Politique de confidentialité

Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 et vient compléter la législation en matière de protection des données à caractère personnel.

Pour votre information, une donnée à caractère personnel correspond à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres (nom, prénom, adresse, mail, téléphone, numéro de contrat, numéro CB, ...).

Un traitement de données à caractère personnel désigne toute opération sur ce type de données (collecte, stockage, transmission, suppression, …, que cela soit sur papier ou informatique. Le responsable de traitement est la personne qui détermine ces finalités de chaque traitement et les moyens pour atteindre ces finalités.

L’établissement KAR’OUEST est un établissement secondaire de la Société d’Économie Mixte de Transport de l’Ouest (ci-après SEMTO).

Pour la SEMTO la protection de vos données est une priorité. Aussi, dans un souci de transparence, la présente Politique de Confidentialité a pour objectif notamment de vous expliquer pourquoi vos données personnelles sont collectées et traitées par la Société SEMTO, en sa qualité de responsable de traitement, comment celles-ci sont traitées, quels sont les droits dont vous disposez sur vos données et comment vous pouvez les exercer.

La Société SEMTO se réserve le droit de modifier à tout moment la présente Politique de Confidentialité. Toute modification prendra effet immédiatement.

Par conséquent, nous vous invitons à consulter régulièrement de notre Politique, accessible depuis toutes les pages du Site et ce, afin de vous tenir informé de la dernière version en ligne applicable. Pour les changements que nous estimons les plus significatifs, une notification sera faite sur le Site. Nous vous invitons également à vérifier la date indiquée sur la présente Politique afin de connaître la date de la dernière mise à jour.

I - Pourquoi la société SEMTO a-t-elle besoin de collecter ces données ?

La Société SEMTO collecte différents types de données personnelles vous concernant afin que vous arriviez plus vite et dans les meilleures conditions possibles à destination. La collecte de ces données nous permet de mieux vous connaitre afin de mieux vous conseiller sur l’usage de notre réseau et d’améliorer votre expérience de voyage sur nos lignes.

II - Quelles sont les données que la société SEMTO collecte ?

Ces données personnelles sont recueillies lors de votre navigation et sont de deux natures différentes :

Les données que vous nous communiquez directement :

  • Lorsque vous remplissez un formulaire de contact
  • Lorsque vous créez un compte client
  • Lorsque vous procédez à un achat
  • Lorsque vous faites une réclamation ou faites des suggestions au service client
  • Lorsque vous réglez une amende
  • Lorsque vous remplissez un formulaire Karouest Mouv'

Les données que nous collectons automatiquement :

Certaines informations personnelles vous concernant sont collectées automatiquement lorsque vous accédez au site KAROUEST. Ces informations concernent principalement votre navigation. Pour cela la société SEMTO utilise des COOKIES et d’autres technologies de suivi.

Pour en savoir plus sur les cookies et la manière de les désactiver, veuillez consulter la Politique des cookies. Consulter la politique des cookies

III - Sur quel fondement juridique repose le traitement des données :

Dans tous les cas, la société SEMTO ne collecte vos informations personnelles uniquement lorsque leur collecte et leur traitement repose sur un fondement juridique.

L’intérêt légitime de la société SEMTO :

C’est ainsi le cas lorsque la SEMTO recueille vos données personnelles afin de répondre à une demande de contact, ou aux fins de gestion de votre compte personnel.

L’exécution des relations contractuelles avec la société SEMTO :

Vos données sont nécessaires à l’exécution de l’achat auquel vous souhaitez procéder. Sur cette base contractuelle, tout refus de communiquer vos données personnelles empêchera la conclusion et l’exécution du contrat.

Votre consentement :

Sous réserve d’avoir obtenu votre consentement, la société SEMTO peut traiter vos demandes pour :

  • Vous informez sur l’actualité de ses offres, de sa gamme tarifaire, de ses produits et services.

À tout moment vous pouvez revenir sur votre choix et retirer votre consentement, selon les modalités décrites dans la section 5.2 de la présente politique, sans toutefois remettre en cause la légalité du traitement reposant sur le consentement et mis en œuvre avant le retrait.

IV - Combien de temps sont conservées vos données :

Vos données sont conservées par la société SEMTO le temps nécessaire à la réalisation des finalités visées au point 1 des présentes, majorées des délais légaux de prescription.

En matière de gestion des demandes de contact :

La société SEMTO pourra conserver les données pendant le temps du traitement de la demande. Elles seront ensuite détruites.

En matière de gestion de comptes clients, gestion des systèmes billettiques et du service de transport à la demande :

La société SEMTO pourra conserver les données pendant la durée de la relation contractuelle. Après l’exécution du contrat, les données du client peuvent également être conservées en archivage intermédiaire, pour répondre à des obligations comptables ou fiscales ou à des fins probatoires en cas de contentieux dans la limite du délai de prescription applicable.

En matière de prospection commerciale :

Les données des clients peuvent également être conservées par le vendeur pour la gestion des activités commerciales, y compris pour celles relatives à la prospection commerciale pour une durée de trois ans à compter du dernier contact que le client a eu avec le vendeur. (Exemple : une vente de titres)

En matière de prospection commerciale :

Les données du Client peuvent également être conservées par le vendeur pour la gestion des  activités commerciales, y compris pour celles relatives à la à la prospection commerciale, pour une durée de trois ans à compter du dernier contact que le client a eu avec le vendeur. Pour de plus amples informations sur les durées de conservation de vos données, vous pouvez-vous rapprocher du DPO de la société SEMTO

V - Quels sont vos droits et comment les exercer :

5.1 Vos droits sur vos données : 

Vous pouvez obtenir de la société SEMTO la confirmation que vos données soient ou ne soient pas traitées, et lorsqu’elles le sont, l ‘accès à l’ensemble des données et informations détenues par la société.

Droit de rectification de vos données :

Vous pouvez obtenir de la société SEMTO la confirmation que vos données sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès à l’ensemble des données et informations  détenu par la société.

Droit à l’effacement de vos données :

Sauf exceptions légales, vous pouvez demander à la société SEMTO l’effacement, dans les meilleurs délais, de vos données, si notamment, vous estimez que le traitement réalisé par la société SEMTO sur vos données n’est plus nécessaire au regard des finalités pour lesquelles elles ont été collectées.

Droit à la portabilité de vos données :

Vous avez la possibilité de récupérer une partie de vos données dans un format ouvert et lisible ou de demander à la société SEMTO de les transmettre à un autre organisme. Seules sont concernés par ce droit, les données que vous avez fournies activement et consciemment à la société SEMTO (par exemple les données que vous avez renseigné dans un formulaire el ligne) ou les données générées lors de l’utilisation d’un service ou d’un dispositif dans le cadre de la conclusion ou de la gestion de votre contrat, et qui sont traitées d e manière automatisée, sur la base du consentement ou de l’exécution d’un contrat.

Droit d’opposition :

Vous pouvez vous opposer à ce que vos données soient utilisées par un organisme précis. Vous devez alors mettre en avant des raisons tenant à votre situation particulière, sauf en cas de prospection commerciale, à laquelle vous pouvez vous opposer sans motif. En cas de traitement de vos données à des fins de prospections commerciales, vous pouvez vous y opposer sans motif. (cf. point 5.2 de la présente politique), tout comme vous pouvez vous opposer à tout moment au dépôt de cookies (cf. article 10 de la présente politique).

Droit à la limitation du traitement de vos données :

Vous pouvez demander à la société SEMTO de conserver vos données sans pouvoir les utiliser dans l’un des cas suivants :

  • Vous pouvez contester l’exactitude des données utilisées par la société SEMTO
  • Vous vous opposez à ce que les données soient traitées
  • En cas d’usage illicite mais vous vous opposez à leur effacement
  • Vous en avez besoin pour la constations, l’exercice ou la défense de droits en justice

Droit de retirer votre consentement au traitement de vos données :

Lorsque le traitement de vois données personnelles est fondé sur votre consentement (envoi de nos offres commerciales, par exemple), vous avez la possibilité de retirer, à tout moment, votre consentement (voir point 5.2 de la présente politique)

De même pour retirer votre consentement aux cookies (envoi de nos offres commerciales électroniques par exemple), vous avez la possibilité de retirer, à tout moment, votre consentement (voir point 5.2 de la présente politique)

De même pour retirer votre consentement aux cookies, vous pourrez le faire selon les modalités mentionnées dans la Politique des Cookies.

Droit de donner des directives post mortem

Vous avez la possibilité de définir des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès. Ces directives définissent la manière dont vous souhaitez que soient exercés, après votre décès, vos droits sur vos données. Vous pouvez nous transmettre des directives en adressant un courrier, au dpo de de la société SEMTO (voir article 5.2) mentionnant en objet « directives post mortem ». Vous pouvez à tout moment, modifier ou révoquer vos directives.

Droit d’introduire une réclamation auprès de la CNIL :

Si vous considérez que vos droits ne sont pas respectés ou que la protection de vos données n’est pas assurée conformément au RGPD, vous pouvez à tout moment, introduire une réclamation auprès d’une autorité de contrôle compétente (en France, la CNIL), directement sur le site de la CNIL ou par voie postale à : CNIL 3 place de Fontenoy TSA 75334 parois CEDEX 07.

5.2 l’exercice de vos droits :

Pour exercer l’un de vos droits, adressez votre demande à dpo@semto.re ou SEMTO à l’attention du dpo 12 rue Mangalon 97460 St Paul.

Toute demande doit préciser en objet, le motif de la demande (exercice du droit d’accès, d’opposition, …) et les références client si le demandeur est client. Elle devra également préciser l’adresse à laquelle doit parvenir la réponse. Le cas échéant un justificatif d’identité pourra être sollicité afin de s’assurer de l’identité du demandeur.

La Société SEMTO vous adressera sa réponse dans un délai maximum d’un (1) mois, à compter de la date de réception de votre demande. Ce délai peut toutefois être prolongé de deux (2) mois en raison de la complexité et du nombre de demandes.

Si vous estimez, après avoir contacté la Société SEMTO, que vos droits Informatique et Libertés ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.

Prospection et publicité ciblée

Dès lors que vous avez accepté de recevoir des offres commerciales de la part de la Société SEMTO, vous pouvez, à tout moment, revenir sur votre choix en [Indiquer le moyen : lien de désinscription, par ex, en bas du mail].

De manière générale, pour toute question relative à la présente politique de protection des données ou pour toute demande relative à la gestion de vos données personnelles par la Société SEMTO, vous pouvez adresser votre demande par email ou par courrier, comme indiqué ci-dessus.

VI - Avec qui la société SEMTO partage t’elle vos données :

La société SEMTO est également susceptible de transmettre vos données aux entités suivantes lorsque cela est rendu nécessaire pour répondre à l’une des finalités visées au point 1 des présentes :

  • Le personnel habilité de la société
  • Les services chargés du contrôle (commissaire aux comptes, services chargés des procédures internes du contrôle…)
  • Le personnel habilité des prestataires auxquels la société SEMTO est susceptible de faire appel pour l’exécution du contrat. Dans ce cas un contrat est signé avec le prestataire. Ce contrat définit l’objet et la durée du traitement réalisé par le prestataire, la nature et la finalité du traitement, le type de données à caractère personnel traitées et les catégories de personnes concernées, ainsi que les obligations et droits de la société et du prestataire, conformément à l’article 28 du RGPD.

VII - Vos données sont-elles transférées hors UE :

Vos données sont hébergées sur des serveurs sécurisés et situés dans l’Union européenne. Si vos données venaient à être transférées hors UE, par le biais de nos sous-traitants notamment, nous apporterions une attention toute particulière à ce que ces derniers traitent vos données dans le plus strict respect de la réglementation en vigueur en matière de protection des données personnelles dans le cas où ces derniers seraient situés dans un pays ne faisant pas l’objet d’une décision d’adéquation par la Commission Européenne, reconnaissant un niveau de protection équivalent à celui prévu par l’Union Européenne, un contrat-type sera rédigé afin de se conformer au modèle établi par la Commission Européenne.

VIII - Comment la société SEMTO sécurise-t-elle le traitement des données :

La Société SEMTO met en œuvre toutes les mesures techniques, physiques et organisationnelles pour assurer la sécurité et la confidentialité de vos données lors de la collecte, du traitement et du transfert de vos données.

Les infrastructures de la Société SEMTO sont protégées contre les logiciels malveillants (virus, spyware, …). L’accès physique et distant aux serveurs hébergeant les données est contrôlé. Des tests d’intrusion sont réalisés, ainsi que des sauvegardes régulières avec des tests de restauration. La sécurité de votre terminal, à partir duquel vous vous connectez à notre Site, relève de votre responsabilité. 

Dans le cas où la Société SEMTO serait susceptible de faire appel à des prestataires pour traiter une partie de vos données, elle s’engage à vérifier qu’ils présentent des garanties suffisantes pour assurer la protection des données personnelles qui leur sont confiées et à leur faire signer des clauses de confidentialité conformes à l’article 28 du RGPD.

En cas de violation de données à caractère personnel, c'est-à-dire en cas d’incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de vos données personnelles, nous nous engageons à respecter les obligations suivantes :

POUR VOUS, LA VIOLATION DES DONNEES ENGENDRE

AUCUN RISQUE

UN RISQUE

UN RISQUE ELEVE

Documentation interne, dans le « registre des violations »

X

X

X

Notification à la CNIL, dans un délai maximal de 72h

-

X

X

Nous vous en informons dans les meilleurs délais

-

-

X

Le « registre des violations » contient les éléments suivants :

  • La nature de la violation ;
  • Les catégories et le nombre approximatif des personnes concernées ;
  • Les catégories et le nombre approximatif de fichiers concernés ;
  • Les conséquences probables de la violation ;
  • Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation ;
  • Le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées.

Pour autant, et conformément à la réglementation en vigueur, la Société SEMTO n’est pas tenue de vous informer d’une violation dans les cas suivants :

  • Vos données à caractère personnelle sont protégées par des mesures les rendant incompréhensibles pour toutes personnes n’étant pas autorisée à y avoir accès
  • Des mesures ont été prise afin que le risque ne soit plus matérialisé
  • Cette communication exige pour la SEMTO des efforts disproportionnés, ne disposant notamment d’aucun élément pour vous contacter pour vous en informer

IX - Champs obligatoires :

Les champs indiqués par un astérisque dans nos formulaires sont obligatoires. Les conséquences en cas de défaut de réponse sont uniquement l’absence de prise en compte de votre demande. L’obligation de fourniture des données demandées est contractuelle, car nécessaire à l’exécution du contrat auquel vous être partie ou de mesures précontractuelles réalisées à votre demande, notamment en cas de demande d’informations ou de devis concernant nos produits et services.

X - Politique des cookies :

Consulter la politique des cookies

XI - Réseaux sociaux :

La Société SEMTO est présente sur les Réseaux Sociaux via notamment les pages Facebook et Twitter.

L’accès à ces Réseaux Sociaux implique au préalable votre acceptation de leurs conditions contractuelles, incluant leurs engagements au regard du RGPD pour les traitements effectués par ces derniers, et ce indépendamment de nos pages sur lesdits Réseaux Sociaux. Pour en savoir plus sur la protection de vos Données Personnelles lors de la navigation sur ces Réseaux Sociaux, la Société SEMTO vous invite à consulter leurs politiques de confidentialité respectives :

  • Facebook
  • Twitter

La Société SEMTO est en mesure de collecter certaines de vos informations personnelles lorsque vous naviguez sur les pages de nos Réseaux Sociaux. Pour plus d’informations, veuillez consulter notre "Politique de confidentialité – Réseaux Sociaux".

XII - Privacy by design/ by default :

La Société SEMTO s’engage à intégrer la protection des données à caractère personnel dès la conception d’un projet, d’un service ou de tout autre outil lié à la manipulation de données personnelles, notamment la minimisation des données à caractère personnel, la limitation des finalités de la collecte de données, le respect de l’intégrité et de la confidentialité des données, la limitation des durées de conservation

XIII - Accountability

Afin de respect de principe d’Accountability, la Société SEMTO :

  • Adopte des procédures internes dans le but d’assurer le respect du règlement (charte informatique, charte de protection des données à caractère personnel) ;
  • Conserve une trace documentaire de tout traitement effectué sous sa responsabilité ou de celle du sous-traitant (tenue du registre des traitements, accords de confidentialité des salariés et des prestataires, politique de sécurité de l’entreprise, procédures de gestion des demandes d’accès, de rectification, d’opposition...) ;
  • Réalise des analyses d’impact (PIA) pour les traitements présentant des risques particuliers au regard des droits et libertés.

L’objectif est de fournir une documentation riche permettant de démontrer à tout instant le respect des règles relatives à la protection des données.