Politique de confidentialité
Notre engagement en matière de protection de la vie privée
Lorsque vous utilisez nos produits et services, vous nous confiez vos informations. Nous estimons que la relation nous liant à vous est extrêmement importante et nous vous promettons ce qui suit.
- Nous traitons toujours vos données conformément aux règles de l’Union européenne en matière de protection des données et à toute autre législation applicable en matière de protection de la vie privée, afin de les protéger contre tout accès non autorisé et de garantir la sécurité des transferts de données.
- Nous sommes transparents quant à la manière dont nous utilisons les données recueillies auprès de vous.
- Nous vous expliquons clairement l’avantage que vous avez à partager vos données avec nous et nous adaptons notre communication à vos besoins et préférences.
- Nous le faisons dans un langage facile à comprendre, tout au long de votre expérience aux côtés de KLM et des compagnies aériennes partenaires.
- Nous vous donnons le contrôle de vos données et nous utiliserons vos commentaires pour nous améliorer en permanence.
- Nous veillons à ce que vos données soient stockées en toute sécurité. Dans le cas peu probable où vos données auraient été corrompues, nous ferons en sorte d’arrêter la fuite dans les plus brefs délais et nous vous en informerons immédiatement.
- Si nous devons divulguer vos données en dehors de notre organisation, nous le décrivons explicitement dans notre Politique de confidentialité. Nous ne partageons, ne vendons ni ne donnons vos informations personnelles à aucune organisation extérieure sans votre consentement explicite.
- Nous sommes dignes de confiance avec vos données et nous nous efforçons d’obtenir des certifications internationales (par exemple, ISO-27001).
À propos de la présente politique de confidentialité
4.1. Les principales raisons pour lesquelles nous utilisons vos données personnelles (A) Vous fournir des services Nous utilisons les données mentionnées aux sections 2.1 (A) à (G) afin de traiter vos réservations et d’organiser vos voyages et vos achats. Nous utilisons entre autres votre nom, votre numéro de passeport et d’autres informations permettant de vous identifier pour délivrer votre billet. Nous utilisons vos coordonnées pour vous informer des modifications affectant le statut de votre vol.
(G) Les passagers ayant un comportement inapproprié ou abusant de nos services i. i. KLM tient des listes de passagers ayant fait preuve d’un comportement inapproprié ou ayant abusé de nos services (voir section 2.1 (J) ci-dessus). En fonction de la gravité du comportement, KLM peut, (i) pour une période de trois ans, ajouter des conditions supplémentaires à leur admission à bord ou, (ii) pour une période de (en principe) cinq ans, les refuser à bord. En cas de circonstances aggravantes (telles que des fautes répétées), KLM peut décider de refuser un passager pour une période supérieure à cinq ans. Dans des cas très graves, KLM peut même décider de refuser définitivement un passager. Informations spécifiques concernant les enfants : Les enfants de moins de 15 ans faisant preuve d’un comportement inapproprié ne sont pas inscrits sur la liste. Quant aux enfants âgés de 15 à 16 ans, KLM peut ajouter des conditions à leur admission pour une période maximale d’un an. Le passager sera personnellement informé (si possible par e-mail) du fait qu’il a été placé sur la liste, de la raison de ce placement, des mesures de sécurité qui lui ont été imposées, de la durée d’application de ces mesures et de l’endroit où il peut déposer une plainte ou s’opposer à cette décision. Vous trouverez de plus amples informations sur l’accès à ces données ou leur correction dans la section 8 « Vos droits ». ii. Stupéfiants : l’État néerlandais transmet à KLM les noms des passagers ayant débarqué à l’Aéroport d’Amsterdam-Schiphol et pris en possession de stupéfiants par la gendarmerie nationale (Koninklijke Marechaussee). KLM peut refuser de conclure tout contrat de transport avec ces personnes pour une durée de 3 ans, pour les vols directs à partir de l’aéroport d’Amsterdam-Schiphol à destination du Suriname, Aruba, Bonaire, Saint-Martin ou le Curaçao et pour les vols directs en provenance de ces pays vers Schiphol. Vous pouvez demander l’autorisation d’accéder à ces données ou de les rectifier en soumettant une demande écrite à cet effet à la Royal Netherlands Marechaussee, boîte postale 90615, 2509 LP La Haye, Pays-Bas. Si vous résidez à Aruba, aux Antilles néerlandaises, au Suriname ou au Venezuela, vous devez joindre une copie de votre passeport à cette demande écrite.
(H) Pour mener nos activités commerciales ou pour nous conformer aux obligations légales Nous recueillons, utilisons et conservons vos données personnelles dans le cadre de nos activités commerciales, par exemple à des fins de tenue de dossiers, pour prévenir ou combattre la fraude ou pour régler des différends. En cas de fraude ou d’utilisation abusive de nos services, nous pouvons inclure vos données personnelles dans nos systèmes de contrôle interne des fraudes et d’alerte. Par conséquent, vos réservations peuvent faire l’objet d’un examen attentif et, dans certains cas, être refusées ou annulées, ou vous pouvez ne plus être accepté à bord de nos avions ou seulement sous certaines conditions (voir section 4.1 (G) ci-dessus). Nous recueillons et utilisons également vos données personnelles conformément à nos obligations juridiques et fiscales. 4.2 Services spécifiques, applications, événements, concours ou campagnes Pour les services spécifiques, applications, événements, concours ou campagnes, nous pouvons recueillir d’autres types de données que celles décrites dans la présente politique de confidentialité. Nous vous en informerons lorsque vous vous inscrirez au service, à l’événement, au concours ou à la campagne, ou lorsque vous téléchargerez l’application concernée. 4.3 Base juridique Nous pouvons recueillir et utiliser vos données personnelles uniquement si nous disposons d’une base légale pour le faire. Dans de nombreux cas, nous avons besoin de vos données personnelles pour recevoir votre réservation, organiser votre vol ou vos achats, faciliter votre adhésion à notre programme de fidélité, ou pour répondre à vos questions (voir sections 4.1 (A) à (B) et (F) ci-dessus). Dans ces cas, la base légale du traitement de vos données est « nécessaire à l’exécution d’un contrat ». Si vous avez donné votre consentement à la collection et à l’utilisation de vos données personnelles (consentement que vous pouvez retirer à tout moment, voir la section 8 « Vos droits » ci-dessous), nous les recueillerons et les utiliserons sur la base de ce consentement. Dans certains cas, nous pouvons utiliser vos données personnelles si nous ou des tiers avons un intérêt légitime à le faire. Nous examinerons toujours tous les intérêts avec soin : vos intérêts, ceux de tiers et ceux de KLM. Sur cette base légale, nous recueillerons et utiliserons vos données notamment à des fins de sécurité des vols, de recherche statistique ou de marketing direct, ou pour offrir des remises et des offres personnalisées (voir sections 4.1 (C), (D), (E) et (G) ci-dessus pour de plus amples informations). Il se peut que nous ayons l’obligation légale de recueillir et utiliser vos données, par exemple pour remplir les formalités des services d’immigration (voir section 4.1 (H). Si vous refusez de fournir les données personnelles que nous demandons pour exécuter le contrat ou répondre à une exigence légale, il est possible que nous soyons dans l’impossibilité de fournir l’ensemble ou une partie des services que vous nous avez demandés. Nous sommes, par exemple, susceptibles d’annuler votre vol ou de ne pas être en mesure de vous fournir les services supplémentaires que vous nous avez demandés. Si vous fournissez des informations incomplètes ou erronées, il est possible que nous vous refusions l’embarquement ou l’entrée sur un territoire étranger.
5.1. Généralités Nous pouvons transmettre ou partager vos données personnelles avec des parties tierces aux fins suivantes : (A). Pour faciliter vos réservations et vos voyages Pour gérer vos réservations, vos modalités de voyage et vos achats, nous devons souvent partager vos données personnelles avec nos compagnies aériennes partenaires, des opérateurs aéroportuaires et d’autres entreprises impliquées dans l’exécution de vos modalités de voyage (voir section 3.1 (B) ci-dessus, « Comment nous recueillons vos données »). (B) Pour notre programme de fidélité pour les entreprises bluebiz Pour plus d’informations, voir « Qui sommes-nous ? » et la section 3.1 (C) sous la rubrique « Comment collectons-nous vos données ? ». (C) Comptes d’entreprise Si vous réservez un vol en utilisant le compte d’entreprise de votre employeur, celui-ci aura accès à certains détails de réservation, tels que le prix du billet, les dates du voyage et votre destination. Votre employeur est indépendamment responsable de la manière dont il collecte et utilise vos données personnelles et vous en informe. (D) Pour obtenir de l’aide ou des services supplémentaires Pour fournir nos services, nous avons recours à un soutien ou à des services supplémentaires de tiers, tels que des fournisseurs de services informatiques, de réseaux sociaux, des agences de marketing et des fournisseurs de services de contrôle. Ces tiers sont enjoints de sauvegarder vos données personnelles de façon adéquate et de les utiliser uniquement conformément à nos instructions. Le groupe Air France-KLM réalise ses activités à partir de bases de données et de systèmes centralisés. Ces bases de données et systèmes centralisés peuvent être hébergés ou gérés par une société du groupe pour le compte d’autres sociétés du groupe. De plus, à des fins d’efficacité, certaines fonctions opérationnelles peuvent être assurées par l’une des entreprises du groupe pour d’autres entreprises du groupe. Cela signifie que les entreprises de notre groupe sont susceptibles d’avoir accès à vos données personnelles dans le cadre de ces objectifs. Les sociétés de notre groupe peuvent utiliser vos données personnelles uniquement dans le cadre de la fonction commerciale concernée et conformément à la présente politique de confidentialité. (E) Services de paiement Pour traiter les paiements de vos voyages et de vos achats, nous pouvons travailler avec des tiers qui offrent des services de paiement. Dans de nombreux cas, ces prestataires de services de paiement effectuent également des contrôles antifraude. Ils appliquent leur propre politique de confidentialité quant à la manière dont ils utilisent vos données personnelles. (F) Marketing personnalisé par le biais de plateformes de réseaux sociaux Pour en savoir plus, voir section 4.1 sous la rubrique « À quelles fins utilisons-nous vos données ? » ci-dessous. (G) Pour permettre à nos partenaires d’adapter leurs services à votre voyage Nous pouvons partager vos informations non personnalisées (destination, date et durée du voyage) avec des partenaires qui offrent des services supplémentaires (par exemple, hébergement à l’hôtel, services de location de voiture) afin qu’ils puissent vous fournir des offres adaptées à votre voyage. Nos partenaires appliquent leur propre politique de confidentialité quant à la manière dont ils utilisent vos données personnelles. 5.2. Services spécifiques, applications, événements, concours ou campagnes Pour les services spécifiques, applications, événements, concours ou campagnes, nous sommes susceptibles de partager vos données avec des tiers autres que ceux décrits dans cette politique de confidentialité, par exemple, lorsque nous organisons une campagne ou un événement en collaboration avec un partenaire ou lorsque nous intégrons leurs services dans nos applications. Nous vous en informerons lorsque vous vous inscrirez au service, à l’événement, au concours ou à la campagne, ou lorsque vous téléchargerez l’application. 5.3. Échange de données avec Transavia
Les compagnies aériennes ont l’obligation de garantir la sécurité des vols. À cette fin, KLM prend certaines mesures de sécurité (nécessaires). Par exemple, KLM tient une liste des passagers ayant fait preuve d’un comportement inapproprié au sol ou à bord (voir sections 2.1. (J) et 4.2 (G) ci-dessus). Sur la base de cette liste, KLM peut, (i) pendant une période de trois ans, ajouter des conditions supplémentaires à leur admission à bord ou (ii) les refuser à bord pendant une certaine période. Transavia, la filiale de KLM, tient une liste similaire. Pour augmenter la portée des mesures de sécurité interne prises, KLM et Transavia échangent les données personnelles des passagers dont il a été décidé qu’ils devaient être refusés à l’embarquement (voir section 4.1. (G) ci-dessus). Une personne refusée par KLM sera désormais également refusée à bord des vols Transavia (et vice versa). Si vous avez fait preuve d’un comportement inapproprié et que cela a entraîné votre inscription sur la liste, vous en serez personnellement informé par la compagnie aérienne responsable du vol où le comportement inapproprié a eu lieu.
5.4 Agences gouvernementales (A) Généralités Nous pouvons être légalement tenus de recueillir vos données personnelles avant votre voyage dans un autre pays et de les partager avec les agences gouvernementales des pays figurant sur votre itinéraire. Par exemple, nous pouvons être légalement tenus de recueillir et partager vos données d’identification et vos informations de réservation et de voyage avec ces agences aux fins de contrôle aux frontières, de formalités d’immigration, d’entrée dans un pays ou de lutte contre le terrorisme ou tout autre crime grave (voir section 5.4 (B) ci-dessous). Nous pouvons également être légalement tenus de partager vos données de santé avec les agences gouvernementales des pays de votre itinéraire à des fins de santé publique (voir section 2.1 (D) ci-dessus). (B) Données PNR et IPV i. Généralités : en vertu des règlements de l’UE 2016/679 et 2004/82 ainsi que des lois et règlements locaux applicables, nous devons transmettre les données PNR et IPV aux organismes gouvernementaux, y compris l’Unité Information Passagers (UIP) de divers pays. L’IPV (Information Préalable sur les Voyageurs) concerne les informations sur votre vol et les détails de votre passeport. Le PNR (« Passenger Name Record », ou données des dossiers passagers) concerne toutes les informations relatives à vos réservations, telles que les informations sur les vols, les passagers concernés par la réservation et les informations relatives au paiement. Nous transmettons ces données PNR à l’UIP néerlandaise (Pi-NL) pour tous les vols. Lorsque cela est nécessaire, nous transmettons également les données IPV et PNR aux autorités de pays autres que les Pays-Bas. ii. Spécificités par pays : - France : en vertu de l’article L 237-7 du Code de la sécurité intérieure français, KLM peut être amenée à transmettre vos données de réservation, d’enregistrement et d’embarquement (IPV/PNR) aux services publics nationaux français et aux autorités compétentes aux fins et dans les conditions définies par le décret n° 2014-1095 du 26 septembre 2014, modifié par le décret n° 2018/714 du 3 août 2018. 5.5. Sites Internet de tiers Nos sites Internet et applications mobiles contiennent des liens vers des sites Internet de tiers. Si vous suivez ces liens, vous sortez de nos sites Internet et de nos applications mobiles. La présente politique de confidentialité n’est pas applicable aux sites Internet de ces tiers. Pour en savoir plus sur la façon dont ces tiers traitent vos données personnelles, veuillez consulter leur politique de confidentialité et/ou politiques en matière de cookies (le cas échéant).
6.1. Sécurité (A) Notre engagement Garantir la sécurité et la confidentialité de vos données à caractère personnel est notre priorité. Compte tenu de la nature de vos données à caractère personnel et des risques liés au traitement, nous avons mis en place toutes les mesures techniques et organisationnelles appropriées requises par les dispositions légales applicables (en particulier l'article 32 du règlement général sur la protection des données (RGPD) afin d'assurer un niveau de sécurité approprié et, notamment, d'empêcher la destruction, la perte ou l'altération, la divulgation, l'intrusion ou l'accès non autorisé de manière accidentelle ou illicite à de telles données. (B) Les mesures de sécurité que nous avons prises i. Transactions bancaires : nous sommes tenus de respecter la norme de sécurité de l'industrie des cartes de paiement (la norme PCI DSS) publiée par le PCI Security Standards Council (PCI SSC). Cette norme a été créée pour accroître le contrôle des informations sur les titulaires de cartes afin de réduire l'utilisation frauduleuse des instruments de paiement. Tous les prestataires de services de KLM qui doivent traiter les données des cartes bancaires doivent se conformer à la norme PCI DSS. Nous nous efforçons de lutter contre l’usurpation d'identité sur l'internet. C'est pourquoi nous utilisons, par exemple, un dispositif de détection des paiements frauduleux destiné à vous protéger en cas de perte ou de vol de votre carte bancaire. ii. Mesures organisationnelles : Nous avons adopté et maintenons diverses mesures organisationnelles destinées à renforcer la sensibilisation et la responsabilité de nos employés. Nous avons mis en place des programmes conçus à la fois pour assurer la sensibilisation et promouvoir le partage des bonnes pratiques et des normes de sécurité. À cette fin, nous avons mis à la disposition de nos employés une collection étendue de documents sur les défis en matière de sécurité de l'information et de protection de la vie privée. iii. Mesures techniques: nous contrôlons strictement l'accès physique et logique aux serveurs internes qui hébergent ou traitent vos données à caractère personnel. Nous protégeons notre réseau avec des dispositifs matériels de pointe (pare-feu, IDS, DLP, etc.) ainsi que des architectures (y compris des protocoles sécurisés tels que TLS 1.2) afin de prévenir et de limiter le risque de cybercriminalité. (C) L'évolution de nos systèmes de sécurité Pour maintenir un niveau de sécurité approprié, nous avons mis en place des processus internes basés sur les meilleures normes (en particulier, la série de normes ISO 27000). Nous nous appuyons sur des experts attitrés pour garantir le meilleur niveau de protection possible. Nous entretenons à ce propos une relation privilégiée avec le NCSC (National Cyber Security Centre). (D) Comment vous protéger La sécurité et la confidentialité des données à caractère personnel dépendent des meilleures pratiques de chacun. Lorsque vous faites une réservation, vous recevez des références de dossier. Ces références de réservation doivent toujours rester confidentielles. Leur divulgation à d'autres passagers peut leur permettre d'accéder à vos informations de réservation par le biais de nos systèmes ou de ceux de tiers impliqués dans la réalisation de votre voyage (p. ex. les agences de voyage ou les sites de recherche et de réservation en ligne). Si vous voyagez avec d'autres personnes et que vous ne souhaitez pas que vos informations personnelles leur soient divulguées, nous vous recommandons de faire des réservations séparées. Nous vous conseillons également de ne pas divulguer à des tiers les mots de passe que vous utilisez pour accéder à nos services, de vous déconnecter systématiquement de votre profil et de votre compte social (en particulier dans le cas de comptes liés), et de fermer la fenêtre du navigateur à la fin de votre session, en particulier si vous accédez à Internet depuis un ordinateur public. D'autres utilisateurs ne pourront pas alors accéder à vos données à caractère personnel. Pour éviter le risque de piratage, nous vous recommandons d'utiliser des mots de passe différents pour chaque service en ligne que vous utilisez. Nous ne pouvons être tenus responsables du vol de vos données sur une plateforme dont nous n’assurons pas la gestion. En outre, nous vous recommandons vivement de ne pas distribuer à des tiers les documents émis par KLM contenant vos données à caractère personnel (votre carte d'embarquement, votre numéro de billet, etc.) ou d'autres informations relatives à votre voyage, ni de les publier sur des réseaux sociaux. Si vous décidez de publier ces documents sur les réseaux sociaux, il vous incombe de consulter et de comprendre les conditions générales d'utilisation, les pratiques de sécurité de l'information et les politiques de confidentialité applicables à ces réseaux sociaux tiers. Nous ne pouvons être tenus responsables de la manière dont les données sont traitées, enregistrées ou divulguées sur ces plateformes. Pour en savoir plus sur nos mesures de sécurité informatique, veuillez consulter notre portail de sécurité informatique. (E) Gestion des incidents de sécurité Le « risque zéro » n'existe pas et même si nous mettons en œuvre toutes les mesures de sécurité reconnues comme appropriées, des imprévus peuvent survenir. Nous avons mis en place des procédures et des ressources spécifiques pour gérer les incidents de sécurité dans les meilleures conditions possibles. Nous avons également instauré une procédure spécifique pour évaluer les éventuelles violations de la sécurité qui pourraient entraîner de manière accidentelle ou illicite la destruction, la perte ou l'altération, la divulgation ou l'accès non autorisé à de telles données, pour informer l'autorité de contrôle compétente dans le délai prévu par le droit applicable et vous avertir lorsqu'une violation est susceptible d'entraîner un risque élevé pour vos droits et libertés. Des tests sont menés périodiquement afin de vérifier le fonctionnement des installations de sécurité et l'adéquation des procédures et des dispositifs déployés. 6.2. Conservation Nous ne conservons pas vos données à caractère personnel plus longtemps que nécessaire. La durée de conservation de vos données à caractère personnel dépend des finalités pour lesquelles elles sont traitées et des périodes de conservation légales applicables.
9.1. La présente politique de confidentialité est entrée en vigueur le 15 septembre 2022 et a remplacé notre précédente politique de confidentialité du 20 août 2020. Cette politique de confidentialité est modifiée de temps à autre. Nous vous informerons de tout changement avant qu’il n’entre en vigueur.