Déclaration de protection des données

Champ d’application

La présente déclaration de protection des données s’applique à la Communauté tarifaire vaudoise Mobilis (ci-après « CTV »), Rue du Port-Franc 22, 1003 Lausanne – www.mobilis-vaud.ch.

La Communauté tarifaire vaudoise est une société simple formée par les treize entreprises de transport suivantes (ci-après ET) :

Chemins de fer fédéraux suisses SA : CFF, à Berne
Chemin de fer Lausanne – Echallens – Bercher SA : LEB, à Echallens, représenté par tl
CarPostal SA : représenté par CarPostal Secteur Ouest, à Yverdon-les-Bains
Transports de la région Morges – Bière – Cossonay SA : MBC, à Morges
Transports publics de la région lausannoise SA : tl, à Renens
Compagnie du chemin de fer Nyon – St-Cergue – Morez SA : NStCM, à Nyon
Transports publics de la Région Nyonnaise SA : TPN, à Nyon, représentés par NStCM
Transport Vallée-de-Joux – Yverdon-les-Bains – Sainte-Croix SA : TRAVYS, à Yverdon-les-Bains
Société Anonyme des auto-transports de la Vallée de Joux : AVJ, aux Bioux, commune de l’Abbaye
Transports publics Vevey – Montreux – Chillon – Villeneuve SA : VMCV à Clarens
Compagnie du chemin de fer Montreux – Oberland Bernois SA : MOB, à Montreux
Transports Montreux – Vevey – Riviera SA : MVR, à Montreux, représenté par MOB
Transports publics du Chablais SA : TPC, à Aigle

Le périmètre de la CTV couvre l’ensemble du canton de Vaud, à l’exception de trois communes (Rougemont, Rossinière et Château d’Oex) et de certaines lignes touristiques (cf. plan des zones tarifaires)

La CTV commercialise des titres de transport sous le nom commercial « Mobilis ».

La présente déclaration de protection des données permet de vous informer sur le type de données personnelles que nous traitons, sur les raisons pour lesquelles nous en avons besoin et sur la manière dont vous pouvez vous opposer à leur collecte.

La présente déclaration de protection des données se base sur les règles juridiques actuelles concernant l’utilisation des données personnelles. Elle se réfère en particulier au droit applicable en Suisse et au Règlement de base de l’UE sur la protection des données (UE-RGPD).

Notre promesse à la clientèle

Les entreprises de transports publics et les communautés tarifaires veillent à préserver la confidentialité des données clients.

En tant que communautés tarifaires de transports publics, nous accordons la plus grande importance à la protection de votre personnalité et de votre sphère privée. Nous vous garantissons un traitement conforme à la loi de vos données personnelles en vertu des dispositions légales en vigueur.

Les entreprises de transports publics et les communautés tarifaires suisses affirment leur engagement pour la confidentialité de vos données en appliquant les principes ci-après.

Vous décidez vous-même du traitement de vos données personnelles.

Dans les limites autorisées par la loi, vous pouvez à tout moment choisir le traitement de vos données, retirer votre consentement ou faire supprimer vos données. Vous avez toujours la possibilité de voyager anonymement, c’est-à-dire sans saisir vos données personnelles.

En traitant vos données, nous vous offrons une valeur ajoutée.

Les entreprises de transports publics et les communautés tarifaires suisses n’utilisent vos données personnelles que dans le cadre de la réalisation des prestations et pour vous offrir une valeur ajoutée le long de la chaîne de mobilité (p. ex. offres sur mesure, informations ou assistance). Ainsi, nous recourons à vos données exclusivement pour développer, fournir, optimiser et exploiter nos prestations ou pour gérer les relations clientèle.

Vos données ne sont pas vendues.

Vos données sont diffusées exclusivement auprès de tiers sélectionnés et mentionnés dans la présente déclaration de protection des données et ne le sont qu’aux fins explicitement citées. Si nous confions à des tiers le traitement des données, ceux-ci sont tenus de respecter nos exigences en matière de protection des données.

Nous vous garantissons la sécurité et la protection de vos données.

Les entreprises de transports publics et les communautés tarifaires suisses s’engagent à prendre soin des données clients et à garantir la sécurité et la protection de celles-ci. Nous veillons aux mesures organisationnelles et techniques requises.

Vous trouverez ci-après des informations détaillées sur la manière dont nous traitons vos données.

1. Qui est responsable du traitement des données ?

En tant que société simple, la CTV n’a pas de personnalité juridique propre. C’est pourquoi la responsabilité du traitement de vos données est assumée par les entreprises membres de la CTV (cf. Champ d’application). En tant que communauté tarifaire des transports publics, nous sommes tenus par la loi d’assurer le Service direct national (SDN). À cet effet, entreprises de transports publics et les communautés tarifaires suisses, ainsi que les tiers qui commercialisent les assortiments des transports publics, échangent certaines données et organisent leur sauvegarde centralisée dans des bases de données gérées conjointement par l’ensemble des ET et des communautés des transports publics. Ainsi, nous partageons la responsabilité des traitements de données avec ces ET et communautés. Vous trouverez de plus amples informations sur les différents types de traitement des données au paragraphe « Qu’est-ce que la responsabilité partagée dans le cadre des transports publics ? ».

Si vous avez des questions ou suggestions concernant la protection des données, vous pouvez vous adresser à tout moment :

Par courrier à l’adresse :

Jérôme Michel
Communauté tarifaire vaudoise
Chemin du Closel 15
1020 Renens

ou par e-mail à :

secretariat.mobilis@mobilis-vaud.ch

2. Pourquoi collectons-nous des données personnelles ?

Nous sommes conscients de l’importance que vous attachez au traitement scrupuleux de vos données personnelles. Le traitement de données a lieu exclusivement dans des buts spécifiques, pouvant résulter par exemple d’impératifs techniques, d’obligations contractuelles, de prescriptions légales, d’un intérêt prépondérant, autrement dit pour des raisons légitimes ou sur consentement explicite de votre part.

Nous collectons, enregistrons et traitons des données personnelles quand c’est nécessaire, par exemple pour la gestion des relations clientèle, la distribution de nos produits et la mise à disposition de nos services, l’exécution des commandes et contrats, la vente et la facturation, les réponses aux questions et aux demandes, le soutien d’ordre technique tout comme pour l’information sur nos services et produits ainsi que leur fourniture, leur évaluation, leur commercialisation et leur développement.

Pour savoir en détail dans quel but les données sont traitées en fonction de leur nature, veuillez lire les paragraphes suivants.

3. Quelles données sont enregistrées, et à quoi servent-elles ?

a. Lors de l’achat de prestations

L’achat de prestations Mobilis peut être fait auprès d’une entreprise de transport public membre de la CTV (cf. Champ d’application). Dans ce cadre, l’entreprise membre a besoin d’informations à caractère personnel pour les commandes en ligne ou l’achat de certains services et produits afin de fournir les prestations et d’exécuter le contrat, p. ex. à l’achat d’un abonnement ou d’un billet individuel.

Lors de l’achat de prestations personnalisées, l’ET collecte les données ci-après pour chaque produit ou service. Les données obligatoires du formulaire concerné sont suivies d’un astérisque (*).

Photo personnelle*
- Sexe*, nom*, adresse e-mail de l’acheteur ou du voyageur
- Autres informations telles que l’adresse postale*, la date de naissance*
- Numéro de téléphone
- Moyen/mode de paiement*
- Acceptation des conditions générales*

En outre, l’ET collecte des données relatives aux prestations que vous achetez aux fins d’exécution du contrat (« Données de prestations »). En font notamment partie les informations ci-après, en fonction du produit ou de la prestation.

Type de produit ou de service acheté
- Prix
- Lieu, date et heure de l’achat
- Canal d’achat (Internet, distributeur, guichet, etc.)
- Date de voyage ou durée de validité et heure de départ
- Lieu de départ et de destination.

Pour nous assurer de pouvoir vous joindre par courrier à tout moment, nous comparons votre adresse avec celle enregistrée à la Poste – pour autant que vous ayez donné votre accord à la Poste suisse – et la mettons à jour le cas échéant.

Les données générées lors de l’achat de prestations sont stockées dans une base de données centrale (cf. 9. Responsabilité partagée), mais aussi traitées à des fins de marketing et d’étude de marché notamment (pour plus d’informations, veuillez-vous reporter aux sections correspondantes de la présente déclaration de protection des données).

Les données sont en outre utilisées dans le cadre du contrôle des billets, pour identifier le titulaire d’un titre de transport personnel et éviter les abus (pour plus d’informations, veuillez vous reporter aux sections correspondantes de la présente déclaration, notamment 3b. En cas de contrôle des prestations et 9. Responsabilité conjointe).

Les données sont aussi mises à disposition du secrétariat de Mobilis ou du service après-vente de l’ET sollicitée pour vous identifier et vous assister en cas de requête ou de difficulté, vous informer au sujet de vos prestations (avis d’échéance, modification,…) ou encore traiter d’éventuelles demandes de dédommagement.

Par ailleurs, les données permettent de répartir équitablement le produit des ventes de titres de transport entre les entreprises et les communautés tarifaires. Ces traitements de données reposent légalement sur notre intérêt légitime.

En cas de voyages de groupe, nous vous transmettons par SMS les informations relatives à votre réservation de groupe ainsi qu’aux éventuels retards ou suppressions. Vous pouvez choisir de recevoir ou non ces informations au moment de la réservation du voyage de groupe.

Enfin, nous analysons les données de manière anonyme dans le but de développer le système global des TP en fonction des besoins.

Dans la mesure où le RGPD-UE s’applique, notre intérêt légitime et la nécessité requise par l’exécution du contrat constituent la base juridique du traitement des données personnelles.

Pour en savoir plus sur les données récoltées par l’ET auprès de laquelle l’achat de prestations Mobilis a eu lieu, vous êtes invités à consulter la déclaration de protection des données propre à l’ET.

b. En cas de contrôle des prestations

Les données relatives aux clients et aux abonnements sont nécessaires pour la garantie des recettes (contrôle de la validité des titres de transport ou de réduction, encaissement, lutte contre les abus) et traitées à cette fin. Les ET et les communautés sont dès lors autorisées, dans le cadre de la procédure globale de contrôle et d’encaissement, à traiter l’ensemble des données (données du titre de transport et de contrôle ainsi que les éventuelles données particulièrement sensibles en lien avec les cas de voyageurs sans titre de transport valable, par exemple les voyageurs disposant d’un titre de transport partiellement valable, d’un titre de transport non valable ou ayant oublié leur titre de transport ou de réduction, ainsi qu’en cas d’abus éventuel) des voyageurs et/ou des partenaires contractuels, à les stocker pendant les périodes définies dans la législation sur la protection des données et à les échanger avec d’autres ET et communautés (également hors des frontières pour les titres de transport ou de réduction internationaux).

Les dispositions ci-après s’appliquent pour chaque prestation et/ou support de données :

Carte SwissPass

Aucune donnée de contrôle n’est enregistrée lors de l’utilisation de la carte SwissPass physique en tant que support (voir la section SwissPass Mobile pour les exceptions).

SwissPass Mobile

Lors de l’utilisation de l’application SwissPass Mobile, les dispositions qui s’appliquent sont celles dont le client a pris connaissance à l’activation de SwissPass Mobile (cf. déclaration de protection des données de swisspass.ch). Les données suivantes sont alors traitées dans ce cadre: données d’enregistrement, d’activation et de contrôle générées lors de l’utilisation de SwissPass Mobile. Dès lors que l’application SwissPass Mobile est utilisée, ces données sont également collectées sur la carte SwissPass.

La durée maximale de conservation des données d’enregistrement s’élève à dix-huit mois après la désactivation de SwissPass Mobile ou l’expiration de la carte SwissPass. Les données d’activation et de contrôle de SwissPass Mobile et de la carte SwissPass sont conservées un jour sur les appareils de contrôle et trente jours dans la base de données de contrôle. En cas d’indices laissant supposer un abus, la durée de conservation des données d’activation et de contrôle est portée à 90 jours au maximum. Les voyageurs utilisant l’application SwissPass Mobile de manière abusive sont exclus de cette dernière pour une durée de douze mois, après quoi ils seront de nouveau autorisés à utiliser l’application SwissPass Mobile. Le dossier d’exclusion de l’auteur sera supprimé après une nouvelle période de douze mois.

E-Tickets

Des données de contrôle sont enregistrées dans le serveur central de données de contrôle des CFF lors de l’utilisation d’E-Tickets. Ces données sont conservées pour une durée de 360 jours dans le cadre de la lutte contre les abus ainsi que des mesures de prévention contre les abus et les remboursements abusifs.

Dans la mesure où le RGPD-UE s’applique, notre intérêt légitime et la nécessité requise par l’exécution du contrat constituent la base juridique du traitement des données personnelles.

c. En cas d’utilisation abusive

Dans le cas d’un voyageur sans titre de transport valable, les données sont stockées dans une base de données propre ainsi que dans un registre commun. Les voyageurs et/ou partenaires contractuels prennent connaissance du fait que, en cas de constatation d’abus ou de falsification, les ET sont habilitées à fournir les données personnelles ad hoc à l’ensemble des services internes et aux ET externes concernés par l’abus, afin de confirmer ou d’infirmer la présence d’un abus et de prévenir d’autres abus. En vertu de la loi fédérale sur le transport de voyageurs (LTV), différents délais s’appliquent au traitement des données concernées. Les données sont effacées immédiatement s’il est établi que la personne concernée n’a pas occasionné de manque à gagner, et au bout de deux ans à condition que la personne concernée ait acquitté les suppléments et qu’elle n’ait pas récidivé durant cette période ; les données peuvent être conservées durant dix ans au plus si elles sont nécessaires au recouvrement des créances de la personne concernée.

Dans la mesure où le RGPD-UE s’applique, ces traitements de données personnelles reposent légalement sur l’art. 20a LTV et l’art. 58a OTV.

d. En cas d’utilisation du site Internet www.mobilis-vaud.ch

À chaque visite de notre site Internet, les serveurs de notre fournisseur d’accès enregistrent temporairement chaque session dans un fichier journal. Les données techniques ci-après sont alors collectées :

Adresse IP de l’ordinateur demandeur
Date et heure d’accès
Page Internet qui a immédiatement précédé la connexion et, le cas échéant, mot-clé recherché
Nom et URL du fichier consulté
Recherches effectuées (horaires, tarifs, fonction de recherche générale sur le site, produits, etc.)
Système d’exploitation de votre ordinateur (mis à disposition par l’agent utilisateur)
Navigateur utilisé (mis à disposition par l’agent utilisateur)
Type d’appareil en cas d’accès depuis un téléphone portable
Protocole de transfert utilisé

La collecte et le traitement de ces données permettent de sécuriser et de fiabiliser le système, d’effectuer des analyses d’erreur et de performance, de réaliser des statistiques internes et d’optimiser notre offre Internet. Ils nous permettent par ailleurs d’organiser notre site Internet en fonction de nos groupes cibles, c’est-à-dire d’y proposer des contenus ou informations ciblés qui pourraient vous intéresser.

L’adresse IP permet également de prédéfinir la langue du site Internet. En outre, elle est analysée avec d’autres données à des fins d’information et de lutte contre des attaques visant l’infrastructure du réseau ou d’autres utilisations illicites ou abusives du site Internet. Le cas échéant, elle est utilisée à des fins d’identification dans le cadre d’une procédure pénale et lors d’actions au civil et au pénal engagées contre les utilisateurs concernés.

Enfin, nous utilisons des cookies ainsi que des applications et des outils d’aide (reposant sur l’utilisation de cookies). Vous trouverez de plus amples informations à ce sujet aux sections de la présente déclaration de protection des données consacrées aux cookies, outils de suivi, publicités et plugins sociaux.

Dans la mesure où le RGPD-UE s’applique, ces traitements de données reposent légalement sur notre intérêt légitime.

Nous ne pouvons garantir le respect des dispositions de protection des données sur les sites Internet externes accessibles via un lien figurant sur notre site Internet.

e. Lors de l’utilisation d’un formulaire de contact

Vous avez la possibilité d’utiliser un formulaire pour nous contacter. Pour ce faire, vous devez obligatoirement indiquer les données à caractère personnel ci-après :

Nom et prénom
Adresse e-mail

Nous utilisons ces données et d’autres informations fournies à titre facultatif (titre, adresse, numéro de téléphone et entreprise) uniquement pour répondre le mieux possible à votre demande.

Votre réponse (facultative) sur la manière dont vous avez eu connaissance de notre offre est utilisée à des fins statistiques.

Dans la mesure où le RGPD-UE s’applique, notre intérêt légitime et la nécessité requise par l’exécution du contrat constituent la base juridique du traitement des données personnelles.

f. Lors d’une conversation téléphonique avec notre secrétariat

Quand vous appelez notre secrétariat, il est possible que vous soyez invité à nous indiquer des données personnelles, telles que :

Nom et prénom
Date de naissance
Adresse
Numéro de téléphone
Adresse e-mail

Nous utilisons ces données fournies à titre facultatif uniquement pour répondre le mieux possible à votre demande. Le sujet de votre demande peut être enregistré à des fins statistiques ou d’amélioration de nos services.

Dans la mesure où le RGPD-UE s’applique, notre intérêt légitime et la nécessité requise par l’exécution du contrat constituent la base juridique du traitement des données personnelles.

g. Lors de la création d’un identifiant/compte client SwissPass sur www.swisspass.ch

Vous avez la possibilité de créer un compte client sur www.swisspass.ch. Pour ce faire, nous avons besoin que vous nous indiquiez les données ci-après :

Nom et prénom
Date de naissance
Adresse (voie, NPA, localité et pays)
Numéro de client (si vous possédez déjà un abonnement aux transports publics)
Adresse e-mail et mot de passe (données de connexion)

Nous vous proposons de vous inscrire pour que vos données de connexion (identifiant SwissPass) vous permettent d’accéder aux nombreux services en ligne (webshops et applications) des entreprises et des communautés des transports publics et d’acheter leurs prestations sans devoir vous enregistrer à chaque fois. Les prestations que vous achetez en utilisant votre identifiant SwissPass (en particulier les billets et abonnements de transports publics) sont saisies dans votre compte client et dans une base de données centrale (« Base de données SDN »). Ces traitements de données sont nécessaires à l’exécution du contrat d’utilisation du SwissPass et reposent sur cette base légale. Vous trouverez de plus amples informations à ce sujet aux sections de la présente déclaration de protection des données consacrées à la responsabilité partagée dans le cadre des transports publics ainsi que dans la déclaration de protection des données figurant sur le site www.swisspass.ch.

4. Combien de temps vos données sont-elles conservées ?

Nous n’enregistrons les données personnelles que le temps nécessaire pour :

fournir les services du périmètre défini dans la présente déclaration de protection des données que vous avez demandés ou auxquels vous avez consenti ;
utiliser les services de suivi mentionnés dans la présente déclaration de protection des données dans les limites de notre intérêt légitime.

Nous conservons les données contractuelles plus longtemps afin de satisfaire aux obligations de conservation légales. Les obligations de conservation qui nous contraignent à conserver les données découlent de prescriptions comptables et fiscales. Ces données sont verrouillées dès que nous n’en avons plus besoin pour la fourniture de services à votre intention. Ensuite, elles ne serviront plus qu’à respecter nos obligations légales en matière d’archives.

Durée et lieux de stockage

1 fichier·s 78.46 KB

Télécharger

5. Où les données sont-elles enregistrées ?

Vos données sont enregistrées dans des bases de données situées en Suisse. Toutefois, dans quelques cas cités par la présente déclaration de protection des données, les données sont aussi transmises à des tiers dont le siège se trouve hors de Suisse.

Si le pays concerné ne dispose pas d’un niveau approprié de protection des données, nous nous assurons de la protection convenable de vos données dans ces entreprises en passant un contrat avec ces dernières.

Durée et lieux de stockage

1 fichier·s 78.46 KB

Télécharger

6. Quelles données sont traitées à des fins de marketing ?

Pour autant que vous fassiez part de votre consentement, nous utilisons à des fins de marketing vos données client (nom, sexe, date de naissance, adresse, numéro de client, adresse e-mail), vos données de prestations (données sur les services que vous avez achetés tels qu’abonnements ou billets individuels), ainsi que vos clics sur notre site Internet ou dans les e-mails que nous vous avons envoyés. Pour en savoir plus sur l’analyse des clics, reportez-vous à la section 11. « Comment sont utilisés les outils de suivi ? »

Nous analysons ces données afin de développer nos offres en fonction des besoins et de vous envoyer les informations et les offres les plus susceptibles de vous intéresser (par e-mail ou courrier). En outre, nous appliquons des méthodes prédisant votre comportement d’achat potentiel sur la base de votre comportement d’achat actuel.

Dans certains cas, les CFF ou une autre entreprise participant au Service direct peut également prendre contact avec vous dans des conditions très strictes. À cet égard, veuillez tenir compte des indications fournies dans la section 9, consacrée à la responsabilité partagée dans le cadre des transports publics.

Vous pouvez refuser à tout moment les contacts de notre part, ceux de la part des CFF (p. ex. pour votre abonnement général ou votre abonnement demi-tarif) ou d’autres entreprises de transports publics.

Vous avez le choix entre les options ci-après :

Chaque e-mail que vous recevez de notre part ou d’autres entreprises des transports publics comporte un lien de désinscription vous permettant de renoncer à recevoir d’autres messages en un seul clic.
Si vous avez un identifiant SwissPass, vous pouvez vous connecter sur www.swisspass.ch et redéfinir à tout moment vos options de réception des messages dans votre compte utilisateur.
Vous pouvez en outre vous inscrire ou vous désinscrire à n’importe quel guichet d’une des entreprises de transport membre de la CTV ou par e-mail à secretariat.mobilis@mobilis-vaud.ch

Par ailleurs, veuillez-vous reporter aux informations sur le droit d’opposition à l’analyse de vos clics, dans la section sur les outils de suivi.

7. Quelles données sont traitées dans le cadre d’études de marché ?

Afin d’améliorer en permanence la qualité de nos services et de nos offres, nous réalisons régulièrement des études de marché. Ainsi, pour autant que vous fassiez part de votre consentement, nous pouvons parfois utiliser vos données de contact pour des sondages réalisés auprès de la clientèle (p. ex. des enquêtes en ligne).

Si vous ne souhaitez pas être invité à participer à ces enquêtes, vous avez le choix entre les options ci-après :

Chaque e-mail que vous recevez de notre part ou d’autres entreprises des transports publics comporte un lien de désinscription vous permettant de renoncer à recevoir d’autres messages en un seul clic.
Si vous avez un identifiant SwissPass, vous pouvez vous connecter sur swisspass.ch et redéfinir à tout moment vos options de réception des messages dans votre compte utilisateur.

Vous pouvez en outre vous inscrire ou vous désinscrire à n’importe quel guichet d’une des entreprises de transport membre de la CTV ou par e-mail à secretariat.mobilis@mobilis-vaud.ch.

8. Quels sont vos droits concernant vos données personnelles ?

Vous disposez des droits ci-après quant à vos données personnelles :

Vous pouvez demander à consulter vos données personnelles enregistrées.
Vous pouvez faire rectifier, compléter, verrouiller ou supprimer vos données personnelles. Les données peuvent être verrouillées au lieu d’être supprimées si des obstacles factuels ou juridiques s’opposent à leur suppression (par ex. obligations de conservation légales).
Si vous avez créé un compte client, vous pouvez le supprimer ou le faire supprimer.
Vous pouvez vous opposer à l’utilisation de vos données à des fins de marketing.
Vous pouvez retirer à tout moment votre consentement avec effet pour l’avenir.
Vous pouvez exiger le transfert de vos données.

Pour exercer vos droits, il vous suffit d’adresser

un courrier à :

Communauté tarifaire vaudoise
Chemin du Closel 15
1020 Renens

ou un e-mail à :

secretariat.mobilis@mobilis-vaud.ch

Si vous souhaitez consulter ou supprimer des données personnelles à l’échelle de l’ensemble des TP au sens de la législation sur la protection des données, vous pouvez adresser votre demande par écrit aux CFF. Les demandes en ce sens doivent être adressées à: CFF SA, Droit et compliance, Service Protection des données, Hilfikerstrasse 1, 3000 Berne 65.

De plus, vous avez le droit de déposer un recours à tout moment auprès d’une autorité de protection des données.

9. Qu’est-ce que la « responsabilité partagée dans le cadre des transports publics » ?

En tant que communauté des transports publics, nous sommes tenus par la loi d’assurer certaines prestations de transport avec d’autres entreprises et communautés (« Service direct »).

À cette fin, des données collectées lors de l’achat de prestations et les coordonnées pour prise de contact, par exemple, sont transmises au sein du Service direct national (SDN), qui regroupe plus de 240 entreprises (ET) et communautés des transports publics. La liste des différentes entreprises et communautés figure ici.

Les données sont stockées dans la base de données centrale NOVA («Plateforme TP à l’échelle du réseau»), gérée par les CFF sur mandat du SDN et dont nous sommes conjointement responsables avec les autres ET et communautés du SDN. NOVA est une plateforme technique dédiée à la distribution d’offres des transports publics. Elle comprend tous les éléments centraux destinés à la vente de prestations des TP, à l’exemple de la base de données clients. L’étendue de l’accès aux bases de données communes par les différentes ET et communautés est définie dans un accord mutuel. La transmission de données qu’implique le stockage centralisé et le traitement par les ET et les communautés se limitent aux finalités ci-après:

a. Fourniture de la prestation de transport

Afin que votre voyage puisse se dérouler sans interruption, les données relatives audit voyage et à votre achat sont transmises au sein du SDN.

b. Exécution du contrat

Nous traitons ces données pour l’établissement, la gestion et l’exécution des relations contractuelles.

c. Gestion des relations clients et de l’assistance à la clientèle

Nous traitons vos données à des fins de communication avec vous, notamment en vue de répondre à vos demandes et de faire valoir vos droits, de vous identifier et de vous assister au mieux en cas de sollicitation ou de difficulté, ce à l’échelle des TP, ou encore de traiter d’éventuelles demandes de dédommagement.

d. Contrôle des billets et garantie des recettes

Le registre national des resquilleurs permet de saisir les cas de voyageurs sans titre de transport valable ou avec un titre de transport partiellement valable.

e. Répartition des recettes

L’organe de gestion de l’Alliance SwissPass, géré par ch-integral, assume la mission légale définie dans la loi fédérale sur le transport de voyageurs, qui consiste à collecter des données en vue de la répartition correcte des recettes. Ce faisant, l’organe de gestion joue le rôle de mandataire pour la répartition des recettes au sein du Service direct national sur mandat des entreprises relevant du SDN.

f. Identification dans le cadre de l’authentification avec l’identifiant SwissPass (SSO)

Dans le cas des prestations achetées via l’identifiant SwissPass, les données sont stockées dans la base de données centrale (NOVA). Afin de permettre une procédure d’authentification unique (le single sign-on ou SSO est un login pour toutes les applications qui proposent une utilisation de leurs services avec l’identifiant SwissPass), nous échangeons en outre avec l’infrastructure de login centrale du SwissPass les données relatives au login, aux cartes, aux clients et aux prestations.

g. Activités communes de marketing et d’étude de marché

En outre, les données collectées lors de l’achat de prestations TP sont dans certains cas traitées à des fins de marketing. Pour autant que le client ait fait part de son consentement, tout traitement des données ou toute prise de contact à cet effet émane en principe de l’entreprise de transport ou de la communauté auprès de laquelle la prestation TP correspondante a été acquise. Les autres entreprises de transport et communautés participant au SDN pourront exceptionnellement vous contacter ou traiter vos données selon des règles strictes et seulement si l’analyse des données indique qu’une certaine offre des transports publics serait susceptible de vous apporter une valeur ajoutée en tant que client. Le traitement de données ou la prise de contact par les CFF constitue une exception. Dans la mesure où ils exécutent pour le compte du SDN le mandat de marketing lié aux prestations du SDN (p. ex. AG et demi-tarif), les CFF peuvent vous contacter régulièrement.

Par ailleurs, nous traitons vos données à des fins d’étude de marché, d’amélioration de nos services et de développement des produits.

h. Développement des systèmes TP avec des données anonymes

Nous analysons les données de manière anonyme dans le but de développer le système global des TP en fonction des besoins.

i. Information à la clientèle

10. Vos données sont-elles transmises à des tiers ?

Nous ne revendons pas vos données. Vos données personnelles ne sont transmises qu’à des prestataires sélectionnés, et uniquement dans la mesure où elles sont indispensables à la fourniture du service. À cet égard, il s’agit de prestataires de support informatique, d’émetteurs de cartes d’abonnement, de prestataires de transport (p. ex. La Poste Suisse), de prestataires chargés de la répartition des recettes entre les entreprises de transport participantes (notamment dans le cadre de l’établissement de clés de répartition au sens de la loi sur le transport de voyageurs), de notre fournisseur d’accès à Internet (cf. section sur l’utilisation des sites Internet) et de prestataires mentionnés aux sections sur les outils de suivi. En cas de prestataires domiciliés à l’étranger, veuillez consulter le paragraphe 5 « Où les données sont-elles enregistrées ? ».

De plus, il est possible que vos données soient transmises lorsque nous y sommes contraints par la loi ou si c’est nécessaire à la préservation de nos droits, en particulier à l’exercice des droits que nous confère le contrat conclu ensemble. Les traitements de données mentionnés ici reposent légalement sur notre intérêt légitime.

Vos données personnelles ne sont pas communiquées à des tiers extérieurs aux transports publics, à l’exception des partenaires SwissPass et des entreprises autorisées à fournir des prestations de transports publics sur la base d’un accord contractuel (selon l’étendue décrite ci-après). Ces intermédiaires n’ont accès à vos données personnelles que si vous souhaitez leur acheter une prestation des transports publics et que vous avez consenti au dit accès.

Même dans ce cas, l’accès à vos données est limité à ce qui est nécessaire pour déterminer si vous disposez déjà, pour la période prévue, de billets ou d’abonnements en relation avec votre voyage ou la prestation souhaitée que délivre le tiers. Votre consentement constitue le fondement légal de ces traitements de données. Vous pouvez retirer à tout moment votre consentement avec effet pour l’avenir (cf. 8. Quels sont vos droits concernant vos données personnelles ?).

Si vous utilisez votre SwissPass pour accéder à des offres auprès d’un partenaire SwissPass, les données relatives aux prestations éventuellement achetées par vos soins auprès de nos services (p. ex. AG, demi-tarif ou abonnement communautaire) peuvent être transmises au dit partenaire qui vérifiera que vous pouvez bénéficier d’une de ses offres spécifiques (p. ex. rabais pour les titulaires d’un AG). En cas de perte, vol, abus, falsification ou remplacement de carte après l’achat d’une prestation, le partenaire concerné en est informé. Ces traitements de données sont nécessaires à l’exécution du contrat d’utilisation du SwissPass et reposent sur cette base légale. Vous trouverez de plus amples informations dans la déclaration de protection des données figurant sur le site swisspass.ch ainsi que dans la déclaration de protection des données du partenaire SwissPass concerné.

11. Comment sont utilisés les outils de suivi ?

Pour concevoir et optimiser en continu notre site Internet et nos e-mails de manière à répondre aux besoins des utilisateurs, nous recourons aux services d’analyse Internet de Google. Les traitements de données ci-après dépendent de votre consentement.

a. Suivi sur le site Internet

En relation avec notre site Internet, des profils d’utilisation anonymisés et pseudonymisés sont créés et de petits fichiers textes (les « cookies »), qui sont stockés sur votre ordinateur, sont utilisés (cf. plus bas « Que sont les cookies et quand sont-ils utilisés ? »). Les informations générées par les cookies sur votre utilisation de ce site Internet sont transmises aux serveurs des prestataires de ces services, y sont stockées et traitées pour nous. En plus des données susmentionnées (cf. « Quelles données sont traitées lors de l’utilisation de notre site Internet ? »), nous recevons par ce biais les informations ci-après :

Chemin de navigation emprunté par les visiteurs de notre site
Temps passé sur le site ou les différentes pages
Dernière page consultée avant de quitter le site
Pays, région ou ville d’où provient l’accès
Terminal (type, version, intensité des couleurs, résolution, largeur et hauteur de la fenêtre du navigateur)
Utilisateur régulier ou nouveau visiteur
Type et version du navigateur
Système d’exploitation utilisé
URL référent (la page visitée précédemment)
Nom d’hôte de l’ordinateur requérant l’accès (adresse IP)
Heure de sollicitation du serveur.

Ces informations permettent d’analyser l’utilisation du site Internet.

Quelques précisions sur nos outils de suivi :

Google Analytics

Notre site Internet utilise Google Analytics, un service d’analyse Internet de Google Inc., 1600 Amphitheatre Pkwy, Mountain View, CA 94043-1351, États-Unis ou de Google Ireland Limited, Gordon House Barrow St, Dublin 4, Irlande. Google Analytics emploie des méthodes d’analyse de l’utilisation des sites Internet, comme les cookies (cf. plus bas « Que sont les cookies et quand sont-ils utilisés ? »). Les informations sur votre manière d’utiliser le site Internet recueillies par le cookie, comme indiqué plus haut, sont transmises à des serveurs de Google, une entreprise de la holding Alphabet Inc., aux États-Unis et stockées sur place.

L’adresse IP est alors abrégée par l’activation de l’anonymisation IP (« anonymizeIP ») sur ce site Internet avant d’être transmise dans les États membres de l’Union européenne, à d’autres États signataires de l’Accord sur l’Espace économique européen ou en Suisse.

L’adresse IP anonymisée transmise par votre navigateur dans le cadre de Google Analytics n’est pas compilée avec d’autres données de Google. À titre exceptionnel, l’adresse IP entière peut être transférée sur les serveurs de Google aux États-Unis, où elle sera abrégée. Dans ces cas, nous avons pris des garanties contractuelles pour que Google respecte un niveau de protection des données suffisant.

Les informations permettent d’analyser l’utilisation du site Internet, de compiler des rapports sur les activités des utilisateurs sur le site Internet et de fournir d’autres services en lien avec l’utilisation du site et d’Internet dans le cadre d’études de marché et pour mieux adapter le site Internet aux besoins des clients. Ces informations peuvent aussi être transférées à des tiers si c’est une prescription légale ou si ces tiers sont mandatés pour traiter ces données.

Selon Google, l’adresse IP n’est en aucun cas associée à d’autres données de l’utilisateur.

Les utilisateurs peuvent empêcher la transmission à Google des données générées par le cookie et des données relatives à l’utilisation du site Internet par l’utilisateur concerné (y c. l’adresse IP), ainsi que le traitement de ces données par Google, en téléchargeant et en installant le plugin de navigateur accessible par ce lien.

Dans certains cas, nous utilisons des cookies. Ceux-ci sont de petits fichiers stockés sur votre ordinateur ou terminal mobile lorsque vous visitez ou utilisez notre site Internet. Les cookies enregistrent certaines préférences ainsi que des données sur les échanges avec le site Internet via votre navigateur. Un identifiant peut être attribué à un cookie lors de son activation, ce qui permet d’identifier votre navigateur et d’utiliser les données contenues dans le cookie. Vous pouvez configurer votre navigateur de sorte qu’un avertissement s’affiche sur votre écran avant le stockage d’un cookie. Il est également possible de renoncer aux avantages des cookies personnels. Dans ce cas, certains services ne seront pas accessibles.

b. Que sont les cookies et quand sont-ils utilisés ?

Nous utilisons des cookies pour analyser le comportement général des utilisateurs. L’objectif est d’optimiser nos interfaces numériques pour en faciliter l’utilisation et rendre la recherche de contenus plus intuitive. Nous souhaitons pouvoir les construire et les structurer de façon plus compréhensible. Nous entendons adapter nos interfaces numériques à vos besoins pour les rendre plus conviviales. Grâce aux cookies, nous pouvons enrichir le site Internet de contenus ou informations ciblés qui pourraient vous intéresser.

Parmi ces cookies, nous utilisons par exemple :

– Google Analytics (cf. a. Suivi sur le site Internet)

– Facebook Pixel. Celui-ci nous permet de connaître si nos publications sur notre page Facebook ont suscité de l’intérêt et amené le visiteur sur notre site.

La plupart des navigateurs acceptent les cookies par défaut. Vous pouvez cependant configurer votre navigateur pour qu’aucun cookie ne soit enregistré sur votre ordinateur ou pour recevoir systématiquement une notification à chaque nouveau cookie. Les liens suivants vous expliquent comment configurer le traitement des cookies.

Google Chrome
Google Chrome pour appareils mobiles
Microsoft Windows Internet Explorer
Microsoft Windows Edge
Apple Safari pour appareils mobiles
Mozilla Firefox

La désactivation des cookies peut entraîner une impossibilité d’utiliser certaines fonctions de notre site Internet.

Les traitements de données décrits dans ce paragraphe reposent légalement sur notre intérêt légitime.

c. Suivi lors de l’envoi d’e-mails

Pour l’envoi des e-mails, nous recourons à des prestations de marketing par e-mail de tiers. Par conséquent, nos e-mails peuvent contenir un « web beacon » (balise web) ou des moyens techniques similaires. Une balise web est un fichier image invisible de la taille d’un pixel associé à l’identifiant utilisateur de l’abonné e-mail.

Chaque newsletter envoyée comprend des informations sur le fichier d’adresse utilisé, l’objet et le nombre de newsletters envoyées. Il est en outre possible de savoir quelles adresses n’ont pas encore reçu la newsletter, à quelles adresses elle a été envoyée et pour quelles adresses l’envoi n’a pas abouti, mais aussi de connaître le taux d’ouverture et de savoir quelles adresses ont ouvert la newsletter et quelles adresses se sont désinscrites de la liste de diffusion.

Par la suite, l’accès aux services correspondants permet d’analyser les informations susmentionnées. Par ailleurs, il est également possible d’identifier et d’analyser les clics. Nous exploitons ces données à des fins statistiques ainsi que pour optimiser le contenu de nos messages. Ainsi, nous pouvons mieux orienter les informations et les offres contenues dans nos e-mails sur les intérêts personnels des destinataires. La suppression de l’e-mail fait disparaître la balise web.

Si vous souhaitez bloquer l’utilisation de la balise web dans nos e-mails, veuillez paramétrer le programme de votre messagerie électronique de sorte qu’aucun fichier HTML ne s’affiche dans vos messages (si ce n’est pas déjà le cas par défaut). Nous vous suggérons d’appliquer ces instructions.

d. Que sont les plugins sociaux et à quoi servent-ils?

Vous pouvez utiliser sur notre site Internet les plugins sociaux ci-après :

Facebook; Facebook Inc. (1601 S. California Ave, Palo Alto, CA 94304, États-Unis)
Twitter; Twitter Inc. (795 Folsom St., Suite 600, San Francisco, CA 94107, États-Unis)
LinkedIn; Microsoft Inc. (1000 W Maude, CA 94085 Sunnyvale, États-Unis)
WhatsApp; WhatsApp Ireland Limited (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irlande)

Les plugins sociaux servent à personnaliser nos pages Internet. Par défaut, les plugins sont désactivés sur nos pages Internet et n’envoient donc pas de données aux réseaux sociaux. Vous pouvez activer tous les plugins en cliquant sur le bouton «Activer les médias sociaux» (solution des 2 clics). Cliquez à nouveau pour désactiver les plugins.

Lorsque les plugins sont activés, votre navigateur établit une connexion directe avec les serveurs du réseau social en question dès que vous visitez notre site Internet. Le contenu du plugin est directement transmis du réseau social à votre navigateur, qui l’intègre au site Internet.

Une fois le plugin intégré, le fournisseur correspondant est informé que votre navigateur a appelé cette page de notre site Internet même si vous n’avez pas de compte dans ce réseau social ou n’y êtes pas connecté à ce moment-là. Cette information (y compris votre adresse IP) est directement transmise de votre navigateur à un serveur du fournisseur (le plus souvent aux États-Unis) pour y être enregistrée. Ainsi, nous n’avons aucune influence sur la gestion des données que le fournisseur collecte grâce au plugin.

Si vous êtes connecté au réseau social, celui-ci peut associer directement la visite de notre site Internet à votre compte utilisateur. De même, si vous interagissez avec les plugins, cette information sera directement transmise à un serveur du fournisseur pour y être enregistrée. Cette information peut aussi être publiée sur le réseau social et, dans certaines circonstances, présentée à d’autres utilisateurs du réseau social.

Le fournisseur du réseau social pourra éventuellement utiliser cette information à des fins publicitaires et d’étude de marché, ou pour mieux adapter son offre aux besoins des clients. Il est possible que des profils d’utilisation, de centres d’intérêt et de relations soient établis afin d’évaluer l’utilisation que vous faites de notre site Internet en fonction des publicités qui vous sont présentées sur le réseau social, par exemple, ou pour informer d’autres utilisateurs de vos activités sur notre site Internet et vous fournir d’autres services en rapport avec l’utilisation du réseau social.

Pour connaître la finalité et l’étendue de la collecte de données, savoir comment les fournisseurs des réseaux sociaux traitent et utilisent les données, vous informer de vos droits à cet égard et des possibilités de configurer vos équipements pour préserver votre sphère privée, veuillez consulter directement les déclarations de protection des données de chaque fournisseur.

Si vous ne voulez pas que le fournisseur du réseau social associe les données collectées via notre site Internet à votre compte utilisateur, pensez à vous déconnecter de ce réseau social avant d’activer les plugins.

Les traitements de données décrits dans ce paragraphe dépendent de votre consentement.

12. Publicité sur notre site internet

Nous ne recourons pas aux services de fournisseurs tiers (Adserver) pour diffuser des annonces publicitaires sur notre site internet.

13. Sécurité des données.

Nous recourons à des mesures de sécurité techniques et opérationnelles appropriées afin de protéger les données à caractère personnel que nous conservons contre la manipulation, la perte partielle ou intégrale et l’accès non autorisé de tiers. Nos mesures de sécurité sont améliorées en continu conformément à l’évolution technologique.

Nous prenons également très au sérieux la protection des données au sein de notre entreprise. Nos collaboratrices et collaborateurs ainsi que les prestataires externes que nous mandatons sont tenus à des obligations de confidentialité et au respect des dispositions de la loi sur la protection des données.

Nous prenons des mesures de précaution adaptées afin de protéger vos données. Toutefois, nous vous invitons à rester vigilants dans la transmission d’informations via Internet et d’autres moyens électroniques, sachant que nous ne pouvons garantir la sécurité des informations transmises de cette manière.

14. Glossaire

Alliance SwissPass : Organisation de la branche des transports publics (regroupement de 250 entreprises de transport et 18 communautés tarifaires) qui s’engage pour des dispositions tarifaires harmonisées, compréhensibles et économiques, pour des solutions de distribution modernes et attrayantes et pour des assortiments et des systèmes d’information axés sur la clientèle.

Branche : Terme collectif désignant les entreprises de transport, le Service direct national et les communautés tarifaires et de transport suisses.

CTV : Communauté tarifaire vaudoise. Elle regroupe les 13 entreprises de transport public opérant sur le canton de Vaud.

Déclaration commune de protection des données (DCPD) : La DCPD (le présent document) contient des exigences minimales à respecter lors de la rédaction de la Déclaration de protection des données propre aux entreprises et établit ainsi les conditions-cadres de la gestion des données au sein de la branche des TP. La DCPD propose également un modèle détaillé de déclaration de protection des données qui peut être adapté aux exigences individuelles des différentes entreprises de transport ou communautés. Un élément important de cette DCPD est la «promesse à la clientèle», qui explique en termes compréhensibles les principes relevant de l’éthique des données que les entreprises des transports publics s’engagent à appliquer dans le cadre de la gestion des données.

Distributeur : Vente de l’assortiment NOVA par les entreprises de transport ou les communautés fournissant des prestations, en leur nom propre et à leur propre compte.

ET : Entreprise de transport.

Intermédiaire : Organisation qui vend des produits issus des assortiments NOVA pour le compte d’une ou de plusieurs entreprises de transport fournissant des prestations. Ce terme recouvre les entreprises de transport concessionnaires de l’OFT, les gestionnaires d’infrastructure ferroviaire, les communautés tarifaires et de transport suisses et les tiers affiliés à NOVA.

LPD : Loi fédérale sur la protection des données (LPD; FF 2020 7397).

NOVA : Plateforme centrale de distribution pour les TP, à l’échelle du réseau entier (vient de l’allemand «Netzweite öV-Anbindung»).

Plateforme NOVA : Ce terme désigne l’infrastructure commune de distribution (également par des intermédiaires) mise à la disposition des entreprises de transport, des communautés et des tiers (plateforme de distribution [également par des intermédiaires] des TP suisses). La plateforme NOVA regroupe les prestations des entreprises de transport et des communautés fournies aux clientes et clients. Elle se compose de six modules: réseau, assortiment et tarifs, personnes, décompte, prestations et contrôle.

Propriétaire du tarif : Instance disposant de la compétence tarifaire (Service direct national [SDN], service direct régional [communautés tarifaires ou de transport], entreprises de transport).

Responsables conjoints du traitement : Deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement de données personnelles.

RGPD : Le Règlement général sur la protection des données est un règlement édicté par l’Union européenne qui régit la gestion des données à caractère personnel.

RUD : La Réglementation sur l’utilisation des données TP de l’Alliance SwissPass régit l’utilisation des données au sein de la branche des TP.

SDN : Service direct national. Liaisons impliquant plusieurs communautés et liaisons connectant des zones hors communauté. Forme abrégée: SD national.

Service direct : Service direct (voir également Service direct national) au sens de l’art. 16 LPV et de l’OTV.

SD régional : Communautés.

Tiers : Organisations affiliées à la plateforme NOVA et proposant des prestations NOVA sans pour autant figurer parmi les entreprises de transport concessionnaires de l’OFT, les gestionnaires d’infrastructure ferroviaire ou être membres d’une communauté tarifaire ou de transport suisse. Dans le langage juridique, un tiers est défini comme une personne (morale ou physique) qui n’est pas partie à une relation juridique déterminée. Ce terme est par exemple utilisé en ce sens à l’égard des clientes et clients dans le modèle de déclaration de protection des données.