Politique de protection des données

Préambule

Cette Politique de confidentialité s’adresse aux Personnes Concernées et a pour objectif de les informer sur la manière dont leurs informations personnelles peuvent être collectées et traitées par Okarito.

Le respect de la vie privée et des données personnelles est pour Okarito une priorité, raison pour laquelle nous nous engageons à traiter celles-ci dans le plus strict respect de la réglementation applicable en matière de protection des données personnelles (ci-après la “Réglementation Applicable”), en particulier la Loi Informatique et Libertés du 6 janvier 1978 modifiée et le Règlement (UE) général sur la protection des données du 27 avril 2016 (ci-après le « RGPD »).

A ce titre, Okarito s’assure : 

• De respecter la protection des données par défaut et dès la conception de ses applicatifs ; 
• De traiter les données de manière licite, loyale et transparente pour des finalités légitimes et déterminées
• De permettre, à tout moment, l’exercice des droits des Personnes Concernées.  

En complément, Okarito s’engage à : 

• En toutes circonstances, à ne pas vendre vos données personnelles
• Appliquer un processus exigeant en matière de sélection de ses sous-traitants et s’assurer qu’ils disposent d’un niveau adéquat en matière de protection des données personnelles par le biais de mesures organisationnelles et techniques adaptées suffisantes
• Héberger les données de manière sécurisée, conformément aux recommandations des autorités de contrôle. 

Article 1. Définitions

Bénéficiaire : désigne la personne bénéficiant des services de Okarito, collaborateur dans une entreprise appartenant au groupe du Client.

Client : désigne l’entreprise ou son point de contact ayant souscrit à l’une des offres proposées par Okarito en vue de l’utilisation des Services et la mise à disposition des Services aux Bénéficiaires.

Espace des Bénéficiaires : désigne l’interface mise à la disposition du Bénéficiaire par Okarito.

Espace du Client : désigne l’interface d’administration mise à la disposition du Client par Okarito, dans laquelle il peut notamment paramétrer sa politique voyage et la liste des Bénéficiaires.

Identifiant : désigne ensemble l’adresse de messagerie électronique et le mot de passe que le Bénéficiaire ou le Client choisit lors de son inscription sur la Plateforme et dont la saisie permet la connexion à son Espace.

Plateforme : désigne le site Internet accessible à l’adresse okarito.io, édité par Okarito, ainsi que toutes ses composantes graphiques, sonores, visuelles, logicielles, et textuelles. La Plateforme est la propriété exclusive de Okarito. 

Responsable de traitement : désigne l’entité qui détermine les moyens et les finalités du traitement.

Services : désigne les services proposés par Okarito, notamment via la Plateforme. Les Services sont détaillés au sein des conditions applicables.

Sous-traitant : désigne l’entité qui traite les données personnelles des Personnes Concernées pour le compte du Responsable de traitement.

Okarito : désigne la société Okarito, société par actions simplifiée ayant son siège social 1560 Route de Quarante Sous, 78630 Orgeval, enregistrée au registre du commerce et des sociétés de Versailles sous le numéro 840 869 531 et immatriculée auprès d’Atout France sous le numéro IM07880013.

Personnes concernées: désigne l’ensemble des catégories d’utilisateurs de la Plateforme. Sont ainsi considérés comme des Personnes Concernées:

• Les Bénéficiaires ;
• Les administrateurs de la Plateforme ;
• Les Clients ;
• Les Prospects. 

Prospect : désigne l’entreprise ou son point de contact intéressé(e) par l’une des offres proposées par Okarito.

Article 2. Quelles sont les données personnelles traitées par Okarito ?

Le caractère obligatoire ou facultatif des données personnelles collectées et les éventuelles conséquences d'un défaut de réponse sont indiqués lors de leur collecte sur les formulaires associés.

Vous pouvez consulter le détail des données personnelles vous concernant que nous sommes susceptibles de traiter ci-après.

💼 Données d’identification des Clients :

Détail des données personnelles traitées : 

• Noms, prénoms et adresses email des administrateurs.

Personnes concernées : 

• Administrateurs au sein des Clients (services RH, comptabilité…).

Catégories de traitement(s) concerné(s) :

• 🎛  Gestion et utilisation de la Plateforme ; 
• 🤝  Gestion comptable et commerciale de la relation avec les Clients ;
• 📬  Opérations marketing. 

🙋 Données d'identification des Bénéficiaires : 

Détail des données personnelles traitées : 

• Nom ;
• Prénom ; 
• Sexe ;
• Numéro de téléphone ;
• Adresse email (professionnelle ou personnelle le cas échéant); 
• Date de naissance ;
• Nationalité ;
• Données liées au passeport (facultatif) : numéro, date d’expiration et nationalité ;
• Pour la réservation d’une voiture : numéro de permis, année et pays d’obtention.

Personnes concernées : 

• Bénéficiaires

Catégories de traitement(s) concerné(s) :

• 🎛 Gestion et utilisation de la Plateforme ;
• ✈️ Gestion des réservations sur la Plateforme ;
• 📬 Opérations marketing. 

👔 Données relatives à la vie professionnelle : 

Détail des données personnelles traitées : 

• Adresse email professionnelle ;
• Entreprise dans laquelle le Bénéficiaire travaille ;
• Le département/équipe du Bénéficiaire.

Personnes concernées : 

• Bénéficiaire ;
• Prospects.

Catégories de traitement(s) concerné(s) :

• 🎛 Gestion et utilisation de la Plateforme ;
• ✈️ Gestion des réservations sur la Plateforme ;
• 📬 Opérations marketing. 

📱 Données techniques relatives à l’usage de la Plateforme : 

Détail des données personnelles traitées : 

• Adresse IP ;
• Données de connexion et navigation.

Personnes concernées : 

• Bénéficiaires

Catégories de traitement(s) concerné(s) :

• 🎛 Gestion et utilisation de la Plateforme ; 
• ✈️Gestion des réservations sur la Plateforme.

🏨 Données relatives aux réservations effectuées sur la Plateforme

Détail des données personnelles traitées : 

• Type et référence de réservation (avion, train, voiture, hôtel) ;
• Lieu, dates et heures de départ/arrivée ;
• Motif du voyage ;
• Programme de fidélité (train/avion) ;
• Historique des réservations ;
• Toutes autres informations que le Bénéficiaire est susceptible de préciser lors de sa réservation de voyage.

Personnes concernées : 

• Bénéficiaires

Catégories de traitement(s) concerné(s) :

• 🎛 Gestion et utilisation de la Plateforme
• ✈️ Gestion des réservations sur la Plateforme

Article 3. Comment les données personnelles sont collectées ? 

Dans le cadre de la fourniture des Services, Okarito collecte directement ou indirectement des données personnelles concernant les Personnes Concernées pour les finalités mentionnées ci-après. 

Données collectées indirectement :

• Par le Client concernant le Bénéficiaire : lorsque le Client souscrit aux Services, certaines données des Bénéficiaires sont directement importées par le Client pour leur permettre d’accéder aux fonctionnalités de la Plateforme.

Données collectées directement :

• Auprès du Bénéficiaire : lorsque le Bénéficiaire remplit ou complète ses informations personnelles dans son Espace, lorsqu’il navigue sur la Plateforme ainsi qu’à l’occasion d’une réservation effectuée sur la Plateforme ;
• Auprès du Client : lorsqu’il transmet les données nécessaires à l’exécution du contrat qu’il conclut avec Okarito.

Article 4. Pour quelles finalités les données sont collectées ?

Suivant le degré de détermination de Okarito dans les finalités et les moyens de traitement des données, celle-ci aura alternativement le statut de responsable de traitement ou de sous-traitant du Client. 

A. Okarito en qualité de responsable de traitement 

Sur ces activités, le point de contact des Personnes Concernées est Okarito.

🎛 Gestion et utilisation de la Plateforme : 

• Administration générale de la Plateforme, y compris la mise en place de mesures de sécurité ;
• Réalisation de statistiques d’utilisation de la Plateforme ;
• Dépôt de cookies sur la Plateforme, conformément aux choix effectués par la Personne Concernée le cas échéant ;
• Gestion des demandes d’exercice de droits des Bénéficiaires.

✈️ Gestion des réservations sur la Plateforme :

• Gestion des réservations sur la Plateforme Okarito, notamment :

• demandes de réservation par les Bénéficiaires ;
• édition des documents de voyage ;
• modification / échange / annulation des réservations.

• Assistance et gestion des demandes des Bénéficiaires ;

• Envoi de communications électroniques informatives aux Bénéficiaires liées aux réservations effectuées sur la Plateforme.

🤝 Gestion comptable et commerciale avec les Clients :

• Paiement des Services et suivi de la facturation des Services ;
• Gestion des impayés et du contentieux ;
• Tenue des registres comptables et justificatifs légaux ;
• Gestion du suivi commercial.

📬 Opérations marketing :

• Réalisation de campagnes de prospection BtoB (email, téléphone, courrier) ;
• Envoi d’emails promotionnels (de façon continue ou sur des opérations ponctuelles) ;
• Participation à des jeux-concours ;
• Elaboration de statistiques ;
• Réalisation d’enquêtes de satisfaction ;
• Réalisation d’enquêtes sur une thématique en relation avec les offres de Okarito.

B. Okarito en qualité de sous-traitant

Sur ces activités, le point de contact des Bénéficiaires est leur employeur directement, le Client. Celui-ci fera le lien avec Okarito si besoin.

• Paramétrage de l’environnement de l’entreprise du Client, en ce inclus :
  - La gestion de la liste des Bénéficiaires ;
  - L’accompagnement au paramétrage des comptes des Bénéficiaires.

• Validation par les validateurs désignés par le Client des réservations demandées par les Bénéficiaires le cas échéant ;
• La mise à disposition au Client des factures avec la liste nominative des réservations effectuées par les Bénéficiaires ;
• Gestion des demandes d’exercice de droits des Bénéficiaires pour les opérations de traitement sous-traitées.

Article 5. Quelles sont les bases légales des traitements ? 

En qualité de responsable de traitement, Okarito traite les données pour les finalités précitées sur les bases légales suivantes:

• Exécution des mesures contractuelles et précontractuelles : exerçant dans un environnement B to B to C, Okarito est liée contractuellement avec les Clients afin de fournir, notamment, une prestation de services au Bénéficiaire. Ainsi, les obligations découlant de la fourniture des différentes prestations de services sont détaillées dans les contrats conclus entre Okarito et le Client, et les conditions applicables à chaque Service. 

• Obligations légales : Okarito peut être soumise à des obligations légales dans le cadre de son activité (obligations comptables…).

• Intérêt légitime : les données personnelles des Bénéficiaires peuvent être traitées afin d’améliorer le service fourni, notamment par le service client. Les données personnelles des Clients ou des Prospects peuvent faire l’objet d’un traitement afin de proposer des services/prestations complémentaires et à des fins de prospection commerciale. 

• Consentement : dans certains cas, Okarito pourra procéder à des traitements de données personnelles des Personnes Concernées sous réserve de leur accord préalable exprès, notamment pour le dépôt de certains cookies. 

Article 6. Quels sont les destinataires des données ?

Okarito est susceptible de transmettre vos données à ses sous-traitants et partenaires, aux seules fins de l’exécution d’une partie des Services.

• Les destinataires des données des Bénéficiaires dans le cadre d’une réservation sur la Plateforme

Dans le cadre de la réservation des voyages sur la Plateforme, les données des Bénéficiaires peuvent être partagées suivant votre réservation avec : 

• Les entreprises ferroviaires ; 
• Les compagnies aériennes ;
• Les entreprises de location de voitures ;
• Les hôtels.

Ces entreprises pourront aussi contacter les Bénéficiaires dans le cadre de leur réservation.

L’utilisation des données personnelles des Bénéficiaires par ces entreprises est réalisée sous leur responsabilité, en leur qualité de Responsable de traitement, et dans le cadre de leur propre politique de confidentialité. 

• Les sous-traitants de Okarito 

Okarito audite préalablement et documente l’ensemble des mesures organisationnelles et techniques mises en place par ses sous-traitants. 

Okarito vérifie systématiquement la mise en place de mesures de sécurité suffisantes afin de préserver un niveau adéquat tout au long du cycle de vie de la donnée. 

En conséquence, Okarito s’assure que les données personnelles traitées ne sont pas lisibles en clair et font l’objet d’un chiffrement systématique. Dès lors, en l’absence de la détention de la clé de chiffrement, les données sont inaccessibles, même par une autorité judiciaire ou administrative étrangère.

Okarito s’assure également d’instaurer des garanties contractuelles robustes en imposant un Data Processing Agreement (DPA) adapté à son secteur d’activité. 

Vous pouvez demander à accéder aux documents assurant des garanties appropriées contractuelles en en faisant la demande à notre Délégué à la Protection des Données par mail à dpo@okarito.io, ou par courrier à Okarito – Service DPO, 39 rue du Caire, 75002 Paris.

Dans la limite de leurs attributions respectives et pour les finalités, les personnes qui seront susceptibles d’avoir accès à vos données sont les suivantes :

Le personnel habilité de nos services recherche et développement, marketing, commercial, administratif, juridique et informatique, chargés de l’amélioration de nos services, de la relation client et la prospection et du contrôle qualité ; le personnel habilité de nos sous-traitants.

A noter que toutes ces personnes sont soumises à une obligation de compétence et de confidentialité et qu’elles encourent des sanctions disciplinaires, judiciaires et/ou administratives en cas d’utilisation desdites données pour des finalités contraires à celles énoncées précédemment. 

De plus, nous disposons de garanties contractuelles fortes concernant le traitement de données personnelles par nos sous-traitants et que l’accès doit être motivé et préalablement autorisé par Okarito.

🌐 Comment Okarito sécurise les transferts de données vers d’autres États que ceux de l’Union Européenne, et notamment les États-Unis ? 

Okarito favorise la sélection de sous-traitants situés au sein de l’Union Européenne et soumis d’office aux obligations du RGPD. Dans certains cas, des sous-traitants peuvent être situés et/ou traiter certaines données hors de l’Union Européenne. 

Okarito s’assure de conclure tous les contrats avec des prestataires traitant des données personnelles hors de l'Union Européenne avec les garanties adéquates, conformément à l’article 46 du RGPD, et d’y annexer les Clauses Contractuelles Type de la Commission européenne dans leur version la plus récente. 

Ces derniers s’engagent systématiquement à prévenir Okarito en cas de réception d’une requête judiciaire ou administrative d’accès aux données qu’elle détient. Dans ces circonstances, Okarito prévoit des mesures internes pour préserver les droits et libertés des Personnes Concernées. 

Pour toute demande d’information complémentaire sur nos sous-traitants, vous pouvez adresser une demande d’information complémentaire à notre Délégué à la Protection des Données (Article 9. Qui contacter pour toutes les demandes liées au RGPD ?).

Vos données personnelles ne sont ni communiquées, ni échangées, ni vendues, ni louées sans votre consentement exprès préalable conformément aux dispositions légales et réglementaires applicables.

Prestataires principaux 

Afin de mettre à disposition la Plateforme, Okarito fait appel à des sous-traitants. Dans le cadre de sa mise en conformité, chacun des sous-traitants est préalablement audité afin de déterminer la qualité des mesures techniques et organisationnelles mises en place ainsi que son niveau de sécurité. Chaque relation avec un sous-traitant est encadrée par un accord relatif à la protection des données spécifique et, au besoin, par des Clauses Contractuelles Types comme spécifié ci-dessus. 

Les prestataires principaux sont les suivants : 

• Amazon Web Service/Heroku : pour l’hébergement des données, au sein de l’Union Européenne (les datacenters sont situés en région parisienne, en Irlande et en Allemagne) ;
• Zendesk/ Intercom / Webhelp / OnePilot / Laiye : pour le traitement des demandes par le service support ;
• Salesforce : pour le traitement des données d’identification des Clients et prospects.

Article 7. Comment Okarito préserve la sécurité de vos données ? 

Okarito prend à cœur la préservation de la sécurité de ses systèmes d’information et des données personnelles qu’elle traite. Okarito met en œuvre toutes les mesures techniques et organisationnelles nécessaires afin d’assurer la sécurité de nos traitements de données personnelles et la confidentialité des données que nous collectons. Cela implique notamment la mise en place des mesures détaillées ci-après.

🧑💻 Mesures techniques : 

• Chiffrement systématique des données sur les serveurs d’hébergement au moment du transit de la donnée (entre l’application et les serveurs) et lors de leur stockage. 
• Politique de mot de passe fort lors de la création du compte Bénéficiaire et mise en place d’un captcha pour limiter les tentatives d’attaques. 
• Mise en place d’une équipe SOC dédiée à la gestion des incidents, monitoring des contrôles de sécurité et vérification continue de l’efficacité des mesures de sécurité
• Accès à la Plateforme par les Bénéficiaires monitoré et protégé par un système de détection et de prévention:
  - des attaques de type brute force
  - des accès depuis des addresses IP multiples
  - des accès multiples depuis une seule adresse IP

🕵️♂️Mesures organisationnelles : 

• Protection physique des locaux et contrôle à l’entrée ;
• Journalisation et traçabilité des connexions ;
• Politique de gestion des habilitations de chaque personnel pouvant avoir accès aux données ;
• Procédés d’authentification des personnes accédant aux données avec accès personnel et sécurisé via des identifiants et mots de passe confidentiels.

Article 8. Pour quelle durée les données sont-elles conservées ? 

♻️ Cycle de vie de la donnée chez Okarito pour un Bénéficiaire : 

1. Onboarding : Création et administration du compte Bénéficiaire : traitement et collecte des données pendant la durée de vie du compte, et ce jusqu’à sa clôture.

2. Utilisation des Services : les données sont collectées et traitées pour assurer la performance des Services conservées, à minima, pendant la durée d’utilisation des Services. 

3. Off-boarding (fin du contrat entre Okarito et le Client ou suppression du Bénéficiaire dans l’Espace du Client) : archivage dans une base intermédiaire pendant 5 ans à compter de l’off-boarding.

4. Purge définitive des données : mécanisme de purge interne à Okarito pour sa suppression sur l’ensemble des bases de données. 

Les données archivées ne sont accessibles que par les services juridique, compliance et informatique afin de diligenter des enquêtes sur des utilisations frauduleuses des Services.

🕓 Détail des durées de conservation par catégorie de données :

Article 9. Qui contacter pour toutes les demandes liées au RGPD ? 

Okarito a nommé un Délégué à la Protection des Données, qui pourra répondre à toutes vos demandes, y compris d’exercice de droits, relatives à vos données personnelles.

Vous pouvez le joindre :

• 📧 Soit par email à l’adresse suivante : dpo@okarito.io ; 
• 💌 Soit par courrier : Okarito – Service DPO, 39 rue du Caire, 75002 Paris.

Article 10. Quels sont vos droits ? 

Conformément à la Réglementation Applicable et suivant le contexte de votre demande, vous pouvez disposer des droits suivants  (en savoir plus) :

• Droit d’accès (article 15 RGPD), de rectification (article 16 RGPD), de mise à jour, de complétude de vos données ;
• Droit à l’effacement (ou « droit à l’oubli ») de vos données personnelles (article 17 RGPD), lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.;
• Droit de retirer à tout moment votre consentement (article 7 RGPD) ;
• Droit à la limitation du traitement de vos données (article 18 RGPD) en cas de contestation ;
• Droit d’opposition au traitement de vos données (article 21 RGPD) systématique pour les cas de prospection et conditionné à la justification de motifs légitimes impérieux dans les autres cas ;
• Droit à la portabilité des données que vous nous avez fournies, lorsque vos données font l’objet de traitements automatisés fondés sur votre consentement ou sur un engagement contractuel (article 20 RGPD).

Vous pouvez exercer vos droits, à condition de justifier de votre identité, en vous adressant à notre  délégué à la protection, aux adresses susmentionnées. 

Enfin, vous pouvez également introduire une réclamation auprès des autorités de contrôle et notamment de la CNIL ou de toute autre autorité compétente.

Article 11. Données de connexion, cookies 

Nous faisons usage pour le bon fonctionnement de la Plateforme et des Services de données de connexion (date, heure, adresse Internet, protocole de l’ordinateur du visiteur, page consultée) et des cookies (petits fichiers enregistrés sur votre ordinateur) permettant de vous identifier, de mémoriser vos consultations, et de bénéficier de mesures et statistiques d’audience, notamment relatives aux pages consultées.

Certains cookies dit « non nécessaires » nous permettent d’améliorer la qualité de notre Service et de vous proposer des solutions en adéquation avec vos besoins et vos habitudes. 

Pour ces derniers, Okarito obtient votre consentement préalablement à leur dépôt par le biais d’un bandeau dédié lors de votre première connexion sur la Plateforme.

‍