Politique de confidentialité

Préambule

La société La Stéphanoise Express (ci-après « la Société » ou « Nous »), opérateur de transport public collectif de personnes, accorde une importance fondamentale au respect de la vie privée et à la protection des données à caractère personnel des personnes (ci-après « Vous » ou « le Client ») qui utilisent ses services ou son site internet.

La présente Politique de confidentialité a pour objet de Vous informer, de manière claire, transparente et complète, sur les modalités de collecte, de traitement, d’utilisation, de conservation, de partage et de protection de vos données à caractère personnel, conformément :

  • au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit Règlement Général sur la Protection des Données (« RGPD ») ;
  • à la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés » ;
  • aux recommandations et lignes directrices de la Commission Nationale de l’Informatique et des Libertés (« CNIL »).

La présente Politique vient en complément de nos Conditions Générales de Vente, dont elle fait partie intégrante. En utilisant nos services ou notre site internet, Vous reconnaissez avoir pris connaissance de la présente Politique.

Article 1 — Identité du responsable de traitement

Le responsable du traitement de vos données personnelles est :

La Stéphanoise Express

Siège social : 44, rue Gutenberg, 42100 Saint-Étienne, France

Site internet : www.stephanoise-express.fr

Adresse de contact : contact@stephanoise-express.fr

Toute demande relative à la protection de vos données peut être adressée à cette adresse électronique ou par courrier postal au siège social ci-dessus.

Article 2 — Définitions

Pour l’application de la présente Politique :

  • « Donnée à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable.
  • « Traitement » désigne toute opération effectuée sur des données personnelles (collecte, enregistrement, conservation, modification, consultation, communication, etc.).
  • « Responsable de traitement » désigne la personne qui détermine les finalités et les moyens du traitement, en l’occurrence la Société.
  • « Sous-traitant » désigne toute personne qui traite des données personnelles pour le compte du responsable de traitement.
  • « Personne concernée » désigne la personne physique dont les données sont traitées, c’est-à-dire principalement Vous-même.

Article 3 — Données personnelles collectées

La Société collecte uniquement les données strictement nécessaires aux finalités poursuivies, dans le respect du principe de minimisation prévu par le RGPD.

3.1. Données fournies directement par Vous

Lors de la réservation, de l’utilisation de nos services ou de tout contact avec la Société, Nous collectons notamment :

  • Données d’identification : nom, prénom, civilité, âge le cas échéant pour les enfants nécessitant un dispositif de retenue ;
  • Coordonnées : adresse e-mail, numéro de téléphone mobile, adresse postale (Clients professionnels) ;
  • Données de réservation : date et heure de trajet, itinéraire (point de départ et d’arrivée parmi les arrêts officiels), nombre de passagers, nombre et nature des bagages, demandes spécifiques (siège auto, rehausseur, animal, accessibilité PMR) ;
  • Données de paiement : informations relatives au moyen de paiement utilisé. Les coordonnées bancaires complètes (numéro de carte, cryptogramme) ne sont jamais conservées par la Société et sont traitées exclusivement par notre prestataire de paiement sécurisé conformément à la norme PCI-DSS ;
  • Données de correspondance : contenu de vos e-mails, messages ou échanges téléphoniques avec notre service client (réclamations, demandes, retours d’expérience) ;
  • Données particulières : uniquement si Vous Nous les communiquez spontanément (état de santé, mobilité réduite, etc.), exclusivement aux fins d’adaptation de la prestation.

3.2. Données collectées automatiquement

  • Données de navigation : adresse IP, type de navigateur, pages consultées, durée de visite, source de connexion, système d’exploitation, identifiants de session, recueillies via des cookies et traceurs (voir Article 8) ;
  • Données de vidéosurveillance : images enregistrées dans nos véhicules par dispositifs de vidéosurveillance, dans le respect des obligations légales (information des passagers, durée de conservation limitée, droit d’accès) ;
  • Données de géolocalisation des véhicules : uniquement à des fins d’exploitation, de sécurité et de gestion de flotte, sans suivi nominatif des passagers.

3.3. Données relatives aux mineurs

La Société ne collecte sciemment aucune donnée d’un mineur de moins de quinze (15) ans sans le consentement préalable de ses titulaires de l’autorité parentale. Les informations communiquées concernant un enfant mineur (nom, âge, poids pour la fourniture d’un siège auto ou d’un rehausseur) le sont sous la responsabilité du Client adulte qui effectue la réservation.

Article 4 — Finalités et bases légales du traitement

La Société traite vos données personnelles uniquement pour des finalités déterminées, explicites et légitimes, sur la base d’un fondement juridique précis prévu à l’article 6 du RGPD :

Finalité

Base légale (Art. 6 RGPD)

Gestion des réservations et exécution du contrat de transport

Exécution du contrat (Art. 6.1.b)

Gestion des paiements et facturation

Exécution du contrat (Art. 6.1.b) et obligation légale (Art. 6.1.c)

Gestion de la relation client (réclamations, service après-vente, support)

Exécution du contrat (Art. 6.1.b) et intérêt légitime (Art. 6.1.f)

Respect des obligations légales, comptables et fiscales

Obligation légale (Art. 6.1.c)

Prévention des impayés et lutte contre la fraude

Intérêt légitime (Art. 6.1.f)

Sécurité des passagers, des biens et des véhicules (vidéosurveillance, géolocalisation)

Intérêt légitime (Art. 6.1.f)

Statistiques internes et amélioration des services

Intérêt légitime (Art. 6.1.f)

Envoi de communications commerciales et newsletters

Consentement préalable (Art. 6.1.a) ou intérêt légitime pour les clients existants

Gestion des cookies et traceurs non strictement nécessaires

Consentement préalable (Art. 6.1.a)

Constatation, exercice ou défense d’un droit en justice

Intérêt légitime (Art. 6.1.f)

Article 5 — Destinataires des données

Vos données personnelles sont strictement réservées aux destinataires suivants, dans la limite de leurs missions respectives :

5.1. Personnel habilité de la Société

Les données sont accessibles aux seuls collaborateurs de la Société dûment habilités (gestion des réservations, comptabilité, service client, conducteurs) dans la stricte mesure nécessaire à l’accomplissement de leurs missions. Ces personnes sont tenues à une obligation de confidentialité contractuelle.

5.2. Sous-traitants et prestataires

La Société peut faire appel à des sous-traitants pour certaines opérations de traitement, et notamment :

  • hébergeur du site internet et de la base de données ;
  • éditeur du logiciel de réservation et de gestion ;
  • prestataire de paiement en ligne sécurisé ;
  • prestataires d’envoi de SMS et d’e-mails transactionnels ;
  • transporteurs partenaires en cas de sous-traitance d’un trajet (voir CGV) ;
  • prestataire de vidéosurveillance, de télématique embarquée et de géolocalisation ;
  • cabinet comptable, expert-comptable et commissaire aux comptes ;
  • conseils juridiques et auxiliaires de justice (avocats, huissiers, sociétés de recouvrement).

Tous nos sous-traitants sont contractuellement engagés à respecter le RGPD et à mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité de vos données.

5.3. Autorités et tiers autorisés

Vos données peuvent être communiquées aux autorités publiques compétentes (police, gendarmerie, justice, administration fiscale, etc.) en cas de réquisition judiciaire ou administrative régulière, ou pour répondre à toute obligation légale incombant à la Société.

5.4. Absence de cession commerciale

La Société ne vend, ne loue, ni ne cède à titre commercial vos données personnelles à des tiers, sous quelque forme que ce soit.

Article 6 — Transferts de données hors Union européenne

La Société privilégie l’hébergement et le traitement de vos données au sein de l’Union européenne (UE) ou de l’Espace économique européen (EEE).

Si, en raison de l’utilisation de certains outils ou prestataires, un transfert de données vers un pays situé hors de l’UE/EEE devait avoir lieu, la Société s’assure que ce transfert est encadré par des garanties appropriées au sens des articles 44 et suivants du RGPD, et notamment :

  • décision d’adéquation de la Commission européenne ;
  • clauses contractuelles types adoptées par la Commission européenne ;
  • règles d’entreprise contraignantes (BCR) ;
  • toute autre garantie reconnue par le RGPD.

Vous pouvez obtenir, sur simple demande adressée à contact@stephanoise-express.fr, une copie ou la liste des garanties mises en place pour ces transferts.

Article 7 — Durées de conservation

Vos données personnelles sont conservées uniquement pour la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, dans le respect des obligations légales applicables :

Catégorie de données

Durée de conservation

Données de réservation et de relation client (clients actifs)

Pendant toute la durée de la relation commerciale, puis trois (3) ans à compter du dernier contact à des fins de prospection commerciale

Données comptables et factures

Dix (10) ans à compter de la clôture de l’exercice comptable (article L.123-22 du Code de commerce)

Données relatives aux paiements

Treize (13) mois après la transaction (preuve en cas de contestation), puis archivage légal

Réclamations et précontentieux

Cinq (5) ans à compter de la clôture du dossier

Données de prospection commerciale (prospects non clients)

Trois (3) ans à compter du dernier contact actif

Images de vidéosurveillance

Trente (30) jours maximum, sauf en cas de procédure (incident, plainte, enquête) où la conservation est prolongée pour les besoins de celle-ci

Données de géolocalisation des véhicules

Deux (2) mois maximum, sauf besoins liés à un incident ou à une obligation légale

Cookies et traceurs

Treize (13) mois maximum (recommandation CNIL)

Données nécessaires à la défense d’un droit en justice

Jusqu’à l’expiration des délais légaux de prescription applicables

 

À l’issue de ces durées, vos données sont soit supprimées définitivement, soit anonymisées de manière irréversible à des fins statistiques.

Article 8 — Cookies et traceurs

Le site internet de la Société utilise des cookies et traceurs aux fins suivantes :

  • Cookies strictement nécessaires : indispensables au fonctionnement du site (gestion de session, panier, sécurité). Ils ne nécessitent pas de consentement.
  • Cookies de mesure d’audience : permettent d’analyser la fréquentation du site et d’en améliorer le contenu. Soumis à votre consentement préalable.
  • Cookies de personnalisation et de marketing : permettent de Vous proposer des contenus adaptés. Soumis à votre consentement préalable.

Lors de votre première visite, un bandeau d’information Vous permet d’accepter, de refuser ou de paramétrer les cookies. Vous pouvez à tout moment modifier vos préférences en cliquant sur le module dédié sur notre site.

Les cookies sont conservés pour une durée maximale de treize (13) mois, conformément aux recommandations de la CNIL.

Article 9 — Sécurité des données

La Société met en œuvre toutes les mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l’intégrité, la disponibilité et la résilience de vos données, et notamment :

  • hébergement sécurisé des données auprès de prestataires certifiés ;
  • chiffrement des données sensibles en transit (protocole HTTPS/TLS) et au repos lorsque cela est techniquement possible ;
  • politique stricte de gestion des accès (authentification, journalisation, principe du moindre privilège) ;
  • sauvegardes régulières et plan de continuité d’activité ;
  • sensibilisation et formation du personnel à la protection des données ;
  • contrôle contractuel des sous-traitants et engagements de confidentialité.

Bien que la Société mette en œuvre tous les moyens raisonnables pour protéger vos données, aucune transmission de données sur Internet ou aucun système de stockage ne peut être garanti comme totalement infaillible.

En cas de violation de données personnelles susceptible d’engendrer un risque pour vos droits et libertés, la Société s’engage à notifier l’incident à la CNIL dans un délai de soixante-douze (72) heures et, si nécessaire, à Vous en informer dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.

Article 10 — Vidéosurveillance dans les véhicules

Pour des raisons de sécurité des passagers, des biens et du conducteur, certains véhicules de la Société sont équipés de dispositifs de vidéosurveillance intérieure et/ou extérieure. La présence de ces dispositifs est signalée par un pictogramme visible à bord.

Les images sont :

  • conservées pendant une durée maximale de trente (30) jours, sauf nécessité liée à un incident ;
  • accessibles uniquement aux personnes habilitées de la Société et, le cas échéant, aux autorités compétentes sur réquisition ;
  • traitées dans le respect du RGPD et de la doctrine de la CNIL en matière de vidéoprotection.

Toute personne filmée dispose d’un droit d’accès aux images la concernant, dans les conditions définies à l’Article 11 ci-après.

Article 11 — Vos droits

Conformément aux articles 12 à 23 du RGPD et à la loi « Informatique et Libertés », Vous disposez, à l’égard de vos données personnelles, des droits suivants :

  • Droit d’accès (Art. 15 RGPD) : obtenir la confirmation que vos données sont ou non traitées et, le cas échéant, en obtenir une copie ainsi que des informations sur le traitement.
  • Droit de rectification (Art. 16 RGPD) : obtenir la correction des données inexactes ou incomplètes.
  • Droit à l’effacement (Art. 17 RGPD) : obtenir l’effacement de vos données dans les cas prévus par la réglementation.
  • Droit à la limitation du traitement (Art. 18 RGPD) : demander la suspension temporaire de l’utilisation de vos données.
  • Droit à la portabilité (Art. 20 RGPD) : recevoir, dans un format structuré, couramment utilisé et lisible par machine, les données que Vous Nous avez fournies, et les transmettre à un autre responsable de traitement.
  • Droit d’opposition (Art. 21 RGPD) : Vous opposer à tout moment à un traitement fondé sur l’intérêt légitime ou à des fins de prospection commerciale.
  • Droit de retirer votre consentement : lorsque le traitement est fondé sur votre consentement, à tout moment, sans que cela n’affecte la licéité du traitement effectué avant le retrait.
  • Droit de définir des directives post-mortem : donner des instructions sur le sort de vos données après votre décès, conformément à l’article 85 de la loi « Informatique et Libertés ».
  • Droit de ne pas faire l’objet d’une décision automatisée : la Société ne procède à aucune décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques.

Article 12 — Modalités d’exercice de vos droits

Vous pouvez exercer vos droits à tout moment, gratuitement, en adressant votre demande :

  • par e-mail à : contact@stephanoise-express.fr ;
  • par courrier postal à : La Stéphanoise Express, 44 rue Gutenberg, 42100 Saint-Étienne.

Pour permettre le traitement de votre demande dans les meilleures conditions, et à des fins d’authentification, la Société pourra Vous demander de justifier de votre identité (copie d’une pièce d’identité), notamment en cas de doute raisonnable sur l’identité du demandeur.

La Société s’engage à répondre à votre demande dans un délai d’un (1) mois à compter de la réception. Ce délai peut être prolongé de deux (2) mois supplémentaires, compte tenu de la complexité ou du nombre de demandes ; Vous en serez alors informé(e).

L’exercice de ces droits est gratuit. Toutefois, en cas de demandes manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, la Société pourra exiger le paiement de frais raisonnables ou refuser de donner suite, conformément à l’article 12.5 du RGPD.

Article 13 — Réclamation auprès de la CNIL

Si Vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, Vous disposez du droit d’introduire une réclamation auprès de l’autorité de contrôle française, la Commission Nationale de l’Informatique et des Libertés (CNIL) :

  • CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 ;
  • Téléphone : 01 53 73 22 22 ;
  • Site internet : www.cnil.fr.

Article 14 — Modifications de la présente Politique

La Société se réserve le droit de modifier la présente Politique de confidentialité à tout moment, notamment pour s’adapter aux évolutions législatives, réglementaires, techniques ou liées à ses services.

Toute modification fera l’objet d’une publication sur le site internet de la Société et, en cas de modification substantielle, d’une information par tout moyen approprié (e-mail, notification lors de la prochaine réservation, etc.).

La date de dernière mise à jour figure en pied de page de la présente Politique. La version applicable est celle en vigueur à la date de votre interaction avec la Société.

Article 15 — Contact

Pour toute question relative à la présente Politique de confidentialité ou au traitement de vos données personnelles, Vous pouvez Nous contacter :

  • par e-mail : contact@stephanoise-express.fr ;
  • par courrier : La Stéphanoise Express, 44 rue Gutenberg, 42100 Saint-Étienne ;
  • via le formulaire de contact disponible sur le site internet www.stephanoise-express.fr.