Avis de confidentialité GDPR
Règlement général sur la protection des données (RGPD) Article 13 du règlement UE 2016/679
Avis de confidentialité GDPR de l’ATPI
1. Objet du présent avis de confidentialité GDPR
Le présent avis de confidentialité GDPR fournit des informations obligatoires conformément aux articles 13 et 14 du règlement général européen sur la protection des données (GDPR) concernant la transparence du traitement des données à caractère personnel. Les définitions de certains termes utilisés dans le présent avis de confidentialité GDPR sont expliquées dans l’annexe.
Au Royaume-Uni, la loi générale sur la protection des données de 2018 (DPA2018) s’applique au traitement des données personnelles. Le RGPD 2018, partie 2, reconnaît et s’aligne sur le GDPR ; dans le présent document, les exigences du GDPR seront donc réputées inclure le traitement des données dans l’UE, l’EEE et le Royaume-Uni, sauf indication contraire.
2. Le responsable du traitement des données à caractère personnel
Le responsable du traitement des données personnelles que nous traitons est l’entreprise cliente d’ATPI (l’employeur de la personne physique dont les données sont collectées, ci-après dénommée la personne concernée). Le responsable du traitement transmettra les données personnelles de ses employés à ATPI pour qu’elle gère les voyages au nom de ces employés dans le cadre de leur activité professionnelle. ATPI, en tant que responsable du traitement des données agissant selon les instructions du responsable du traitement des données dans le cadre d’un contrat écrit avec ce dernier, utilisera ensuite ces données à caractère personnel pour faciliter l’organisation du voyage de la personne concernée. C’est ce contrat qui constitue la “base juridique” du traitement des données à caractère personnel effectué par l’ATPI dans ces circonstances.
L’ATPI n’est un contrôleur de données que si elle collecte des données à caractère personnel directement auprès d’une personne concernée dans le cadre d’un contrat distinct conclu avec elle. L’ATPI agit également en tant que contrôleur de données pour toutes les données personnelles détenues concernant ses propres employés, en traitant les données dans le cadre de son contrat de travail avec ces personnes concernées. Dans les deux cas, l’ATPI traite des données à caractère personnel en vertu de l’article 6, paragraphe 1, point b), du GDPR (exécution d’un contrat) et de la section 8 du DPA2018.
3. Vos droits
En tant que personne concernée, vous avez des droits en vertu du GDPR. Ces droits sont présentés ci-dessous. L’ATPI respectera toujours pleinement vos droits concernant le traitement de vos données personnelles et a fourni ci-dessous les coordonnées de la personne à contacter si vous avez des préoccupations ou des questions concernant la façon dont nous traitons vos données, ou si vous souhaitez exercer les droits dont vous disposez en vertu du GDPR.
4. Coordonnées
L’identité et les coordonnées du délégué à la protection des données au sein de l’ATPI sont les suivantes :
Nikki Matthews, conseillère générale
ATPI Ltd
The Royals
353 Altrincham Road
M22 4BJ
Manchester
United Kingdom
5. Principes de protection des données
L’ATPI a adopté les principes suivants pour régir la collecte et le traitement des données personnelles :
- Les données à caractère personnel sont traitées de manière licite, loyale et transparente.
- Les données personnelles collectées sont uniquement celles qui sont spécifiquement nécessaires pour répondre aux besoins en matière de voyage, d’hébergement ou d’autres besoins liés au voyage. Ces données peuvent être collectées directement auprès de la personne concernée ou fournies à l’ATPI par l’intermédiaire de son employeur. Ces données ne seront traitées qu’à cette fin.
- Les données à caractère personnel ne sont conservées que pendant la durée nécessaire pour satisfaire aux exigences contractuelles ou pour fournir des statistiques à notre société cliente.
- Les données à caractère personnel sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont collectées et/ou traitées. Les données à caractère personnel sont exactes et, si nécessaire, mises à jour.
- La personne concernée a le droit de demander à ATPI l’accès et la rectification ou l’effacement de ses données à caractère personnel, de s’opposer ou de demander la limitation du traitement concernant les données, ou le droit à la portabilité des données. Dans tous les cas, une telle demande doit être formulée par écrit comme indiqué à la section 3 ci-dessus. ATPI est enregistré auprès du service de résolution alternative des litiges (ADR) JAMS aux États-Unis et les personnes concernées peuvent contacter
JAMS
pour tout litige qu’elles estiment ne pas pouvoir résoudre entre elles et l’ATPI. - La personne concernée a le droit de déposer une plainte directement auprès d’une autorité de contrôle (autorité de protection des données) dans son propre pays. L’ATPI utilise les autorités de protection des données (DPA) de l’UE comme mécanisme de recours indépendant (IRM) pour les données transférées depuis l’UE.
- Les données à caractère personnel ne seront traitées que sur la base juridique expliquée à la section 2 ci-dessus, sauf si les droits et libertés fondamentaux de la personne concernée l’emportent sur ces intérêts, qui primeront toujours. Si la personne concernée a donné un consentement supplémentaire spécifique au traitement, ce consentement peut être retiré à tout moment (mais il peut alors en résulter une incapacité à satisfaire aux exigences en matière de voyage).
- L’ATPI n’utilisera pas de données personnelles pour des activités ou des processus de surveillance ou de profilage, et n’adoptera pas de processus de prise de décision automatisée.
6. Transferts à des tiers
Pour organiser le voyage d’une personne concernée, il sera dans la plupart des cas nécessaire de traiter des données à caractère personnel par l’intermédiaire d’un tiers (il s’agit notamment des compagnies aériennes, des hôtels, des sociétés de location de voitures et des sociétés de délivrance de visas ou de passeports). Les données à caractère personnel ne sont transférées à des sociétés tierces ou traitées par elles que si ces sociétés sont nécessaires à l’exécution des arrangements de voyage.
Les données personnelles ne seront pas transférées vers un pays ou un territoire situé en dehors de l’Espace économique européen (EEE) ou du Royaume-Uni, sauf si le transfert est effectué vers un pays ou un territoire reconnu par l’UE comme ayant un niveau adéquat de sécurité des données, ou s’il est effectué avec le consentement de la personne concernée, ou s’il est effectué pour satisfaire l’intérêt légitime de l’ATPI en ce qui concerne ses accords contractuels avec ses clients.
Tous les transferts de données personnelles au sein d’un groupe sont soumis à des accords écrits dans le cadre de l’accord de transfert de données intra-groupe (IGDTA) de la société pour les transferts de données internes, qui est basé sur les clauses contractuelles standard reconnues par l’Autorité européenne de protection des données.
Annexe – Définitions de certains termes mentionnés ci-dessus :
Données personnelles :
(Article 4 du GDPR) : Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.
Traitement :
(article 4 du RGPD) : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, l’effacement ou la destruction.
Base juridique du traitement :
(article 6 du GDPR) : Au moins l’un d’entre eux doit s’appliquer chaque fois que des données à caractère personnel sont traitées :
1. Consentement : la personne a clairement consenti au traitement de ses données à caractère personnel pour une finalité spécifique.
2. Contrat : le traitement est nécessaire au respect d’un contrat.
3. Obligation légale : le traitement est nécessaire pour se conformer à la loi (à l’exclusion des obligations contractuelles).
4. Intérêts vitaux : le traitement est nécessaire pour protéger la vie d’une personne.
5. Tâche publique : le traitement est nécessaire à l’exécution d’une tâche d’intérêt public, et la tâche ou la fonction repose sur une base juridique claire.
6. Intérêts légitimes : le traitement est nécessaire aux fins des intérêts légitimes du responsable du traitement, à moins qu’il n’existe une bonne raison de protéger les données à caractère personnel de la personne concernée qui l’emporte sur ces intérêts légitimes.
Contrôleur de données :
(article 4 du GDPR) : il s’agit de la personne ou de l’entreprise qui détermine les finalités et les moyens du traitement des données à caractère personnel.
Responsable du traitement des données :
(article 4 du GDPR) : personne physique ou morale, autorité publique, agence ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Droits des personnes concernées :
(Chapitre 3 du GDPR) Chaque personne concernée a huit droits. Il s’agit de
1. Le droit d’être informé : toute personne qui traite des données à caractère personnel doit indiquer clairement ce qu’elle traite, pourquoi elle le fait et à qui les données peuvent être transmises.
2. Le droit d’accès : il s’agit de votre droit à voir quelles données sont détenues à votre sujet par un contrôleur de données.
3. Le droit de rectification : le droit de faire corriger ou modifier vos données si elles sont incorrectes d’une manière ou d’une autre.
4. Le droit à l’effacement ; dans certaines circonstances, vous pouvez demander l’effacement de vos données personnelles. Ce droit est également appelé “droit à l’oubli”. Cela s’applique si les données à caractère personnel ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, si votre consentement au traitement de ces données a été retiré ou si les données à caractère personnel ont été traitées de manière illégale.
5. Le droit à la limitation du traitement : la personne concernée a le droit de demander l’arrêt temporaire du traitement des données à caractère personnel, par exemple lorsqu’un litige ou une affaire juridique doit être résolu, ou lorsque les données sont en cours de rectification.
6. Le droit à la portabilité des données : une personne concernée a le droit de demander que les données qu’elle a fournies directement au contrôleur des données lui soient communiquées dans un format structuré, couramment utilisé et lisible par machine.
7. Le droit d’opposition : la personne concernée a le droit de s’opposer à tout traitement ultérieur de ses données qui n’est pas conforme à la finalité première pour laquelle elles ont été collectées, y compris le profilage, l’automatisation et le marketing direct.
8. Droits relatifs à la prise de décision automatisée et au profilage : les personnes concernées ont le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé.