RGPD : avis de confidentialité
Règlement général sur la protection des données (RGPD)
Article 13 du Règlement (UE) 2016/679
- Objet de cet avis
Cet avis de confidentialité contient les informations exigées par les articles 13 et 14 du Règlement général sur la protection des données (RGPD) de l’Europe concernant la transparence du traitement des données à caractère personnel. Certains termes énoncés dans cet avis sont définis en annexe.
- Le responsable du traitement des données à caractère personnel
Le responsable du traitement pour les données à caractère personnel que nous traitons est l’entreprise cliente des SERVCES DIRECT TRAVEL (l’employeur de la personne physique faisant l’objet de la collecte de données, ci-après nommée la « personne concernée »). Le responsable du traitement transmettra les données à caractère personnel de ses employés aux SERVICES DIRECT TRAVEL afin que ceux-ci gèrent les voyages liés à ses activités au nom de ses employés. LES SERVICES DIRECT TRAVEL, en tant que sous-traitants agissant sous les directives du responsable du traitement aux termes d’un contrat écrit auquel ils sont partie, feront subséquemment usage des données à caractère personnel dans le but de faciliter l’organisation des voyages de la personne concernée. Ce contrat constitue la « base juridique » pour le traitement des données à caractère personnel effectué par LES SERVICES DIRECT TRAVEL dans ces circonstances.
LES SERVICES DIRECT TRAVEL deviendront également responsables du traitement s’ils collectent des données à caractère personnel supplémentaires directement auprès d’une personne concernée. Dans ces circonstances, LES SERVICES DIRECT TRAVEL agiront aux termes d’un « intérêt légitime » pour traiter légalement les données dans le but de gérer les voyages de la personne concernée et pour s’acquitter de leurs obligations contractuelles pour leur client. LES SERVICES DIRECT TRAVEL agissent également à titre de responsables du traitement pour toute donnée à caractère personnel détenue au sujet de leurs propres employés et traitent légalement ces données aux termes du contrat de travail conclu auprès de ces personnes concernées.
- Vos droits
En tant que personne concernée, vous avez des droits en vertu du RGPD. Vous pouvez consulter ces droits plus bas. LES SERVICES DIRECT TRAVEL respecteront toujours pleinement vos droits à l’égard du traitement de vos données à caractère personnel et fournissent plus bas les coordonnées de la personne à contacter si vous avez des préoccupations ou des questions quant à la manière dont ils traitent vos données, ou si vous souhaitez vous prévaloir des droits qui sont les vôtres en vertu du RGPD.
- Coordonnées
Voici l’identité et les coordonnées du délégué à la protection des données au sein des SERVICES DIRECT TRAVEL :
Darryl Hoover, directeur de la technologie
7430 E. Caley Avenue, bureau 320
Centennial CO 80111
- Principes relatifs à la protection des données
LES SERVICES DIRECT TRAVEL ont adopté les principes suivants pour régir la manière dont ils collectent et traitent les données à caractère personnel :
- Les données à caractère personnel sont traitées de façon licite, juste et transparente.
- Seules les données à caractère personnel expressément requises pour répondre aux exigences en matière de voyages, d’hébergement ou d’autres services liés aux voyages sont collectées. Ces données peuvent être collectées directement auprès de la personne concernée ou être fournies aux SERVICES DIRECT TRAVEL par son employeur. Ces données sont uniquement traitées à ces fins.
- Les données à caractère personnel sont conservées seulement durant la période nécessaire pour remplir les exigences contractuelles ou pour fournir des statistiques à notre entreprise cliente.
- Les données à caractère personnel sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont collectées ou traitées. Les données à caractère personnel sont exactes et, si nécessaire, tenues à jour.
- La personne concernée a le droit de demander aux SERVICES DIRECT TRAVEL l’accès à ses données à caractère personnel, ou la rectification ou l’effacement de celles-ci, de s’opposer au traitement des données ou d’en demander la limitation, ou de se prévaloir de son droit à la portabilité des données. Dans chaque cas, la demande doit être soumise par écrit, comme indiqué dans la section 3 plus haut.
La personne concernée a le droit de soumettre une plainte directement à une autorité de contrôle dans son propre pays. La personne s’assurant de la conformité des SERVICES DIRECT TRAVEL à l’égard de la protection des données est :
Raj Gill, directeur des technologies de l’information
251 Consumers Road, bureau 700
Toronto (Ontario) M2J 4R3
Les données à caractère personnel sont uniquement traitées en fonction de la base juridique détaillée dans la section 2 plus haut, à moins que ne prévalent sur ces intérêts les libertés et droits fondamentaux de la personne concernée, qui auront toujours préséance. Si la personne concernée a fourni un consentement additionnel exprès à l’égard du traitement, ce consentement peut être retiré en tout temps (mais il peut alors avoir pour résultat une incapacité à remplir les exigences liées aux voyages).
- LES SERVICES DIRECT TRAVEL ne feront pas usage des données à caractère personnel à des fins d’activités ou de processus de surveillance ou de profilage, et n’adopteront aucun processus de prise de décision automatisé.
- Transferts à des tierces parties
Dans le cadre de l’organisation des voyages d’une personne concernée, il sera, dans la plupart des cas, nécessaire de traiter les données à caractère personnel par l’intermédiaire de tierces parties (comprenant, sans s’y limiter, des compagnies aériennes, des entreprises hôtelières, des entreprises de location de voitures et des entreprises liées aux visas ou aux passeports). Les données à caractère personnel sont uniquement transférées à des entreprises tierces ou traitées par celles-ci si ces entreprises sont nécessaires à l’organisation des voyages.
Les données à caractère personnel ne sont pas transférées vers un pays ou un territoire se situant hors de l’Espace économique européen (EEE), sauf si le transfert a lieu vers un pays ou un territoire que l’UE reconnaît comme offrant un niveau adéquat de protection des données, qu’il est réalisé avec le consentement de la personne concernée ou qu’il est effectué pour satisfaire l’intérêt légitime des SERVICES DIRECT TRAVEL à l’égard des ententes contractuelles conclues avec leurs clients.
Tout transfert de données à caractère personnel au sein d’un groupe est assujetti aux accords écrits conformément à l’accord sur le transfert de données intragroupe (Intra Group Data Transfer Agreement [IGDTA]) de l’entreprise, qui se fonde sur des clauses contractuelles types reconnues par l’autorité européenne de la protection des données.
Annexe — Définition de certains termes mentionnés plus haut :
Données à caractère personnel :
(Article 4 du RGPD) : « données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Traitement :
(Article 4 du RGPD) : « traitement », toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Licéité du traitement :
(Article 6 du RGPD) : Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
- Consentement : la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.
- Contrat : le traitement est nécessaire à l’exécution d’un contrat.
- Obligation légale : le traitement est nécessaire au respect d’une obligation légale (sans compter les obligations contractuelles).
- Intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux d’une personne.
- Mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public, et la mission ou la fonction a une base juridique claire.
- Intérêts légitimes : le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement, à moins qu’une bonne raison exigeant la protection des données à caractère personnel de la personne concernée ne prévale sur ces intérêts légitimes.
Responsable du traitement des données :
(Article 4 du RGPD) : La personne physique ou morale qui détermine les finalités et les moyens du traitement des données à caractère personnel.
Sous-traitant des données :
(Article 4 du RGPD) : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Droits de la personne concernée :
(Chapitre 3 du RGPD) : Chaque personne concernée a huit droits. Ces droits sont :
- Le droit à l’information; quiconque traite vos données à caractère personnel doit vous indiquer clairement la teneur des données traitées, les raisons pour lesquelles elles sont traitées et les personnes à qui elles sont susceptibles d’être transmises.
- Le droit d’accès; le droit de demander à un responsable du traitement de vous fournir les données à caractère personnel détenues à votre sujet.
- Le droit de rectification; le droit d’obtenir du responsable du traitement la correction ou la modification de vos données à caractère personnel si elles s’avèrent inexactes de quelque manière que ce soit.
- Le droit à l’effacement; dans certaines circonstances, vous pouvez demander à ce que vos données à caractère personnel soient effacées. C’est ce qu’on appelle également le « droit à l’oubli ». Cela s’applique si les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, si vous avez retiré le consentement sur lequel est fondé le traitement ou si les données à caractère personnel ont fait l’objet d’un traitement illicite.
- Le droit à la limitation du traitement; cela donne à la personne concernée le droit d’obtenir du responsable du traitement la limitation temporaire du traitement des données à caractère personnel, par exemple, dans le cas où il faut conclure un litige ou une affaire juridique ou dans le cas où les données sont en train d’être corrigées.
- Le droit à la portabilité; la personne concernée a le droit de recevoir les données à caractère personnel la concernant qu’elle a fournies directement à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine.
- Le droit d’opposition; la personne concernée a le droit de s’opposer au traitement de ses données s’il n’est pas conforme aux fins initiales pour lesquelles celles-ci ont été collectées, y compris pour le profilage, l’automatisation et la prospection.
- Les droits liés à la décision individuelle automatisée et au profilage; la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé.