Politique de Confidentialité et de sécurité des données à caractère personnel

Consultez la politique de confidentialité du site TCL  (pdf - 786.52 Ko)

1- Politique de confidentialité

1.1 Préambule – Votre vie privée, notre responsabilité

Vos données personnelles ne sont pas de simples détails administratifs : ils constituent une partie de votre vie privée. Aujourd’hui, beaucoup de services reposent sur l’échange d’informations personnelles et c’est aussi le cas sur notre site : sans certaines données, impossible de vous vendre un abonnement, de gérer vos trajets ou encore de vous alerter en cas de perturbation. Chaque fois que vous utilisez nos services, vous nous confiez un peu de vous : un nom, une destination, parfois une adresse. Sans ces données, rien ne fonctionnerait.

Chez TCL, nos engagements sont simples et en accord avec le Règlement Général sur la Protection des Données (RGPD) :

  • Pas de collecte inutile : nous ne demandons que ce qui est nécessaire.
  • De la transparence : vous savez pourquoi et comment vos données sont utilisées.
  • Un usage encadré : uniquement pour vous fournir le service demandé, dans le respect de la loi.
  • Une durée maîtrisée : vos données ne restent pas chez nous plus longtemps qu’il ne le faut.
  • Une sécurité renforcée : vos informations ne circulent pas sans protection.
  • Le respect de vos droits : vous restez maître de vos données personnelles, du début à la fin.

Vos informations ne sont pas un produit. Elles sont un outil au service du service que vous attendez. C’est pourquoi la présente politique de confidentialité a pour but de vous expliquer simplement comment et pourquoi nous utilisons vos données personnelles lorsque vous accédez à nos services. Vous trouverez ainsi en détail :

  • Les raisons pour lesquelles certaines informations vous sont demandées ;
  • La façon dont elles sont utilisées et protégées ;
  • Ce qu’elles deviennent une fois confiées ;
  • Les moyens dont vous disposez pour exercer vos droits.

1.2 Qui est responsable de vos données ? 

Les données collectées par SYTRAL Mobilités sont traitées directement par l’établissement et peuvent, selon les besoins et les finalités des traitements, être mises en œuvre avec d’autres sociétés participant à la gestion des services.

Un responsable de traitement est l’entité qui détermine les finalités et les moyens d’un traitement de données personnelles. Dans ce cadre, SYTRAL Mobilités agit en tant que responsable de traitement et collabore avec les sociétés suivantes dans le cadre d’une responsabilité conjointe ou d’une sous-traitance :

  • Keolis Bus Lyon, société anonyme au capital de 7 500 000 euros, dont le siège social est situé au Centre d’activités TCL d’Alsace, 69100 Villeurbanne, immatriculée au RCS de Lyon sous le numéro 931 834 766 ;
  • RD Lyon, société par actions simplifiée unipersonnelle au capital de 4 000 000 euros, dont le siège social est situé 14 rue Olympe de Gouges, 69100 Villeurbanne, immatriculée au RCS de Lyon sous le numéro 925 392 219 ;
  • SPL Relation Usagers, société anonyme au capital de 500 000 euros, dont le siège social est situé Immeuble Le Lyonnais, 21 boulevard Vivier Merle, 69003 Lyon, immatriculée au RCS de Lyon sous le numéro 979 128 402 ;
  • SPL Mobilités, SOCIETE PUBLIQUE LYONNAISE DE MOBILITES (SPLM), société anonyme à conseil d'administration au capital social de 13.400.000 €, dont le siège social est situé au 2 PLACE DES CORDELIERS 69002 LYON, immatriculée au RCS de Lyon sous le numéro 920 508 850 ;
  • RD Navette Fluviale de Lyon, société par actions simplifiée au capital de 100 000 euros, dont le siège social est situé Port Rambaud, 37 Quai Rambaud, 69002 Lyon, immatriculée au RCS de Lyon sous le numéro 925 240 053 ;

1.3 Quelles sont les données personnelles collectées sur le site ?

Une donnée personnelle est toute information qui permet de vous identifier directement (comme votre nom ou votre adresse) ou indirectement (votre numéro de carte TCL, votre adresse IP ou des données de navigation).

Dans le cadre de l’utilisation de nos services, nous collectons et traitons différentes catégories de données personnelles, soit directement auprès de vous, soit indirectement au travers de nos systèmes d’information.

Ces données peuvent concerner :

  • vos données d’identification : civilité, nom, prénom, date de naissance, numéro de carte de transport, etc. ;
  • vos données de contact : adresse postale, adresse électronique, numéros de téléphone, etc. ;
  • les données de localisation et données de validation ;
  • vos données financières : RIB, données bancaires ;
  • vos données de navigation : cookies, mesures d’audience et statistiques anonymisées, etc. ;
  • des pièces justificatives nécessaires à l’étude de votre situation personnelle ou de votre statut (par exemple pour bénéficier d’une tarification adaptée ou régler une contravention en ligne) ;
  • des données techniques : type d’appareil utilisé, modèle de smartphone ou d’ordinateur, adresse IP, navigateur, version du système d’exploitation, cela afin d’optimiser le fonctionnement du site et votre confort de navigation.

Dans certains cas particuliers, des catégories particulières de données (dites « sensibles ») comme des informations liées à des infractions, à la santé ou à des difficultés sociales peu-vent être traitées. Cela ne se fait que lorsque c’est strictement nécessaire pour assurer le service demandé et dans le respect du cadre légal.

Lorsque certaines informations sont indispensables à la fourniture d’un service, ce caractère obligatoire est indiqué par un astérisque (*) dans les formulaires. S’il s’agit d’une obligation légale ou contractuelle, cette précision figure également dans la mention d’information qui vous est communiquée. À défaut de précision, cela signifie que la donnée est uniquement nécessaire au bon fonctionnement du service.

1.4 Qui peut avoir accès à vos données personnelles ? 

L’accès à vos données est strictement limité à nos personnels habilités et aux entités opéra-trices qui participent à la gestion du réseau et des services associés. Il peut s’agir notamment :

  • des équipes en charge de la relation usagers et du service clientèle ;
  • des services de la billettique et de l’administration des ventes ;
  • des équipes en charge du digital, de la maintenance technique et des systèmes d’information ;
  • du personnel habilité à traiter les réclamations, contrôles et recouvrements ;
  • du personnel habilité du service de la sûreté notamment en charge de la vidéoprotection, des caméras individuelles et de la gestion des incidents ;
  • du Délégué à la Protection des Données (DPO) dans le cadre de ses missions de conformité et de conseil.

Nous pouvons également confier certaines données à des prestataires externes, agissant en qualité de sous-traitants, pour des missions spécifiques, notamment :

  • maintenance et hébergement des systèmes informatiques ;
  • solutions de paiement en ligne ;
  • assistance à la gestion de la relation usagers ou des campagnes d’information.

La présente liste n’est pas exhaustive.

Ces prestataires interviennent uniquement sur nos instructions dans le respect de la réglementation et sur la base de clauses contractuelles spécifiques.

Enfin, certaines données peuvent être communiquées, à leur demande et selon la procédure légale en vigueur, aux autorités judiciaires, administratives ou de police, ainsi qu’à tout organisme disposant d’un droit d’accès reconnu par la réglementation. Ces communications sont ponctuelles, limitées aux cas prévus par la loi et font l’objet de vérifications de légitimité par nos soins.

1.5 Sur quels fondements juridiques reposent le traitement de vos données ?

Nous ne collecterons jamais vos données sans justification. Chaque traitement que nous effectuons sur vos données personnelles s’explique par une base légale. Concrètement, cela signifie que vos informations ne sont utilisées que dans des situations clairement définies :

Lorsque vous nous donnez votre accord 

Pour certaines actions, nous vous demandons simplement votre consentement. C’est le cas pour recevoir nos communications commerciales ou participer à certains services facultatifs. Vous pouvez retirer ce consentement à tout moment.

Quand cela est nécessaire pour vous fournir un service 

Beaucoup de traitements existent parce que vous avez conclu un contrat ou demandé un service : délivrance et gestion de titres de transport, suivi de vos paiements ou encore assis-tance en ligne. Sans ces données, nous ne pourrions pas répondre correctement à vos be-soins.

Parce que la loi nous l’impose 

Certaines dispositions légales nous obligent à traiter vos informations : pour répondre à vos demandes d’exercice de droits, constater certaines infractions ou encore coopérer avec les autorités publiques lorsqu’un texte nous y oblige.

Dans le cadre de nos missions de service public 

Nous agissons aussi dans l’intérêt général : assurer la sécurité des voyageurs, gérer les infrastructures de transport, organiser la mobilité sur le territoire, améliorer l’information voyageurs ou encore mettre en place des dispositifs de vidéoprotection. Ces traitements sont réalisés car ils relèvent de la mission d’intérêt public qui nous est confiée.

Pour améliorer et sécuriser nos services

Enfin, certains traitements reposent sur notre intérêt légitime, par exemple pour mieux comprendre vos usages, analyser la fréquentation du réseau, lutter contre la fraude, sécuriser nos systèmes ou améliorer la qualité des services proposés.

Ces fondements légaux garantissent que vos informations sont utilisées de manière juste, transparente et nécessaire, pour vous et pour le bon fonctionnement du réseau.

1.6 Liste des traitements de données et leurs finalités

Le tableau ci-après présente les principaux traitements de données, leurs finalités et leur durée de conservation : Ce tableau présente les traitements de données personnelles mis en œuvre par TCL, leurs finalités et les durées de conservation associées. Il couvre notamment la relation usagers, la vente de titres de transport, le service client, le recouvrement, la sécurité, les contentieux, le transport à la demande, les contrôles, les cookies et l'exercice des droits RGPD. Les durées de conservation varient de quelques mois à plusieurs années selon la finalité.

Ce tableau présente les traitements de données personnelles mis en œuvre par TCL, leurs finalités et les durées de conservation associées. Il couvre notamment la relation usagers, la vente de titres de transport, le service client, le recouvrement, la sécurité, les contentieux, le transport à la demande, les contrôles, les cookies et l'exercice des droits RGPD. Les durées de conservation varient de quelques mois à plusieurs années selon la finalité.

 

1.7 Comment nous veillons à la sécurité de vos données 

Nous mettons en œuvre toutes les mesures techniques, organisationnelles et physiques nécessaires pour assurer la sécurité et la confidentialité de vos données personnelles, conformément à la réglementation en vigueur. Notre objectif est d’empêcher tout accès, utilisation, divulgation, modification ou destruction non autorisé. Ces mesures comprennent notamment :

  • Un stockage sécurisé de vos données sur des serveurs situés au sein de l’Union européenne et dans certains cas limités, hors de l’Union Européenne ;
  • Des protections techniques renforcées, telles que la pseudonymisation, le chiffrement des données transmises et des mécanismes garantissant la confidentialité, l’intégrité et la disponibilité des informations ;
  • Un accès strictement limité aux personnes dûment habilitées et uniquement lorsque cela est nécessaire ;
  • Des procédures internes de sécurité, incluant la gestion des incidents et des violations de données personnelles.

Nous sélectionnons également nos partenaires et prestataires sur la base de leurs garanties en matière de protection des données. Toutefois, la sécurité repose aussi sur certains éléments que nous ne maîtrisons pas, comme la configuration de vos appareils ou la prudence lors de l’utilisation d’espaces publics en ligne.

En toutes circonstances, nous demeurons pleinement engagés à protéger vos données et à renforcer en continu les dispositifs de sécurité mis en place afin de vous garantir un haut niveau de confiance dans l’utilisation de nos services.

1.8 Où vos données peuvent-elles être transférées ? 

Nous privilégions, autant que possible, le traitement et l’hébergement de vos données personnelles au sein de l’Espace économique européen (EEE) où elles bénéficient directement de la couverture du RGPD.

Dans certains cas, notamment pour l’utilisation de solutions techniques ou de services spécifiques, des transferts hors de l’EEE peuvent avoir lieu. Ces transferts ne sont réalisés qu’avec des garanties appropriées, conformément à la réglementation :

  • soit parce que le pays destinataire bénéficie d’une décision d’adéquation de la Commission européenne ;
  • soit grâce à la mise en place de Clauses contractuelles types validées par la Commission européenne.

Lorsque de tels transferts sont nécessaires, les personnes concernées en sont informées dans le cadre des traitements associés.

1.9 Comment exercer vos droits ? 

Vous disposez d’un droit d’accès, de rectification et/ou de suppression de vos données personnelles. Vous pouvez également vous opposer au traitement de vos données dans certains cas. Vous pouvez exercer ces droits à l’adresse postale TCL – Délégué à la protection des données personnelles - 19 Bd Vivier Merle - 69212 Lyon Cedex 03 ou à l’adresse [email protected].

Droit d’accès

L'exercice du droit d’accès permet de savoir si vos données personnelles sont traitées et d’en obtenir la communication dans un format compréhensible. Il permet également de contrôler l'exactitude des données et, au besoin, de les faire rectifier ou effacer.

Droit de rectification

Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations la concernant lorsqu’ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Droit à l’effacement

Vous avez le droit de demander l'effacement de vos données personnelles dans les limites offertes par le réglementation. Par exemple, le respect d’une obligation légale par le responsable de traitement peut faire échec à votre demande.

Droit à la limitation du traitement

Vous avez le droit de demander à geler temporairement l’utilisation de certaines de vos données. Si vous contestez l’exactitude des données utilisées, la loi autorise l’organisme à procéder à une vérification ou à examen de votre demande pendant un certain délai.

Droit d’opposition

Le droit d’opposition permet de s’opposer à ce que ses données soient utilisées pour un objectif précis. Il est nécessaire de mettre en avant des raisons tenant à sa situation particulière mais sachez que l’organisme pourra, de son côté, justifier un refus sur la base de motifs tels que le contrat ou encore une obligation légale.

Droit à la portabilité

Le droit à la portabilité vous offre la possibilité de récupérer une partie de vos données dans un format lisible par une machine. Il est distinct du droit d’accès en ce qu’il vise davantage la maîtrise de vos données pour vous permettre d’en disposer, de les manipuler et de les transmettre à d’autres plateformes.

Lorsque vous transmettez une demande d’exercice de droit, il vous est demandé de préciser autant que possible le périmètre de la demande, le type de droit exercé, le traitement de données à caractère personnel concerné, et tout autre élément utile afin de faciliter l’examen de la demande. En outre, en cas de doute raisonnable, il peut vous être demandé de justifier de votre identité.

Vous disposez également du droit de saisir la Commission Nationale de l’Informatique et des Libertés (CNIL), 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07, de toute réclamation se rapportant à la collecte et au traitement de vos données à caractère personnel.