Politique de confidentialité

Délégué à la protection des données

Pour toute question concernant la protection de vos données, pour toute demande de modification ou de suppression, veuillez vous référer à notre délégué à la protection des données (DPO), Islam ZOUKHAIEV (islam.zoukhaiev@mobeetravel.com).
Toutes les demandes seront traitées en moins de 48 heures.

Objet

Le présent document a pour objet de définir les conditions dans lesquelles l’Agence (ci-après le « Sous-Traitant ») s’engage à effectuer pour le compte du Client, responsable de traitement (ci-après « le Client »), les opérations de traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation applicable, notamment le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (le « RGPD »), applicable à compter du 25 mai 2018.

Description du traitement faisant l’objet de la sous-traitance

Le Sous-Traitant est autorisé à traiter pour le compte du Client les données à caractère personnel nécessaires à la fourniture des services suivants :

Services fournis

• Réservation de billets d’avion et autres moyens de transport
• Édition et annulation desdits billets
• Réservation d’hébergements
• Édition et annulation d’hébergements
• Assistance au voyageur pendant son déplacement

Opérations réalisées

• Édition et envoi de messages liés aux réservations
• Exports comptables analytiques
• Transmission de données d’identité aux fournisseurs et autorités compétentes
• Suivi, gestion et validation des voyages
• Transmission de données aux fournisseurs pour les réservations

Finalité du traitement

• Gestion des déplacements du Client

Données à caractère personnel traitées

• Nom
• Date de naissance
• Genre
• Email professionnel
• Numéro de passeport ou carte d’identité
• Date d’expiration du document
• Numéro de téléphone
• Besoins de mobilité

Personnes concernées

Toutes les personnes ayant effectué une réservation ou une demande sur Octopus Travel.

Obligations du Sous-Traitant vis-à-vis du Client

Le Sous-Traitant s’engage à :

1. Ne traiter les données que pour les finalités mentionnées.
2. Suivre les instructions du Client. En cas de doute juridique, le Sous-Traitant doit avertir immédiatement le Client.
3. Garantir la confidentialité des données traitées.
4. Veiller à ce que les personnes autorisées à traiter les données :
   • s’engagent par écrit à la confidentialité,
   • soient formées au RGPD.
5. Appliquer les principes « Privacy by Design » et « Privacy by Default ».
6. En cas de sous-traitance ultérieure :
   • informer le Client par écrit,
   • attendre un délai d’un mois pour objection,
   • imposer au Sous-Traitant Ultérieur les mêmes obligations contractuelles.

En cas de manquement d’un sous-traitant ultérieur, le Sous-Traitant initial reste pleinement responsable.

Droit d’information des personnes concernées

Il revient au Client d’informer les personnes concernées des traitements lors de la collecte de leurs données.

Exercice des droits des personnes

Le Sous-Traitant aide le Client à répondre aux demandes liées aux droits des personnes :

• accès
• rectification
• effacement
• opposition
• limitation
• portabilité
• non-soumission à une décision automatisée

Toute demande reçue par le Sous-Traitant doit être transmise immédiatement au Client.

Notification des violations de données

Le Sous-Traitant doit notifier toute violation au Client dans un délai de 24h, par email et courrier recommandé avec AR.
La notification inclut toute information nécessaire à une éventuelle déclaration à l’autorité de contrôle.

Si un risque élevé est identifié, le Client doit informer les personnes concernées dans les meilleurs délais.

Aide du Sous-Traitant au respect du RGPD

Le Sous-Traitant aide le Client à :

• réaliser les consultations préalables,
• documenter la conformité au RGPD,
• permettre et coopérer aux audits.

Mesures de sécurité

Le Sous-Traitant met en œuvre les mesures suivantes :

• Pseudonymisation et chiffrement
• Sécurité physique (accès, incendie)
• Sécurité logique (pare-feu, antivirus, détection d’intrusions)
• Gestion des habilitations
• Sécurisation des échanges de données
• Garantie de confidentialité, intégrité, disponibilité et résilience des systèmes
• Rétablissement rapide des données après incident
• Test et audit régulier de l'efficacité des mesures

Sort des données

À la fin du contrat, les données devront être :

• soit restituées au Client,
• soit transmises à un sous-traitant désigné par le Client,

puis supprimées définitivement des systèmes du Sous-Traitant. Une preuve écrite de suppression doit être fournie.

Délégué à la Protection des Données

Le Sous-Traitant communique au Client les coordonnées de son DPO.
À défaut, il transmet celles d’un responsable des traitements.

Registre des activités de traitement

Le Sous-Traitant tient un registre contenant :

• Coordonnées du Client, des éventuels sous-traitants et du DPO
• Catégories de traitements effectués
• Transferts de données hors UE ou vers une organisation internationale, avec garanties associées
• Description des mesures de sécurité

Audits

Octopus Travel (le Client) se réserve le droit de procéder à tout audit pour vérifier la conformité au RGPD.

Le Sous-Traitant accepte :

• les audits menés par le Client ou un auditeur indépendant,
• de fournir accès aux systèmes, journaux de suppression, localisation, etc.

L’audit vise à vérifier :

• les mesures de sécurité mises en œuvre,
• l’absence de transfert illicite de données,
• l'efficacité du dispositif de détection et notification des incidents.

Documentation

Le Sous-Traitant met à disposition toute la documentation permettant de démontrer la conformité et de faciliter les audits du Client.

Obligations du Client

Le Client s’engage à :

1. Fournir les données nécessaires mentionnées dans le présent document.
2. Documenter toute instruction liée aux traitements.
3. Vérifier que le Sous-Traitant respecte bien le RGPD pendant toute la durée du contrat.