I. Objet du traitement des données

1.1. Finalités

Les données personnelles collectées font l’objet d’un traitement ayant pour finalités :

• La gestion des comptes client pour permettre au client de :
  • Créer un compte, de s’authentifier de manière sécurisée et d’accéder aux services et fonctionnalités associés via le site web et l’application mobile, (*)
  • De gérer une liste de favoris, (***)
• La gestion de la billettique pour permettre :
  • Au client :
    • La création d’un compte billettique (lié à la carte Pass Pass du client) afin d’accéder au service de la billettique Pass Pass (*)
    • D’acheter un support de transport (carte Pass Pass), et d’obtenir les justificatifs nécessaires (*)
    • D’acheter un titre de transport, de le charger sur sa carte de transport, et d’obtenir les justificatifs nécessaires (*)
    • De gérer ses moyens de paiement (paiement par carte et enregistrement de ses cartes de paiement, renseignements de ses coordonnées bancaires et enregistrement des mandats de prélèvement SEPA), (*)
    • De gérer des bénéficiaires dans le cadre de l’utilisation des services proposés, (***)
    • De consulter les informations de son compte billettique et l’historique de ses transactions via le site web ou l’application mobile, (*)
    • De recharger sa carte Pass Pass depuis l’application mobile à l’aide de la technologie NFC. (*)
  • Au réseau de transport partenaire Pass Pass :
    • D’attribuer au client, à sa demande, un profil donnant droit à des réductions et de les gérer afin d’adapter l’accès et l’utilisation des services par le client, (*)
    • De prévenir, détecter et lutter contre la fraude afin de sécuriser les transactions et l’accès aux services, (***)
    • Assurer le suivi des transactions et des interactions avec le client afin de fournir les services billettiques, l’assistance associée et gérer la relation commerciale, (*)
    • Collecter et traiter les données de navigation et d’utilisation du site passpass.fr et de l’application mobile dans le but d’optimiser les fonctionnalités et l’expérience utilisateur, (*)
    • Collecter et analyser les données d’utilisation des réseaux afin d’améliorer les services et l’expérience utilisateur, (***)
    • Mesurer et contrôler la qualité et le bon fonctionnement des systèmes afin d’assurer la fiabilité des services proposés, (*)
  • La gestion de l’information voyageur :
    • Envoyer au client des informations sur les services et les offres commerciales des réseaux de transports dont il est usager, (**)
    • Permettre au client de conserver ses favoris (adresses ou itinéraires) pour faciliter l’utilisation du service, même sans être connecté à un compte, (***)
    • Garantir la gestion sécurisée de la session utilisateur pour assurer le bon fonctionnement du service, (***)
    • Permettre au client de conserver son historique de recherches d’adresses afin de faciliter ses futures recherches, (***)
    • Permettre au client de rechercher et consulter des itinéraires personnalisés dans le cadre de l’utilisation du service Pass Pass (***).

1.2. Base légale

(*) Article 6.1.b. du Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016, n°2016/679. Ce traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie.

(**) Article n°6.1.a. du Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016, n°2016/679. Ce traitement est réalisé sur la base de votre consentement. Celui-ci peut être retiré à tout moment.

(***) Article n° 6.1.f. du Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016/679. Ces traitements sont nécessaires aux fins des intérêts légitimes poursuivis par les réseaux de transports partenaires de Pass Pass.

II. Données traitées

2.1. Catégorie de données traitées

Les données traitées peuvent être :

• Données d’identification et vie personnelle : nom, prénom, courriel, numéro de téléphone, adresse postale, adresse de facturation, date de naissance, photo d’identité, éligibilité PMR, statut social (QF, étudiant, en recherche d’emploi, …) ;
• Documents officiels : CNI, passeport, livret de famille, carte d’étudiant
• Vie professionnelle ;
• Information d’ordre économique et financier : numéros de carte de paiement, banque, BIC, IBAN ;
• Données de navigation (Internet) ;
• Données de localisation/ géolocalisation : favoris des lieux (domicile, travail, autres adresses), favoris des points de mobilité, favoris des lignes, trajet (lieu de départ et lieu d’arrivée) ;
• Données de connexion : identifiant de l’utilisateur, mot de passe.
   

2.2. Source des données

Ces données sont transmises par l’usager ou son représentant qui souhaite créer un compte depuis le site passpass.fr, l’application mobile, ou contacter les réseaux de transports partenaires de Pass Pass.

2.3. Caractère obligatoire du recueil des données

Ce traitement prévoit, sauf mention contraire, le recueil obligatoire des données qui sont nécessaires à la création du compte ainsi qu’à la création d’une carte Pass Pass le cas échéant.

En cas de non-fourniture des données à renseigner obligatoirement, les réseaux de transports partenaires de Pass Pass ne sont pas en mesure de traiter la demande.

2.4. Prise de décision automatisée

Le traitement ne prévoit pas de prise de décision automatisée.

III. Personnes concernées

Le traitement de données concerne les usagers Pass Pass.

IV. Destinataires des données

4.1. Catégories de destinataires des données

En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :

• Les agents habilités des services des réseaux de transports partenaires de Pass Pass ;
• Le personnel habilité des sous-traitants autorisés des réseaux de transports partenaires de Pass Pass ;
   

4.2. Transfert des données hors UE

Aucun transfert de données hors de l’Union européenne n’est réalisé.

Dans le cadre de la maintenance du site et de l’application mobile Pass Pass, le prestataire informatique peut transférer les données personnelles Clients entre les entités du prestataire en tant que sous-traitant, à l’intérieur ou à l’extérieur de l’Union Européenne (“UE”).

Toutes les entités du prestataire ont signé un accord intra-groupe portant sur le traitement et le transfert de Données Personnelles, qui comprend les clauses contractuelles types de la Commission Européenne. Cet accord intra-groupe définit les mesures appropriées que toutes les entités du prestataire doivent suivre pour protéger les données personnelles et leur transfert.

V. Durée de conservation des données

Les données sont conservées selon les délais suivants :

• 48 heures maximum pour les données de validation ;
• 4 mois pour les données de consommation des titres à post-paiement ;
• 4 mois pour les informations de facturation ;
• 2 ans pour les réclamations clients ;
• 2 ans pour les données relatives aux impayés si aucune régularisation n’a eu lieu ;
• 6 mois en cas de rupture contractuelle, à l’initiative de l’usager ou du réseau de transport pour toutes les données liées au compte et au(x) contrat(s) ;
• 2 ans pour les clients inactifs (aucune vente, validation, opération de service après-vente, ou mise à jour du dossier client) pour toutes les données liées au compte et au(x) contrat(s).
• 10 ans pour les transactions financières

À l’issue de cette conservation (liée au traitement), les données sont archivées, supprimées ou anonymisées (à des fins statistiques) dans la limite et les conditions prévues en matière de respect des obligations légales, en particulier celles issues du Code du Patrimoine.

VI. Sécurité

Pour garantir sécurité et sûreté, nous nous engageons sur 3 niveaux de mesures, en phase pilote comme en phase d’exploitation commerciale du dispositif :

• Sécurité logicielle, par le respect des règles de l’art (normes réglementaires et bonnes pratiques) dans le développement et la gestion des applications (processus d’accès et processus d’échanges) ;
• Sécurité des données, par l’architecture des bases et les processus de sauvegarde et d’archivage ;
• Sécurité physique enfin, par l’intégration à des infrastructures d’hébergement sécurisée.

Nos développements sont conformes aux standards en termes de sécurité informatique, et respectent les normes édictées par le Gouvernement (RGS) et suivent les orientations de la communauté Open Web Application Security Project (OWASP).

VII. Vos droits sur les données vous concernant

Vous disposez, à l’égard de ces données à caractère personnel, des droits d’accès, de rectification, d’effacement, de portabilité de vos données ainsi que d’un droit à la limitation du traitement lorsque vos données sont traitées dans l’exécution du contrat de transport.

Vous disposez, à l’égard de ces données à caractère personnel, des droits d’accès, de rectification, d’effacement, ainsi que d’un droit à la limitation et d’opposition du traitement lorsque vos données sont traitées dans l’intérêt légitime des réseaux partenaires Pass Pass.

Vous disposez, à l’égard de ces données à caractère personnel, des droits d’accès, de rectification, d’effacement, de portabilité de vos données ainsi que d’un droit à la limitation du traitement et au retrait de votre consentement à tout moment lorsque vos données sont traitées dans le cadre des offres commerciales.

7.1. Exercer ses droits

Vous pouvez contacter l’interlocuteur indiqué ci-dessous :

En renseignant le formulaire de contact et en sélectionnant « Protection des données personnelles » dans l’objet de votre message.

Par courrier :
Syndicat Mixte des Mobilités Hauts-de-France
16 rue de Tournai
59800 Lille

Par courriel : contact@passpass.fr
 

7.2. Coordonnées du DPO

Pour toute information complémentaire sur les traitements de données personnelles gérés par la Région, vous pouvez contacter son délégué à la protection des données. Il pourra vous être demandé de joindre tout document permettant de prouver votre identité :

Par courrier :
Délégué à la protection des données - Région Hauts-de-France
Siège de Région
151 avenue du Président Hoover
59555 Lille Cedex

Par téléphone : 03.74.27.59.16

 

7.3. Réclamation (plainte) auprès de la CNIL

Vous disposez également du droit, quand cela est rendu nécessaire, d’introduire une réclamation auprès de l’autorité de contrôle compétente, la Commission Nationale de l’Informatique et des Libertés (CNIL), soit par voie postale, Commission Nationale Informatique et Libertés 3, place Fontenoy – TSA 80 715 – 75 334 Paris cedex, soit par courriel sur www.cnil.fr.