Protection des données

Vous tenez à ce que vos données personnelles soient traitées avec précaution, et nous en avons conscience. Toutes les opérations de traitement de données poursuivent uniquement des objectifs bien précis. Ceux-ci peuvent découler, entre autres, d’une nécessité technique, d’exigences contractuelles, de dispositions légales ou d’un intérêt prépondérant, c’est-à-dire de motifs légitimes, ou bien de votre consentement explicite. Nous collectons, conservons et traitons des données personnelles si cela est nécessaire, par exemple pour établir, gérer et entretenir une relation avec des clients, pour communiquer avec vous, à des fins de marketing et de suivi, pour réaliser des études de marché ou encore pour perfectionner des services et des produits.

Nous sommes susceptibles d’évaluer certaines de vos caractéristiques individuelles aux fins mentionnées, de manière automatisée et sur la base de vos données («profilage») si nous souhaitons utiliser des données préférentielles, mais aussi pour identifier des risques d’abus et en matière de sécurité, pour réaliser des analyses statistiques ou à des fins de planification opérationnelle. Pour les mêmes finalités, nous pouvons également établir des profils, c’est-à-dire combiner des données comportementales et préférentielles, des données de base, des données contractuelles et des caractéristiques techniques qui vous sont associées afin de mieux comprendre vos différents centres d’intérêt et autres caractéristiques individuelles. Nous pouvons également établir des profils de déplacement anonymes et – avec votre consentement – personnalisés. 

Pour des raisons d’efficacité et de cohérence des processus de décision, nous pouvons être contraints dans certaines situations d’automatiser des décisions discrétionnaires vous concernant et entraînant des effets juridiques, voire des inconvénients considérables («décisions individuelles automatisées», par exemple l’acceptation automatique des commandes dans notre boutique en ligne). Dans ce cas, nous vous en informerons et prévoirons les mesures nécessaires en vertu du droit applicable.

Pour en savoir plus sur les données traitées et les fins du traitement, veuillez lire les chapitres suivants.

En lien avec nos contrats, le site web, nos services et produits ou nos obligations légales, pour défendre nos intérêts légitimes et aux autres fins mentionnées, nous pouvons transmettre vos données personnelles à des tiers établis en Suisse et à l’étranger, en particulier aux catégories de destinataires suivantes:
 

• Sociétés du groupe: vous trouverez ici une liste des sociétés de notre groupe. Conformément à la présente déclaration de protection des données, les sociétés du groupe peuvent utiliser les données aux mêmes fins que nous.
   
• Prestataires: nous travaillons avec des prestataires établis en Suisse et à l’étranger qui, pour notre compte ou en coopération avec nous, traitent des données vous concernant ou reçoivent, de notre part et sous leur propre responsabilité, des données vous concernant (prestataires informatiques, sociétés d’expédition (comme la Poste suisse), sociétés de gestion d’adresses, sociétés de marketing, dont des prestataires gérant les outils de suivi et les exploitants de plateformes de vente en ligne, les publicités, sociétés d’études de marché, sociétés de surveillance, banques, assurances). Nos principaux prestataires dans le domaine de la gestion informatique et des clients, entre autres pour la vente de billets et les réservations, sont Microsoft Ireland Operation Limited et Zendesk, Inc. (San Francisco, USA).
   
• Sous-traitants intégrés à notre webshop«cariboo»: cariboo est un écosystème numérique ouvert, relié par des interfaces à des systèmes tiers. Côté clientèle, cariboo est une boutique «tout-en-un» pour toutes les prestations touristiques d’une destination, comprenant un processus de réservation, un panier et un processus de paiement. Au sein de l’écosystème cariboo, les sous-traitants suivants sont mobilisés pour BLS Navigation SA:
   
  • Digital Ocean (101 Sixth Ave, New York, NY 10013, USA) héberge le back-end de cariboo et sa banque de données des commandes et utilisateurs. Les données sont conservées dans l’UE (Francfort-sur-le-Main).
  • Auth0, un service de Okta Inc. (100 First Street, 6th Floor San Francisco, CA 94105, USA) sert à authentifier les utilisateurs (par e-mail/mot de passe ou via login de réseau social. Les données sont conservées dans l’UE.
  • Cloudinary, un service de Cloudinary Inc. (111 W Evelyn Ave, Suite 206, Sunnyvale, CA 94086, USA). Il s’agit d’un CDN (Content Delivery Network) pour les images directement chargées sur cariboo. Les données sont conservées dans l’UE.
  • Sendgrid, une filiale de Twilio (1801 California St Ste 500, Denver, CO 80202, USA). Ce service sert à l’envoi d’e-mails depuis cariboo (p.ex. confirmations de réservation). Certaines données sont conservées aux États-Unis.
  • Sentry, un service de Functional Software Inc. (45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA). Cet outil de monitoring sert à détecter tôt les erreurs dans le système, assurant ainsi la bonne exploitation de la solution SaaS. L’adresse IP est consignée aux États-Unis.
  • Cloudflare (101 Townsend St, San Francisco, CA 94107, USA) sert à protéger cariboo des attaques DDOS. Les données sont conservées dans l’UE.
     
• Entreprises de transport et communautés (secteur des TP): voir le chapitre C. 
   
• Partenaires contractuels: Les destinataires possibles incluent également les partenaires contractuels avec lesquels nous coopérons dans les domaines suivants et auxquels nous sommes donc amenés à transmettre des données vous concernant:
   
  • Si vous profitez d’offres chez un partenaire SwissPass en utilisant votre SwissPass, les données sur les prestations que vous avez éventuellement achetées chez nous (p. ex. un AG, un abonnement demi-tarif ou de parcours) peuvent être transmises au partenaire SwissPass pour vérifier que vous pouvez profiter d’une offre spécifique du partenaire SwissPass (p. ex. rabais pour détenteur d’AG). En cas de perte, de vol, d’utilisation abusive, de falsification ou d’un remplacement de carte après obtention d’une prestation, le partenaire concerné en est informé. Ce traitement des données est indispensable pour exécuter le contrat en utilisant le SwissPass et repose donc sur cette base juridique. Vous trouverez plus d’informations dans la déclaration de protection des données sur swisspass.ch.
  • Prestataires de loisirs dans le cadre de l’utilisation d’offres communes
  • Prestataires dans le cadre de voyages. Si des entreprises de transport étrangères sont concernées par votre voyage, les données sont également transmises aux prestataires/entreprises de transport étrangères. Néanmoins, cela se limite aux données nécessaires pour le contrôle de la validité des titres de transport et pour éviter des utilisations abusives.
  • Systèmes tiers liés à cariboo (notre boutique en ligne). Nous utilisons divers systèmes tiers pour créer les réservations en ligne et avons des contrats directs avec les suivants:
    • BiLL GmbH (Sonnenbodenstrasse 7a, CH-3076 Worb, Suisse) propose des systèmes d’exploitation pour les transports publics. Nous transmettons à BiLL les données de réservation des billets achetés.
    • Trekksoft AG (Hauptstrasse 15, 3800 Matten bei Interlaken, Suisse) est une plateforme de gestion des réservations dans le secteur du tourisme, spécialisée dans les activités de plein air. Nous transmettons à Trekksoft les données de réservation d’activités et événements.
    • BpEvent, une solution logicielle de Bankettprofi GmbH, Johannesstrasse 13, 67346 Speyer, Allemagne) sert à organiser des congrès professionnels et des conférences. Nous transmettons à BpEvent des données de réservation de places/tables.
    • e-guma, une plateforme de Idea Creation GmbH (Walchestrasse 15, 8006 Zurich, Suisse) sert à vendre des bons d’achat et cartes-cadeaux pour des entreprises de divers secteurs. Nous transmettons à e-guma des données liées à des achats de bons ou des réservations.
       
• Autorités: nous pouvons transmettre des données personnelles à des offices, des tribunaux et d’autres autorités de Suisse et de l’étranger si la législation l’exige ou si nous le jugeons nécessaire pour préserver nos intérêts. Après que nous les leur avons envoyées, les autorités traitent les données vous concernant sous leur propre responsabilité.
   
• Les autres tiers en dehors du transport public n’auront pas connaissance de vos données à caractère personnel à l’exception notamment (comme décrit ci-dessous) des partenaires SwissPass et des entreprises autorisées à servir d’intermédiaires pour des prestations de transport public par les entreprises de transport public, sur la base d’un accord contractuel. Ces intermédiaires n’ont accès à vos données à caractère personnel que si vous voulez acheter une prestation de transport public par leur biais et que vous avez donné votre consentement pour qu’ils y accèdent. Même dans ce cas, ils n’ont accès à vos données que dans la limite de ce qui est indispensable pour vérifier si vous avez déjà des billets ou abonnements pour la période de voyage prévue qui sont pertinents pour votre voyage ou la prestation du tiers que vous souhaitez. Votre consentement constitue ainsi la base juridique de ces traitements de données. Vous pouvez révoquer à tout instant votre consentement avec effet pour l’avenir.

Comme indiqué au chiffre 3, nous communiquons également des données à d’autres entités qui ne sont pas toutes établies en Suisse. Aussi, vos données peuvent faire l’objet d’un traitement aussi bien en Europe que dans un pays tiers, par exemple aux Etats-Unis.

Si un ou une destinataire se trouve dans un pays non doté d’une législation appropriée en matière de protection des données, nous obligeons, par voie contractuelle, le ou la destinataire à respecter la protection des données applicable (à cette fin, nous utilisons les clauses contractuelles types révisées de la Commission européenne, consultables ici) s’il ou elle n’est pas déjà soumis(e) à des règles de protection des données reconnues par la loi et si nous ne pouvons pas nous appuyer sur une disposition dérogatoire. En effet, une dérogation peut s’appliquer aux procédures judiciaires à l’étranger, mais aussi en cas d’intérêt public supérieur, si l’exécution d’un contrat nécessite une telle communication de données, si vous y avez consenti ou s’il est question de données que vous avez rendues accessibles à tous et que vous ne vous opposez pas à leur traitement. 

Dans certains cas, nous utilisons des cookies. Les cookies sont des petits fichiers qui sont enregistrés sur votre ordinateur ou votre terminal mobile lorsque vous visitez ou utilisez notre site web. Les cookies enregistrent certains paramètres et des données sur l’échange avec le site web via votre navigateur. A l’activation d’un cookie, celui-ci peut se voir affecter un numéro d’identification qui permet d’identifier votre navigateur et d’utiliser les informations contenues dans le cookie. Vous pouvez paramétrer votre navigateur de sorte qu’un avertissement s’affiche à l’écran avant d’enregistrer un cookie. Vous pouvez aussi renoncer aux avantages des cookies personnels. Dans ce cas, certains services ne pourront pas être utilisés.

Nous utilisons des cookies pour procéder à une analyse du comportement général de l’utilisateur. L’objectif est d’optimiser notre présence numérique. Le site doit être plus simple à utiliser et la recherche des contenus doit être plus intuitive. Ils doivent pouvoir être construits et structurés de manière compréhensible. Notre préoccupation est d’adapter les contenus numériques à vos besoins et de les rendre conviviaux. Ainsi, nous pouvons optimiser le site web avec des contenus ou des informations ciblés qui peuvent être intéressants pour vous.

Vous pouvez configurer vos cookies avec les outils de Consent Management suivants: 

Piwik PRO GmbH, Kurfürstendamm 21, 10719 Berlin.

Si vous désactivez les cookies, il est possible que vous ne puissiez pas utiliser toutes les fonctions de notre site web par la suite. 

Si le RGPD est applicable, notre intérêt légitime constitue la base juridique de ce traitement de données à caractère personnel.

Sur notre site web, nous avons des liens vers les réseaux sociaux suivants ou nos profils correspondants sur les plateformes:
 

• Facebook: Facebook est exploité à l’adresse www.facebook.com par Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA, et à l’adresse www.facebook.de par Facebook Ireland Limited, Hanover Reach, 5-7 Hanover Quay, Dublin 2, Irland («Facebook»). Vous trouverez ici une vue d’ensemble des plugins de Facebook et de leur apparence. Vous trouverez ici des informations sur la protection des données chez Facebook.
• Google+ et YouTube: Google+ est exploité par Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA («Google»). Vous trouverez ici une vue d’ensemble des plugins de Google+ et de leur apparence; vous trouverez des informations sur la protection des données chez Google+ ici.
• Instagram: Instagram est exploité par Instagram LLC., 1601 Willow Road, Menlo Park, CA 94025, USA («Instagram»). Vous trouverez ici une vue d’ensemble des plugins d’Instagram et de leur apparence; vous trouverez des informations sur la protection des données chez Instagram ici.
• Linkedin: L’entité responsable de l’exploitation de la plate-forme pour les utilisateurs d’Europe est LinkedIn Ireland Unlimited Company, Dublin. Vous pouvez consulter sa politique de confidentialité ici.

Soit les plugins s’affichent sur notre site web uniquement sous forme de graphique ou de lien, soit ils sont désactivés sur notre site et n’envoient donc aucune donnée aux réseaux sociaux. Quand vous cliquez sur le graphique ou le plugin, vous êtes transféré vers la plate-forme de réseau social correspondante et les dispositions citées plus haut du fournisseur en question s’appliquent (voir les puces). Ou bien vous pouvez activer tous les plugins en cliquant sur le bouton «Activer les plugins» (ce qu’on appelle la solution en deux clics). Les plugins peuvent bien entendu être de nouveau désactivés en un clic.

Si les plugins sont activés, votre navigateur établit une connexion directe avec les serveurs du réseau social concerné dès que vous consultez notre site web. Le contenu du plugin est transmis directement du réseau social à votre navigateur et intégré par ce dernier au site web.

Avec l’intégration du plugin, le fournisseur concerné reçoit l’information que votre navigateur a consulté la page correspondante de notre site web, même si vous ne possédez pas de compte sur ce réseau social ou n’y êtes pas actuellement connecté(e). Cette information (y compris votre adresse IP) est transmise directement par votre navigateur à un serveur du fournisseur (la plupart du temps aux Etats-Unis), où elle est enregistrée. Nous n’avons donc aucune influence sur le volume des données que le fournisseur collecte avec le plugin.

Si vous êtes connecté(e) sur le réseau social, celui-ci peut attribuer directement la visite de notre site web à votre compte utilisateur. Si vous interagissez avec les plugins, l’information correspondante est également transmise directement à un serveur du fournisseur et y est enregistrée. Par ailleurs, l’information est publiée le cas échéant sur le réseau social et dans certains cas, présentée à d’autres utilisateurs du réseau social.

Le fournisseur du réseau social utilise cette information le cas échéant à des fins de publicité, d’étude de marché et de structuration de l’offre en question en fonction des besoins. Pour cela, des profils d’utilisation, d’intérêt et de relation peuvent être créés par exemple pour analyser votre utilisation de notre site web dans l’optique des publicités affichées pour vous sur le réseau social, pour informer d’autres utilisateurs concernant vos activités sur notre site web et apporter d’autres services liés à l’utilisation du réseau social.

Vous trouverez le but et l’étendue de la collecte de données et le traitement ultérieur et l’utilisation des données par les fournisseurs des réseaux sociaux, ainsi que vos droits en la matière et vos possibilités de paramétrage pour la protection de votre vie privée, directement dans les déclarations de protection des données du fournisseur en question.

Si vous ne souhaitez pas que le fournisseur du réseau social affecte les données collectées sur notre site web à votre compte utilisateur, vous devez vous déconnecter sur le réseau social avant d’activer le plugin.

Si le RGPD est applicable, notre intérêt légitime constitue la base juridique de ce traitement de données à caractère personnel. 

Nous ne faisons pas appel à des prestataires tiers (serveurs de publicité) pour afficher et gérer des publicités personnalisées sur notre site web bls-schiff.ch.

Vous disposez des droits suivants au titre de vos données personnelles:
 

• Vous pouvez demander à obtenir des renseignements sur les données personnelles stockées vous concernant.
• Vous pouvez demander à faire corriger, compléter, bloquer ou effacer vos données personnelles. Vos données ne sont pas effacées, mais bloquées, si des dispositions légales s’opposent à leur effacement (obligations légales de conservation, par exemple).
• Vous pouvez demander à ce que nous vous remettions certaines données personnelles dans un format électronique courant ou à ce que nous les transmettions à un autre responsable.
• Si vous avez créé un compte client, vous pouvez le supprimer ou le faire supprimer.
• Vous pouvez vous opposer à l’utilisation de vos données à des fins de marketing et d’étude de marché.
• Vous pouvez révoquer à tout instant votre consentement avec effet pour l’avenir.
• Vous avez le droit de donner votre avis quant aux différentes décisions automatisées et pouvez demander à faire vérifier la décision par une personne physique.

Si vous voulez exercer les droits susmentionnés auprès de nous ou de l’une des sociétés de notre groupe, veuillez nous contacter par écrit ou par e-mail; vous trouverez nos coordonnées dans la section B. Afin d’éviter tout abus, nous devrons vérifier votre identité (par exemple au moyen d’une copie de votre pièce d’identité en l’absence d’une autre solution).

Si vous souhaitez demander un renseignement ou la suppression des données enregistrées sur votre personne dans l’ensemble des TP, vous pouvez adresser votre demande accompagnée d’une copie de votre pièce d’identité par écrit aux CFF (CFF SA, Droit et Compliance, Service protection des données, Hilfikerstrasse 1, CH-3000 Berne 65). Vous trouverez ici d’autres informations sur le processus de renseignement et de suppression au sein des transports publics en Suisse. 

Les demandes de renseignements du système d’information sur les voyageurs sans titre de transport valable (conformément à l’article 20a de la loi fédérale sur le transport de voyageurs (LTV)) sont à envoyer à l’exploitant du système, à l’adresse suivante:

CarPostal SA, «SynServ», Pfingstweidstrasse 60b, 8080 Zurich

ou par e-mail à: synserv@postauto.ch. 

Si vous n’êtes pas d’accord avec la façon dont nous appliquons vos droits ou gérons vos données, merci de nous le faire savoir. Vous avez également le droit, en particulier si vous résidez au sein de l’EEE, au Royaume-Uni ou en Suisse, de porter plainte auprès de l’autorité de contrôle de la protection des données de votre pays.

Vous trouverez une liste des autorités compétentes de l’EEE ici. 

Vous pouvez contacter l’autorité de contrôle britannique ici. 

De temps à autre, il peut être nécessaire d’apporter des modifications à la présente déclaration de protection des données. BLS Navigation se réserve donc le droit de modifier la déclaration de protection des données à tout instant, avec effet à une date ultérieure. La version publiée sur le site web est la version actuellement en vigueur.