Notice d’information en matière de protection des données à caractère personnel pour l'appli "CFL mobile"
Notice d’information en matière de protection des données à caractère personnel pour l'appli "CFL mobile"
Au Groupe CFL, le client est placé au centre de nos préoccupations.
Aussi et tout naturellement, la protection de vos données à caractère personnel constitue une priorité absolue pour le Groupe CFL, respectivement pour chaque entité du Groupe amenée à traiter vos données à caractère personnel pour les besoins de son activité.
Nous plaçons notre engagement de transparence envers vous concernant les données collectées à votre sujet dans le cadre de l’utilisation de l’application mobile CFL mobile, ainsi que leur utilisation et leur partage.
La présente notice d’information vous apporte les informations nécessaires et vous explique la manière dont nous recueillons, utilisons, partageons, stockons et protégeons vos données à caractère personnel.
Elle vous renseigne aussi sur vos droits et comment les mettre en œuvre.
1. Qui est responsable du traitement?
La Société Nationale des Chemins de Fer Luxembourgeois (CFL), 16 boulevard d'Avranches, BP 1803, L-1160 Luxembourg est le Responsable du traitement des données à caractère personnel vous concernant et que nous traitons.
A ce titre, nous sommes responsables de la manière dont nous recueillons, utilisons, partageons, stockons et protégeons vos données personnelles.
Si vous avez des questions ou des réclamations concernant la présente Notice d’Information, vous pouvez nous contacter en adressant une requête écrite au Déléguée à la Protection des Données (DPO),16 boulevard d'Avranches, BP 1803, L-1160 Luxembourg.
2. Quelles catégories de données à caractère personnel sont traitées et pour quelles finalités?
Les CFL collectent, traitent et stockent les données à caractère personnel que vous nous transmettez ainsi que celles fournies par n'importe quel appareil (y compris un appareil mobile) que vous utilisez lorsque vous avez recours à nos services, ouvrez un compte client, remplissez un de nos formulaires, mettez à jour ou ajoutez des informations dans votre compte.
Les traitements sont mis en œuvre par les CFL pour les finalités suivantes :
- Vente, émission, validation et gestion de titres de transport dématérialisés,
- Gestion des services CFL y relatifs (gestion des relations contractuelles, gestion des abonnements, gestion commerciale des voyageurs, gestion des réclamations, l’élaboration de statistiques, prévention de fraudes et traitement d’infractions),
- Les données personnelles peuvent être utilisées à des fins d’amélioration de l’offre par des sondages ou des campagnes marketing ciblées et ponctuelles.
Les CFL collectent directement les données à caractère personnel suivantes :
- Vos données d’identification (nom, prénom, adresse, numéro de téléphone) et vos données d’identification électronique (adresse e-mail, adresse IP),
- Vos caractéristiques personnelles (civilité, date de naissance),
- Le cas échéant, les données d’identification (nom, prénom) et la date de naissance de personnes tierces pour lesquelles vous achetez des titres de transport,
- Vos données financières (numéro de carte de crédit) en rapport avec votre achat de titre de transport,
- De manière optionnelle, le nom de votre employeur en cas d’achat de titres de transport en relation avec des voyages d’affaires,
- De manière optionnelle, le nom de jeune fille de votre mère lors de la création du compte en tant que réponse à une question de sécurité pour procéder à la remise à zéro du mot de passe,
- De manière optionnelle, et ceci dès l’activation des notifications push, un identifiant de votre appareil mobile afin de pouvoir acheminer une notification push.
Les données obligatoires sont signalées dans les formulaires de collecte par un astérisque.
En cas de refus de fournir lesdites données à caractère personnel, la prestation liée à cette collecte ne pourra pas être fournie et nous vous invitons à vous procurer le titre de transport souhaité à un de nos guichets, distributeurs automatiques de billets, ou autres points de vente.
Par ailleurs, l’application peut également accéder vos contacts pour la fonction de recherche de connexions de ou vers un de vos contacts avec adresse, ainsi que le partage de trajets directement via l’app. L’application ne stocke pas ces informations et sont traitées localement sur votre appareil mobile. L’accès aux contacts est facultatif et n’est pas nécessaire pour le bon usage de l’application.
Dans tous les cas, nous veillons à ce que les données soient collectées pour les finalités déterminées ainsi qu’elles soient traitées de manière adéquate, pertinente et uniquement pour ce qui est nécessaire au regard de la finalité poursuivie.
3. Comment collectons, traitons, utilisons nous vos données?
Nous collectons, traitons et utilisons les données à caractère personnel que vous nous fournissez lorsque :
- vous ouvrez un compte client pour l’achat de titres de transport sur l’appli CFL mobile et lorsque vous utilisez l’application pour l’achat de titres de transport par la suite,
- vous envoyez une suggestion respectivement une réclamation,
- vous configurez une notification push dans le cadre de la configuration d’une alarme personnalisée.
Pour chaque finalité décrite précédemment, la collecte et le traitement de vos données sont effectués :
- en conformité avec la réglementation applicable relative à la protection des données à caractère personnel comprenant le GDPR (Règlement européen UE 2016/679 du 27 avril 2016), les Guidelines y afférentes et les lois nationales mettant en œuvre le GDPR le cas échéant,
- légalement fondés
- soit sur le fait que le traitement de vos données personnelles est nécessaire à l'exécution du contrat auquel vous êtes partie ou à l'exécution de mesures précontractuelles prises à votre demande,
- soit sur la base de votre consentement,
- soit sur le fait que le traitement est nécessaire au respect d'une obligation légale à laquelle nous sommes soumis en qualité de responsable du traitement,
- soit un intérêt reconnu comme légitime,
- soit quand le traitement de vos données est nécessaire à l’exécution d’une mission d’intérêt publique dont nous sommes investi (sécurité des voyageurs et du personnel, protection des biens, prévention et identification des infractions … ).
4. Qui a accès à vos données?
Les données collectées sont traitées et utilisées par le Service Activité Voyageurs Trains des CFL.
De plus, afin de garantir une qualité de service maximale, les CFL ont confié certaines missions à des sous-traitants spécialisés. Dans cette idée, les données sont stockées et utilisées par les sous-traitants suivants :
Les données collectées sont traitées et utilisées par le Service Activité Voyageurs Trains des CFL.
De plus, afin de garantir une qualité de service maximale, les CFL ont confié certaines missions à des sous-traitants spécialisés. Dans cette idée, les données sont stockées et utilisées par les sous-traitants suivants :
- La société eos.uptrade GmbH ayant leur siège à Hambourg, Allemagne, dans leur rôle de développeur et exploitant de la solution de la billetterie mobile,
- La société Six Payment Services (Europe) S.A. ayant leur siège à Munsbach, Luxembourg, dans leur rôle de fournisseur de services de paiement.
Nous veillons à ce que le traitement de vos données à caractère personnel soit traité dans le respect des finalités indiquées ci-avant.
Ces données sont ou peuvent être partagées avec certains de nos services internes dans le strict respect des missions confiées à ces services : Service Finances et Contrôle de Gestion, Service Informatique, Service Juridique et Assurances et Service Audit Interne.
Dans le strict cadre des finalités visées ci-avant et toutes les fois où il est nécessaire, nous partageons vos données à caractère personnel avec nos auditeurs, nos conseilleurs juridiques, les administrations luxembourgeoises ou les autorités étrangères compétentes.
5. Où vos données sont-elles traitées Vos données sont-elles transférées?
Vos données sont destinées aux services habilités CFL (Service Activité Voyageurs Trains, Service Finances et Contrôle de Gestion, Service Informatique, Service Juridique et Assurances et Service Audit Interne) qui prennent toutes les mesures techniques et organisationnelles appropriées afin de protéger la sécurité de vos données à caractère personnel et principalement la confidentialité, l’intégrité et la disponibilité de vos données à caractère personnel.
Pour des raisons de sécurité, elles sont également transférées vers :
Ces données sont ou peuvent être partagées avec certains de nos services internes dans le strict respect des missions confiées à ces services : Service Finances et Contrôle de Gestion, Service Informatique, Service Juridique et Assurances et Service Audit Interne.
Dans le strict cadre des finalités visées ci-avant et toutes les fois où il est nécessaire, nous partageons vos données à caractère personnel avec nos auditeurs, nos conseilleurs juridiques, les administrations luxembourgeoises ou les autorités étrangères compétentes.
5. Où vos données sont-elles traitées Vos données sont-elles transférées?
Vos données sont destinées aux services habilités CFL (Service Activité Voyageurs Trains, Service Finances et Contrôle de Gestion, Service Informatique, Service Juridique et Assurances et Service Audit Interne) qui prennent toutes les mesures techniques et organisationnelles appropriées afin de protéger la sécurité de vos données à caractère personnel et principalement la confidentialité, l’intégrité et la disponibilité de vos données à caractère personnel.
Pour des raisons de sécurité, elles sont également transférées vers :
- La société eos.uptrade GmbH ayant leur siège à Hambourg, Allemagne, dans leur rôle de développeur et exploitant de la solution de la billetterie mobile,
- La société Six Payment Services (Europe) S.A. ayant leur siège à Munsbach, Luxembourg, dans leur rôle de fournisseur de services de paiement.
Pour les transferts, CFL impose contractuellement aux prestataires des garanties de sécurité et de confidentialité de vos données à caractère personnel par le biais de mesures techniques et organisationnelles appropriées conformément à la réglementation.
6. Pendant combien de temps conservons nous vos données?
La durée de conservation des données est limitée à la durée de l’utilisation de l’appli « CFL mobile » et à la période selon laquelle la conservation des données est nécessaire afin que nous puissions remplir nos obligations résultant des délais de prescription et / ou de toutes autres dispositions légales.
En général, les données à caractère personnel décrites avant sont effacées au plus tard 12 mois après la dernière transaction effectuée à travers l’appli « CFL mobile ».
7. Quels sont vos droits à l'égard de vos données à caractère personnel?
Dans les conditions prévues par la réglementation, vous avez le droit de :
6. Pendant combien de temps conservons nous vos données?
La durée de conservation des données est limitée à la durée de l’utilisation de l’appli « CFL mobile » et à la période selon laquelle la conservation des données est nécessaire afin que nous puissions remplir nos obligations résultant des délais de prescription et / ou de toutes autres dispositions légales.
En général, les données à caractère personnel décrites avant sont effacées au plus tard 12 mois après la dernière transaction effectuée à travers l’appli « CFL mobile ».
7. Quels sont vos droits à l'égard de vos données à caractère personnel?
Dans les conditions prévues par la réglementation, vous avez le droit de :
- Accéder aux droits à caractère personnel que nous détenons à votre sujet,
- Faire rectifier les données si elles sont inexactes ou incomplètes,
- Faire effacer dans certains cas, comme par exemple, toutes les fois où vos données ne sont plus nécessaires à la finalité poursuivie en vue de leur collecte et ou traitement et que nous ne l’avons pas encore fait en vertu de l’expiration d’obligations de prescriptions légales et réglementaires applicables à la durée de conservation des données,
- Demander la limitation d’un traitement de vos données à caractère personnel comme par exemple la limitation du traitement d’une donnée dont vous contestez l’exactitude et pendant la durée dont nous avons besoin pour vérifier votre demande,
- De demander la portabilité de vos données à caractère personnel afin de vous transmettre vos données personnelles dans un format structuré, couramment utilisé et lisible ou de les faire transférer à un autre responsable de traitement,
- De retirer à tout moment votre consentement au traitement de vos données à caractère personnel sans que cela puisse compromettre la licéité du traitement fondé sur le consentement donné avant votre retrait et sauf si le traitement est fondé sur une base légale autre que votre consentement,
- Vous opposer au traitement de vos données fondées sur la seule poursuite de nos intérêts légitimes ou de nous interdire de les traiter, y compris pour le marketing direct,
- D’introduire une plainte auprès de l’Autorité compétente pour la protection des données à caractère personnel de votre pays et / ou du Grand-Duché de Luxembourg (Commission Nationale Pour la Protection des Données – CNPD),
8. Comment nous contacter et exercer vos droits?
Vous pouvez adresser vos questions relatives au traitement de vos données à caractère personnel et / ou exercer vos droits cités précédemment à l’attention de la Déléguée de la Protection des Données / DPO des CFL :
- Sur notre site Internet www.cfl.lu ou en suivant le lien gdpr.cfl.lu
- Par courrier postal à l’adresse :
Société Nationale des Chemins de Fer Luxembourgeois (CFL)
Déléguée de la Protection des Données / DPO
16 boulevard d'Avranches, BP 1803, L-1160 Luxembourg.
Dans un souci de confidentialité et de protection de vos données à caractère personnel, nous nous devons de nous assurer préalablement de votre identité pour pouvoir vous répondre. Une copie recto verso de votre pièce d’identité en cours de validité devra nous être transmise à cet effet.
Toute plainte relative au traitement de vos données à caractère personnel peut être adressée à l’adresse postale ci-dessus ou encore à l’autorité de contrôle du GD du Luxembourg :
Commission nationale pour la protection des données
15 boulevard du Jazz
L-4370 Belvaux
9. Comment mettons-nous à jour la présent notice d'information?
Afin de nous conformer au mieux à la réglementation en vigueur, les CFL s’engagent à mettre à jour la présente notice d’information chaque fois que nécessaire. La dernière version en vigueur est toujours disponible sur l’appli mobile.
Toute modification apportée à cette déclaration sur les données personnelles est signalée au client lors du premier achat respectivement lors de la première validation suivant la modification en forçant l’approbation par le client de la déclaration modifiée.
Déléguée de la Protection des Données / DPO
16 boulevard d'Avranches, BP 1803, L-1160 Luxembourg.
Dans un souci de confidentialité et de protection de vos données à caractère personnel, nous nous devons de nous assurer préalablement de votre identité pour pouvoir vous répondre. Une copie recto verso de votre pièce d’identité en cours de validité devra nous être transmise à cet effet.
Toute plainte relative au traitement de vos données à caractère personnel peut être adressée à l’adresse postale ci-dessus ou encore à l’autorité de contrôle du GD du Luxembourg :
Commission nationale pour la protection des données
15 boulevard du Jazz
L-4370 Belvaux
9. Comment mettons-nous à jour la présent notice d'information?
Afin de nous conformer au mieux à la réglementation en vigueur, les CFL s’engagent à mettre à jour la présente notice d’information chaque fois que nécessaire. La dernière version en vigueur est toujours disponible sur l’appli mobile.
Toute modification apportée à cette déclaration sur les données personnelles est signalée au client lors du premier achat respectivement lors de la première validation suivant la modification en forçant l’approbation par le client de la déclaration modifiée.