Déclaration de protection des données de BLS
A. But
B. Responsabilité
Conformément à la législation relative à la protection des données et sauf mention contraire (par ex. dans d’autres déclarations de protection des données, des formulaires ou des contrats), les opérations de traitement de données décrites dans la présente déclaration de protection des données relèvent de la responsabilité de la BLS SA, Genfergasse 11, 3001 Berne, ci-après dénommée «BLS».
Sauf communication contraire, cette déclaration de protection des données s’applique toutefois aussi aux cas où le responsable n’est pas la BLS SA, mais une société du groupe BLS, comme notamment BLS Netz AG, BLS trafic longues distances SA et BLS Immobilien AG (Genfergasse 11, 3001 Berne), Busland AG (Bucherstrasse 1, 3400 Berthoud) ainsi que BLS Navigation SA (Lachenweg 19, 3604 Thoune). C’est notamment le cas lorsque vos données sont traitées par une des sociétés du groupe dans le cadre de ses propres obligations légales ou de ses propres contrats. Dans ces cas, cette société du groupe est l’entité responsable. BLS reste votre interlocuteur principal, même s’il existe d’autres coresponsables.
Pour toute demande relative à la protection de données et l’exercice de vos droits visés au chiffre 11, voici comment nous joindre:
BLS SA
Legal / Protection des données
Genfergasse 11, 3001 Berne
datenschutz@bls.ch
De plus, conformément à l’art. 27 du Règlement général sur la protection des données (RGPD), nous faisons appel au préposé à la protection des données suivant au sein de l’Union européenne (UE):
Swiss Infosec (Deutschland) GmbH
Unter den Linden 24, 10117 Berlin
C. Responsabilité partagée dans le transport public
En notre qualité d’entreprise de transport public, la loi nous impose de réaliser certaines prestations de transport avec d’autres entreprises de transport et communautés («Service direct national», art. 16 et 17 de la loi sur le transport de voyageurs (LTV)). Pour assurer le bon déroulement de votre voyage, les données provenant par exemple de la prise de contact avec vous ou des prestations que vous avez achetées sont transmises au sein du Service direct national (SDN), un groupement de plus de 240 entreprises de transport (ET) et communautés de transport public au niveau national. À cette fin, les ET et les communautés de transport public ainsi que les tiers vendant des titres de voyage pour les transports publics échangent donc entre eux certaines données, et l’ensemble des ET et des communautés de transport public les conservent de manière centralisée dans une banque de données NOVA (Netzweite ÖV-Anbindung) exploitée conjointement par toutes les ET et communautés de transport public, et gérée par les CFF sur mandat du Service direct national. Nous sommes donc responsables de toutes les opérations de traitement de données au même titre que ces ET et communautés.
L’étendue de l’accès aux bases de données communes par chaque ET et communauté est réglée par un accord commun. La transmission des données résultant du stockage central et leur traitement par les ET et les communautés du SDN sont limités aux objectifs suivants:
Fourniture du service de transport
Pour assurer le bon déroulement de votre voyage, vos données de voyage et d’achat sont transmises au sein du SDN.
Exécution du contrat
Nous traitons ces données pour l’établissement, la gestion et l’exécution des relations contractuelles.
Gestion des relations avec la clientèle et de l’assistance à la clientèle
Nous traitons vos données à des fins liées à la communication avec vous, en particulier pour répondre à vos demandes et faire valoir vos droits, pour vous identifier et vous aider au mieux en cas de demandes ou de difficultés dans les transports publics, ainsi que pour traiter d’éventuelles demandes d’indemnisation.
Contrôle des titres de transport et garantie des recettes
Les données sur les clients et les abonnements sont nécessaires et traitées pour garantir les recettes (contrôle de la validité des titres de transport ou de réduction, encaissement, lutte contre l’utilisation abusive).
Le registre national des resquilleurs permet d’enregistrer les incidents de voyage sans titre de transport ou avec un titre de transport non valable ou partiellement valable.
Répartition des recettes
L’organe de gestion de l’Alliance SwissPass, dirigé par ch-integral, assume le mandat légal, conformément à la loi suisse sur le transport de voyageurs, de collecter les données de voyage pour une répartition correcte des recettes. Dans ce contexte, l’organe de gestion fait office de mandataire pour la répartition des recettes dans le cadre du Service direct national, sur mandat du SDN.
Identification dans le cadre de l’authentification de la connexion à SwissPass (SSO)
Pour les prestations que vous achetez en vous connectant à SwissPass, les données sont ensuite enregistrées dans la banque de données centrale des clients (NOVA). Pour vous permettre d’utiliser le Single Sign-On (SSO) (une connexion pour toutes les applications qui proposent une utilisation de leurs services avec la connexion à SwissPass), les données de connexion, de carte, de client et de prestation mentionnées sont en outre échangées entre l’infrastructure de connexion centrale de SwissPass et nous dans le cadre de l’authentification.
Activités communes de marketing et d’étude de marché
En outre, les données collectées lors de l’achat de prestations de transport public sont également traitées dans certains cas à des fins de marketing. Dans la mesure où vous avez donné votre consentement et qu’un traitement ou une prise de contact avec vous a lieu à cette fin, celui-ci n’est en principe effectué que par l’entreprise de transport ou la communauté auprès de laquelle vous avez acheté la prestation de transport public correspondante. Les autres ET et communautés participant au SDN ne traitent vos données et ne vous contactent que dans des cas exceptionnels et selon des normes strictes ou bien si l’analyse de vos données montre qu’une offre particulière du transport public pourrait être avantageuse pour vous en votre qualité de client-e. Le traitement et la prise de contact par les CFF constituent une exception à cette règle. Ceux-ci gèrent le marketing associé aux prestations du Service direct national (abonnement général (AG) et demi-tarif, par ex.) pour le compte du SDN et, à ce titre, peuvent vous contacter régulièrement. Nous traitons également vos données à des fins d’étude de marché, d’amélioration de nos services et de développement de produits.
Développement des systèmes de transport public avec des données anonymes
Nous analysons vos données de manière anonyme pour pouvoir continuer à développer le système intégral du TP afin de répondre aux besoins.
Information à la clientèle
Pour les voyages transfrontaliers, nous vous informons par e-mail ou SMS du voyage à venir ainsi que des éventuels retards ou annulations. Vous pouvez vous désinscrire de ces notifications. Pour les voyages en groupe, nous vous informons par SMS de votre réservation de groupe ainsi que des éventuels retards ou annulations. Vous pouvez décider vous-même si vous souhaitez recevoir ces notifications lors de la réservation d’un voyage en groupe.
D. Notre promesse aux clients
C’est vous qui décidez d’autoriser ou non le traitement de vos données personnelles.
Dans le cadre de la législation, vous pouvez à tout instant vous opposer au traitement de vos données, révoquer votre consentement à cet égard ou faire effacer vos données. Vous pouvez toujours voyager de manière anonyme, c’est-à-dire sans renseigner vos données personnelles.
En traitant vos données, nous vous offrons une valeur ajoutée.
Les entreprises de transport public utilisent vos données personnelles pour vous offrir une valeur ajoutée tout au long du processus de mobilité (offres et informations personnalisées, assistance lors de l’indemnisation en cas de perturbation, etc.). Par conséquent, nous utilisons vos données uniquement pour développer, fournir, optimiser et analyser nos prestations ou pour entretenir notre relation avec vous.
Nous ne vendons pas vos données.
Nous ne communiquons vos données qu’à des tiers soigneusement sélectionnés et nommés dans la présente déclaration de protection des données, et uniquement aux fins mentionnées explicitement. Si nous confions le traitement de données à des tiers, ceux-ci sont tenus de respecter nos règles en matière de protection des données.
Nous vous garantissons la sécurité et la protection de vos données.
Nous garantissons la gestion précautionneuse de vos données ainsi que leur sécurité et leur protection. Nous prenons les mesures organisationnelles et techniques nécessaires à cette fin.
Vous trouverez ci-dessous des informations détaillées sur la façon dont nous gérons vos données.
E. Traitement de données réalisé par BLS
1. Buts du traitement des données
Vous tenez à ce que vos données personnelles soient traitées avec précaution, et nous en avons conscience. Toutes les opérations de traitement de données poursuivent uniquement des objectifs bien précis. Ceux-ci peuvent découler, entre autres, d’une nécessité technique, d’exigences contractuelles, de dispositions légales ou d’un intérêt prépondérant, c’est-à-dire de motifs légitimes, ou bien de votre consentement explicite. Nous collectons, conservons et traitons des données personnelles si cela est nécessaire, par exemple pour établir, gérer et entretenir une relation avec des clients, pour communiquer avec vous, à des fins de marketing et de suivi, pour réaliser des études de marché ou encore pour perfectionner des services et des produits.
Nous sommes susceptibles d’évaluer certaines de vos caractéristiques individuelles aux fins mentionnées, de manière automatisée et sur la base de vos données («profilage») si nous souhaitons utiliser des données préférentielles, mais aussi pour identifier des risques d’abus et en matière de sécurité, pour réaliser des analyses statistiques ou à des fins de planification opérationnelle Pour les mêmes finalités, nous pouvons également établir des profils, c’est-à-dire combiner des données comportementales et préférentielles, des données de base, des données contractuelles et des caractéristiques techniques qui vous sont associées afin de mieux comprendre vos différents centres d’intérêt et autres caractéristiques individuelles. Nous pouvons également établir des profils de déplacement anonymes et – avec votre consentement – personnalisés.
Pour des raisons d’efficacité et de cohérence des processus de décision, nous pouvons être contraints dans certaines situations d’automatiser des décisions discrétionnaires vous concernant et entraînant des effets juridiques, voire des inconvénients considérables («décisions individuelles automatisées», par exemple l’acceptation automatique des commandes dans notre boutique en ligne). Dans ce cas, nous vous en informerons et prévoirons les mesures nécessaires en vertu du droit applicable.
Pour en savoir plus sur les données traitées et les fins du traitement, veuillez lire les chapitres suivants.
2. Types de données
2.1 Achat de prestations
Pour des raisons contractuelles ou en raison d'exigences légales (par ex. droit des voyages), nous avons besoin, dans le cadre d’une commande en ligne ou de l’achat de certains services et produits, de données personnelles afin de fournir nos services et d’exécuter le contrat, par exemple lors de l’achat d’un abonnement, d’un billet individuel ou d’un voyage dans nos centres de voyages.
Lors de l’achat de prestations personnalisées, nous collectons – suivant le produit ou le service concerné – les données suivantes:
- Photo personnelle
- Sexe, nom, adresse e-mail de la personne qui achète ou qui voyage
- Autres informations telles que l’adresse postale, la date de naissance, l’appartenance familiale
- Numéro de téléphone et/ou de téléphone portable
- Données d’identification (données de la carte d’identité / du passeport)
- Plaques d’immatriculation
- Coordonnées bancaires/moyen de paiement/méthode de paiement
- Acceptation des conditions générales
Aux fins de l’exécution du contrat, nous collectons également des données sur les prestations auxquelles vous avez recours («données de prestation»). Il s’agit notamment – suivant le produit ou le service – des informations suivantes:
- Type de produit ou de service acheté
- Prix
- Lieu, date et heure de l’achat
- Canal d’achat (Internet, distributeur automatique, guichet, etc.)
- Données de communication (correspondance écrite, correspondance électronique)
- Informations sur les voyages (Type de voyage, destination, date de voyage, durée du voyage, dates des vols, heure de départ, lieu de départ et de destination, itinéraire, hébergement)
- Autres informations si elles sont transmises (aides à la mobilité, souhaits en matière de repas, grossesses, informations sur les enfants accompagnants, données dans le cadre de réclamations et de cas de crise)
Afin de nous assurer que nous pouvons vous joindre par voie postale, nous comparons votre adresse avec les données d’un prestataire et, le cas échéant, la mettons à jour.
BLS traite les données générées lors de l’achat de prestations puis les conserve dans une base de données centralisée et peut les utiliser à d’autres fins, notamment des activités de marketing et des études de marché.
En outre, dans le cadre du contrôle des titres de transport, les données servent à identifier le détenteur d’un titre de transport personnel et à éviter toute utilisation abusive.
Nous utilisons également les données dans le cadre de notre service après-vente afin de pouvoir vous identifier et vous assister si vous avez une demande ou rencontrez des difficultés et afin de traiter toute demande d’indemnisation.
Les données sont également utilisées afin de répartir équitablement entre les entreprises et communautés du Service direct national les recettes réalisées lors de l’achat de titres de transport.
Pour les voyages en groupe, nous vous informons par SMS de votre réservation de groupe ainsi que des éventuels retards ou annulations. Vous pouvez décider vous-même si vous souhaitez recevoir ces notifications lors de la réservation d’un voyage en groupe.
Pour les voyages transfrontaliers, nous vous informons par e-mail ou SMS du voyage à venir ainsi que des éventuels retards ou annulations. Vous pouvez vous désinscrire de ces notifications.
Enfin, nous analysons vos données de manière anonyme pour pouvoir continuer à développer le système intégral du TP afin de répondre aux besoins.
Si le RGPD de l’Union européenne (RGPD-UE) est applicable, notre intérêt légitime et la nécessité d’exécution du contrat constituent la base juridique de ce traitement de données à caractère personnel.
2.2 Cartes à points Transport autos
Pour être valides, les cartes à points doivent être enregistrées. Aux fins de l’exécution du contrat, nous collectons les données suivantes lors de l’enregistrement:
- Numéro de la carte à points
- Société (facultatif)
- Civilité
- Prénom/Nom de famille
- Rue/N°
- Code postal (NPA)/Lieu
- Pays
- Adresse e-mail
En cas de changement d’adresse, l’ancienne adresse est remplacée par la nouvelle. En cas de perte ou de vol, les cartes qui n’ont pas été enregistrées ne sont ni remboursées ni remplacées.
Si le RGPD-EU est applicable, notre intérêt légitime et la nécessité d’exécution du contrat constituent la base juridique de ce traitement de données à caractère personnel.
2.3 Collecte des données lors du paiement
Les conditions suivantes s’appliquent pour le paiement:
Cartes de débit/crédit / PostFinance Card / Reka-Card
En cas de paiement par carte de crédit, nous transmettons les données de votre carte via notre Payment Service Provider (Acquirer) à l’émetteur de votre carte. Cette transmission s’effectue exclusivement afin d’autoriser et de réaliser la transaction et sous forme cryptée. Si vous décidez de payer par carte, vous êtes invités à saisir toutes les informations obligatoires (type de carte de paiement, numéro de carte de paiement, CVC2/CVV2, date d’expiration, prénom, nom). Dans certaines circonstances, il peut être nécessaire de s’authentifier comme titulaire autorisé de la carte, par exemple avec la procédure 3DSecure.
Solutions de portefeuille, dites «Wallet» (Twint, Apple Pay)
Avec les solutions de Wallet Payment, les données de votre carte sont enregistrées provisoirement et en toute sécurité dans le Wallet. Si vous optez pour un paiement avec une solution Wallet, vous n’avez généralement pas d’autres informations de carte de paiement à saisir. Via le Wallet, seules sont transférées les données nécessaires pour l’autorisation et l’exécution de la transaction.
Facture
L'option de paiement par facture (paiement échelonné inclus) est gérée par CembraPay SA. Les conditions générales et la la politique de confidentialité de CembraPay SA s'appliquent.
2.4 Contrôle des prestations
Les données sur les clients et les abonnements sont nécessaires et traitées pour garantir les recettes (contrôle de la validité des titres de transport ou de réduction, encaissement, lutte contre l’utilisation abusive). Les ET, communautés et tiers qui délivrent des titres de transport sont donc en droit, pour traiter l’ensemble du processus de contrôle et d’encaissement, de traiter toutes les données (données du billet et de contrôle et, le cas échéant, données protégées en lien avec tous les types de voyages sans titre de transport valide, par exemple voyageurs avec titre de transport à moitié valide, voyageurs avec titre de transport non valide ou voyageurs ayant oublié leur titre de transport et de réduction et éventuelle utilisation abusive) des voyageurs ou des partenaires contractuels et de les enregistrer pendant la durée définie par les dispositions légales en matière de protection des données et de les échanger avec d’autres ET, communautés et tiers qui délivrent des titres de transport (dans le cas de titres de transport ou de réduction internationaux, y compris de manière transfrontalière).
Voici les dispositions applicables aux différents supports de données et prestations:
Carte SwissPass
En cas d’utilisation de la carte physique SwissPass comme support, aucune donnée de contrôle n’est enregistrée (exception, voir SwissPass Mobile).
SwissPass Mobile
En cas d’utilisation de l’application SwissPass Mobile, les dispositions communiquées lors de l’activation de SwissPass Mobile s’appliquent (voir déclaration de protection des données séparée). Dans ce cadre, les données suivantes sont traitées: données d’enregistrement, d’activation et de contrôle qui sont générées par l’utilisation de SwissPass Mobile. Dès que SwissPass Mobile est utilisée, ces données sont aussi collectées sur la carte SwissPass.
Billets électroniques
En cas d’utilisation de billets électroniques (e-billets), les données de contrôle sont enregistrées dans le serveur central des données de contrôle des CFF. Pour la lutte contre les utilisations abusives et les mesures de prévention contre les utilisations et remboursements abusifs, ces données sont conservées pendant 360 jours.
Carte à points Transport autos
Pour être valides, les cartes à points Transport autos doivent être enregistrées. Les données des clients sont enregistrées dans le système de caisse TCPOS et peuvent être consultées lors d’un contrôle aux caisses de chargement de Kandersteg, Goppenstein et Brigue.
Si le RGPD-EU est applicable, notre intérêt légitime et la nécessité d’exécution du contrat constituent la base juridique de ce traitement de données à caractère personnel.
2.5 En cas d’utilisation abusive
Dans le cas d’un voyage sans titre de transport valable, les données sont enregistrées dans une base de données spécifique ainsi que dans un registre exploité conjointement. Les voyageurs, respectivement les cocontractants, prennent connaissance du fait qu’en cas de découverte d’éventuels abus ou falsifications, les ET, les communautés ainsi que les tiers qui délivrent des titres de transport sont autorisés à mettre à disposition de tous les services internes concernés par l’abus ainsi que d’autres ET, communautés et tiers qui délivrent des titres de transport, les données personnelles correspondantes, afin d’exclure ou de confirmer un abus et d’empêcher d’autres abus. Les données personnelles des voyageurs ou des cocontractants ayant fait l’objet d’une condamnation pénale définitive sont également enregistrées dans la banque de données. Conformément à la loi sur le transport de voyageurs (LTV), différents délais s’appliquent au traitement des données mentionnées. Les données sont effacées dès qu’il est établi que la personne concernée n’a pas causé de perte de recettes, ainsi qu’après deux ans si la personne concernée a payé les suppléments et qu’il n’est plus possible de prouver qu’elle a voyagé sans titre de transport valable pendant cette période. Les données peuvent être conservées pendant dix ans au maximum si elles sont nécessaires pour faire valoir les créances à l’égard de cette personne.
Si le RGPD-UE est applicable, l’article 20a LTV constitue la base juridique de ce traitement de données à caractère personnel.
2.6 Contrôles de solvabilité et encaissement pour les voyageurs sans titre de transport valable
Pour les voyageurs sans titre de transport valable, nous effectuons un contrôle de solvabilité. Dans ce contexte et pour le traitement de l'encaissement, nous mandatons notre prestataire de services Intrum AG, Eschenstrasse 12, 8603 Schwerzenbach et communiquons les données personnelles suivantes:
- Prénom/nom de famille
- Rue/numéro.
- Code postal et lieu
Vous trouverez de plus amples informations sur la protection des données directement chez Intrum sous: Déclaration de protection des données Intrum AG
Dans la mesure où le RGPD est applicable, notre intérêt légitime constitue la base juridique de ce traitement de données personnelles.
2.7 Utilisation de notre site web
Lorsque vous consultez notre site web, les serveurs de notre hébergeur enregistrent temporairement chaque accès dans un fichier-journal. Ils collectent alors les données techniques suivantes:
- Adresse IP de l’ordinateur d’où émane la demande d’accès
- Date et heure de l’accès
- Page web depuis laquelle l’accès s’effectue, le cas échéant avec le mot-clé de recherche utilisétilisé
- Nom et URL du fichier consulté
- Recherches effectuées (horaire, fonction de recherche générale sur la page web, produits, etc.)
- Système d’exploitation de votre ordinateur (mis à disposition par l’agent utilisateur)
- Navigateur que vous utilisez (mis à disposition par l’agent utilisateur)
- Type d’appareil en cas d’accès depuis un téléphone portable
- Protocole de communication utilisé
Ces données sont collectées et traitées afin d’assurer la sécurité et la stabilité du système, mais aussi d’analyser les erreurs et les performances, ce qui permet à notre hébergeur d’optimiser notre offre Internet. En outre, nous sommes ainsi en mesure d’adapter notre site web aux différents groupes cibles, c’est-à-dire l’enrichir de contenus ou informations ciblés susceptibles de vous intéresser.
En cas d’attaques visant l’infrastructure du réseau ou d’autres utilisations illégales ou abusives du site web, l’adresse IP et d’autres données sont analysées à des fins de clarification et de défense. De plus, en cas de procédure pénale, elles permettent d’identifier les utilisateurs concernés et d’engager des poursuites au civil ou au pénal à leur encontre.
Enfin, nous utilisons sur notre site web des cookies ainsi que des applications et des outils basés sur l’utilisation de cookies. Pour plus d’informations, veuillez consulter les chapitres de la présente déclaration de protection des données consacrés aux cookies, aux outils de suivi, aux publicités et aux plugins sociaux.
Si le RGPD-UE est applicable, notre intérêt légitime constitue la base juridique de ce traitement de données à caractère personnel.
Nous ne garantissons pas que les pages Internet tierces accessibles via des liens fournis sur notre site web respectent la législation relative à la protection des données.
2.8 Utilisation de la boutique en ligne
Lorsque vous passez des commandes dans nos boutiques en ligne, nous collectons les informations suivantes (en cas d’achat en tant qu’invité, avec connexion à SwissPass ou en cas de nouvel enregistrement dans la boutique de billets Transport autos):
- Voyageur (nom, prénom, date de naissance et sexe)
- Adresse (adresse de facturation)
- Adresse e-mail
- Numéro de téléphone
- Langue de correspondance
- Produit commandé (numéro d’article, validité, classe, date du trajet, date d’achat, prix du billet)
- Numéro de référence/numéro de client
- Date de commande
- Mode de paiement
- Numéro de la carte à points (boutique en ligne Carte à points)
- Mot de passe pour l’accès à la boutique en ligne Carte à points et à la boutique de billets Transport autos
Si le RGPD-EU est applicable, notre intérêt légitime et la nécessité d’exécution du contrat constituent la base juridique de ce traitement de données à caractère personnel.
2.9 Utilisation de nos apps ou d'autres services
Application d’horaire et de billetterie BLS Mobil
L’application d’horaire et de billetterie BLS Mobil (ci-après BLS Mobil) permet de consulter les données horaires en temps réel et d’acheter des titres de transport. Les billets prépayés sont valables dans le Service direct et dans d’autres communautés de transport public, y compris dans la zone d’activité de BLS. Les billets postpayés sont valables dans le Service direct et dans les communautés de transport public suisses. De plus, le SwissPass peut être téléchargé dans BLS Mobil.
Pour le traitement des billets postpayés, on utilise FAIRTIQ, à qui les données de voyage et de paiement sont transmises. L'objectif de ces données est la facturation correcte du service de transport public utilisé et la détection de fraudes.
Lors de l’ouverture d’un compte client au moyen de la connexion à SwissPass, les utilisateurs fournissent les informations suivantes:
- Nom, prénom, date de naissance et sexe
- Adresse (adresse de facturation)
- Adresse e-mail
- Numéro de téléphone portable
- Moyen/méthode de paiement
- Acceptation des conditions générales
Les données sont enregistrées aussi bien sous SwissPass que dans le compte client auprès de la BLS SA ou de FAIRTIQ et sont utilisées à des fins d’assistance à la clientèle, de facturation et de contrôle ultérieur, ainsi qu’à des fins de marketing en cas d’octroi de l’autorisation de marketing par le client ou la cliente. Les utilisateurs peuvent demander à la BLS SA ou à FAIRTIQ d’effacer leurs données personnelles s’ils souhaitent supprimer BLS Mobil ou ne plus l’utiliser pour l’achat de titres de transport. Pour obtenir la suppression des données de connexion à SwissPass, les utilisateurs doivent s’adresser à SwissPass en utilisant swisspass.ch.
Les données de voyage pour la fonction de billetterie postpayée sont des informations sur l’itinéraire et le prix, qui sont déterminées sur la base des informations de check-in et de check-out fournies (arrêt, heure, numéro d’identification de l’appareil) et des données de localisation collectées pendant le trajet via les services de localisation du téléphone portable (en s’appuyant sur le WLAN, le GPS, etc.) ainsi que sur la base des possibilités d’horaire (horaire) par la BLS SA ou FAIRTIQ. Les données de voyage servent à calculer le trajet effectué au moyen de la fonction de billetterie postpayée (recherche d’itinéraire, calcul de zone) et le prix du billet, à fournir une assistance en cas de réclamation des utilisateurs ainsi qu’à contrôler et à prévenir les abus a posteriori. Les données de voyage permettent en outre de montrer aux utilisateurs les économies potentielles en fonction de leur comportement de voyage.
Les données de voyage sont effacées au bout d’un an ou ne sont utilisées que sous forme anonyme pour l’acquisition de connaissances en rapport avec la recherche de trajets et la détermination d’itinéraires (développement de l’application BLS Mobil) afin d’améliorer l’offre et les tarifs des transports publics ainsi qu’à d’autres fins d’évaluation statistique.
Les conditions générales pour l’acquisition et l’utilisation de l’application BLS Mobil se trouvent dans les CG de l’application BLS Mobil, consultables via ce lien ici.
Si le RGPD-EU est applicable, notre intérêt légitime et la nécessité d’exécution du contrat constituent la base juridique de ce traitement de données à caractère personnel.
Alerte SMS
Avec l’alerte SMS, nous vous informons par SMS des travaux, des interruptions de ligne, des perturbations et des retards dans le trafic ferroviaire ainsi que des temps d’attente et des suppressions dans le trafic ferroviaire ainsi que dans le chargement des voitures.
Lors d’une nouvelle inscription à l’Alerte SMS, nous collectons les données personnelles suivantes. Les données qui ne sont pas obligatoires sont marquées d’un astérisque (*):
- Numéro de téléphone portable
- Nom, prénom
- Rue, NPA, lieu, pays*.
- Adresse e-mail*
- Mot de passe
Vous pouvez décider à tout moment de vous désinscrire. Vous trouverez des instructions dans le Helpcenter BLS. Vous trouverez de plus amples informations en cliquant sur ce lien ici.
Si le RGPD-EU est applicable, notre intérêt légitime et la nécessité d’exécution du contrat constituent la base juridique de ce traitement de données à caractère personnel.
2.10 Contact par formulaire ou e-mail
Vous pouvez joindre notre service clientèle via un formulaire de contact ou en lui envoyant un e-mail. Si vous utilisez le formulaire de contact, vous devez renseigner au moins les données à caractère personnel suivantes:
- Civilité, nom et prénom
- Adresse e-mail
Nous utilisons ces données, et toute autre donnée fournie volontairement (en particulier l’adresse postale, le numéro de téléphone et la raison sociale), afin de pouvoir traiter votre demande de manière optimale et personnalisée. Par ailleurs, nous pouvons également utiliser les données que vous avez fournies dans le formulaire de contact ou votre e-mail adressé au service clientèle afin de réaliser des analyses internes visant à améliorer nos services et produits. Si vous répondez à la question facultative concernant la façon dont vous avez connu notre offre, nous utilisons également votre réponse à des fins de statistiques internes.
Si nous possédons d’autres données à caractère personnel issues d’un contact antérieur avec BLS, vous pouvez être contacté(e) pour obtenir une réponse ou des précisions à ce sujet. (Exemple: vous nous envoyez un e-mail avec une question sur l’utilisation de BLS Mobil et nous vous rappelons, car le contact téléphonique est plus approprié pour y répondre).
Une fois votre demande traitée, nous vous envoyons un e-mail avec une enquête de satisfaction et un e-mail visant à évaluer le taux de recommandation.
Les données à caractère personnel sont automatiquement supprimées au bout de cinq ans si vous ne recontactez pas le service clientèle entre-temps ni ne demandez vous-même la suppression des données Les données sont enregistrées dans le CRM MS Dynamics (Microsoft) et dans Zendesk.
Si le RGPD-EU est applicable, notre intérêt légitime et la nécessité d’exécution du contrat constituent la base juridique de ce traitement de données à caractère personnel.
2.11 Contact téléphonique
Si vous prenez contact par téléphone avec notre service clientèle, nous enregistrons, si ceux-ci sont connus, la civilité, le nom et le prénom. Si nous possédons ou avons besoin de connaître d’autres données à caractère personnel issues d’un contact antérieur avec BLS, nous les utilisons dans le but de vous aider le plus vite possible. (Exemple: vous nous appelez car vous avez une question sur un billet acheté dans la boutique en ligne. À l’aide de votre adresse e-mail, nous pouvons trouver les transactions et vous aider à ce sujet).
Une fois votre demande traitée, nous vous envoyons un SMS avec une enquête de satisfaction client si vous nous avez contactés avec un numéro de téléphone portable.
Les données à caractère personnel sont supprimées au bout de cinq ans si vous ne recontactez pas le service clientèle entre-temps ni ne demandez vous-même la suppression des données. Les données sont enregistrées dans le CRM MS Dynamics (Microsoft) et dans Zendesk.
Si le RGPD-EU est applicable, notre intérêt légitime et la nécessité d’exécution du contrat constituent la base juridique de ce traitement de données à caractère personnel.
2.12 Communication avec le chatbot et le dénicheur d’excursion BLS
Le chatbot BLS est un assistant numérique à votre disposition 24h/24 pour recevoir vos préoccupations et répondre à vos questions.
Si vous utilisez le chatbot, il vous demandera, en fonction du sujet de votre demande, votre nom, votre adresse e-mail et votre numéro de téléphone, ainsi que d’autres données sur le billet en ligne ou la carte à points, par exemple.
Les données communiquées au chatbot et l’historique des conversations sont conservées par knowhere GmbH, Steinhöft 9, 20459 Hambourg, pendant 90 jours, après quoi elles sont supprimées. Vous trouverez de plus amples informations sur la protection des données directement auprès de knowhere ici: moin.ai Chatbot: Conforme à la politique de protection des données et au RGPD.
Vos coordonnées de contact nous permettent de vous joindre si vous avez des questions. Les données du billet en ligne, de la carte à points ou du moyen de paiement utilisé nous permettent de trouver dans nos systèmes les documents nécessaires pour vous aider. Si vous avez demandé dans le chatbot à ce que votre cas soit transmis à un humain, les données à caractère personnel sont supprimées au bout de cinq ans si vous ne recontactez pas le service clientèle entre-temps ni ne demandez vous-même la suppression des données. Les données sont enregistrées dans le CRM MS Dynamics (Microsoft) et dans Zendesk.
Le chatbot évolue grâce aux questions que vous lui posez. Nous élaborons par exemple de nouvelles réponses pour le chatbot ou améliorons les réponses existantes.
Si le RGPD-UE est applicable, notre intérêt légitime constitue la base juridique de ce traitement de données à caractère personnel.
Communication avec le dénicheur d’excursion BLS
Le dénicheur d’excursions de BLS est un service de conseil basé sur l’intelligence artificielle (IA) qui vous aide à planifier vos excursions et génère pour vous des idées d’excursions sur mesure. En général, le conseiller apporte des réponses personnalisées aux demandes de l’utilisateur. Ces réponses doivent être considérées comme une offre d’information et non comme une décision effective.Il n’est pas nécessaire de saisir des données à caractère personnel pour répondre à une demande. Pour cette raison, il convient de s’abstenir de saisir des données à caractère personnel dans les demandes. Cela vaut également pour les données à caractère personnel de tiers. Il faut absolument éviter toute saisie de données à caractère personnel particulièrement sensibles,
dont voici une liste d’exemples non exhaustive:
- Informations médicales
- Données génétiques
- Données biométriques
- Opinions politiques
- Convictions religieuses ou philosophiques
- Appartenance syndicale
- Orientation sexuelle
- Casier judiciaire
Nous attirons votre attention sur le fait que les demandes sont transmises à l’exploitant du chatbot. Elles sont enregistrées et traitées par le planificateur d’excursions et l’exploitant dans le but de vous apporter des réponses. Comme il s’agit d’un chatbot à capacité d’apprentissage, les demandes sont également traitées pour améliorer ce chatbot. Si vous avez saisi des données à caractère personnel malgré la demande susmentionnée de ne pas saisir de données à caractère personnel dans le dénicheur d’excursions, celles-ci seront supprimées et ne seront pas transmises aux exploitants du chatbot.
2.13 Contact suite à une campagne sur les réseaux sociaux
Si vous utilisez des réseaux sociaux, BLS peut, avec votre consentement vis-à-vis de l’exploitant du réseau social, activer des campagnes publicitaires visibles sur votre profil d’utilisateur. Ces campagnes peuvent vous inviter à contacter BLS. Si vous nous contactez dans ce contexte, nous utiliserons les données personnelles suivantes, fournies par l’exploitant du réseau social dans le cadre de votre consentement:
- Civilité, nom, prénom
- Adresse e-mail
Nous utilisons ces données exclusivement pour vous faire parvenir les informations que vous souhaitez suite à votre contact.
Si le RGPD-UE est applicable, votre consentement constitue la base juridique de ce traitement de données à caractère personnel.
2.14 Contact via les réseaux sociaux
Si vous nous contactez via les réseaux sociaux, nous collectons votre nom d’utilisateur (pseudo) de la plateforme de réseaux sociaux concernée. Si vous avez déposé une photo dans votre profil, celle-ci sera également transmise. Si nous avons besoin d’autres données personnelles pour vous répondre, nous vous demanderons de passer à un autre canal pour la suite du contact, par exemple en nous appelant ou en soumettant votre demande via le formulaire de contact.
Les données à caractère personnel sont supprimées au bout de cinq ans si vous ne recontactez pas le service clientèle entre-temps ni ne demandez vous-même la suppression des données. Les données sont enregistrées sur la plateforme de réseaux sociaux que vous utilisez ainsi que dans Zendesk.
Si le RGPD-UE est applicable, votre consentement constitue la base juridique de ce traitement de données à caractère personnel.
2.15 Enregistrement en tant que client(e)
Lorsque vous commandez, vous avez la possibilité de vous inscrire à un compte client. Nous collectons les données personnelles suivantes. Les données qui ne sont pas obligatoires sont marquées d’un astérisque (*).
- Adresse e-mail*
- Mot de passe*
- Acceptation des conditions générales*
Nous collectons ces données pour vous donner un aperçu de vos commandes et des contrats conclus avec vous dans ce contexte. Il s’agit donc de traitements de données pour lesquels vous nous avez donné votre consentement. C'est là que réside la base juridique du traitement des données.
Vous pouvez révoquer à tout instant votre consentement avec effet pour l’avenir. Si vous associez votre compte client à un compte SwissPass, les modifications de vos données personnelles (par exemple les changements d’adresse) et les prestations achetées sont automatiquement comparées et saisies dans les deux comptes. Pour les traitements de données en rapport avec votre compte SwissPass, veuillez également tenir compte des informations suivantes.
2.16 Création d'un compte client SwissPass
Vous avez la possibilité de créer un compte client sur SwissPass. Pour ce faire, nous avons besoin des données suivantes:
- Nom et prénom
- Date de naissance
- Adresse (rue, NPA, lieu et pays)
- Numéro de client (si vous êtes titulaire d’un abonnement de transport public)
- Adresse e-mail et mot de passe (données de connexion)
En vous enregistrant, vous pouvez accéder aux nombreux services en ligne (boutiques en ligne et applications) des entreprises et communautés de transport public grâce à vos données de connexion (identifiant SwissPass) et d’obtenir des prestations de leur part, sans devoir à chaque fois procéder à un enregistrement supplémentaire fastidieux. Les prestations que vous achetez en utilisant l’identifiant SwissPass (notamment les billets/abonnements TP) sont enregistrées dans votre compte client ainsi que dans une base de données centrale («base de données SDN»).
Ces traitements des données sont indispensables pour exécuter le contrat en utilisant le SwissPass et reposent donc sur cette base juridique. Pour plus d’informations à ce sujet, veuillez consulter les sections relatives à la responsabilité partagée dans le transport public et au transfert à des tiers de la présente déclaration de confidentialité ainsi que la déclaration de confidentialité sur swisspass.ch en cliquant sur le lien ici.
2.17 Utilisation de nos trains et gares
BLS et BLS trafic longues distances SA surveillent leurs trains, leurs bâtiments administratifs ainsi que leurs ateliers, Busland AG surveille ses bus et BLS Netz AG surveille ses gares, stations et caisses à l’aide de caméras vidéo. En outre, BLS Netz AG utilise des caméras vidéo ou des portails thermiques dans les stations de chargement de Kandersteg et de Goppenstein, qui permettent de détecter les véhicules surchauffés afin d'éviter les incendies dans le tunnel. Cette vidéosurveillance vise à protéger la clientèle, l’entreprise et l’infrastructure.
De même, BLS met en place des webcams aux gares de Kandersteg et Goppenstein, qui informent sur la situation actuelle du trafic au moyen d’images fixes.
La vidéosurveillance enregistre des signaux d’image permettant d’identifier des personnes. Les enregistrements sont principalement stockés localement dans le véhicule, les enregistrements des installations, des biens immobiliers, les enregistrements de la webcam ainsi que des portails thermiques sont stockés de manière centralisée. Tous les enregistrements sont conservés pendant un maximum de 120 heures au maximum, puis effacés automatiquement.
En principe, les enregistrements sauvegardés contenant des données personnelles sont analysés le jour ouvrable suivant mais, pour des raisons opérationnelles ou techniques, l’analyse peut prendre exceptionnellement deux jours ouvrables supplémentaires. Des analyses sont réalisées dans les cas suivants:
- incidents liés à la sécurité ou à des actes de vandalisme occasionnés sur ou dans les véhicules, dans ou sur les trains ou à l’infrastructure;
- décisions d’autorités en ce sens;
- demandes de renseignements des personnes concernées.
- Seuls les organes compétents autorisés de BLS se chargent de l’analyse.
Les enregistrements sécurisés sont conservés de manière à être protégés contre l'accès de personnes non autorisées. Les enregistrements sont détruits au plus tard 100 jours après l'enregistrement, à moins qu'ils ne soient communiqués conformément aux explications ci-dessous.
Les enregistrements sont communiqués uniquement aux autorités suivantes:
- autorités pénales fédérales et cantonales;
- les autorités auprès desquelles les entreprises portent plainte ou font valoir leurs droits.
Les enregistrements ne sont communiqués que si cela est nécessaire pour la procédure. Dans ce cas, les enregistrements sont conservés jusqu’à la conclusion définitive de la procédure.
Si le RGPD-UE est applicable, l’article 55 de la loi sur le transport de voyageurs (LTV) et l’article 16b de la loi sur les chemins de fer (LCdF) ainsi que les dispositions d’exécution conformément à l’ordonnance sur la vidéosurveillance dans les transports publics (OVid-TP) constituent la base juridique de ce traitement de données à caractère personnel.
2.18 Activités de marketing
Si vous donnez votre consentement, nous utilisons vos données client (nom, sexe, date de naissance, adresse, numéro client et adresse e-mail), vos données de prestation (notamment les données relatives à des prestations achetées, comme des abonnements ou des billets individuels) et les clics que vous réalisez sur notre site web ou dans les e-mails que nous vous avons envoyés. En ce qui concerne l’évaluation du comportement de clic, veuillez également tenir compte de la section relative aux outils de suivi.
Nous analysons ces données afin d’adapter nos offres aux besoins et de vous envoyer ou présenter des informations et outils aussi pertinents que possible (par e-mail, courrier ou SMS, via des notifications push dans l’application, dans des annonces personnalisées sur le site web ou en personne au guichet). À cette fin, nous utilisons uniquement les données qui vous sont explicitement attribuées, par exemple parce que vous vous êtes inscrit(e) ou identifié(e) sur notre site Internet avec votre identifiant SwissPass et que vous avez acheté un billet. Par ailleurs, nous utilisons des méthodes prévoyant de futurs achats éventuels sur la base de votre comportement d’achat actuel.
Notre intérêt légitime constitue la base juridique de ces opérations. Dans certains cas, régis par des normes strictes, les CFF ou une autre entreprise participant au Service direct national peuvent également vous contacter.
Vous pouvez refuser à tout moment d’être contacté par les CFF (par exemple en lien avec votre AG ou votre abonnement demi-tarif) et d’autres entreprises de transport public ou nous-mêmes. Dans ce cas, vous avez le choix entre les options suivantes:
- Chaque e-mail que nous ou d’autres entreprises de transport public vous envoyons contient un lien de désabonnement; cliquez dessus pour ne plus recevoir de messages de notre part.
- Si vous disposez d’un identifiant SwissPass, vous pouvez vous connecter à votre compte utilisateur sur connexion SwissPass et gérer à tout moment vos paramètres de réception des messages.
- Vous pouvez également vous abonner ou vous désabonner à n’importe quel guichet, par téléphone (+41 58 327 31 32) ou via datenschutz@bls.ch.
Consultez également les informations relatives au droit d’opposition à l’analyse des clics dans le chapitre consacré aux outils de suivi.
2.19 Études de marché
Afin d’améliorer en permanence la qualité de nos offres et services, nous réalisons régulièrement des études de marché. Si vous y consentez, nous pouvons utiliser vos coordonnées pour réaliser des enquêtes auprès de nos clients (par exemple, des enquêtes en ligne).
En tant que membre du Cercle de clientèle BLS, vous pouvez notamment nous faire part de vos idées de solutions et produits, tester de nouveaux services ou nous soumettre des suggestions d'amélioration. Pour cela, il nous faut certaines données vous concernant. Pour vous inscrire à notre Cercle de clientèle et savoir comment sont traitées vos données personnelles, rendez-vous sur Cercle de clients-BLS.
En règle générale, nous analysons toujours les informations que vous fournissez en lien avec des études de marché de BLS sous forme anonymisée. La participation aux études de marché de BLS est volontaire. Nous ne pouvons pas identifier les personnes y participant, et nous n’en avons pas l’intention. En participant aux enquêtes, vous acceptez que vos données soient utilisées de la manière indiquée.
Si vous ne souhaitez pas être invité(e) à de telles enquêtes, vous disposez des options suivantes:
- Chaque e-mail que nous ou d’autres entreprises de transport public vous envoyons contient un lien de désabonnement; cliquez dessus pour ne plus recevoir de messages de notre part.
- Si vous disposez d’un identifiant SwissPass, vous pouvez vous connecter à votre compte utilisateur sur connexion SwissPass et gérer à tout moment vos paramètres de réception des messages.
- Vous pouvez également vous abonner ou vous désabonner à n’importe quel guichet, par téléphone (+41 58 327 31 32) ou via datenschutz@bls.ch.
Si le RGPD-UE est applicable, votre consentement constitue la base juridique de ce traitement de données à caractère personnel.
2.20 Concours et loteries
2.21 Règlement des sinistres
Nous collectons les données suivantes pour le règlement des sinistres en cas d’accident avec ou sans lien avec une personne:
- Nom et prénom
- Adresse (rue, NPA, lieu et pays)
- Numéro de téléphone/de téléphone portable
- Adresse e-mail
- Plaque de contrôle
- Compagnie d’assurance
- Constat d’accident
Si le RGPD-EU est applicable, notre intérêt légitime et la nécessité d’exécution du contrat constituent la base juridique de ce traitement de données à caractère personnel.
3. Communication à des tiers?
En lien avec nos contrats, le site web, nos services et produits ou nos obligations légales, pour défendre nos intérêts légitimes et aux autres fins mentionnées, nous pouvons transmettre vos données personnelles à des tiers établis en Suisse et à l’étranger, en particulier aux catégories de destinataires suivantes:
Sociétés du groupe:
Vous trouverez ici une liste des sociétés de notre groupe. Conformément à la présente déclaration de protection des données, les sociétés du groupe peuvent utiliser les données aux mêmes fins que nous.
Prestataires:
Nous travaillons avec des prestataires établis en Suisse et à l’étranger qui, pour notre compte ou en coopération avec nous, traitent des données vous concernant ou reçoivent, de notre part et sous leur propre responsabilité, des données vous concernant (par exemple prestataires informatiques, sociétés d’expédition, des prestataires de services en rapport avec la vidéosurveillance, les contrôles de solvabilité et le recouvrement, sociétés de gestion d’adresses, sociétés de marketing, dont des prestataires gérant les outils de suivi, les publicités, sociétés d’études de marché, sociétés de surveillance, banques, assurances). Dans les domaines de l’informatique et de la gestion des clients, nous faisons régulièrement appel aux prestataires Microsoft Ireland Operation Limited et Zendesk, Inc. de San Francisco, États-Unis.
Entreprises de transport et communautés (secteur des TP):
voir chapitre C
Partenaires contractuels:
Les destinataires possibles incluent également les partenaires contractuels avec lesquels nous coopérons dans les domaines suivants et auxquels nous sommes donc amenés à transmettre des données vous concernant:
- Si vous profitez d’offres chez un partenaire SwissPass en utilisant votre SwissPass, les données relatives aux prestations que vous avez éventuellement achetées chez nous (par exemple un AG, un abonnement demi-tarif ou un abonnement de parcours communautaire) peuvent être transmises aux partenaires SwissPass afin de vérifier si vous pouvez bénéficier d’une offre spécifique des partenaires SwissPass (par exemple un rabais pour les titulaires d’un AG). En cas de perte, de vol, d’utilisation abusive, de falsification ou d’un remplacement de carte après obtention d’une prestation, le partenaire concerné en est informé. Ce traitement des données est indispensable pour exécuter le contrat en utilisant le SwissPass et repose donc sur cette base juridique. Vous trouverez plus d’informations dans la déclaration de protection des données sur swisspass.ch.
- Prestataires de loisirs dans le cadre de l’utilisation d’offres communes
- Prestataires ou d'organismes publics dans le cadre de voyages (par exemple voyagistes, hébergeurs, compagnies maritimes, compagnies aériennes et ferroviaires, plateformes de réservation, les organismes publics en cas d'obligation légale ou administrative, par exemple dans le cadre de l'obtention des conditions d'entrée et de l'obtention de VISA). Si des entreprises de transport étrangères sont concernées par votre voyage, les données sont également transmises aux prestataires / entreprises de transport étrangères, qui peuvent également avoir leur siège en dehors de la Suisse, de l’UE ou de l’Espace économique européen (EEE), par exemple aux États-Unis. Veuillez également consulter les déclarations de protection des données des différents fournisseurs.
Notre prestataire de services central pour les voyages à forfait est le système de distribution mondial, respectivement la plateforme de Travelport Services Limited, Langley/Berkshire, Angleterre. Vous trouverez de plus amples informations sur la protection des données ici.
Autorités:
Nous pouvons transmettre des données personnelles à des offices, des tribunaux et d’autres autorités de Suisse et de l’étranger si la législation l’exige ou si nous le jugeons nécessaire pour préserver nos intérêts. Après que nous les leur avons envoyées, les autorités traitent les données vous concernant sous leur propre responsabilité.
Les autres tiers en dehors du transport public n’auront pas connaissance de vos données à caractère personnel.
A l’exception notamment (comme décrit ci-dessous) des partenaires SwissPass et des entreprises autorisées à servir d’intermédiaires pour des prestations de transport public par les entreprises de transport public, sur la base d’un accord contractuel. Ces intermédiaires n’ont accès à vos données à caractère personnel que si vous voulez acheter une prestation de transport public par leur biais et que vous avez donné votre consentement pour qu’ils y accèdent. Même dans ce cas, ils n’ont accès à vos données que dans la limite de ce qui est indispensable pour vérifier si vous avez déjà des billets ou abonnements pour la période de voyage prévue qui sont pertinents pour votre voyage ou la prestation du tiers que vous souhaitez. Votre consentement constitue ainsi la base juridique de ces traitements de données. Vous pouvez révoquer à tout instant votre consentement avec effet pour l’avenir.
4. Communication à l'étranger
Comme indiqué au chiffre 3, nous communiquons également des données à d’autres entités qui ne sont pas toutes établies en Suisse. Aussi, vos données peuvent faire l’objet d’un traitement aussi bien en Europe que dans un pays tiers, par exemple aux États-Unis.
Si un destinataire se trouve dans un pays non doté d’une législation appropriée en matière de protection des données, nous obligeons, par voie contractuelle, le destinataire à respecter la protection des données applicable (à cette fin, nous utilisons les clauses contractuelles types révisées de la Commission européenne, consultables ici) s’il n’est pas déjà soumis à des règles de protection des données reconnues par la loi et si nous ne pouvons pas nous appuyer sur une disposition dérogatoire. En effet, une dérogation peut s’appliquer aux procédures judiciaires à l’étranger, mais aussi en cas d’intérêt public supérieur, si l’exécution d’un contrat nécessite une telle communication de données, si vous y avez consenti ou s’il est question de données que vous avez rendues accessibles à tous et que vous ne vous opposez pas à leur traitement.
5. Stockage des données et lieux de stockage
Nous conservons les données personnelles uniquement pendant la durée nécessaire pour fournir les services que vous souhaitez ou auxquels vous avez consenti dans la mesure prévue par la présente déclaration de protection des données;
- pour fournir les services que vous souhaitez ou auxquels vous avez consenti dans la mesure prévue par la présente déclaration de protection des données;
- pour utiliser les services de suivi mentionnés dans la présente déclaration de protection des données dans le cadre de notre intérêt légitime.
Nous stockons les données contractuelles plus longtemps, car nos obligations légales de conservation l’exigent. Nos obligations de conservation de données découlent de réglementations en matière de comptabilité et de fiscalité. Si nous n’avons plus besoin de ces données pour vous fournir les services, nous les bloquons. Cela signifie que nous ne sommes autorisés à les utiliser que pour remplir nos obligations de conservation.
Base de données / but |
Duréee de stockage |
Lieux de stockage |
|
Bases de données clients, bases de données de vente (titres de transport, billets et autres offres) ainsi que base de données des contrats; base de données concernant la réservation, la vente et la gestion de voyages, y compris voyages de découverte et voyages en groupe |
Les données de base des clients sont supprimées au bout de 5 ans d’inactivité au plus tard. Les données relatives aux ventes/transactions sont supprimées au plus tard 2 ans après la fin de leur validité ou sont entièrement anonymisées, à moins qu’elles ne doivent être conservées pour des raisons contractuelles. Dans ce cas, les données sont supprimées au plus tard 10 ans après la date de vente. |
|
|
Base de données concernant l’information aux passagers et à la clientèle (alerte SMS) |
Les données sont conservées jusqu’à la suppression du profil client par la cliente ou le client. |
|
|
Base de données de marketing et d’études de marché |
Les données sont conservées jusqu’à la révocation de l’autorisation de marketing. Les données relatives aux enquêtes sont supprimées au bout d’1 an.
|
|
|
Base de données d’analyse |
Les données relatives aux clients et aux ventes sont entièrement anonymisées après 2 ans.
|
|
|
Base de données financières |
Les données qui doivent être conservées pour des raisons comptables sont supprimées au terme du délai légal. .
|
|
|
Base de données des contacts clients | Les contacts avec les clients qui ont été traités sont anonymisés ou supprimés au bout de 2 ans. |
|
|
Base de données concernant les voyages sans titre de transport valable ou avec un titre de transport partiellement valable |
La suppression s’effectue conformément à l’art. 20a, al. 4 LTV: Les données sont immédiatement supprimées s’il est établi que la personne concernée n’a pas occasionné de manque à gagner, ou au bout de 2 ans à condition que la personne concernée ait acquitté les suppléments et qu’elle n’ait pas récidivé durant cette période; les données peuvent être conservées durant 10 ans au plus si elles sont nécessaires au recouvrement des créances de la personne concernée.
|
|
|
Base de données de contrôle |
Carte SwissPass SwissPass Mobile Billets électroniques |
|
|
Base de données des cartes de stationnement du parking de Spiez Les données des clients sont saisies pour la création / le traitement des abonnements mensuels/annuels pour le parking.
|
Les données clients datant de plus de 2 ans sont automatiquement supprimées s’il n’y a pas d’abonnements. Les abonnements mensuels sont supprimés au démarrage de la base de données 3 mois après la date de fin/d’expiration. Les abonnements annuels sont supprimés au démarrage 14 mois après la date de fin/d’expiration.
|
|
|
Données des clients concernant les accidents et les dommages |
Les données d’accidents avec dommages corporels sont conservées pendant 30 ans, puis supprimées. Les données d’accidents avec dommages matériels sont conservées pendant 10 ans, puis supprimées.
|
|
L’accès au support est possible dans le monde entier. Les transferts en dehors de l’UE/EEE sont couverts par l’application des clauses standard autorisées de protection des données.
6. Sécurité des données
7. Outils de suivi et d’analyses
Afin de concevoir et d’optimiser en continu notre site web, nos applications et nos e-mails en fonction des besoins, nous utilisons des services d’analyse web.
Si le RGPD-UE est applicable, votre consentement et/ou notre intérêt légitime constituent la base juridique de ce traitement de données à caractère personnel.
Suivi sur le site web
Sur notre site web, des profils d’utilisateur pseudonymisés sont créés et des petits fichiers texte («cookies») qui sont enregistrés sur votre ordinateur sont utilisés. Les informations générées par les cookies concernant votre utilisation de ce site web sont transmises aux serveurs des fournisseurs de ces services, y sont enregistrées et traitées pour nous. En plus des données citées plus haut (voir «Quelles données sont traitées et à quelles fins sont-elles utilisées?»), nous recevons les informations suivantes:
- Parcours de navigation utilisés par les personnes qui visitent le site web
- Temps de présence sur le site web ou la page
- Page sur laquelle le site web est quitté
- Pays, région ou ville d’où a lieu l’accès
- Terminal (type, version, intensité de couleur, résolution, largeur et hauteur de la fenêtre de navigateur)
- Visiteurs récurrents ou nouveaux
- Type/version de navigateur
- Système d’exploitation utilisé
- URL de référence (le site visité auparavant)
- Nom d’hôte de l’ordinateur qui accède au site (adresse IP)
- Heure de demande sur le serveur
Les informations sont utilisées pour analyser l’utilisation du site web.
Suivi lors de l’envoi des e-mails
Lorsque nous envoyons des e-mails, nous avons recours aux services de marketing par e-mail de tiers. Pour cette raison, nos e-mails peuvent contenir un «pixel espion» ou des outils similaires. Un pixel espion est une image invisible mesurant 1x1 pixel et associée à l’identifiant d’utilisateur de la personne abonnée aux envois d’e-mails.
Pour chaque newsletter envoyée, il y a des informations sur le fichier d’adresses utilisé, l’objet et le nombre de newsletters envoyées. De plus, le pixel espion permet de voir quelles adresses n’ont pas encore reçu la newsletter, à quelles adresses la newsletter a été envoyée et pour quelles adresses l’envoi a échoué. De plus, le taux d’ouverture, y compris les informations sur les adresses qui ont ouvert la newsletter et celles qui se sont désinscrites de la liste de diffusion, peut être discuté.
Il est possible, via les services correspondants, d’analyser les informations susmentionnées. Ceux-ci permettent aussi de suivre les clics effectués et de les analyser. Nous utilisons ces données à des fins statistiques et pour optimiser les contenus de nos messages. Nous sommes ainsi en mesure de mieux axer les informations et offres contenues dans nos e-mails aux centres d’intérêt individuels des différents destinataires. Le pixel espion est supprimé si vous supprimez l’e-mail.
Si vous souhaitez empêcher l’utilisation du pixel espion dans nos e-mails, veuillez configurer votre messagerie de façon à ce qu’elle n’affiche pas de contenu HTML dans les messages – si elle ne le fait pas déjà par défaut. Des instructions en ce sens sont disponibles par exemple ici.
Actuellement, nous utilisons les outils de suivi et d’analyse suivants:
- Google Analytics: Google Irlande (société établie en Irlande) fournit «Google Analytics» et traite les données pour notre compte. De même, Google Irland fait appel à Google LLC (société établie aux États-Unis) (les deux sociétés sont désignées sous le nom de Google) pour le traitement des données. Google suit le comportement des visiteurs sur notre site web par le biais de cookies de performance (durée, fréquence des pages consultées, origine géographique de l’accès, etc.) et établit pour nous des rapports sur l’utilisation de notre site web sur cette base. Nous avons configuré le service de manière à ce que les adresses IP des visiteurs soient raccourcies par Google en Europe avant d’être transmises aux États-Unis et ne puissent donc pas être retracées. Nous avons désactivé les paramètres «Partage des données» et «Signaux». Bien que nous puissions supposer que les informations que nous partageons avec Google ne sont pas des données personnelles pour Google, il est possible que Google tire des conclusions sur l’identité des visiteurs à partir de ces données à ses propres fins, crée des profils personnels et relie ces données aux comptes Google de ces personnes. Si vous acceptez l’utilisation de Google Analytics, vous consentez explicitement à un tel traitement, qui inclut également la transmission de données personnelles (en particulier les données d’utilisation du site web et de l’application, les informations sur les appareils et les identifiants individuels) aux États-Unis et dans d’autres pays. Vous trouverez des informations sur la protection des données de Google Analytics ici.
Les utilisateurs peuvent empêcher la saisie par Google des données générées par le cookie et se rapportant à l’utilisation du site Internet par les utilisateurs concernés (y compris l’adresse IP) ainsi que le traitement de ces données par Google en téléchargeant et en installant le plug-in de navigateur. - ClickDimensions: ClickDimensions est une solution d’automatisation du marketing spécialement développée pour Microsoft Dynamics. ClickDimensions est intégrée directement à l’outil CRM Microsoft Dynamics 365. Microsoft Ireland Operations Limited (société établie en Irlande) fournit ce service et traite les données pour notre compte. Microsoft Ireland Operations Limited sDe même, Microsoft Ireland Operations Limited fait appel à ClickDimensions LLC (société établie aux États-Unis) pour le traitement des données. ClickDimensions permet d’analyser, de planifier, d’organiser, de mettre en œuvre et de contrôler les mesures de marketing. La fonction principale de ClickDimensions a trait au marketing par e-mail. ClickDimensions permet de rédiger, d’envoyer et de suivre des e-mails. Après l’envoi d’e-mails marketing, on dispose d’informations en temps réel qui permettent de savoir quels destinataires ont par exemple visité un site web et ce qui les a intéressés.
Vous trouverez de plus amples informations ici. - Sitecore Analytics: Sitecore Holding II A/S est une société danoise qui possède des filiales et des sociétés affiliées dans le monde entier. Nous utilisons Sitecore Analytics pour associer les consultations de pages à un profil d’utilisateur et pour pouvoir ainsi vous présenter le site web de manière individuelle et vous proposer des offres adaptées à vos besoins. Nous enregistrons les pages consultées par utilisation (session) et les analysons afin de pouvoir vous proposer des contenus adaptés et personnalisés. L’outil Sitecore Analytics vous identifie de manière anonyme et reste en place pendant plusieurs sessions. Après une connexion à SwissPass, l’utilisation d’un formulaire de contact ou la visite de la page d’un article de la newsletter, vous pouvez être identifié via les données d’utilisateur, de sorte que les informations décrites ci-dessus sont disponibles non seulement pour toutes les sessions, mais aussi pour tous les appareils. Ce faisant, nous enregistrons l’heure et les pages visitées sur notre site web. De plus, Sitecore Analytics nous aide également à analyser le comportement des utilisateurs et utilisatrices du site web et à adapter le contenu aux besoins des utilisateurs.
Vous trouverez de plus amples informations ici. - Chatbot: Le widget de chat moinAI utilise pour stocker et reconnaître les clés de stockage locales des utilisateurs, qui sont stockées dans le navigateur Web lorsque les utilisateurs interagissent avec le widget de chat ou le teaser. Vous trouverez de plus amples informations ici.
8. Cookies
Les cookies sont des petits fichiers qui sont enregistrés sur votre ordinateur ou votre terminal mobile lorsque vous visitez ou utilisez notre site web ou utilisez des applis. Certains cookies sont nécessaires au bon fonctionnement du site web ou de l’application, d’autres élargissent l’éventail des fonctions et améliorent votre confort d’utilisation. Vous pouvez à tout moment adapter les paramètres des cookies dans les paramètres des cookies. Si vous acceptez certains cookies, vous consentez également à la transmission de vos données à des pays tiers. Il se peut que ces pays tiers ne présentent pas un niveau de protection des données comparable à celui de la Suisse. Il existe le risque que vos données soient collectées et traitées par des autorités locales et que vos droits en tant que personne concernée ne soient pas respectés.
De plus, nous utilisons des cookies pour procéder à une analyse du comportement général de l’utilisateur. L’objectif est d’optimiser notre présence numérique. Le site doit être plus simple à utiliser et la recherche des contenus doit être plus intuitive. Ils doivent être construits et structurés de manière compréhensible.
9. Utilisation de plug-ins
Sur notre site web, nous établissons un lien vers les plateformes de réseaux sociaux suivantes:
- Facebook est exploité par Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, et par Facebook Ireland Limited, Hanover Reach, 5-7 Hanover Quay, Dublin 2, Irlande. Vous trouverez des informations sur la protection des données ici.
- Twitter est exploité par Twitter Inc, 1355 Market St, Suite 900, San Francisco, CA 94103, États-Unis («Twitter»). Vous trouverez des informations sur la protection des données ici.
- Google+ est exploité par Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA («Google»). Vous trouverez des informations sur la protection des données ici.
- Pinterest est exploité par Pinterest Inc., 808 Brennan St, San Francisco, CA 94103, États-Unis («Pinterest»). Vous trouverez des informations sur la protection des données ici.
- Instagram est exploité par Instagram LLC, 1601 Willow Road, Menlo Park, CA 94025, États-Unis («Instagram»). Vous trouverez des informations sur la protection des données ici.
- LinkedIn est exploité par LinkedIn Ireland Unlimited Company, Dublin. Vous trouverez des informations sur la protection des données ici.
- Curator: Sur notre site web, les contenus de nos présences sur les réseaux sociaux sont présentés sous la forme d’un «mur social». Pour cela, nous utilisons «Curator». Le fournisseur de Curator est Group Pty Ltd, New South Wales, Australie. Pour le service, les données des plateformes de réseaux sociaux mentionnées sont lues et les contenus correspondants sont affichés et reliés sur le site web. Vous trouverez des informations sur la protection des données ici.
- GoogleFonts: Notre site web utilise ce que l’on appelle des polices web, mises à disposition par Google, pour l’affichage uniforme de la police de caractères. Ce faisant, votre navigateur charge les polices web nécessaires dans le cache du navigateur afin d’afficher correctement les textes et les polices. À cette fin, le navigateur que vous utilisez doit se connecter aux serveurs de Google. Google est ainsi informé que notre site web a été consulté via votre adresse IP. Si votre navigateur ne supporte pas les polices web, une police standard est utilisée par votre ordinateur. Vous trouverez de plus amples informations ici.
Nous n’utilisons pas de plug-ins sur notre site web. Les icônes des plateformes de réseaux sociaux respectives sont uniquement représentées sur notre site web sous forme de graphique avec un lien. Nous n’envoyons donc pas de données aux réseaux sociaux. En cliquant sur le graphique, vous serez redirigé vers la plate-forme de réseaux sociaux et les dispositions susmentionnées des fournisseurs respectifs s’appliquent.
Si le RGPD-UE est applicable, notre intérêt légitime constitue la base juridique de ce traitement de données à caractère personnel.
10. Affichage de publicités
Nous faisons appel à des fournisseurs tiers (adservers) pour diffuser et utiliser des annonces publicitaires personnalisées sur nos pages Internet et nos applications. Lorsqu’un utilisateur ou une utilisatrice visite nos sites Internet et nos applications, une demande est envoyée à l’adserver lors de la consultation de la page. Afin de pouvoir diffuser des annonces publicitaires sur des produits et des services qui vous intéressent ou qui présentent une plus grande pertinence pour vous, nous transmettons les informations suivantes lors de la demande à l’adserver:
- Données de profil (âge, lieu de résidence et sexe)
- Dates de voyage (lieu de départ, heure de départ, date de départ, jour de la semaine de départ, lieu d’arrivée, heure d’arrivée, date d’arrivée, jour de la semaine d’arrivée, classe de voyage)
- Coordonnées GPS approximatives
- ID utilisateur unique (pour l’utilisation des fréquences publicitaires, le suivi post-clic et le ciblage par cookie)
- Adresse IP
- Informations sur le navigateur et le système d’exploitation
- Fabricant et modèle de l’appareil
Pour chaque demande ad hoc, l’adserver vérifie s’il existe une campagne appropriée et livre ensuite, de manière aléatoire et en fonction de la charge de travail, de la publicité spécifique, non spécifique ou pas de publicité du tout. Aucune donnée historique n’est collectée et aucun nom, numéro de téléphone ni aucune adresse e-mail ne sont communiqués. Les informations ci-dessus ne sont jamais transmises à des annonceurs, mais sont utilisées exclusivement pour la livraison unique de publicité et ne sont pas enregistrées pour une utilisation ultérieure. Dans les paramètres des applications, vous pouvez contrôler l’affichage des publicités sous «Autres paramètres». Notre intérêt légitime constitue la base juridique des traitements de données décrits.
11. Quels sont vos droits?
Vous disposez des droits suivants au titre de vos données personnelles:
- Vous pouvez demander à obtenir des renseignements sur les données personnelles stockées vous concernant.
- Vous pouvez demander à faire corriger, compléter, bloquer ou effacer vos données personnelles. Vos données ne sont pas effacées, mais bloquées, si des dispositions légales s’opposent à leur effacement (obligations légales de conservation, par exemple).
- Vous pouvez demander à ce que nous vous remettions certaines données personnelles dans un format électronique courant ou à ce que nous les transmettions à un(e) autre responsable.
- Si vous avez créé un compte client, vous pouvez le supprimer ou le faire supprimer.
- Vous pouvez vous opposer à l’utilisation de vos données à des fins de marketing et d’étude de marché.
- Vous pouvez révoquer à tout instant votre consentement avec effet pour l’avenir.
- Vous avez le droit de donner votre avis quant aux différentes décisions automatisées et pouvez demander à faire vérifier la décision par une personne physique.
Si vous voulez exercer les droits susmentionnés auprès de nous ou de l’une des sociétés de notre groupe, veuillez nous contacter par écrit ou par e-mail; vous trouverez nos coordonnées dans la section B. Afin d’éviter tout abus, nous devrons vérifier votre identité (par exemple au moyen d’une copie de votre pièce d’identité en l’absence d’une autre solution).
Si vous souhaitez demander un renseignement ou la suppression des données enregistrées sur votre personne dans l’ensemble des TP, vous pouvez adresser votre demande accompagnée d’une copie de votre pièce d’identité par écrit aux CFF au moyen d'un formulaire web. Vous trouverez d’autres informations sur le processus de renseignement et de suppression au sein des transports publics en Suisse ici.
Les demandes de renseignements du système d’information sur les voyageurs sans titre de transport valable (conformément à l’article 20a de la loi fédérale sur le transport de voyageurs (LTV)) sont à envoyer à l’exploitant du système, à l’adresse suivante:
CarPostal SA, «SynServ», Pfingstweidstrasse 60b, 8080 Zurich ou par e-mail à: synserv@postauto.ch.
Si vous n’êtes pas d’accord avec la façon dont nous appliquons vos droits ou gérons vos données, merci de nous le faire savoir. Vous avez également le droit, en particulier si vous résidez au sein de l’EEE, au Royaume-Uni ou en Suisse, de porter plainte auprès de l’autorité de contrôle de la protection des données de votre pays.
Vous trouverez une liste des autorités compétentes de l’EEE ici.
Vous pouvez contacter l’autorité de contrôle britannique ici.
Vous pouvez contacter l’autorité de contrôle suisse ici.