Politique de gestion des données à caractère personnel

 

[FINALITE ET BASE LEGALE DE TRAITEMENT]

Les données à caractère personnel fournies par l’Utilisateur sont collectées et traitées par la société SNCF Voyageurs en sa qualité de responsable de traitement, conformément au règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 applicable à compter du 25 mai 2018 et à la loi n°2018-493 du 20 juin 2018.

 

Les informations que l’Utilisateur doit obligatoirement fournir pour bénéficier du service d’authentification Mon Identifiant SNCF sont les suivantes :

-        Civilité

-        Nom

-        Prénom

-        Date de naissance

-        E-mail

-        Mot de passe

 

Les autres informations demandées dans le cadre de la création d’un compte via le service d’authentification Mon Identifiant SNCF sont considérées comme non obligatoires. La non-communication de ces informations est sans conséquence sur la fourniture du service d’authentification Mon Identifiant SNCF.

 

L’Utilisateur est responsable des données à caractère personnel obligatoires ou facultatives communiquées à SNCF Voyageurs, ses partenaires et ses filiales mentionnées au sein de l’article 3.2 des Conditions Générales d’Utilisation et de Confidentialité de Mon Identifiant SNCF.

 

Les données à caractère personnel des Utilisateurs collectées sont utilisées par SNCF Voyageurs aux fins suivantes :

 

Finalités du traitement

Sous finalités

Base légale du traitement

Gestion de l’accompagnement personnalisé du voyage

-        Connexion au parcours client SNCF Voyageurs de l’Utilisateur et accompagnement personnalisé sur l’ensemble des canaux utilisant le service d’authentification Mon Identifiant SNCF

-        Accompagnement personnalisé de l’Utilisateur dans ses achats / voyages, incluant la fourniture à l’Utilisateur de l’Information Voyageur

-        Fluidité du dépôt, du traitement et du suivi des réclamations

Exécution du contrat (en lien avec les Contions Générales d’Utilisation et de Confidentialité de Mon Identifiant SNCF)

Analyse des besoins et des parcours clients Mon Identifiant SNCF

Identification des améliorations fonctionnelles à apporter au service

Intérêt légitime

 

Cas spécifique des cookies :

Mais tout d’abord, qu’est-ce qu’un cookie ?

La CNIL le définit comme « un petit fichier informatique, un traceur, déposé et lu par exemple lors de la consultation d'un site internet, de la lecture d'un courrier électronique, de l'installation ou de l'utilisation d'un logiciel ou d'une application mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, liseuse numérique, console de jeux vidéos connectée à Internet, etc.) ».

Des cookies liés à l’utilisation au service d’authentification Mon Identifiant SNCF sont déposés sur le terminal de l’Utilisateur.

Cookies

Finalités

Durée de conservation

otp-jwt

Permet de ne pas envoyer un code à usage unique par mail si l’utilisateur se connaît depuis un terminal / navigateur connu

364 jours

mid-session-id

Permet à l’utilisateur connecté d’accéder aux différentes ressources autorisées

29 minutes

datadome

Permet d'activer les contrôle Datadome

un an

SCFP12OAM / SCFP11OAM

Permet de fiabiliser l'accès au service

Durée de la session de l'utilisateur

SCFP12API / SCFP11API

Permet de fiabiliser l'accès au service

Durée de la session de l'utilisateur

SCFP12WEB / SCFP11WEB

Permet de fiabiliser l'accès au service

Durée de la session de l'utilisateur

mid-site-id

Permet de fiabiliser l'accès au service

Durée de la session de l'utilisateur

session-jwt

Détermine l’utilisation du tree sncfauth ou sncfauthpersistent dans OAM

5 heures

[CONSERVATION]

En cas de non-connexion à un espace client utilisant le service d’authentification Mon Identifiant SNCF constatée pendant 2 ans et 11 mois, un e-mail automatique est envoyé à l’Utilisateur l’informant de la suppression de ses authentifiants dans un délai d’un mois. Il est invité à se reconnecter s’il souhaite que ses données soient conservées à nouveau pour une durée de 3 ans maximum à compter de la dernière connexion.

 

Si l’Utilisateur ne se connecte pas dans ce délai d’un mois, ses authentifiants sont définitivement supprimés. Un nouvel email l’en informe. L’Utilisateur n’aura alors plus la possibilité de se connecter aux espaces digitaux utilisant le service d’authentification Mon Identifiant SNCF.

 

L’Utilisateur peut à tout moment demander la suppression de ses authentifiants Mon Identifiant SNCF (cf. article TRANSPARENCE).

 

[TRANSFERTS]

SNCF Voyageurs est amené à partager les données à caractère personnel avec différentes typologies de tiers.

1.      Prestataires de services

Les transferts de données aux prestataires de services permettent de réaliser des opérations dont l’objectif est de :  

-        Superviser le bon fonctionnement de Mon Identifiant SNCF et du respect des normes de sécurité relatives aux données à caractère personnel

-        Assurer un support opérationnel et fonctionnel aux utilisateurs de Mon Identifiant SNCF

Ces prestations sont assurées par SNCF Connect & Tech Services qui a recours à de la sous-traitance ultérieure.

 

Sous-traitant ultérieur autorisé

Opérations confiées

Localisation des opérations

AMAZON WEB SERVICES

Hébergement des données

Paris

COMM VAULT

Archivage des sauvegardes

Ile de France

DATADOME

Sécurisation de l’outil

Paris

 

Les prestataires de services en question ont fait l’objet d’une sélection rigoureuse et se sont engagés à respecter un certain nombre de mesures de sécurité, toutes alignées sur l’état de l’art. SNCF Voyageurs se réserve le droit de pouvoir auditer à tout moment la bonne application de celles-ci par les prestataires de services.

 

2.      Des agences de voyages agréées

SNCF Voyageurs est amené à partager les données cœurs des Utilisateurs (i.e. civilité, nom, prénom et Email) avec les sites et applications SNCF et agences de voyages agréées utilisant le service d’authentification Mon Identifiant SNCF à partir du moment où l’Utilisateur décide de se créer un compte Mon Identifiant SNCF.

Si l’Utilisateur modifie ses données cœurs depuis un espace digital, ces mises à jour se répercuteront sur l’ensemble des espaces clients auxquels le client a souscrit.

 

 

3.      Les autorités ou tout autre tiers lorsque la loi le requiert

SNCF Voyageurs peut être par ailleurs amené à transmettre des données à caractère personnel à des tiers, et notamment aux autorités, lorsque la loi le requiert, la responsabilité de SNCF Voyageurs ne saurait être recherchée à ce titre.

 

[SECURITE]

SNCF Voyageurs prend les mesures de sécurité nécessaires afin de prévenir toute atteinte aux données à caractère personnel des Utilisateurs du service d’authentification Mon Identifiant SNCF, quel soit le résultat d’un acte malveillant ou accidentel. Ces mesures couvrent un certain nombre de thématiques telles que :

-        L’intégration de la sécurité dans les projets incluant la formalisation d’une analyse de risques ayant trait à la cybersécurité notamment,

-        Une gestion fine des habilitations au sein des personnels de SNCF Voyageurs et des prestataires qui ont besoin d’accéder aux données des Utilisateurs dans le cadre de leurs activités,

-        Une obligation de confidentialité de l’ensemble des prestataires ayant accès aux données des Utilisateurs,

-        Une veille sécuritaire et réglementaire permettant de faire évoluer régulièrement le service d’authentification afin de maintenir son niveau de sécurisation

-        L’organisation d’audits technico-fonctionnels réguliers donnant lieu à des plans d’actions dont la réalisation fait l’objet d’un suivi.

 

[TRANSPARENCE]

Conformément à la réglementation en vigueur, l’Utilisateur dispose de différents droits à l’égard de l’utilisation qui est faite de ses données à caractère personnel. Ces droits sont :

 

L’accès

La rectification

La portabilité

L'exercice du droit d’accès permet à l’Utilisateur de contrôler l'exactitude des données et, au besoin, de les faire rectifier ou effacer.

L’exercice du droit de modification permet à l’Utilisateur de mettre à jour ses données.

L’exercice du droit à la portabilité des données permet à l’Utilisateur de les transmettre à un tiers de son choix.

La suppression

L’opposition

La limitation

L’exercice du droit de suppression permet à l’Utilisateur d’obtenir la suppression de ses données.

L’exercice du droit d’opposition permet à l’Utilisateur de s’opposer à l’utilisation de ses données pour un objectif précis.

L’exercice du droit à la limitation permet à l’Utilisateur de demander à un organisme de geler temporairement l’utilisation de certaines de ses données.

 

L’Utilisateur peut également disposer de droits complémentaires prévus par la législation nationale dont il relève, tels que la définition de directives relatives à la conservation, à l’effacement et à la communication des données à caractère personnel après son décès.

 

A défaut de directives données par l’Utilisateur de son vivant, un proche a la possibilité de demander la suppression des données à caractère personnel relatives au service d’authentification « Mon identification SNCF » de l’Utilisateur en transmettant un document justifiant sa légitimité ainsi qu’un document prouvant le décès de l’Utilisateur (notamment certificat de décès).

 

L’Utilisateur peut exercer ces droits via plusieurs canaux :

Courrier

SNCF Voyageurs

Equipe Protection des Données 

1/3 rue Camille Moke

CS 20012

93212 La Plaine Saint-Denis Cedex

FRANCE

Formulaire de demande d’exercice de droits

Formulaire de demande d'exercice de droits

 

L’Utilisateur a également la possibilité de demander la suppression des données relatives au service d’authentification via les applications et sites web de SNCF Connect

 

L’Utilisateur a également la possibilité de se rapprocher de l’autorité de contrôle dont il dépend afin de lui signaler tout manquement au regard de l’utilisation qui est faite de ses données à caractère personnel.