Préambule
Cette Politique de confidentialité s’adresse aux Personnes Concernées et a pour objectif de les informer sur la manière dont leurs informations personnelles peuvent être collectées et traitées par Swile Travel.
Le respect de la vie privée et des données personnelles est pour Swile Travel une priorité, raison pour laquelle nous nous engageons à traiter celles-ci dans le plus strict respect de la réglementation applicable en matière de protection des données personnelles (ci-après la “Réglementation Applicable”), en particulier la Loi Informatique et Libertés du 6 janvier 1978 modifiée et le Règlement (UE) général sur la protection des données du 27 avril 2016 (ci-après le « RGPD »).
A ce titre, Swile Travel s’assure :
- De respecter la protection des données par défaut et dès la conception de ses applicatifs ;
- De traiter les données de manière licite, loyale et transparente pour des finalités légitimes et déterminées
- De permettre, à tout moment, l’exercice des droits des Personnes Concernées.
En complément, Swile Travel s’engage à :
- En toutes circonstances, à ne pas vendre vos données personnelles
- Appliquer un processus exigeant en matière de sélection de ses sous-traitants et s’assurer qu’ils disposent d’un niveau adéquat en matière de protection des données personnelles par le biais de mesures organisationnelles et techniques adaptées suffisantes
- Héberger les données de manière sécurisée, conformément aux recommandations des autorités de contrôle.
Article 1. Définitions
Bénéficiaire : désigne la personne bénéficiant des services de Swile Travel, collaborateur dans une entreprise appartenant au groupe du Client.
Client : désigne l’entreprise ou son point de contact ayant souscrit à l’une des offres proposées par Swile Travel en vue de l’utilisation des Services et la mise à disposition des Services aux Bénéficiaires.
Espace des Bénéficiaires : désigne l’interface mise à la disposition du Bénéficiaire par Swile Travel.
Espace du Client : désigne l’interface d’administration mise à la disposition du Client par Swile Travel, dans laquelle il peut notamment paramétrer sa politique voyage et la liste des Bénéficiaires.
Identifiant : désigne ensemble l’adresse de messagerie électronique et le mot de passe que le Bénéficiaire ou le Client choisit lors de son inscription sur la Plateforme et dont la saisie permet la connexion à son Espace.
Plateforme : désigne le site Internet accessible à l’adresse okarito.io, édité par Swile Travel, ainsi que toutes ses composantes graphiques, sonores, visuelles, logicielles, et textuelles. La Plateforme est la propriété exclusive de Swile Travel.
Responsable de traitement : désigne l’entité qui détermine les moyens et les finalités du traitement.
Services : désigne les services proposés par Swile Travel, notamment via la Plateforme. Les Services sont détaillés au sein des conditions applicables.
Sous-traitant : désigne l’entité qui traite les données personnelles des Personnes Concernées pour le compte du Responsable de traitement.
Swile Travel : désigne la société Okarito, société par actions simplifiée ayant son siège social BATIMENT A @7 CENTER IMMEUBLE L ALTIS, 561 RUE GEORGES MELIES, 34000 MONTPELLIER, enregistrée au registre du commerce et des sociétés de Montpellier sous le numéro 840 869 531 et immatriculée auprès d’Atout France sous le numéro IM07880013.
Personnes concernées: désigne l’ensemble des catégories d’utilisateurs de la Plateforme. Sont ainsi considérés comme des Personnes Concernées:
- Les Bénéficiaires ;
- Les administrateurs de la Plateforme ;
- Les Clients ;
- Les Prospects.
Prospect : désigne l’entreprise ou son point de contact intéressé(e) par l’une des offres proposées par Swile Travel.
Article 2. Quelles sont les données personnelles traitées par Swile Travel ?
Le caractère obligatoire ou facultatif des données personnelles collectées et les éventuelles conséquences d'un défaut de réponse sont indiqués lors de leur collecte sur les formulaires associés.
Vous pouvez consulter le détail des données personnelles vous concernant que nous sommes susceptibles de traiter ci-après.
💼 Données d’identification des Clients :
Détail des données personnelles traitées :
- Noms, prénoms et adresses email des administrateurs.
Personnes concernées :
- Administrateurs au sein des Clients (services RH, comptabilité…).
Catégories de traitement(s) concerné(s) :
- 🎛 Gestion et utilisation de la Plateforme ;
- 🤝 Gestion comptable et commerciale de la relation avec les Clients ;
- 📬 Opérations marketing.
🙋 Données d'identification des Bénéficiaires :
Détail des données personnelles traitées :
- Nom ;
- Prénom ;
- Sexe ;
- Numéro de téléphone ;
- Adresse email (professionnelle ou personnelle le cas échéant);
- Date de naissance ;
- Nationalité ;
- Données liées au passeport (facultatif) : numéro, date d’expiration et nationalité ;
- Pour la réservation d’une voiture : numéro de permis, année et pays d’obtention.
Personnes concernées :
Catégories de traitement(s) concerné(s) :
- 🎛 Gestion et utilisation de la Plateforme ;
- ✈️ Gestion des réservations sur la Plateforme ;
- 📬 Opérations marketing.
👔 Données relatives à la vie professionnelle :
Détail des données personnelles traitées :
- Adresse email professionnelle ;
- Entreprise dans laquelle le Bénéficiaire travaille ;
- Le département/équipe du Bénéficiaire.
Personnes concernées :
Catégories de traitement(s) concerné(s) :
- 🎛 Gestion et utilisation de la Plateforme ;
- ✈️ Gestion des réservations sur la Plateforme ;
- 📬 Opérations marketing.
📱 Données techniques relatives à l’usage de la Plateforme :
Détail des données personnelles traitées :
- Adresse IP ;
- Données de connexion et navigation.
Personnes concernées :
Catégories de traitement(s) concerné(s) :
- 🎛 Gestion et utilisation de la Plateforme ;
- ✈️Gestion des réservations sur la Plateforme.
🏨 Données relatives aux réservations effectuées sur la Plateforme
Détail des données personnelles traitées :
- Type et référence de réservation (avion, train, voiture, hôtel) ;
- Lieu, dates et heures de départ/arrivée ;
- Motif du voyage ;
- Programme de fidélité (train/avion) ;
- Historique des réservations ;
- Toutes autres informations que le Bénéficiaire est susceptible de préciser lors de sa réservation de voyage.
Personnes concernées :
Catégories de traitement(s) concerné(s) :
- 🎛 Gestion et utilisation de la Plateforme
- ✈️ Gestion des réservations sur la Plateforme
Article 3. Comment les données personnelles sont collectées ?
Dans le cadre de la fourniture des Services, Swile Travel collecte directement ou indirectement des données personnelles concernant les Personnes Concernées pour les finalités mentionnées ci-après.
Données collectées indirectement :
- Par le Client concernant le Bénéficiaire : lorsque le Client souscrit aux Services, certaines données des Bénéficiaires sont directement importées par le Client pour leur permettre d’accéder aux fonctionnalités de la Plateforme.
Données collectées directement :
- Auprès du Bénéficiaire : lorsque le Bénéficiaire remplit ou complète ses informations personnelles dans son Espace, lorsqu’il navigue sur la Plateforme ainsi qu’à l’occasion d’une réservation effectuée sur la Plateforme ;
- Auprès du Client : lorsqu’il transmet les données nécessaires à l’exécution du contrat qu’il conclut avec Swile Travel.
Article 4. Pour quelles finalités les données sont collectées ?
Suivant le degré de détermination de Swile Travel dans les finalités et les moyens de traitement des données, celle-ci aura alternativement le statut de responsable de traitement ou de sous-traitant du Client.
A. Swile Travel en qualité de responsable de traitement
Sur ces activités, le point de contact des Personnes Concernées est Swile Travel.
🎛 Gestion et utilisation de la Plateforme :
- Administration générale de la Plateforme, y compris la mise en place de mesures de sécurité ;
- Réalisation de statistiques d’utilisation de la Plateforme ;
- Dépôt de cookies sur la Plateforme, conformément aux choix effectués par la Personne Concernée le cas échéant ;
- Gestion des demandes d’exercice de droits des Bénéficiaires.
✈️ Gestion des réservations sur la Plateforme :
- Gestion des réservations sur la Plateforme Swile Travel, notamment :
- demandes de réservation par les Bénéficiaires ;
- édition des documents de voyage ;
- modification / échange / annulation des réservations.
- Assistance et gestion des demandes des Bénéficiaires ;
- Envoi de communications électroniques informatives aux Bénéficiaires liées aux réservations effectuées sur la Plateforme.
🤝 Gestion comptable et commerciale avec les Clients :
- Paiement des Services et suivi de la facturation des Services ;
- Gestion des impayés et du contentieux ;
- Tenue des registres comptables et justificatifs légaux ;
- Gestion du suivi commercial.
📬 Opérations marketing :
- Réalisation de campagnes de prospection BtoB (email, téléphone, courrier) ;
- Envoi d’emails promotionnels (de façon continue ou sur des opérations ponctuelles) ;
- Participation à des jeux-concours ;
- Elaboration de statistiques ;
- Réalisation d’enquêtes de satisfaction ;
- Réalisation d’enquêtes sur une thématique en relation avec les offres de Swile Travel.
B. Swile Travel en qualité de sous-traitant
Sur ces activités, le point de contact des Bénéficiaires est leur employeur directement, le Client. Celui-ci fera le lien avec Swile Travel si besoin.
- Paramétrage de l’environnement de l’entreprise du Client, en ce inclus :
- La gestion de la liste des Bénéficiaires ;
- L’accompagnement au paramétrage des comptes des Bénéficiaires.
- Validation par les validateurs désignés par le Client des réservations demandées par les Bénéficiaires le cas échéant ;
- La mise à disposition au Client des factures avec la liste nominative des réservations effectuées par les Bénéficiaires ;
- Gestion des demandes d’exercice de droits des Bénéficiaires pour les opérations de traitement sous-traitées.
Article 5. Quelles sont les bases légales des traitements ?
En qualité de responsable de traitement, Swile Travel traite les données pour les finalités précitées sur les bases légales suivantes:
- Exécution des mesures contractuelles et précontractuelles : exerçant dans un environnement B to B to C, Swile Travel est liée contractuellement avec les Clients afin de fournir, notamment, une prestation de services au Bénéficiaire. Ainsi, les obligations découlant de la fourniture des différentes prestations de services sont détaillées dans les contrats conclus entre Swile Travel et le Client, et les conditions applicables à chaque Service.
- Obligations légales : Swile Travel peut être soumise à des obligations légales dans le cadre de son activité (obligations comptables…).
- Intérêt légitime : les données personnelles des Bénéficiaires peuvent être traitées afin d’améliorer le service fourni, notamment par le service client. Les données personnelles des Clients ou des Prospects peuvent faire l’objet d’un traitement afin de proposer des services/prestations complémentaires et à des fins de prospection commerciale.
- Consentement : dans certains cas, Swile Travel pourra procéder à des traitements de données personnelles des Personnes Concernées sous réserve de leur accord préalable exprès, notamment pour le dépôt de certains cookies.
Article 6. Quels sont les destinataires des données ?
Swile Travel est susceptible de transmettre vos données à ses sous-traitants et partenaires, aux seules fins de l’exécution d’une partie des Services.
- Les destinataires des données des Bénéficiaires dans le cadre d’une réservation sur la Plateforme
Dans le cadre de la réservation des voyages sur la Plateforme, les données des Bénéficiaires peuvent être partagées suivant votre réservation avec :
- Les entreprises ferroviaires ;
- Les compagnies aériennes ;
- Les entreprises de location de voitures ;
- Les hôtels.
Ces entreprises pourront aussi contacter les Bénéficiaires dans le cadre de leur réservation.
L’utilisation des données personnelles des Bénéficiaires par ces entreprises est réalisée sous leur responsabilité, en leur qualité de Responsable de traitement, et dans le cadre de leur propre politique de confidentialité.
- Les sous-traitants de Swile Travel
Swile Travel audite préalablement et documente l’ensemble des mesures organisationnelles et techniques mises en place par ses sous-traitants.
Swile Travel vérifie systématiquement la mise en place de mesures de sécurité suffisantes afin de préserver un niveau adéquat tout au long du cycle de vie de la donnée.
En conséquence, Swile Travel s’assure que les données personnelles traitées ne sont pas lisibles en clair et font l’objet d’un chiffrement systématique. Dès lors, en l’absence de la détention de la clé de chiffrement, les données sont inaccessibles, même par une autorité judiciaire ou administrative étrangère.
Swile Travel s’assure également d’instaurer des garanties contractuelles robustes en imposant un Data Processing Agreement (DPA) adapté à son secteur d’activité.
Vous pouvez demander à accéder aux documents assurant des garanties appropriées contractuelles en en faisant la demande à notre Délégué à la Protection des Données par mail à dpo@okarito.io, ou par courrier à Swile Travel – Service DPO, BATIMENT A @7 CENTER IMMEUBLE L ALTIS, 561 RUE GEORGES MELIES, 34000 MONTPELLIER.
Dans la limite de leurs attributions respectives et pour les finalités, les personnes qui seront susceptibles d’avoir accès à vos données sont les suivantes :
Le personnel habilité de nos services recherche et développement, marketing, commercial, administratif, juridique et informatique, chargés de l’amélioration de nos services, de la relation client et la prospection et du contrôle qualité ; le personnel habilité de nos sous-traitants.
A noter que toutes ces personnes sont soumises à une obligation de compétence et de confidentialité et qu’elles encourent des sanctions disciplinaires, judiciaires et/ou administratives en cas d’utilisation desdites données pour des finalités contraires à celles énoncées précédemment.
De plus, nous disposons de garanties contractuelles fortes concernant le traitement de données personnelles par nos sous-traitants et que l’accès doit être motivé et préalablement autorisé par Swile Travel.
🌐 Comment Swile Travel sécurise les transferts de données vers d’autres États que ceux de l’Union Européenne, et notamment les États-Unis ?
Swile Travel favorise la sélection de sous-traitants situés au sein de l’Union Européenne et soumis d’office aux obligations du RGPD. Dans certains cas, des sous-traitants peuvent être situés et/ou traiter certaines données hors de l’Union Européenne.
Swile Travel s’assure de conclure tous les contrats avec des prestataires traitant des données personnelles hors de l'Union Européenne avec les garanties adéquates, conformément à l’article 46 du RGPD, et d’y annexer les Clauses Contractuelles Type de la Commission européenne dans leur version la plus récente.
Ces derniers s’engagent systématiquement à prévenir Swile Travel en cas de réception d’une requête judiciaire ou administrative d’accès aux données qu’elle détient. Dans ces circonstances, Swile Travel prévoit des mesures internes pour préserver les droits et libertés des Personnes Concernées.
Pour toute demande d’information complémentaire sur nos sous-traitants, vous pouvez adresser une demande d’information complémentaire à notre Délégué à la Protection des Données (Article 9. Qui contacter pour toutes les demandes liées au RGPD ?).
Vos données personnelles ne sont ni communiquées, ni échangées, ni vendues, ni louées sans votre consentement exprès préalable conformément aux dispositions légales et réglementaires applicables.
Prestataires principaux
Afin de mettre à disposition la Plateforme, Swile Travel fait appel à des sous-traitants. Dans le cadre de sa mise en conformité, chacun des sous-traitants est préalablement audité afin de déterminer la qualité des mesures techniques et organisationnelles mises en place ainsi que son niveau de sécurité. Chaque relation avec un sous-traitant est encadrée par un accord relatif à la protection des données spécifique et, au besoin, par des Clauses Contractuelles Types comme spécifié ci-dessus.
Les prestataires principaux sont les suivants :
- Amazon Web Services / Heroku : pour l’hébergement des données, au sein de l’Union Européenne (les datacenters sont situés en région parisienne, en Irlande et en Allemagne) ;
- Zendesk / Intercom / Webhelp / OnePilot / Laiye : pour le traitement des demandes par le service support ;
- Salesforce : pour le traitement des données d’identification des Clients et prospects.
Article 7. Comment Swile Travel préserve la sécurité de vos données ?
Swile Travel prend à cœur la préservation de la sécurité de ses systèmes d’information et des données personnelles qu’elle traite. Swile Travel met en œuvre toutes les mesures techniques et organisationnelles nécessaires afin d’assurer la sécurité de nos traitements de données personnelles et la confidentialité des données que nous collectons. Cela implique notamment la mise en place des mesures détaillées ci-après.
🧑💻 Mesures techniques :
- Chiffrement systématique des données sur les serveurs d’hébergement au moment du transit de la donnée (entre l’application et les serveurs) et lors de leur stockage.
- Politique de mot de passe fort lors de la création du compte Bénéficiaire et mise en place d’un captcha pour limiter les tentatives d’attaques.
- Mise en place d’une équipe SOC dédiée à la gestion des incidents, monitoring des contrôles de sécurité et vérification continue de l’efficacité des mesures de sécurité
- Accès à la Plateforme par les Bénéficiaires monitoré et protégé par un système de détection et de prévention:
- des attaques de type brute force
- des accès depuis des addresses IP multiples
- des accès multiples depuis une seule adresse IP
🕵️♂️Mesures organisationnelles :
- Protection physique des locaux et contrôle à l’entrée ;
- Journalisation et traçabilité des connexions ;
- Politique de gestion des habilitations de chaque personnel pouvant avoir accès aux données ;
- Procédés d’authentification des personnes accédant aux données avec accès personnel et sécurisé via des identifiants et mots de passe confidentiels.
Article 8. Pour quelle durée les données sont-elles conservées ?
♻️ Cycle de vie de la donnée chez Swile Travel pour un Bénéficiaire :
- Onboarding : Création et administration du compte Bénéficiaire : traitement et collecte des données pendant la durée de vie du compte, et ce jusqu’à sa clôture.
- Utilisation des Services : les données sont collectées et traitées pour assurer la performance des Services conservées, à minima, pendant la durée d’utilisation des Services.
- Off-boarding (fin du contrat entre Swile Travel et le Client ou suppression du Bénéficiaire dans l’Espace du Client) : archivage dans une base intermédiaire pendant 5 ans à compter de l’off-boarding.
- Purge définitive des données : mécanisme de purge interne à Swile Travel pour sa suppression sur l’ensemble des bases de données.
Les données archivées ne sont accessibles que par les services juridique, compliance et informatique afin de diligenter des enquêtes sur des utilisations frauduleuses des Services.
🕓 Détail des durées de conservation par catégorie de données :
Traitement concerné |
Catégories de données |
Durée de conservation |
Utilisation de la Plateforme |
Données d’identification et coordonnées? |
Pendant la durée d’exécution des Services puis 5 ans à compter de l’off-boarding du Bénéficiaire |
Journalisation des actions / logs |
12 mois en l’absence de fraude détectée et jusqu’à 5 ans en cas de mesures d’investigation supplémentaires |
Gestion des réservations sur la Plateforme |
Données relatives aux réservations effectuées sur la Plateforme |
5 ans à compter du départ du Bénéficiaire à l’exception des factures (10 ans à compter de l’émission de celle-ci) |
Cookies et autres traceurs |
Données de connexion |
Jusqu’à 13 mois en fonction des traceurs conformément aux lignes directrices de la CNIL |
Gestion comptable et commerciale des Clients |
Données d’identification, données financières et toute données liées à la relation contractuelle |
Conservation pendant la durée du contrat augmentée de la prescription en vigueur (5 ans).
Les données comptables sont conservées 10 ans à compter de leur émissione |
Données d’identification à des fins de prospection |
3 ans à compter du dernier contact émanant du Client |
Article 9. Qui contacter pour toutes les demandes liées au RGPD ?
Swile Travel a nommé un Délégué à la Protection des Données, qui pourra répondre à toutes vos demandes, y compris d’exercice de droits, relatives à vos données personnelles.
Vous pouvez le joindre :
- 📧 Soit par email à l’adresse suivante : dpo@okarito.io ;
- 💌 Soit par courrier : Swile Travel – Service DPO, BATIMENT A @7 CENTER IMMEUBLE L ALTIS, 561 RUE GEORGES MELIES, 34000 MONTPELLIER.
Article 10. Quels sont vos droits ?
Conformément à la Réglementation Applicable et suivant le contexte de votre demande, vous pouvez disposer des droits suivants (en savoir plus) :
- Droit d’accès (article 15 RGPD), de rectification (article 16 RGPD), de mise à jour, de complétude de vos données ;
- Droit à l’effacement (ou « droit à l’oubli ») de vos données personnelles (article 17 RGPD), lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.;
- Droit de retirer à tout moment votre consentement (article 7 RGPD) ;
- Droit à la limitation du traitement de vos données (article 18 RGPD) en cas de contestation ;
- Droit d’opposition au traitement de vos données (article 21 RGPD) systématique pour les cas de prospection et conditionné à la justification de motifs légitimes impérieux dans les autres cas ;
- Droit à la portabilité des données que vous nous avez fournies, lorsque vos données font l’objet de traitements automatisés fondés sur votre consentement ou sur un engagement contractuel (article 20 RGPD).
Vous pouvez exercer vos droits, à condition de justifier de votre identité, en vous adressant à notre délégué à la protection, aux adresses susmentionnées.
Enfin, vous pouvez également introduire une réclamation auprès des autorités de contrôle et notamment de la CNIL ou de toute autre autorité compétente.
Article 11. Données de connexion, cookies
Nous faisons usage pour le bon fonctionnement de la Plateforme et des Services de données de connexion (date, heure, adresse Internet, protocole de l’ordinateur du visiteur, page consultée) et des cookies (petits fichiers enregistrés sur votre ordinateur) permettant de vous identifier, de mémoriser vos consultations, et de bénéficier de mesures et statistiques d’audience, notamment relatives aux pages consultées.
Certains cookies dit « non nécessaires » nous permettent d’améliorer la qualité de notre Service et de vous proposer des solutions en adéquation avec vos besoins et vos habitudes.
Pour ces derniers, Swile Travel obtient votre consentement préalablement à leur dépôt par le biais d’un bandeau dédié lors de votre première connexion sur la Plateforme.