DPO, les finalités du traitement, les catégories de personnes concernées et de données, les catégories de destinataires, les transferts vers des pays tiers et les garanties associées, les durées de conservation, ainsi qu’une description générale des mesures de sécurité. Le registre ainsi que la documentation de conformité est tenu à la disposition de la CNIL et est régulièrement mis à jour
19. Formation et sensibilisation du personnel
La Société met en place un programme de formation et de sensibilisation de l’ensemble de ses collaborateurs à la protection des données personnelles et à la cybersécurité. Le DPO participe à la conception et à l’animation de ces actions de sensibilisation.
20. Tourisme responsable et engagement éthique en matière de données
Dans le prolongement de son engagement en faveur du tourisme responsable (label Travelife Partner obtenu en 2023 par l’enseigne PARTIR), la Société intègre ses valeurs éthiques dans sa politique de protection des données. Elle s’engage à ne collecter aucune donnée à des fins de surveillance des voyageurs au-delà de ce qui est strictement nécessaire à la sécurité et à l’exécution du contrat, à ne jamais monnetiser les données personnelles de ses clients par la revente à des tiers à des fins publicitaires, à respecter la dignité et la vie privée des populations locales rencontrées lors des voyages en sensibilisant ses collaborateurs et voyageurs au droit à l’image et à la protection des données des personnes photographiées, et à favoriser la transparence et la pédagogie dans sa communication sur les données personnelles.
21. Mise à jour de la présente Politique
La présente Politique peut être modifiée à tout moment par la Société, notamment pour prendre en compte les évolutions législatives, réglementaires, jurisprudentielles ou techniques, ou les recommandations et décisions de la CNIL et du CEPD. Les personnes concernées seront informées de toute modification substantielle par tout moyen approprié (publication sur le site internet, mention dans les communications électroniques). La version en vigueur est celle disponible sur le site internet de la Société.
22. Contact
Pour toute question relative à la présente Politique ou à l’exercice des droits relatifs à la protection des données personnelles, les personnes concernées peuvent contacter le DPO de la Société aux coordonnées suivantes : Délégué à la protection des données (DPO) Société PARTIR dpo@visiteurs.com DPO Partir & Visiteurs 43 rue de la Chaussée d’Antin 75009 Paris