Politique de protection des données à caractère personnel
En tant qu’entreprise publique traitant des millions de données à caractère personnel de clients, de partenaires, de fournisseurs et de salariés, SNCF Voyageurs a un devoir d’exemplarité et une responsabilité particulière à l’égard de chacun d’eux. A ce titre, SNCF Voyageurs doit traiter ces données personnelles de manière loyale, les collecter et les utiliser pour des objectifs déterminés, explicites et légitimes, pendant une durée limitée, veiller à leur exactitude et, bien entendu, garantir leur sécurité.
Le respect de la vie privée et la protection des données est l’une des valeurs essentielles de SNCF Voyageurs et une préoccupation majeure au quotidien.
C’est pourquoi, SNCF Voyageurs s’engage à respecter la réglementation française et européenne sur la protection des Données personnelles, en particulier le Règlement Général sur la Protection des Données à caractère personnel du 27 avril 2016 (“RGPD”) et la Loi Informatique et Libertés du 6 janvier 1978 modifiée (“LIL”).
Pour cela, SNCF Voyageurs s’est dotée d’une politique interne exigeante en matière de protection des données :
- Nous mettons en œuvre les procédures internes adéquates pour protéger vos Données au sein de notre organisation et nous en contrôlons la bonne application ;
- Nous sensibilisons nos collaborateurs aux bonnes pratiques en matière de protection des Données et de respect de la vie privée, et formons les personnels manipulant régulièrement des Données ;
- Nous mettons en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté à la protection de vos Données, et ce dès la conception de nos Services et Outils ;
- Nous imposons contractuellement le même niveau de protection de vos Données à nos Sous-traitants et nous pouvons en contrôler le respect par des audits ;
- Nous travaillons étroitement avec la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité de protection des données à caractère personnel en France, sur tous nos projets de Traitement innovants ou utilisant de nouvelles solutions technologiques;
- Enfin, afin de contrôler la bonne application de ces règles, nous avons désigné un Délégué à la Protection des Données (DPD, ou DPO en anglais) qui est le relai privilégié de la CNIL.
Les termes utilisés dans la présente Politique avec des majuscules sont définis ici.
Notre politique de protection des données (ci-après « Politique ») a un objectif d’information : elle vous renseigne sur la manière dont nous collectons et utilisons vos Données, les mesures que nous mettons en place pour les protéger et les moyens dont vous disposez pour contrôler cette utilisation. Elle ne constitue pas un contrat et n’entraîne aucune obligation contractuelle.
Dans un souci de transparence, cette Politique vous explique, de manière concise et compréhensible, les concepts clés de la protection des données, l’usage que nous faisons de vos Données et les engagements que nous prenons pour les protéger.
Elle est complétée des Notices d’information (également appelées Mentions d’information) qui détaillent les informations propres à chaque Traitement que nous mettons en œuvre, c’est-à-dire les Objectifs des Traitements, le Type de Données concernées, la Durée de conservation, la Base légale, etc. Les Notices sont classées par catégories pour vous aider à identifier plus facilement celle(s) que vous cherchez.
Si vous cherchez spécifiquement des informations sur les Cookies utilisés sur ce site Internet, vous pouvez les trouver ici.
Cette Politique s’applique à tous les Traitements de Données mis en œuvre par SNCF Voyageurs en tant que Responsable de traitement, au sein de l’Union Européenne, et relatifs aux personnes extérieures à l’entreprise.
Vous êtes concerné par notre Politique si vous :
- Êtes utilisateur de nos espaces digitaux (par exemple le Site internet https://www.sncf-voyageurs.com/fr/ ),
- Êtes client ou potentiel client,
- Êtes utilisateur de nos Services,
- Êtes usager de nos gares ou de nos trains,
- Êtes candidat au recrutement,
- Êtes partenaire ou prestataire de SNCF Voyageurs.
Vous n’êtes pas concerné par cette Politique si le Traitement de vos Données est mis en œuvre par d’autres sociétés du groupe SNCF.
Par exemple :
Les Données que nous traitons proviennent de différentes sources :
4.1 Données directement recueillies auprès de vous
Nous pouvons utiliser des Données que nous avons collectées directement auprès de vous, par exemple lorsque vous créez un compte client sur un site Internet de SNCF Voyageurs ou lorsque vous renseignez un formulaire de souscription à l’un de nos Services.
4.2 Données collectées auprès de sources publiques ou de tiers
Nous pouvons aussi utiliser des Données que nous avons collectées indirectement auprès de tiers :
- Au travers de Données provenant d’organismes publics ou privés sur la base de notre intérêt légitime ou d’obligations légales : fournisseurs de données, organismes de prévention de la fraude, organismes de gestion des impayés, etc.,
- Au travers de Données provenant de partenaires commerciaux sur la base de votre Consentement,
- Au travers de sources de Données en libre accès.
4.3 Données collectées automatiquement lors de l’utilisation de nos espaces digitaux
Nous pouvons être amenés à recueillir automatiquement vos Données lors de l’utilisation de nos espaces digitaux tels que notre Site Internet. Cette collecte automatique peut notamment se faire via l’utilisation de Cookies et autres traceurs.
Pour plus d’informations, vous pouvez consulter notre Politique en matière de Cookies.
Nos engagements
Nous nous engageons à vous informer de l’origine de la collecte de vos Données par le biais des Notices (Mentions) d’information.
Nous ne traitons que les Données pertinentes et nécessaires à l’Objectif que nous poursuivons. Nous traitons ces Données dans le cadre de nos relations avec vous ou de votre utilisation de nos Services.
D’une façon générale, les Données que nous collectons peuvent être classées en Catégories que nous vous présentons ci-après dans cette Section, avec des exemples de Données.
Pour connaître le Type de Données que nous collectons pour un Traitement en particulier, reportez-vous aux Notices d’information spécifiques aux Traitements qui vous concernent.
- Données d’identité : nom, prénom, date de naissance, nationalité, photo, signature, etc.
- Identifiants : numéro de carte de fidélité ou d’abonnement, numéro de carte d'identité ou de passeport, identifiants de réseaux sociaux, etc.
- Coordonnées de contact : adresse mail, adresse postale, téléphone fixe, téléphone mobile, …
- Vie personnelle : situation familiale, nombre d'enfants, personne à contacter, …
- Données de connexion et de navigation : identifiants de connexion, adresse IP, cookies, traces de connexion, historique de navigation, …
- Données de déplacement : numéro du dossier voyage (numéro de réservation), données de validation (date, heure, lieu de la validation du titre de transport), Services souscrits (options de voyage), type d'assistance requise, …
- Données bancaires : moyen de paiement (chèque, carte bancaire, virement), numéro de carte de paiement, date d’expiration de carte de paiement, RIB, etc.
- Profil, scores et segmentation client : type de profil, résultat du score, indicateur de satisfaction client, etc.
À l’occasion de certains Traitements, nous sommes également susceptibles de traiter des documents pouvant contenir les Données dont les Catégories sont décrites ci-dessus.
La Durée de conservation de vos Données varie en fonction de l’Objectif poursuivi par le Traitement concerné et de la législation applicable. Vos données sont ainsi conservées jusqu’à la réalisation de l’Objectif ayant justifié la collecte ou l’enregistrement des Données.
À l’expiration de la Durée de conservation, vos Données sont supprimées de façon définitive ou anonymisées.
Pour connaître la Durée pendant laquelle nous conservons vos Informations pour un Traitement en particulier, reportez-vous aux Notices d’information spécifiques aux Traitements qui vous concernent.
Nos engagements
SNCF Voyageurs s’engage à ne pas conserver vos Données sous une forme permettant votre identification au-delà de la Durée nécessaire à la réalisation de l’Objectif du Traitement.
Pour la réalisation de ses études statistiques telles que la mesure de la fréquentation des trains ou les analyses de l’audience de ses sites Internet, SNCF Voyageurs s’engage à n’utiliser que des Données anonymes toutes les fois où le Traitement ne nécessite pas d’utiliser des Données permettant de vous identifier.
Nous traitons vos Données principalement dans l’Objectif de réaliser les opérations nécessaires à la fourniture du service de transport, ainsi que pour gérer les diverses relations que nous entretenons avec nos clients et partenaires.
Comme la loi l’oblige, nous ne traitons vos Données que lorsque l’Objectif du Traitement peut se fonder sur l’une des Bases légales suivantes :
- L’exécution du contrat qui nous lie par exemple quand l’Objectif du Traitement concerne le déroulement de votre voyage ou la gestion de vos réclamations ;
- Le Consentement que vous avez donné, après avoir été informé du Traitement que nous réaliserons, par exemple quand l’Objectif du Traitement est la réalisation d’opérations de prospection commerciale (promotions, jeux-concours, etc.) ;
- L’intérêt légitime que nous pouvons avoir à utiliser vos Données, dans la mesure où cela ne créé pas de déséquilibre à votre détriment, par exemple quand l’Objectif du Traitement est d’analyser le taux de remplissage de nos trains ;
- Les missions d’intérêt public qui nous sont confiées, par exemple quand l’Objectif du Traitement est la verbalisation des infractions au Code des transports ;
- L’obligation légale qui peut nous être imposée, par exemple lorsque l’Objectif du Traitement est d’évaluer l’intégrité des fournisseurs avec lesquels nous sommes en relation d’affaires ;
- La sauvegarde de vos intérêts vitaux, notamment la transmission de Données vous concernant aux services de secours en cas d’accident.
Pour connaître l’Objectif pour lequel nous utilisons vos Données et la Base légale sur laquelle nous nous fondons pour mettre en œuvre un Traitement en particulier, reportez-vous aux Notices d’information spécifiques aux Traitements qui vous concernent.
Nos engagements
Nous nous engageons à traiter systématiquement les Informations que nous collectons ou détenons sur vous en conformité avec la loi, pour des Objectifs déterminés, explicites et légitimes, et à ne pas les traiter ultérieurement d’une manière incompatible avec ces Objectifs.
Nous sommes transparents sur nos Objectifs et nous nous engageons à les rendre aisément compréhensibles.
Nous pouvons être amenés à transmettre vos Données à plusieurs types de Destinataires.
8.1 Aux collaborateurs de SNCF Voyageurs et du Groupe SNCF
Vos Données peuvent être traitées par les collaborateurs de SNCF Voyageurs et du Groupe SNCF.
Les collaborateurs qui traitent vos Informations sont habilités à traiter ces Informations exclusivement afin de réaliser l’Objectif des Traitements mis en œuvre par SNCF Voyageurs.
8.2 À nos Sous-traitants
Nous faisons appel aux services fournis par plusieurs prestataires spécialisés (prestataires informatiques, hébergeurs de données, etc.) qui agissent le plus souvent comme Sous-traitants au sens du RGPD.
Ces Sous-traitants ont accès aux Données que nous collectons uniquement dans le cadre et pour les besoins des opérations de Traitement que nous leur confions. Nous veillons à ce que chacun de ces Sous-traitants mette en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des Données traitées.
Nous privilégions le traitement et le stockage de vos Données sur le territoire de l’EEE – Espace Economique Européen. Cependant, nous pouvons être amenés à transférer vos Données à des Sous-traitants en dehors de l’EEE, par exemple pour des opérations de sauvegarde de vos Données ou de maintenance à distance.
Si le transfert a lieu vers un pays extérieur à l’EEE dans lequel la législation n'a pas été reconnue comme offrant un niveau de protection adéquat des Données, nous veillons à ce que les mesures nécessaires soient mises en place conformément à la Loi Informatique et Libertés ainsi qu’aux articles 46, paragraphes 2 et 3 et 49 paragraphe 1 du RGPD, et notamment, lorsque c’est nécessaire, à ce que des clauses contractuelles types conformes au modèle adopté par la Commission européenne ou des clauses ad hoc équivalentes soient intégrées dans le contrat conclu entre SNCF Voyageurs et ses prestataires.
8.3 À d’autres destinataires
Vos Données ne sont transmises à des partenaires commerciaux qu’avec votre Consentement.
Sous certaines conditions strictes, vos Données peuvent également être communiquées à certains organismes ayant qualité de tiers autorisés par la loi (administration par exemple).
Nos engagements
Le Groupe SNCF applique à son personnel des politiques d’habilitation strictes qui permettent que vos Données ne soient transmises qu’aux seuls employés autorisés à y avoir accès dans le cadre de leurs attributions.
En cas de recours aux services d’un Sous-traitant de Données, SNCF Voyageurs ne lui communique vos Données qu’après lui avoir imposé le respect de ses propres règles en matière de sécurité, et avoir conclu un contrat par lequel le prestataire s’engage à prendre des mesures techniques et organisationnelles garantissant la protection de vos Données.
Lorsque ce prestataire se situe en dehors de l’EEE (c’est-à-dire lorsque le serveur du Sous-traitant se trouve en dehors de l’EEE), ou en cas de risque d’un transfert des Données en dehors de l’EEE (c’est-à-dire lorsque le serveur se trouve dans l’EEE mais que le pays d’origine du prestataire de services se trouve en dehors de l’EEE), nous mettons en place avec le Sous-traitant un instrument de transfert conforme au RGPD et, si nécessaire, des mesures supplémentaires pour garantir un niveau de protection des Données substantiellement équivalent à celui du RGPD.
Nous ne vendons ni ne louons vos informations personnelles à aucune organisation extérieure sans votre Accord.
En dehors de ces cas, nous ne transmettons vos Données à des tiers qu’après une vérification minutieuse de la validité légale de la demande de communication de vos Données.
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées, visant à garantir un niveau de sécurité adapté face aux risques présentés par le Traitement de vos Données.
Lors de l'évaluation du niveau de sécurité approprié, nous tenons compte en particulier des risques que présente pour vous le Traitement, en cas de destruction, perte, altération, divulgation non autorisée des Données transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles Données, de manière accidentelle ou illicite, conformément aux dispositions de l'article 32 du RGPD.
À titre d’exemple, lorsque cela s’avère possible et/ou nécessaire, nous pouvons recourir à des techniques de Pseudonymisation ou de Chiffrement des données.
Lors de la conception, ou lors de la sélection, des Outils qui permettent le Traitement de vos Données, nous nous assurons qu’ils permettent d’assurer un niveau de protection optimal des Données auprès des services internes ou des éditeurs qui conçoivent ces outils.
Nous mettons ainsi en œuvre des mesures qui respectent les principes de protection dès la conception et de protection par défaut de vos Données, conformément aux dispositions de l'article 25 du RGPD.
Lorsque nous faisons appel à un prestataire, nous ne lui communiquons vos Données qu’après avoir obtenu son engagement contractuel de respecter nos propres règles en matière de sécurité.
Nous effectuons régulièrement des audits de nos propres services ainsi que de ceux de nos prestataires afin de vérifier l’application des règles en matière de sécurité des Données.
10.1 Vos droits
La loi vous accorde des droits sur la façon dont nous traitons vos Données. Vous disposez :
- D’un droit d’accès et d’information qui vous permet d’obtenir une copie et/ou des informations sur la manière dont nous traitons vos Données,
- D’un droit à la rectification de vos Données si les Données que nous utilisons sont erronées,
- D’un droit à l’effacement de vos Données sous certaines conditions,
- D’un droit d’opposition pour un motif légitime au Traitement de Données que nous effectuons, ou du droit de retirer votre Consentement pour les Traitements qui sont réalisés avec votre Accord,
- D’un droit à la portabilité de vos Données sous certaines conditions,
- D’un droit à la limitation des Traitements que nous réalisons avec vos Données pendant un certain temps,
- Du droit de nous faire parvenir des directives relatives à la conservation, à l’effacement et à la communication de vos Données après votre mort,
- Du droit d’introduire une réclamation auprès d’une autorité de contrôle, et notamment de la CNIL (https://www.cnil.fr/fr/plaintes).
Vos droits peuvent être soumis à certaines limites et conditions. Vous pouvez retrouver plus d’informations sur la nature de ces droits sur le site de la CNIL.
10.2 Comment exercer vos droits ?
Le canal par lequel vous pouvez exercer vos droits est détaillé dans la Notice d’information de chaque Traitement. Pour connaître les modalités pour exercer vos droits, reportez-vous aux Notices d’information spécifiques aux Traitements qui vous concernent.
Si vous ne trouvez pas la Notice d’information qui correspond au Traitement qui vous intéresse, vous pouvez saisir votre demande via un des formulaires ci-dessous, selon le/les Service(s) que vous utilisez :
Lorsque c’est nécessaire ou en cas de doutes raisonnables sur votre identité, nous pourrons être amenés à vous demander de vous identifier de manière précise avec une copie d’une pièce d’identité (carte d’identité ou passeport) ou tout autre élément permettant de justifier de votre identité. La copie de votre justificatif d’identité sera supprimée dès que votre demande sera traitée.
Pour toute question concernant la présente Politique ou la protection de vos Données, vous pouvez contacter notre Délégué à la Protection des Données à cette adresse : dpo-sncf-voyageurs@sncf.fr
Nos engagements
SNCF Voyageurs a mis en place une organisation lui permettant de satisfaire aux demandes de droits que vous pouvez exercer tout au long du Traitement, dans le respect des conditions et délais impartis par la réglementation applicable.
En outre, SNCF Voyageurs s’engage à informer systématiquement toute Personne concernée qui exerce ses droits en cas de retard ou d’impossibilité de donner suite à sa demande.
Enfin, SNCF Voyageurs a désigné un Délégué à la protection des données qui peut répondre aux questions concernant la protection de vos Données.
Malgré les mesures que nous prenons pour protéger vos Données, aucune technologie de transmission ou de stockage n’est totalement infaillible.
Toutefois, soucieux de garantir la protection de vos Données, nous vous invitons à contacter notre équipe de cybersécurité à l’adresse électronique guichet.cybersecurite@sncf.fr si vous avez des raisons de penser que la sécurité de vos Données a été compromise ou que vos Données font l’objet d’une utilisation abusive.
Votre signalement sera instruit par nos équipes d’experts techniques et juridiques qui examineront si vos Données ont fait l’objet d’une Violation et décideront des mesures à mettre en œuvre pour y remédier, s’il y a lieu.
Lorsque vous naviguez sur nos espaces digitaux (sites Internet, applications mobiles, etc.), nous déposons des Cookies sur vos appareils (ordinateur, smartphone, tablette, etc…) avec ou sans votre Consentement selon les Objectifs des Cookies. Les informations relatives aux Cookies et aux modalités de refus des Cookies sont précisées dans la Politique en matière de cookies.
Nous nous réservons le droit de modifier la présente Politique à tout moment. Toutes les modifications sont publiées sur notre Site Internet. Nous vous conseillons de la consulter régulièrement, notamment lorsque vous voyagez avec SNCF Voyageurs.
Par ailleurs, SNCF Voyageurs est susceptible de modifier, compléter ou mettre à jour les Notices d’information de ses Traitements afin de prendre en compte toute évolution légale, réglementaire, jurisprudentielle et/ou technique ainsi que les éventuelles modifications apportées aux Services.
Nous vous informons de toutes modifications significatives apportées au Traitement préalablement à leur prise d’effet. En cas de doute sur la version à jour de la Notice d’information, nous vous conseillons de vous reporter à la Notice d’information publiée sur notre Site Internet.
Découvrez aussi
Politique de protection des données
En savoir plusGlossaire
En savoir plusDonnées personnelles
En savoir plusDécouvrez aussi : © Seb Godefroy / Shutterstock / Christin Hume - Unsplash