Votre confiance est notre atout le plus précieux Supporting image for section

Votre confiance est notre atout le plus précieux

Nous nous engageons à traiter vos données de manière responsable à chaque étape de votre voyage avec TravelPerk. Nos produits protègent vos informations confidentielles avant tout.

Vos données. Vos droits.

Respect des lois sur la protection des données
Sécurité
Protection de la vie privée dès la conception
Vous avez le contrôle
Transparence

Respect des lois sur la protection des données

Nous croyons en l’importance du respect de la vie privée en conformité avec le RGPD dans l’UE et au Royaume-Uni, le CCPA et d’autres réglementations applicables en matière de confidentialité.

  • Notre centre de données est situé dans l’UE (AWS Ireland – eu-west-1, avec un site de repli chez AWS Germany – eu-central-1).
  • Nos sous-traitants situés en dehors de l’UE/EEE et du Royaume-Uni adhèrent aux dernières clauses contractuelles types (CCS de l’UE et du Royaume-Uni) pour le transfert de données personnelles en dehors de l’Europe.
  • Nous mettons en place des garanties supplémentaires lorsque nous estimons que les CCS ne permettent pas de garantir la sécurité des transferts internationaux de données.
  • Nous avons des accords de traitement des données avec tous les fournisseurs qui ont accès aux données personnelles traitées par TravelPerk.
  • Nous vous aidons à remplir vos obligations en matière de protection de la vie privée en tant que responsables du traitement des données.
  • Nous appliquons des mesures techniques et organisationnelles de niveau international pour protéger et sécuriser vos informations personnelles.
  • Vous trouverez de plus amples informations à ce sujet dans notre livre blanc sur les transferts internationaux de données.

Sécurité

Nous disposons d’un programme de sécurité complet conçu pour garantir la sécurité de vos données personnelles.

  • ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3, PCI DSS niveau 1, et centre de données certifié BSI C5 (AWS).
  • Chiffrement des données en transit et au repos au niveau de la plateforme et des terminaux TravelPerk.
  • Pare-feu au niveau du réseau et de l’application.
  • Pseudonymisation des données personnelles selon les besoins.

Consultez notre livre blanc sur la sécurité pour plus d’informations.

Protection de la vie privée dès la conception

Nous appliquons des normes rigoureuses de protection de la vie privée à chaque étape du développement de nos produits.

  • Nous limitons l’accès aux données personnelles selon le principe de connaissance sélective.
  • Nous dispensons une formation sur la confidentialité des données et la sécurité des informations à tous nos employés et sous-traitants.
  • Nous collectons le strict minimum de données personnelles nécessaires à l’utilisation de notre plateforme.
  • Nous avons une équipe dédiée à la protection de la vie privée chez TravelPerk.

Vous avez le contrôle

Nous simplifions la mise à jour vos données personnelles.

  • Nous mettons à disposition une gamme de profils d’accès permettant de limiter l’accès des collaborateurs à vos données personnelles.
  • Nous mettons à votre disposition les outils nécessaires pour accéder aux informations de votre profil et les mettre à jour.
  • Nous simplifions l’archivage ou la suppression des profils d’utilisateurs obsolètes de notre plateforme.

Transparence

Nous vous tenons informé afin que vous puissiez prendre les meilleures décisions.

  • Notre livre blanc sur la confidentialité fournit des informations détaillées sur la manière dont nous traitons et protégeons vos données personnelles.
  • Notre livre blanc sur les transferts internationaux de données synthétise toutes les façons dont nos clients peuvent utiliser TravelPerk pour transférer des données personnelles en dehors de l’Union européenne (UE) ou de l’Espace économique européen (EEE) en conformité avec la législation européenne, en s’appuyant sur nos cadres et garanties contractuels, techniques et organisationnels de premier plan.
  • Notre documentation relative à la confidentialité est publiquement accessible pour que vous puissiez évaluer la fiabilité de nos pratiques.
  • Nous vous tiendrons informé de toute modification importante de nos politiques de confidentialité.

FAQ sur la protection de la vie privée

Généralités
Sécurité
Transferts Internationaux de données
Demandes des personnes concernées

Où sont hébergés vos services et quelle est la résilience de ces derniers ?

Nos services et nos sauvegardes sont hébergés sur Amazon Web Services (AWS) en Irlande avec un site de repli en Allemagne. Il s’agit d’un centre de données à haute disponibilité, construit et entretenu dans un souci de résilience, de continuité et de reprise après sinistre. AWS détient les certifications ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2 et SOC 3, PCI DSS niveau 1 et C5 de BSI.

Dans quels objectifs la société TravelPerk traite-t-elle les données personnelles de ses clients ?

Nous traitons les données personnelles des utilisateurs de TravelPerk en tant que sous-traitant des données aux fins suivantes, décrites dans notre Contrat sur le traitement des données

1) pour créer, maintenir et mettre à jour les comptes utilisateurs 

2) pour gérer les réservations, les ordres de paiement et les règlements 

3) pour envoyer aux utilisateurs des avis d’annulation, de modification ou de non-présentation, des processus de réservation inachevés et/ou des recommandations de réservation sur la base de leurs réservations précédentes et de leur historique de recherche 

4) pour prêter assistance à la clientèle et traiter les demandes spéciales 

5) pour informer les clients et utilisateurs des mises à jour des services, y compris des nouvelles caractéristiques et fonctionnalités 

6) pour fournir tous les services souscrits régulièrement par nos clients, tels que la gestion des voyages d’affaires, les services d’annulation Premium, PRO et flexibles, l’accès à l’API, les services liés à la compensation du CO2, etc. 

7) pour envoyer une notification à la personne à prévenir en cas d’urgence désignée par le voyageur. 

En outre, nous pouvons traiter les données personnelles des utilisateurs de TravelPerk en tant que responsable des données aux fins applicables décrites dans notre Politique de confidentialité.

Qui supervise la protection de la vie privée chez TravelPerk ?

TravelPerk dispose d’une équipe dédiée à la protection de la vie privée, composée de spécialistes juridiques et opérationnels, qui se consacrent au respect du programme de conformité à la protection de la vie privée de haut niveau et ce, pour toute personne ayant confié ses données personnelles à notre entreprise. Les équipes chargées de la protection de la vie privée et de la sécurité de l’information travaillent en étroite collaboration pour s’assurer que nos opérations sont alignées sur la sécurité des données personnelles des clients.

Notre délégué à la protection des données (DPD) est chargé de traduire les informations réglementaires en améliorations concrètes de notre culture de la protection de la vie privée et sert de contact pour les autorités de contrôle et les clients pour toute question relative à la conformité en matière de protection de la vie privée.

Vous pouvez contacter notre équipe chargée de la protection de la vie privée à l’adresse suivante : privacy@travelperk.com. Notre DPO est disponible sur simple demande adressée à dpo@travelperk.com.

Tous les employés de TravelPerk ont-ils accès aux données des clients ?

Les employés de TravelPerk accèdent aux données des clients sur la base du besoin d’en connaître. Les employés de TravelPerk peuvent avoir accès aux données clients minimales requises pour fournir nos services (par exemple, les coordonnées professionnelles, l’historique des voyages et des réservations, l’historique des demandes des utilisateurs au service clientèle, les informations professionnelles, l’historique de la facturation et de l’utilisation de la plate-forme et des rapports similaires émis par le gestionnaire du compte concerné, etc.)

Tous les membres du personnel de TravelPerk sont liés par des obligations de confidentialité et ont suivi une formation et un programme de sensibilisation qui comprend une formation initiale à la sécurité et à la protection des données, avec des tests et des cours de recyclage annuels.

TravelPerk est-elle un responsable du traitement ou un sous-traitant en ce qui concerne les données à caractère personnel traitées pour le compte de ses clients ?

Comme indiqué dans le Contrat sur le traitement des données et le Livre blanc du la confidentialité, nos clients sont les responsables des données de leurs employés, sous-traitants et autres personnes ayant accès aux comptes des clients de TravelPerk. D’autre part, TravelPerk, en tant que fournisseur de services de voyages d’affaires pour nos clients, est le sous-traitant de ces informations. Cela signifie que TravelPerk traite les données à caractère personnel pour le compte du client et selon ses instructions, aux fins que ce dernier a autorisé, comme défini dans le Contrat sur le traitement des données.

Quel est le rôle des fournisseurs engagés par TravelPerk en matière de protection des données ?

D’une part, lorsque TravelPerk transfère les données personnelles des clients à certains fournisseurs en vue de fournir des services de gestion des voyages d’affaires, ces fournisseurs sont considérés comme des sous-traitants ultérieurs et sont liés par les contrats de traitement des données pertinents et, le cas échéant, par les clauses contractuelles types issues de la Commission européenne et le Royaume-Uni concernant le transfert international de données. 

D’autre part, lorsque TravelPerk transfère les données des clients à des fournisseurs de voyages tels que des hôtels, des compagnies aériennes, des compagnies ferroviaires ou des sociétés de location de voitures, pour la prestation des services d’hébergement et de transport, ces fournisseurs de voyages traiteront les données en leur qualité de responsables des données indépendants. Toutefois, TravelPerk a mis en place des clauses de protection des données dans tous les contrats de service le liant avec tous les fournisseurs de voyages, stipulant leur obligation de se conformer aux lois applicables en matière de protection des données et de ne traiter les données des clients que dans les limites autorisées par ces lois.

Quelles sont vos politiques de conservation et de destruction des données ?

Notre politique de conservation des données décrit toutes les règles légales de conservation concernant les données de ses clients dans le cadre du droit contractuel et auxquelles TravelPerk adhère. Nous disposons en outre de calendriers pour chaque équipe, qui précisent les durées de conservation des données personnelles traitées dans le cadre des activités commerciales décrites dans notre politique de confidentialité.

À l’expiration de cette durée, les données à caractère personnel concernées sont supprimées.

Effectuez-vous des analyses d'impact sur la protection des données (sigle anglais : DPIA) sur le traitement des données que vous menez ?

Oui, nous effectuons des analyses d’impact sur la protection des données (DPIA) en tant que responsable du traitement des données lorsque le RGPD et d’autres lois applicables l’exigent. En ce qui concerne les données à caractère personnel que nous traitons en tant que sous-traitant, nous aidons nos clients (responsables des données) à mener leurs propres analyses d’impact sur la protection des données (DPIA), comme l’exige le RGPD.

TravelPerk est-il en mesure de contribuer à la réalisation d'une analyse d'impact sur la protection des données (DPIA) lorsqu'il agit en tant que sous-traitant ?

Oui, il s’agit de l’une de nos obligations selon le RGPD en tant que sous-traitant des données et nous sommes heureux d’aider nos clients (responsables des données) lors de la réalisation d’une DPIA.

Devons-nous signer un Contrat sur le traitement des données (sigle anglais : DPA) avec TravelPerk pour la phase de prospection ?

Non. TravelPerk n’intervient en tant que sous-traitant des données que lorsque le prospect devient un client et que TravelPerk traite effectivement les données personnelles de ses utilisateurs. Auparavant, TravelPerk est responsable du traitement et traite les données des prospects conformément à sa Politique de confidentialité.

Lorsque vous devenez client, nous concluons un DPA. Vous pouvez alors en faire la demande en remplissant ce formulaire.

Avez-vous une version de votre contrat sur le traitement des données (DPA) que nous pouvons signer ?

Veuillez remplir ce formulaire en mentionnant les informations relatives à votre entreprise pour signer numériquement une copie du contrat sur le traitement des données de TravelPerk. Une fois le formulaire soumis, nous enverrons par courrier électronique la copie exécutable à la personne que vous aurez désignée comme signataire. La copie exécutable est identique au contrat en ligne sur le traitement des données.

TravelPerk a adopté la norme oneDPA pour toutes les transactions concernées. La norme oneDPA a été créée en collaboration par un groupe de cabinets d’avocats et d’équipes internes de premier plan, avec la participation de la communauté juridique au sens large. Les termes de oneDPA ont été longuement discutés par des professionnels du droit de plusieurs juridictions afin de s’assurer qu’ils répondent aux exigences légales et qu’ils sont équilibrés, justes et compréhensibles.

Compte tenu de la nature équilibrée du contenu de oneDPA, ce document ne peut être modifié que pour ajouter les détails spécifiques à notre engagement dans la section des variables. Pour un complément d’informations sur oneDPA, veuillez consulter le site officiel oneDPA.

Êtes-vous prêt à examiner et à signer la DPA client ?

En tant que fournisseur de SaaS, nous appliquons des normes de protection des données cohérentes à tous nos clients. En conséquence, nous devons utiliser notre contrat standard sur le traitement des données, qui est déjà incorporé au contrat de services de voyage d’affaires et adapté au type de services fournis et aux mesures de sécurité offertes par TravelPerk.

TravelPerk a adopté la norme oneDPA pour toutes les transactions concernées. La norme oneDPA a été créée en collaboration par un groupe de cabinets d’avocats et d’équipes internes de premier plan, avec la participation de la communauté juridique au sens large. Les termes de oneDPA ont été longuement discutés par des professionnels du droit de plusieurs juridictions afin de s’assurer qu’ils répondent aux exigences légales et qu’ils sont équilibrés, justes et compréhensibles.

Compte tenu de la nature équilibrée du contenu de oneDPA, ce document ne peut être modifié que pour ajouter les détails spécifiques à notre engagement dans la section des variables. Pour un complément d’informations sur oneDPA, veuillez consulter le site officiel oneDPA.

TravelPerk demande-t-elle à ses clients l'autorisation pour engager de nouveaux sous-traitants ultérieurs ?

TravelPerk peut engager de nouveaux sous-traitants ultérieurs sur la base d’une autorisation générale fournie par ses clients (responsables des données), comme le prévoit l’article 28 du RGPD. En souscrivant nos services et en signant la DPA correspondante, nos clients consentent et autorisent l’engagement des sous-traitants ultérieurs figurant dans la liste actuelle des sous-traitants ultérieurs. TravelPerk s’engage également à notifier aux clients tout ajout prévu à cette liste afin que les clients aient la possibilité de s’opposer en temps utile à l’engagement de tout nouveau sous-traitant ultérieurs par TravelPerk. Si une objection est soulevée, TravelPerk et le client s’efforceront de trouver une solution pour répondre aux préoccupations du client. Si cela n’est pas possible, le client aura toujours la possibilité de résilier le contrat sans frais supplémentaires.

TravelPerk tient-elle le Registre des activités de traitement (sigle en anglais : RoPA) obligatoire ?

Oui. En tant que sous-traitant des données au sens du point 30.2 du RGPD, TravelPerk doit tenir un registre de toutes les catégories d’activités de traitement effectuées au nom de ses clients (responsables des données).

Comment TravelPerk protège-t-elle mes données à caractère personnel ?

TravelPerk respecte les lois applicables en matière de protection des données, telles que le RGPD de l’UE, le RGPD du Royaume-Uni et le CCPA de Californie. Nous avons mis en place des mesures techniques et organisationnelles appropriées pour sécuriser les données personnelles qui nous sont communiquées. Il s’agit notamment de s’assurer que les données sont cryptées à la fois en transit et au repos, sur la plateforme et au niveau des points de terminaison. Pour garantir la conformité, le personnel de TravelPerk reçoit une formation appropriée et des politiques centralisées ont été mises en place. Avant d’accéder aux données à caractère personnel, chaque personne et chaque entreprise est soumise à une forme d’évaluation de son devoir de diligence et est liée par des obligations de confidentialité. Des contrats de traitement des données sont en place avec tous nos sous-traitants ultérieurs, où figurent les dernières clauses contractuelles types pour les transferts internationaux publiées par la Commission européenne le 4 juin 2021, le cas échéant.

Notre Système de gestion de la sécurité de l’information (SGSI) est conforme aux dispositions de la norme ISO 27001 en ce qui concerne les contrôles techniques et opérationnels de la sécurité des données confidentielles et personnelles. En outre, notre plateforme est hébergée sur Amazon Web Services (AWS) dans des centres de données situés dans l’UE et soumis aux protocoles de sécurité définis par le secteur.

Quelles sont les principales mesures de sécurité adoptées en matière de respect des dispositions de l'article 32 du RGPD ?

Nous avons mis en place une série de contrôles pour nous conformer au RGPD. Afin de garantir le respect de la vie privée dès la conception et par défaut, nous nous centrons sur le cycle de vie des données des clients. Des mesures de sécurité techniques, organisationnelles et physiques sont appliquées depuis le moment où les données à caractère personnel nous sont confiées jusqu’à leur destruction avec toutes les garanties de sécurité. Ces contrôles vont de la Détection et (de la) réponse du point de terminaison (sigle anglais : EDR) à la sécurité et à la surveillance du cloud. Nos bureaux sont également protégés par une série de mesures, notamment des agents de sécurité 24 heures sur 24 et 7 jours sur 7 et une surveillance vidéo en circuit fermé. Plus un complément d’information, veuillez consulter le Livre blanc de la sécurité et le Document sur les mesures techniques et organisationnelles de sécurité (sigle anglais : TOM).

Les données personnelles traitées au nom de vos clients sont-elles chiffrées ?

Oui. Actuellement, le cryptage est l’une des mesures de sécurité les plus élémentaires pour protéger les données confidentielles. Nous utilisons AES-256 pour crypter vos données au repos, y compris les sauvegardes. Pour les données en transit, nous appliquons au minimum TLS v1.2 et ne prenons pas en charge les anciennes versions.

Pour le stockage des mots de passe, nous suivons les normes recommandées par le NIST en ce qui concerne le choix de l’algorithme de hachage et du mécanisme d’étirement des mots de passe. Notre système de courrier électronique est également automatiquement crypté à l’aide de S/MIME dans la mesure où ce protocole est pris en charge.

TravelPerk dispose-t-elle de politiques de sécurité en application ?

Oui, nous appliquons plusieurs politiques de sécurité, dont une politique de sécurité de l’information qui fait partie de notre système de gestion de la sécurité de l’information (SGSI). Ces politiques s’alignent sur les meilleures pratiques mondiales reconnues en matière de sécurité de l’information et de cybersécurité, telles que ISO27001, ISO27005 et OWASP, et fournissent une orientation stratégique pour le maintien de notre SGSI.

Le personnel de TravelPerk est-il dûment formé pour traiter les données à caractère personnel en toute sécurité et dans le respect des obligations de confidentialité ?

Oui, nous avons mis en place un programme de formation du personnel aux meilleures pratiques en matière de protection de la vie privée et de sécurité. Nous croyons qu’il faut modifier les comportements pour les améliorer, et pas se contenter de cocher une case de conformité avec une formation annuelle en ligne. C’est pourquoi nous proposons une formation interne à tous les employés, aux nouveaux arrivants et aux sous-traitants concernés. Nous réalisons également des simulations de phishing, des affiches de sensibilisation personnalisées, des événements de formation ludique du type « Capturez le drapeau », etc. TravelPerk a également mis en place un contrôle d’accès basé sur les rôles, ce qui signifie que seul un nombre limité des employés a accès aux données des clients, strictement en fonction du besoin d’en connaître.

Dans quelle mesure mes paiements sont-ils sûrs sur la plateforme TravelPerk ?

Vos données de paiement sont sécurisées lorsque vous effectuez des paiements sur la plateforme TravelPerk. Nous faisons équipe avec Stripe pour stocker en toute sécurité les informations relatives à votre carte de crédit et traiter vos demandes de paiement. TravelPerk n’a pas accès, ne stocke ni ne traite jamais les informations relatives à votre carte de paiement – elles sont toujours gérées par Stripe ; nous utilisons simplement des numéros de référence uniques et anonymes pour nous connecter à Stripe et vous facturer les réservations et les services. Stripe traite les données des ses client en tant que responsable indépendant des données. Veuillez consulter la Politique de confidentialité de Stripe pour un complément d’information relatif à la protection de vos données personnelles.

Seriez-vous prêt à mettre en œuvre des mesures de sécurité supplémentaires sur demande ?

TravelPerk s’engage à améliorer continuellement la sécurité de ses systèmes en renforçant et en mettant à jour les mesures de sécurité existantes. Bien que nous nous efforcions de respecter nos obligations en vertu des lois sur la protection des données, il nous est impossible d’accepter les politiques de sécurité de chaque client. En tant qu’entreprise SaaS de gestion des voyages à l’échelle mondiale ayant un large éventail de clients, nous sommes tenus d’appliquer des politiques de sécurité cohérentes et exhaustives afin de garantir des protections appropriées et une cohérence dans notre approche.

Soyez toutefois assurés que nous répondons volontiers aux questionnaires de sécurité et d’audit sur demande. Cela vous permettra de confirmer que TravelPerk respecte ses obligations en matière de sécurité des données à caractère personnel. Nous comprenons l’importance de maintenir le plus haut niveau de sécurité pour nos clients et nous nous engageons à respecter ces normes.

Attendez-vous de vos sous-traitants ultérieurs qu'ils appliquent des mesures de sécurité techniques et organisationnelles spécifiques ?

Nos sous-traitants ultérieurs s’engagent contractuellement à respecter des mesures techniques et organisationnelles de sécurité (TOM) équivalentes à celles que nous offrons à nos clients. Nos mesures techniques et organisationnelles de sécurité (TOM) actualisées sont disponibles ici

Nous demandons aux sous-traitants ultérieurs de fournir des mesures de sécurité techniques et organisationnelles suffisantes, ainsi que des mesures garantissant le respect des lois pertinentes en matière de protection des données. Tous les sous-traitants ultérieurs et fournisseurs qui hébergent les données des clients sont soumis à des audits de sécurité et à des analyses des risques approfondis, menés à la fois par les équipes chargée de la sécurité de l’information et chargée de la protection de la vie privée, afin de garantir le respect de ces exigences. Nous utilisons également un système de contrôle continu de la sécurité pour suivre nos fournisseurs.

Que fait TravelPerk pour prévenir les violations de données ?

Gestion de la vulnérabilité. Les tests de pénétration périodiques ne suffisent tout simplement pas dans l’environnement actuel qui évolue rapidement. Nous allons donc beaucoup plus loin dans notre gestion de la vulnérabilité. Nous effectuons quotidiennement des analyses de vulnérabilité dynamiques de notre application web, tandis que notre application mobile est également analysée quotidiennement à l’aide de divers tests statiques, dynamiques et interactifs. Ces informations, combinées aux interrogations du programme de recherche des bogues ou aux résultats des tests de pénétration, sont rapidement examinées et prises en compte en fonction de leur gravité.

Prévention des logiciels malveillants (Malware). Comme on peut s’y attendre pour une entreprise internationale comme la nôtre, nous nous appuyons sur des outils de détection et de réponse des points de terminaison de niveau mondial. Grâce à la détection comportementale, nous sommes protégés contre les attaques de nouvelle génération que les systèmes basés sur les signatures sont incapables de reconnaître. Nos capacités de connexion rapides et efficaces nous permettent de répondre rapidement aux incidents liés aux points de terminaison, partout dans le monde. Nous avons également mis en place diverses solutions pour éviter que des logiciels malveillants ne s’introduisent dans nos systèmes ou nos applications de voyage.

Veille Nous recueillons des journaux d’activité et d’accès ainsi que des informations importantes provenant de diverses sources. Lorsque nous recevons des alertes ou d’autres déclencheurs, notre équipe inspecte et enquête rapidement sur l’incident suspecté. Dans la mesure du possible, nos outils sont configurés pour détecter les activités suspectes et nous les communiquer immédiatement. Cela comprend la surveillance et les alertes provenant de notre propre parc informatique et de nos outils, outre nos applications de voyage d’affaires.

Quelle est la politique de gestion des incidents de TravelPerk ?

Notre équipe de sécurité est formée pour diriger les opérations en cas d’incident de sécurité, pour faire intervenir les bonnes personnes et pour coordonner toute intervention nécessaire en suivant le plan d’intervention prévu en cas d’incident. Nous évitons d’introduire un biais de départ en supposant un niveau de gravité à partir d’informations susceptibles, dans un premier temps, d’être limitées. En revanche, nous traitons chaque incident avec la même priorité et la même importance jusqu’à ce que nous disposions d’informations concernant sa gravité réelle.

Nous disposons d’une équipe d’ingénieurs d’astreinte 24 heures sur 24, 7 jours sur 7, de sorte qu’en cas d’incident survenant en dehors des heures de travail et affectant la confidentialité, l’intégrité ou la disponibilité, nos ingénieurs peuvent répondre, faire remonter et résoudre rapidement tout problème, avec l’aide de notre équipe de sécurité. Les meilleures pratiques sont appliquées, en tenant un registre des incidents et en effectuant une analyse ultérieure des incidents, pour s’assurer que les leçons sont tirées et que toutes les améliorations possibles ont été apportées.

Existe-t-il une procédure permettant de s'assurer que tous les incidents de sécurité sont dûment signalés ?

Oui, nous disposons d’un plan de réponse aux incidents qui a été approuvé par le CTO. Il définit les rôles, les responsabilités, les coordonnées et les mesures à prendre en cas de suspicion d’incident. Nous avons également mis en place une équipe de gestion des incidents. 

Plus un complément d’information, veuillez consulter la page Sécurité, le Livre blanc de la sécurité et le Document sur les mesures techniques et organisationnelles de sécurité (TOM).

Avez-vous dispensé une formation à votre personnel sur les mesures à prendre en cas de violation de données à caractère personnel ?

Oui, les procédures d’identification et de signalement des violations de données personnelles sont incluses à la formation de sensibilisation à la sécurité dispensée à l’ensemble du personnel de TravelPerk.

Informeriez-vous l'autorité de contrôle en cas d'incident de sécurité affectant les données des clients ?

En tant que sous-traitant des données, TravelPerk est tenu de notifier les violations de données à caractère personnel aux clients concernés (responsables des données) afin qu’ils puissent en informer l’autorité de contrôle conformément aux lois applicables en matière de protection des données. Dans nos notifications aux clients, nous fournissons toutes les informations disponibles conformément au point 33.3 du RGPD.

Avez-vous signalé une violation de données aux autorités de contrôle au cours des cinq dernières années ?

En tant que sous-traitant des données, TravelPerk est tenu de notifier les violations de données à caractère personnel aux clients concernés (responsables des données) afin qu’ils puissent en informer l’autorité de contrôle conformément aux lois applicables en matière de protection des données. Dans nos notifications aux clients, nous fournissons toutes les informations disponibles conformément au point 33.3 du RGPD.

Transférez-vous des données à caractère personnel vers des pays tiers ? Comment ces transferts sont-ils sécurisés ?

Nous pouvons transférer des données à des destinataires situés dans des pays tiers, c’est-à-dire dans des pays situés hors de l’EEE sans décision d’adéquation de la Commission européenne. Par exemple, nous pouvons transférer des données à des sous-traitants ultérieurs qui nous aident à fournir nos services (voir notre Liste des sous-traitants ultérieurs mise à jour), ou à des fournisseurs de voyages tels que des compagnies aériennes, des hôtels ou d’autres prestataires de transport et d’hébergement. 

Lorsque nos sous-traitants ultérieurs sont situés dans des pays tiers et pour sécuriser le transfert, nous nous appuyons principalement sur les dernières clauses contractuelles types pour les transferts internationaux publiées par la Commission européenne le 4 juin 2021. Nous procédons également à une évaluation de la sécurité de tous nos fournisseurs et, le cas échéant, nous mettons en œuvre des mesures supplémentaires (conformément aux recommandations « post-Schrems II » Recommandations du CEPD 01/2020) afin de garantir que les données transférées bénéficient d’un niveau de protection adéquat conformément aux normes de l’UE et du RGPD. Vous trouverez de plus amples informations dans notre Livre blanc sur les transferts internationaux de données.

Pouvez-vous détailler la procédure suivie pour gérer les transferts internationaux de données ?

La procédure suivie chaque fois à chaque partage des données de nos clients avec un fournisseur situé dans un pays tiers comporte 7 étapes : 

  1. Nous identifions et cartographions tous nos transferts restreints (c’est-à-dire tous les transferts de données vers des pays non adéquats).
  2. Nous demandons aux fournisseurs potentiels de remplir un questionnaire approfondi sur la protection de la vie privée, évalué par nos équipes chargées de la sécurité de l’information et de la protection de la vie privée.
  3. Nous concluons un contrat de traitement des données avec le vendeur, qui définit des obligations de protection des données identiques ou équivalentes à celles énoncées dans le DPA conclu avec nos clients.
  4. Nous mettons en place les dernières clauses contractuelles types pour les transferts internationaux publiées par la Commission européenne, le 4 juin 2021, avec chaque fournisseur traitant des données personnelles dans des pays tiers.
  5. Nous évaluons les lois du pays de stockage du vendeur, en mettant l’accent sur les États-Unis.
  6. Nous identifions et adoptons toutes les mesures et procédures supplémentaires nécessaires pour que le niveau de protection des données transférées soit conforme aux normes de l’UE.
  7. Nos évaluations sont réévaluées périodiquement pour s’assurer que les transferts internationaux restent sécurisés dans le temps.

Mettez-vous en œuvre des mesures supplémentaires pour garantir l'efficacité des clauses contractuelles types conclues avec vos sous-traitants ultérieurs, le cas échéant ?

Oui. La Commission européenne encourage les responsables et les sous-traitants des données à fournir des garanties supplémentaires pour le transfert de données à caractère personnel à l’étranger, en prenant des engagements contractuels supplémentaires qui offrent un niveau de protection équivalent à celui des normes de l’UE.

Dans cette optique, TravelPerk procède à une évaluation approfondie de tous les sous-traitants et sous-traitants ultérieurs situés dans des pays tiers afin de déterminer l’efficacité des clauses contractuelles types au cas par cas. Sur la base des résultats de l’évaluation, nous demandons à ces fournisseurs d’intégrer des engagements contractuels supplémentaires dans le contrat de traitement des données concerné. Nous nous centrons à la fois sur les mesures de sécurité mises en œuvre par le vendeur et sur les garanties spécifiques visant à prévenir ou à atténuer les risques de demandes potentielles de divulgation de données à caractère personnel aux autorités publiques ou aux forces de l’ordre dans le pays du vendeur, en particulier aux États-Unis en vertu de lois et de règlements tels que la section 702 de la FISA, l’ordre exécutif 12333 ou le CLOUD Act.

Selon le cas et sur la base des résultats de notre évaluation, nous demandons à nos fournisseurs de se conformer à certains engagements contractuels supplémentaires s’ils reçoivent de telles demandes de divulgation. À titre d’exemple, nous leur demandons de vérifier si la demande de divulgation est légale et appropriée, notamment en ce qui concerne les données recherchées et la juridiction compétente et de contester la demande conformément aux principes du RGPD et aux engagements contractuels sur les demandes d’accès du gouvernement, conformément aux articles 14 et 15 des CSC, le cas échéant. Nous demandons également à nos fournisseurs de fournir le minimum d’informations possible lorsqu’ils répondent à une demande de divulgation, de mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données à caractère personnel, y compris la protection contre la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès à ces données, et de s’abstenir de créer des portes dérobées ou des programmes similaires qui pourraient être utilisés par les forces de l’ordre ou les autorités publiques pour accéder aux systèmes et/ou aux données à caractère personnel.

Des tiers externes ont-ils accès aux systèmes ou aux installations de traitement des clients de TravelPerk ?

Les tiers n’ont pas accès aux systèmes ni aux installations de traitement de nos clients. Toutefois, TravelPerk peut partager les données des clients avec des fournisseurs tiers (sous-traitants ultérieurs et fournisseurs de voyages) afin de fournir des services de voyages d’affaires (par exemple, le nom et les coordonnées du voyageur avec une compagnie aérienne ou un hôtel pour confirmer une réservation). Tous ces tiers font l’objet d’évaluations de sécurité et disposent de DPA et/ou de clauses contractuelles pertinentes pour garantir la sécurité et la confidentialité des données à caractère personnel transférées.

TravelPerk a-t-elle adopté les nouvelles clauses contractuelles types de l'UE pour les transferts internationaux (CCT UE 2021) pour les transferts de données personnelles à des sous-traitants ultérieurs situés en dehors de l'EEE ?

Oui, nous avons mis en place les clauses contractuelles types pour les transferts internationaux publiées par la Commission européenne le 4 juin 2021 avec tous les sous-traitants ultérieurs situés en dehors de l’EEE dans des pays non adéquats, par exemple ceux situés aux États-Unis.

Dans quels pays TravelPerk et ses sous-traitants ultérieurs traitent-ils les données des clients pour la fourniture de services de gestion des voyages d'affaires ?

Actuellement, nos sous-traitants ultérieurs sont situés dans l’UE/EEE, au Royaume-Uni, aux États-Unis, aux Philippines, en Inde, au Japon, en Australie, au Salvador et en Israël. La liste actualisée des sous-traitants ultérieurs est disponible ici.

Dois-je conclure des clauses contractuelles types avec TravelPerk ?

Si vous êtes (ou souhaitez devenir) client de TravelPerk : la réponse est NON. En tant qu’entreprise basée dans l’UE traitant des données à caractère personnel en vertu du RGPD, TravelPerk n’est pas tenue d’utiliser les clauses contractuelles types (CCT) pour les transferts internationaux publiées par la Commission européenne, le 4 juin 2021, entre elle et ses clients.

Lorsque TravelPerk doit effectuer des transferts ultérieurs de données à caractère personnel à ses sous-traitants ultérieurs situés dans des pays tiers (par exemple, les États-Unis), vous pouvez être assuré que ces transferts sont déjà réglementés par des CCT conclues entre TravelPerk et le sous-traitant ultérieur concerné. 

Si vous êtes un fournisseur situé hors de l’UE/EEE ou du Royaume-Uni, dans un pays qui n’est pas reconnu comme offrant une protection adéquate de la vie privée par la Commission européenne (liste des pays adéquats disponible ici : la réponse est OUI – nous devons conclure les clauses contractuelles types pour les transferts internationaux publiées par la Commission européenne, le 4 juin 2021, afin de fournir à TravelPerk les services nécessitant le traitement de données à caractère personnel.

Avez-vous la possibilité de restreindre le stockage des données des clients à des pays ou à des lieux géographiques spécifiques ?

En raison de la nature de notre service SaaS, il n’est pas possible de mettre en œuvre des restrictions de géolocalisation par client. Notre environnement SaaS et tous les processus opérationnels et de sécurité associés sont conçus pour être standardisés et, en conséquence ne sont pas adaptables à des clients spécifiques. En conséquence, l’accès et l’utilisation de notre SaaS sont fournis « en l’état » et conformément à nos processus et procédures existants, ainsi qu’aux termes du contrat conclu entre nous et nos clients.

Soyez assuré que nous appliquons les normes de sécurité les plus strictes du secteur. Nos activités font l’objet d’un audit réussi, conformément aux normes du secteur.  Notre fournisseur de centre de données, Amazon Web Services Ireland (avec un site de repli en Allemagne), est certifié ISO 27001. Il possède également les certifications ISO 27017 et ISO 27018, SOC 1, SOC 2 et SOC 3, PCI DSS niveau 1 et la certification C5 de BSI.

Pourriez-vous supprimer certains de vos sous-traitants ultérieurs lorsque vous nous fournissez des services ?

En tant que plateforme SaaS, nous n’engageons pas de sous-traitants ultérieurs pour les clients individuels. Le recours aux sous-traitants ultérieurs fait partie intégrante de notre prestation de services et tous les fournisseurs tiers sont préengagés et soumis à des obligations contractuelles vis-à-vis de notre entreprise. Avant de faire appel à un fournisseur tiers, nous procédons à des évaluations complètes de sécurité afin de nous assurer qu’il répond aux normes strictes appliquées par notre entreprise en la matière. En outre, tous les sous-traitants ultérieurs ont conclu des contrats de protection des données afin de garantir la sécurité et la confidentialité des données personnelles traitées pour le compte de nos clients. Cela nous permet de maintenir un niveau élevé de sécurité et de protection de la vie privée tout en fournissant des services fiables et efficaces à nos clients.

Comment les données des clients sont-elles protégées dans le cas où vos filiales, sociétés affiliées ou sociétés mères situées hors de l'EEE ont besoin d'accéder à ces données ?

Nous disposons d’un contrat complet de traitement des données intragroupe qui régit tous les transferts internes et qui inclut les dernières clauses contractuelles types pour les transferts internationaux publiées par la Commission européenne, le 4 juin 2021. Ce contrat fournit un cadre solide garantissant que tous les transferts de données au sein de notre organisation sont conformes aux réglementations pertinentes en matière de protection des données et répondent aux normes les plus strictes en matière de sécurité et de confidentialité. Grâce à ces clauses contractuelles types, nous sommes en mesure de maintenir un haut niveau de protection des données, même lors du transfert transfrontalier de données à caractère personnel, assurant ainsi à nos clients qu’ils peuvent nous confier leurs précieuses informations avec toutes les garanties de sécurité.

Comment TravelPerk traite-t-il les demandes des personnes concernées (sigle anglais : DSR) ? Comment puis-je exercer mes droits en la matière ?

Si vous êtes un utilisateur de TravelPerk : en tant que sous-traitant des données, nous sommes heureux d’aider nos clients (responsables des données) à traiter les demandes des personnes concernées (DSR) émanant de leurs utilisateurs. Les utilisateurs de TravelPerk doivent adresser les demandes des personnes concernées à l’administrateur du compte TravelPerk de leur entreprise, qui représente le responsable du traitement des données. L’administrateur peut supprimer les données en libre-service (instructions ici) et les mettre à jour directement à partir de la plateforme TravelPerk, ou nous demander de plus amples informations s’il le juge nécessaire.

Si vous êtes un client potentiel, un testeur de produits, un participant à un événement TravelPerk ou un visiteur du site web TravelPerk : vous pouvez exercer vos droits en matière de protection des données en remplissant le présent formulaire.

Quels types de données à caractère personnel me concernant sont-elles recueillies ?

TravelPerk recueille les données personnelles fournies par ses utilisateurs par le biais de sa plateforme ou du service clientèle afin de fournir des services de voyage d’affaires. Ainsi, nous pouvons traiter des données personnelles des voyageurs dont l’entreprise est cliente de TravelPerk, telles que le nom, l’adresse électronique professionnelle, le numéro de téléphone et les renseignements relatifs à la carte d’identité ou au passeport. En outre, nous pouvons traiter des données telles que les cartes d’affiliation, les moyens de paiement, les informations sur les réservations et les voyages, ainsi que les demandes d’assistance à la clientèle ou les réclamations, si cela est nécessaire pour faciliter nos prestations de voyages d’affaires et vous permettre d’effectuer des réservations de voyage.

Je souhaite que vous supprimiez mon compte utilisateur.

Si vous êtes un utilisateur de TravelPerk et que vous souhaitez supprimer votre compte utilisateur, veuillez envoyer votre demande à l’administrateur du compte TravelPerk de votre entreprise. L’administrateur d’entreprise peut supprimer des comptes d’utilisateurs de la plateforme TravelPerk en suivant les étapes indiquées dans cet article (dans la section « Supprimer un utilisateur »). L’administrateur peut également modifier les données des utilisateurs à partir de l’annuaire People disponible sur la plateforme TravelPerk.

Supporting image for section

Nous contacter

Pour toute question sur la protection de la vie privée chez TravelPerk, envoyez-nous un e-mail à privacy@travelperk.com.