Dans le cadre des services qu’ils proposent, les réseaux des transports partenaires d’Oùra sont amenés à traiter des données à caractère personnel. En tant que responsables de traitement, les réseaux des transports partenaires d’Oùra portent une attention particulière à la protection de vos données personnelles.
SITE INTERNET
I – Objet du traitement des données
1.1 Finalités
Le traitement des données a pour objet de permettre aux usagers la création d’un compte pour accéder à l’intégralité des services proposés par Oùra.
Il permet aux réseaux de transports partenaires d’Oùra, en fonction de leurs besoins d’assurer :
- La gestion des comptes client :
- Gestion du compte client web et app, (*)
- Gestion des favoris, (***)
- Authentification des clients (*);
- Gestion des mots de mot de passe (modification / mot de passe oublié) (*).
- La gestion de la billettique :
- Création du compte de billettique sur carte Oùra, (*)
- Achat d’un support de transport, (*)
- Achat d’un titre de transport, (*)
- Gestion des paiements par carte (paiement par carte et enregistrement de ses cartes de paiement, enregistrement des mandats de prélèvement SEPA ), (*)
- Gestion des bénéficiaires, (***)
- Gestion des profils, (*)
- Gestion de la fraude, (***)
- Accès par le client aux données de son compte billettique via le compte web (*).
- La gestion et le suivi des relations commerciales, (*)
- L’exploitation du site internet oura.com et de l’application mobile Oùra, (*)
- La réalisation d’analyses statistiques d’utilisation des réseaux, (***)
- La mesure de la qualité du fonctionnement du système, (*)
- La gestion de l’information voyageur :
- Envoi d’informations et d’offres commerciales au client de la part des réseaux de transports dont il est usager, (**)
- Gestion des favoris en mode non connecté, (***)
- Gestion des token de session, (***)
- Gestion de l’historique de recherche d’adresse, (***)
- Gestion des recherches d’itinéraires (***).
- La production de statistiques d’audience et d’utilisation des services en ligne. (**)
1.2 Base légale
(*) Article 6.1.b. du Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016, n°2016/679. Ce traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie.
(**) Article n°6.1.a. du Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016, n°2016/679. Ce traitement est réalisé sur la base de votre consentement. Celui-ci peut être retiré à tout moment.
(***) Article n° 6.1.f. du Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016/679. Ces traitements sont nécessaires aux fins des intérêts légitimes poursuivis par les réseaux de transports partenaires d’Oùra.
II – Données traitées
2.1 Catégorie de données traitées
Les données traitées peuvent être :
- Données d’identification et vie personnelle : nom, prénom, courriel, numéro de téléphone, adresse postale, date de naissance, photo d’identité, éligibilité PMR ;
- Documents officiels : CNI, carte d’étudiant
- Vie professionnelle ;
- Information d’ordre économique et financier : numéros de carte de paiement, banque, BIC, IBAN ;
- Données de navigation (Internet) ;
- Données de localisation/ géolocalisation : favoris des lieux, favoris des points de mobilité, favoris des lignes, trajet (lieu de départ et lieu d’arrivée) ;
- Données de connexion : identifiant de l’utilisateur, mot de passe.
2.2 Caractère obligatoire du recueil des données
Ce traitement prévoit, sauf mention contraire, le recueil obligatoire des données qui sont nécessaires à la création du compte.
En cas de non-fourniture des données à renseigner obligatoirement, les réseaux de transports partenaires d’Oùra ne sont pas en mesure de traiter la demande.
2.3 Prise de décision automatisée
Le traitement ne prévoit pas de prise de décision automatisée.
III – Personnes concernées
Le traitement de données concerne les usagers Oùra.
IV – Destinataires des données
4.1 Catégories de destinataires des données
En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :
- Les agents habilités des services des réseaux de transports partenaires d’Oùra ;
- Le personnel habilité des sous-traitants autorisés des réseaux de transports partenaires d’Oùra.
4.2 Transfert des données hors UE
Les données traitées par Oùra sont hébergées à VILLEURBANNE (Rhône).
Aucun transfert de données hors de l’Union européenne n’est réalisé.
Dans le cadre de la maintenance du site Oùra, le prestataire informatique peut transférer les données personnelles Clients entre les entités du prestataire en tant que sous-traitant, à l’intérieur ou à l’extérieur de l’Union Européenne (“UE”).
Toutes les entités du prestataire ont signé un accord intra-groupe portant sur le traitement et le transfert de Données Personnelles, qui comprend les clauses contractuelles types de la Commission Européenne. Cet accord intra-groupe définit les mesures appropriées que toutes les entités du prestataire doivent suivre pour protéger les données personnelles et leur transfert.
V – Durée de conservation des données
Les données sont conservées selon les délais suivants :
- 48 heures maximum pour les données de validation ;
- 4 mois pour les données de consommation des titres à post-paiement ;
- 4 mois pour les informations de facturation ;
- 390 jours pour les réclamations clients ;
- 2 ans pour les impayés si aucune régularisation n’a eu lieu ;
- 6 mois en cas de rupture contractuelle, à l’initiative de l’usager ou du réseau de transport ;
- 2 ans pour les clients inactifs (aucune vente, validation, opération de service après-vente, ou mise à jour du dossier client).
À l’issue de cette conservation (liée au traitement), les données sont archivées, supprimées ou anonymisées (à des fins statistiques) dans la limite et les conditions prévues en matière de respect des obligations légales, en particulier celles issues du Code du Patrimoine.
VI – Vos droits sur les données vous concernant
Vous disposez, à l’égard de ces données à caractère personnel, des droits d’accès, de rectification, d’effacement, de portabilité de vos données ainsi que d’un droit à la limitation du traitement lorsque vos données sont traitées dans l’exécution du contrat de transport.
Vous disposez, à l’égard de ces données à caractère personnel, des droits d’accès, de rectification, d’effacement, ainsi que d’un droit à la limitation et d’opposition du traitement lorsque vos données sont traitées dans l’intérêt légitime des réseaux partenaires Oùra.
Vous disposez, à l’égard de ces données à caractère personnel, des droits d’accès, de rectification, d’effacement, de portabilité de vos données ainsi que d’un droit à la limitation du traitement et au retrait de votre consentement à tout moment lorsque vos données sont traitées dans le cadre des offres commerciales.
6.1 Exercer ses droits
Vous pouvez contacter l’interlocuteur indiqué ci-dessous :
En renseignant le formulaire « Contact & Réclamation » et en sélectionnant « Protection de vos données personnelles » dans l’objet de votre message.
- Par courrier :
Région Auvergne-Rhône-Alpes
Direction de la Mobilité – Unité Oùra
101 Cours Charlemagne – CS20033
69269 Lyon Cedex 2
- Par courriel : [email protected]
6.2 Coordonnées du DPO
Pour toute information complémentaire sur les traitements de données personnelles gérés par la Région, vous pouvez contacter son délégué à la protection des données. Il pourra vous être demandé de joindre tout document permettant de prouver votre identité :
- Par courrier :
Région Auvergne-Rhône-Alpes
Direction des affaires juridiques
A l’attention du délégué de la protection des données (DPO)
101 Cours Charlemagne – CS20033
69269 Lyon Cedex 2
- Par courriel : [email protected]
6.3 Réclamation (plainte) auprès de la CNIL
Vous disposez également du droit, quand cela est rendu nécessaire, d’introduire une réclamation auprès de l’autorité de contrôle compétente, la Commission Nationale de l’Informatique et des Libertés (CNIL), soit par voie postale, Commission Nationale Informatique et Libertés 3, place Fontenoy – TSA 80 715 – 75 334 Paris cedex, soit par courriel sur www.cnil.fr.
APPLICATION MOBILE OURA
L’utilisation de l’application mobile Oùra nécessite un traitement de données personnelles par les services de la Région et de ses partenaires.
I – Objet du traitement des données
1.1 Finalités
Le traitement des données a pour objet l’utilisation de l’application mobile Oùra.
Il permet à la Région Auvergne-Rhône-Alpes et ses partenaires :
- De réceptionner les demandes des usagers par voie électronique (formulaire de contact) ;
- D’historiser les demandes et réponses apportées aux usagers ;
- De gérer les réclamations des usagers relatives aux lignes ou plateformes de transports ;
- De réaliser des analyses statistiques anonymes sur l’utilisation de l’application mobile.
1.2 Base légale
Article n°6 (e) mission d’intérêt public du Règlement Général sur la Protection des Données – RGPD (du 27 avril 2016, n°2016/679).
II – Données traitées
2.1 Catégories de données traitées
Concernant les utilisateurs du formulaire de contact :
- Données d’identification : nom, prénom, courriel, numéro de téléphone, adresse postale.
- Mentions portées dans le champ de message libre ;
A savoir : Les données de connexion et de localisation sont uniquement traitées sur le terminal de l’utilisateur.
2.2 Source des données
Les données sont transmises par les usagers de l’application mobile Oùra qui utilisent le formulaire de contact.
2.3 Caractère obligatoire du recueil des données
Ce traitement prévoit, sauf mention contraire, le recueil obligatoire des données. A défaut de fourniture de l’ensemble des données mentionnées comme obligatoire dans le formulaire, la demande ne pourra pas être traitée.
2.4 Prise de décision automatisée
Le traitement ne prévoit pas de prise de décision automatisée.
III – Personnes concernées
Le traitement de données concerne les utilisateurs de l’application mobile Oùra.
IV- Destinataires des données
4.1 Catégories de destinataires des données
En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :
- Les services de la Région Auvergne-Rhône-Alpes ;
- Les partenaires Oùra ;
- Les prestataires.
4.2 Transferts des données hors UE
Aucun transfert de données hors de l’Union européenne n’est réalisé.
V- Durée de conservation des données
Les données relatives aux réclamations seront conservées pendant une durée de 390 jours à compter du dernier contact pour les requêtes des usagers et réponses apportées.
VI- Sécurité
Pour garantir sécurité et sûreté, nous nous engageons sur 3 niveaux de mesures, en phase pilote comme en phase d’exploitation commerciale du dispositif :
- Sécurité logicielle, par le respect des règles de l’art (normes réglementaires et bonnes pratiques) dans le développement et la gestion des applications (processus d’accès et processus d’échanges) ;
- Sécurité des données, par l’architecture des bases et les processus de sauvegarde et d’archivage ;
- Sécurité physique enfin, par l’intégration à des infrastructures d’hébergement sécurisée.
Nos développements sont conformes aux standards en termes de sécurité informatique, et respectent les normes édictées par le Gouvernement (RGS) et suivent les orientations de la communauté Open Web Application Security Project (OWASP).
VII – Vos droits sur les données vous concernant
Vous disposez, à l’égard de ces données à caractère personnel, des droits d’accès, de rectification, d’effacement, ainsi que d’un droit à la limitation et d’opposition du traitement lorsque vos données sont traitées dans l’intérêt légitime des réseaux partenaires Oùra.
7.1 Exercer ses droits
Vous pouvez contacter l’interlocuteur indiqué ci-dessous :
En renseignant le formulaire « Contact & Réclamation » et en sélectionnant « Protection de vos données personnelles » dans l’objet de votre message.
- Par courrier :
Région Auvergne-Rhône-Alpes
Direction de la Mobilité – Unité Oùra
101 Cours Charlemagne – CS20033
69269 Lyon Cedex 2
- Par courriel : [email protected]
7.2 Coordonnées du DPO
Pour toute information complémentaire sur les traitements de données personnelles gérés par la Région, vous pouvez contacter son délégué à la protection des données. Il pourra vous être demandé de joindre tout document permettant de prouver votre identité :
- Par courrier :
Région Auvergne-Rhône-Alpes
Direction des affaires juridiques
A l’attention du délégué de la protection des données (DPO)
101 Cours Charlemagne – CS20033
69269 Lyon Cedex 2
- Par courriel : [email protected]
7.3 Réclamation (plainte) auprès de la CNIL
Vous disposez également du droit, quand cela est rendu nécessaire, d’introduire une réclamation auprès de l’autorité de contrôle compétente, la Commission Nationale de l’Informatique et des Libertés (CNIL), soit par voie postale, Commission Nationale Informatique et Libertés 3, place Fontenoy – TSA 80 715 – 75 334 Paris cedex, soit par courriel sur www.cnil.fr.