Politique de confidentialité
Dans notre politique de confidentialité, nous expliquons la façon dont nous collectons et utilisons vos données personnelles lorsque vous voyagez avec nous, consultez notre site web, utilisez notre application mobile ou interagissez de toute autre manière avec nous. Veuillez vous assurer de lire attentivement cette politique.
À propos de la présente politique de confidentialité
1. Qui sommes-nous ?
2. Types de données à caractère personnel que nous collectons et utilisons
3. Comment nous collectons vos données
Nous collectons les catégories de données à caractère personnel mentionnées ci-dessus de la manière suivante : (A) Données à caractère personnel fournies par vous Lorsque vous réservez un vol chez nous, créez un compte en ligne, adhérez à notre programme de fidélité corporate bluebiz, nous contactez via les médias sociaux, remplissez une enquête de satisfaction, contactez notre service clientèle, vous inscrivez pour recevoir nos courriels ou nos notifications push mobiles, participez à un concours ou vous inscrivez à l'un de nos événements ou campagnes. (B) Données à caractère personnel reçues de votre agent de voyage, de nos partenaires aériens et d'autres sociétés impliquées dans l’organisation de vos voyages Nous recevons vos données de ces parties pour traiter vos réservations et organiser vos voyages et achats. Par exemple, lorsque vous réservez un vol par l'intermédiaire d'une agence de voyage ou d'une plateforme en ligne, nous recevons de ces tiers vos données d'identification, vos coordonnées et les détails de votre réservation.
(C) Données à caractère personnel reçues des partenaires qui participent à notre programme de fidélité corporate Le programme de fidélité corporate bluebiz est proposé par KLM et Air France (voir aussi « Qui sommes-nous ? » ci-dessus). Le programme vous permet d'économiser et de dépenser des crédits auprès de KLM et d'Air France et de nos partenaires de fidélité. À cette fin, Air France et KLM échangent les données de réservation collectées dans le cadre de nos procédures de réservation de vols (voir section 2.1 (C) ci-dessus). Nous partageons également vos données à caractère personnel avec nos partenaires de fidélité. Si, par exemple, vous achetez un service auprès de l'un de nos partenaires de fidélité, il nous communiquera les Crédits que vous avez obtenus, afin que nous puissions mettre à jour votre solde. Vous trouverez la liste de nos partenaires de fidélité sur le site internet bluebiz. Nos partenaires de fidélité sont indépendamment responsables de la collecte et de l'utilisation de vos données à caractère personnel. Vous trouverez de plus amples informations sur la manière dont ils traitent vos données à caractère personnel dans leurs politiques de confidentialité respectives.
4. Finalités pour lesquelles nous utilisons vos données
5. Octroi de l'accès aux données ou partage des données avec des tiers
5.1. Généralités Nous pouvons partager vos données à caractère personnel avec des tiers dans les cas suivants : (A) Pour faciliter vos réservations et voyages Pour traiter vos réservations et organiser vos voyages et achats, nous devons souvent partager vos données à caractère personnel avec nos compagnies aériennes partenaires, les opérateurs aéroportuaires et d'autres sociétés impliquées dans la facilitation de votre voyage (voir section 3.1 (B) ci-dessus, « Comment nous collectons vos données »). (B) Pour proposer notre programme de fidélité corporate bluebiz Pour plus d'informations, voir « Qui sommes-nous » et 3.1 (C) sous « Comment nous collectons vos données ». (C) Comptes corporate Si vous réservez un vol en utilisant le compte corporate de votre employeur, celui-ci aura accès à certains détails de la réservation, tels que le prix du billet, les dates du voyage et votre destination. Votre employeur est indépendamment responsable de la manière dont il collecte et utilise vos données à caractère personnel et vous en informe. (D) Pour le support ou les services supplémentaires Pour fournir nos services, nous utilisons le support ou les services supplémentaires de tiers, tels que des prestataires de services informatiques, des fournisseurs de réseaux sociaux, des agences de marketing et des prestataires de services de contrôle. Tous ces tiers sont tenus de protéger de manière adéquate vos données à caractère personnel et de ne les utiliser que conformément à nos instructions. Le groupe Air France-KLM exerce ses activités en utilisant des bases de données et des systèmes centralisés. Ces bases de données et systèmes centralisés peuvent être hébergés ou gérés par une société du groupe pour d'autres sociétés du groupe. À des fins d'efficacité, certaines fonctions opérationnelles peuvent également être assurées par une société du groupe pour d'autres sociétés du groupe. Cela signifie que les sociétés de notre groupe peuvent avoir accès à vos données à caractère personnel à ces fins. Les sociétés de notre groupe ne peuvent utiliser vos données à caractère personnel que dans la mesure où elles sont nécessaires à la fonction commerciale concernée et conformément à la présente politique de confidentialité. (E) Services de paiement Pour traiter les paiements de vos voyages et de vos achats, nous pouvons utiliser les services de paiement offerts par des tiers. Bien souvent, ces prestataires de services de paiement effectuent également des contrôles contre la fraude. Ils appliquent leur propre politique de confidentialité dans la façon dont ils utilisent vos données à caractère personnel. (F) Marketing personnalisé par le biais des plateformes de réseaux sociaux Pour plus d'informations, voir section 4.1 (E) sous « Finalités pour lesquelless nous utilisons vos données ». (G) Pour permettre à nos partenaires d'adapter leurs services à votre voyage Nous pouvons partager vos informations non personnalisées (destination, date et durée du voyage) avec des partenaires qui proposent des services supplémentaires (p. ex. hébergement à l'hôtel, services de location de voiture) afin qu'ils puissent vous proposer des offres adaptées à votre voyage. Nos partenaires appliquent leur propre politique de confidentialité dans la façon dont ils utilisent vos données à caractère personnel. 5.2. Services spécifiques, applications, événements, concours ou campagnes Pour des services, applications, événements, concours ou campagnes spécifiques, nous pouvons partager vos données avec des tiers autres que ceux décrits dans la présente politique de confidentialité, par exemple, lorsque nous organisons une campagne ou un événement en collaboration avec un partenaire ou lorsque nous intégrons leurs services dans nos applications. Nous vous en informons lorsque vous adhérez au service, à l'événement, au concours ou à la campagne, ou lorsque vous téléchargerez l'application. 5.3. Organismes publics (A) Généralités Nous pouvons être légalement tenus de collecter vos données à caractère personnel avant que vous ne vous rendiez dans un autre pays et de les partager avec les organismes publics des pays situés sur votre itinéraire. Par exemple, nous pouvons être légalement tenus de collecter et de partager vos données d'identification et vos informations de réservation et de voyage avec ces organismes à des fins de contrôle aux frontières, de formalités d'immigration, d'entrée dans un pays ou de lutte contre le terrorisme ou d'autres crimes graves (voir section 5.3 (B) ci-dessous). Nous pouvons également être légalement tenus de partager les données relatives à votre santé avec les organismes publics des pays situés sur votre itinéraire à des fins de santé publique (voir section 2.1 (D) ci-dessus). (B) Données PNR et API i. Généralités: en vertu des règlements de l'UE 2016/679 et 2004/82 et des lois et règlements locaux applicables, nous sommes tenus de transmettre les données PNR et API aux organismes publics, y compris aux unités d'information des passagers (PIU) de divers pays. L'API (Advance Passenger Information) concerne les informations sur votre vol et les détails de votre passeport. Le PNR (Passenger Name Record) concerne toutes les informations relatives à vos réservations, telles que les informations sur le vol, les passagers de la réservation et les informations de paiement. Nous transmettons ces données PNR à la PIU néerlandaise (Pi-NL) pour tous les vols. Si nécessaire, nous transmettons également les données API et PNR aux autorités de pays autres que les Pays-Bas. ii. Spécificités de pays : - France : en vertu de l'article L 237 -7 du Code de la sécurité intérieure, KLM peut être amenée à transmettre vos données de réservation, d’enregistrement et d'embarquement (API/PNR) aux services publics nationaux français et aux autorités compétentes aux fins et dans les conditions définies par le décret n° 2014-1095 du 26 septembre 2014, tel que modifié par le décret n° 2018/714 du 3 août 2018. 5.4. Sites internet de tiers Nos sites internet et applications mobiles contiennent des liens vers des sites internet tiers. Si vous suivez ces liens, vous quittez nos sites internet ou applications mobiles. La présente politique de confidentialité ne s'applique pas aux sites internet de tiers. Pour plus d'informations sur la manière dont ils traitent vos données à caractère personnel, veuillez consulter leur politique de confidentialité et/ou des cookies (le cas échéant).
6. Sécurité et conservation
6.1. Sécurité (A) Notre engagement Garantir la sécurité et la confidentialité de vos données à caractère personnel est notre priorité. Compte tenu de la nature de vos données à caractère personnel et des risques liés au traitement, nous avons mis en place toutes les mesures techniques et organisationnelles appropriées requises par les dispositions légales applicables (en particulier l'article 32 du règlement général sur la protection des données (RGPD) afin d'assurer un niveau de sécurité approprié et, notamment, d'empêcher la destruction, la perte ou l'altération, la divulgation, l'intrusion ou l'accès non autorisé de manière accidentelle ou illicite à de telles données. (B) Les mesures de sécurité que nous avons prises i. Transactions bancaires : nous sommes tenus de respecter la norme de sécurité de l'industrie des cartes de paiement (la norme PCI DSS) publiée par le PCI Security Standards Council (PCI SSC). Cette norme a été créée pour accroître le contrôle des informations sur les titulaires de cartes afin de réduire l'utilisation frauduleuse des instruments de paiement. Tous les prestataires de services de KLM qui doivent traiter les données des cartes bancaires doivent se conformer à la norme PCI DSS. Nous nous efforçons de lutter contre l’usurpation d'identité sur l'internet. C'est pourquoi nous utilisons, par exemple, un dispositif de détection des paiements frauduleux destiné à vous protéger en cas de perte ou de vol de votre carte bancaire. ii. Mesures organisationnelles : Nous avons adopté et maintenons diverses mesures organisationnelles destinées à renforcer la sensibilisation et la responsabilité de nos employés. Nous avons mis en place des programmes conçus à la fois pour assurer la sensibilisation et promouvoir le partage des bonnes pratiques et des normes de sécurité. À cette fin, nous avons mis à la disposition de nos employés une collection étendue de documents sur les défis en matière de sécurité de l'information et de protection de la vie privée. iii. Mesures techniques: nous contrôlons strictement l'accès physique et logique aux serveurs internes qui hébergent ou traitent vos données à caractère personnel. Nous protégeons notre réseau avec des dispositifs matériels de pointe (pare-feu, IDS, DLP, etc.) ainsi que des architectures (y compris des protocoles sécurisés tels que TLS 1.2) afin de prévenir et de limiter le risque de cybercriminalité. (C) L'évolution de nos systèmes de sécurité Pour maintenir un niveau de sécurité approprié, nous avons mis en place des processus internes basés sur les meilleures normes (en particulier, la série de normes ISO 27000). Nous nous appuyons sur des experts attitrés pour garantir le meilleur niveau de protection possible. Nous entretenons à ce propos une relation privilégiée avec le NCSC (National Cyber Security Centre). (D) Comment vous protéger La sécurité et la confidentialité des données à caractère personnel dépendent des meilleures pratiques de chacun. Lorsque vous faites une réservation, vous recevez des références de dossier. Ces références de réservation doivent toujours rester confidentielles. Leur divulgation à d'autres passagers peut leur permettre d'accéder à vos informations de réservation par le biais de nos systèmes ou de ceux de tiers impliqués dans la réalisation de votre voyage (p. ex. les agences de voyage ou les sites de recherche et de réservation en ligne). Si vous voyagez avec d'autres personnes et que vous ne souhaitez pas que vos informations personnelles leur soient divulguées, nous vous recommandons de faire des réservations séparées. Nous vous conseillons également de ne pas divulguer à des tiers les mots de passe que vous utilisez pour accéder à nos services, de vous déconnecter systématiquement de votre profil et de votre compte social (en particulier dans le cas de comptes liés), et de fermer la fenêtre du navigateur à la fin de votre session, en particulier si vous accédez à Internet depuis un ordinateur public. D'autres utilisateurs ne pourront pas alors accéder à vos données à caractère personnel. Pour éviter le risque de piratage, nous vous recommandons d'utiliser des mots de passe différents pour chaque service en ligne que vous utilisez. Nous ne pouvons être tenus responsables du vol de vos données sur une plateforme dont nous n’assurons pas la gestion. En outre, nous vous recommandons vivement de ne pas distribuer à des tiers les documents émis par KLM contenant vos données à caractère personnel (votre carte d'embarquement, votre numéro de billet, etc.) ou d'autres informations relatives à votre voyage, ni de les publier sur des réseaux sociaux. Si vous décidez de publier ces documents sur les réseaux sociaux, il vous incombe de consulter et de comprendre les conditions générales d'utilisation, les pratiques de sécurité de l'information et les politiques de confidentialité applicables à ces réseaux sociaux tiers. Nous ne pouvons être tenus responsables de la manière dont les données sont traitées, enregistrées ou divulguées sur ces plateformes. Pour en savoir plus sur nos mesures de sécurité informatique, veuillez consulter notre portail de sécurité informatique. (E) Gestion des incidents de sécurité Le « risque zéro » n'existe pas et même si nous mettons en œuvre toutes les mesures de sécurité reconnues comme appropriées, des imprévus peuvent survenir. Nous avons mis en place des procédures et des ressources spécifiques pour gérer les incidents de sécurité dans les meilleures conditions possibles. Nous avons également instauré une procédure spécifique pour évaluer les éventuelles violations de la sécurité qui pourraient entraîner de manière accidentelle ou illicite la destruction, la perte ou l'altération, la divulgation ou l'accès non autorisé à de telles données, pour informer l'autorité de contrôle compétente dans le délai prévu par le droit applicable et vous avertir lorsqu'une violation est susceptible d'entraîner un risque élevé pour vos droits et libertés. Des tests sont menés périodiquement afin de vérifier le fonctionnement des installations de sécurité et l'adéquation des procédures et des dispositifs déployés. 6.2. Conservation Nous ne conservons pas vos données à caractère personnel plus longtemps que nécessaire. La durée de conservation de vos données à caractère personnel dépend des finalités pour lesquelles elles sont traitées et des périodes de conservation légales applicables.
7. Le transfert international de vos données
7.1. KLM peut transférer vos données à caractère personnel vers des pays autres que votre pays de résidence. Ce transfert est effectué pour traiter votre réservation ou organiser votre voyage, ou parce que les sociétés de notre groupe, nos partenaires ou nos prestataires de services fournissent leurs services au départ d'autres pays. Vous pouvez trouver les destinations que nous desservons sur notre site internet sous « Flight status ». Le droit des pays vers lesquels nous transférons vos données à caractère personnel n’offre pas toujours le même niveau de protection de ces données. 7.2. Si voyagez vers une destination dans un pays autre que votre pays de résidence, il est souvent nécessaire de transférer vos données à caractère personnel vers ce pays pour vous fournir nos services. Si cela s'avère nécessaire, KLM s'assurera que des garanties adéquates sont en place pour se conformer aux exigences du transfert international de données à caractère personnel en vertu des lois applicables en matière de protection de la vie privée. Pour les transferts de données à caractère personnel vers des pays situés en dehors de l'Espace économique européen, KLM peut utiliser des clauses contractuelles types approuvées par la Commission européenne comme garanties. 7.3. Nous pouvons être contraints de transférer vos données à caractère personnel à des organismes publics dans les pays situés sur votre itinéraire (voir section 5.3 ci-dessus).
8. Vos droits
9. Mise à jour de la présente politique de confidentialité
9.1. La présente politique de confidentialité est entrée en vigueur le 20 août 2020 et remplace notre précédente politique de confidentialité du 20 septembre 2019. Cette politique de confidentialité est parfois modifiée. Nous vous informerons de tout changement avant qu'il n’entre en vigueur.