Politique de protection des données personnelles
LES données personnelles
AVIS DE PROTECTION
Ce document, par son concept et sa réalisation technique unique, est protégé par les lois relatives à la propriété intellectuelle.
Toute imitation ou reproduction, totale ou partielle, de sa conception ou de son exécution technique est strictement interdite et passible de poursuites judiciaires.
De même, toute divulgation des informations qu’il contient, ou de toute donnée permettant sa reproduction ou son imitation, est formellement interdite.
Préambule
Objet de la politique
La présente politique de confidentialité a pour objet d’informer les familles, les participants et les utilisateurs du site www.avea-vacances.fr sur les conditions dans lesquelles l’association AVEA Séjours collecte, utilise et protège les données à caractère personnel les concernant (ci-après les « Données »).
Elle s’applique à l’ensemble des traitements de données mis en œuvre par AVEA Séjours, quel que soit le mode de collecte (en ligne, par téléphone, par courrier ou via des partenaires).
Cadre juridique applicable
Les Données sont traitées conformément au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel (RGPD), ainsi qu’aux dispositions de la loi n°78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».
Une donnée à caractère personnel désigne toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement.
Contexte et nature des données traitées
Dans le cadre de l’organisation de séjours de vacances et de l’accueil de mineurs, AVEA Séjours est amenée à traiter des données personnelles relatives à l’identification des mineurs et de leurs responsables légaux, à leur situation administrative, familiale et financière, ainsi qu’aux informations nécessaires à l’encadrement, à la sécurité et au bon déroulement des séjours.
Certains traitements peuvent porter sur des données sensibles, notamment des données relatives à la santé des mineurs, strictement nécessaires à leur sécurité et à la bonne organisation des séjours.
Principes appliqués par AVEA Séjours
AVEA Séjours s’engage à respecter les principes fondamentaux du RGPD, notamment :
- Licéité et transparence : les Données sont traitées sur la base d’un fondement juridique identifié et pour des finalités déterminées.
- Minimisation : seules les Données strictement nécessaires sont collectées.
- Durées de conservation limitées : les Données sont conservées pour une durée proportionnée aux finalités poursuivies et aux obligations légales.
- Sécurité et confidentialité : des mesures techniques et organisationnelles appropriées sont mises en œuvre afin de protéger les Données.
- Respect des droits : les personnes concernées disposent de droits sur leurs Données et peuvent les exercer dans les conditions prévues par la réglementation.
La présente politique peut être amenée à évoluer afin de tenir compte des évolutions légales, réglementaires ou des activités d’AVEA Séjours.
Champ d'application
Personnes concernées
La présente politique s’applique à toute personne dont les Données sont traitées par AVEA Séjours, notamment :
- Les utilisateurs du site,
- Les clients et familles,
- Les représentants légaux des mineurs,
- Les partenaires, le cas échéant, selon les services concernés.
Responsable de traitement
Le responsable du traitement est l’association AVEA Séjours, qui détermine les finalités et les moyens des traitements mis en œuvre. Selon les services concernés, AVEA Séjours peut agir en qualité de responsable de traitement, de responsable conjoint avec certains partenaires, ou de sous-traitant pour le compte d’un partenaire lorsque cela est prévu contractuellement.
Délégué à la protection des données (DPO)
AVEA Séjours a désigné un Délégué à la protection des données (DPO), chargé de veiller au respect de la réglementation applicable et d’être le point de contact pour toute question relative à vos Données. Pour le contacter :
- Adresse mail : protection-donnees@avea.asso.fr
- Adresse postale : AVEA Séjours – 8 rue Brillat-Savarin, 75013 Paris
Définitions principales
Au sens de la présente politique :
- Données : toute information se rapportant à une personne physique identifiée ou identifiable.
- Traitement : toute opération portant sur des Données (collecte, utilisation, conservation, transmission, suppression, etc.).
- Utilisateur : toute personne naviguant sur le site www.avea-vacances.fr.
- Client : toute personne disposant d’un compte ou ayant recours aux services proposés par AVEA Séjours.
- Sous-traitant : toute entité traitant des Données pour le compte d’AVEA Séjours ou de ses partenaires, sur instruction documentée.
Quelles sont les données collectées par AVEA Séjours ?
Introduction aux données collectées, finalités et bases légales
Dans le cadre de la consultation du site et de l’organisation des séjours, AVEA Séjours est amenée à collecter différentes catégories de données, soit directement auprès de vous (formulaires en ligne, création de compte, inscription à un séjour, échanges avec nos équipes), soit via des outils techniques nécessaires au fonctionnement du site et à la mesure de son audience (notamment via des cookies, sous réserve de votre choix).
Ces données sont utilisées notamment pour gérer votre compte, traiter vos demandes d’inscription, organiser les séjours et assurer le suivi administratif (dont la facturation et les paiements), ainsi que, lorsque cela est applicable, pour vous adresser des informations relatives aux offres d’AVEA Séjours. Les catégories de données collectées, les finalités associées et les bases légales correspondantes sont présentées dans le tableau ci-dessous.
Le traitement de vos données personnelles peut reposer sur les bases légales suivantes :
- Le consentement : lorsque vous acceptez expressément de recevoir des communications marketing de nos filiales.
- L'exécution du contrat : lorsque le traitement est nécessaire pour vous fournir les services que vous avez demandés (par exemple, la création de votre compte utilisateur).
- L'intérêt légitime : lorsque nous avons un intérêt légitime à traiter vos données, à condition que cela ne porte pas atteinte à vos droits et libertés (par exemple, pour améliorer nos services et prévenir la fraude).
- La protection des intérêts vitaux : gestion d’une situation d’urgence impliquant un mineur.
Précision : cette politique de confidentialité ne couvre pas la collecte et le traitement des données personnelles des employés de l'entreprise. Ces informations sont traitées conformément à l'avis de confidentialité dédié aux employés.
Mise en application : tableau des données collectées
| Données collectées | Finalité | Base légale |
|---|---|---|
| Données d’identification du représentant légal (nom, prénom, email, téléphone) | Création et gestion du compte, échanges avec les familles | Exécution du contrat |
| Données d’identification de l’enfant (nom, prénom, âge, séjour choisi) | Inscription et organisation des séjours | Exécution du contrat |
| Données relatives à la santé de l’enfant (fiche sanitaire, allergies, traitements, besoins spécifiques) | Sécurité, prise en charge médicale et adaptation du séjour | Obligation légale / Intérêt vital |
| Données administratives liées au séjour (documents obligatoires, autorisations parentales) | Respect des obligations réglementaires liées à l’accueil de mineurs | Obligation légale |
| Données de transport et de convoyage (lieux de départ/arrivée, informations pratiques) | Organisation et sécurisation des déplacements | Exécution du contrat |
| Données de facturation et de paiement (factures, montants, moyens de paiement) | Gestion comptable et financière des séjours | Obligation légale |
| Données relatives aux échanges avec les familles (demandes, réclamations, suivi) | Relation familles et amélioration du service | Intérêt légitime |
| Données de communication (inscription à la newsletter, envoi d’informations AVEA) | Information et communication sur les offres et activités AVEA | Consentement |
| Données de navigation et cookies (données techniques, mesure d’audience) | Fonctionnement du site et analyse statistique | Consentement |
| Données de sécurité (logs techniques, traces de connexion) | Sécurité du site et prévention des incidents | Intérêt légitime |
Combien de temps AVEA Séjours conserve vos données ?
Durées de conservation
La durée de conservation des Données dépend de leur nature, des finalités poursuivies et des obligations légales ou réglementaires applicables à AVEA Séjours. Les Données sont conservées uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, puis supprimées ou archivées de manière sécurisée, sauf obligation légale imposant une conservation plus longue.
Le tableau ci-dessous présente les durées de conservation spécifiques pour les différentes catégories de données que nous collectons :
| Type de données | Durée de conservation |
|---|---|
| Données d’identification du représentant légal (compte, coordonnées) | Durée de la relation + 3 ans à compter du dernier contact |
| Données d’identification de l’enfant et données d’inscription au séjour | Durée du séjour + archivage 3 ans (gestion des litiges / preuve) |
| Données de santé de l’enfant (fiche sanitaire, allergies, traitements, besoins spécifiques) | Durée du séjour + suppression à l’issue du séjour (sauf obligation légale ou contentieux) |
| Documents et autorisations obligatoires (autorisations parentales, justificatifs réglementaires) | Durée du séjour + archivage 3 ans |
| Données liées aux transports/convoyages (trajets, informations opérationnelles) | Durée du séjour + 1 an |
| Données de facturation et pièces comptables | 10 ans (obligation légale) |
| Échanges avec les familles (demandes, réclamations, suivi) | 3 ans à compter de la clôture de la demande / dernier échange |
| Données de communication (newsletter, campagnes email) | Jusqu’au retrait du consentement ou 3 ans après le dernier contact |
| Cookies et traceurs (mesure d’audience, personnalisation, etc.) | Durée variable selon le cookie, 13 mois maximum |
| Journaux techniques et données de sécurité (logs, traces de connexion) | 6 à 12 mois |
Remarques
Dans certains cas, AVEA Séjours agit en qualité de sous-traitant pour le compte de partenaires agissant en tant que responsables de traitement. Dans ce cadre, les durées de conservation applicables sont définies par les partenaires concernés et encadrées contractuellement. AVEA Séjours s’engage alors à traiter les Données uniquement sur instruction documentée du responsable de traitement et à ne pas les conserver au-delà des durées autorisées.
Lorsque des Données sont partagées avec des sous-traitants d’AVEA Séjours, cela est strictement limité aux besoins de l’exécution des services et encadré par des contrats conformes au RGPD.
Mesures de sécurité appliquées à vos données personnelles
AVEA Séjours veille à assurer la sécurité des Données traitées. Des mesures techniques et organisationnelles appropriées sont mises en œuvre afin de garantir un niveau de sécurité adapté aux risques, notamment au regard de la nature des Données traitées. Ces mesures visent à protéger les Données contre tout traitement illicite ou non autorisé, ainsi que contre toute perte, altération, destruction ou divulgation accidentelle. À ce titre, AVEA Séjours met notamment en œuvre les mesures suivantes :
- Des mécanismes de contrôle des accès et de gestion des habilitations, limitant l’accès aux Données aux seules personnes autorisées et dans le cadre de leurs missions ;
- Des dispositifs d’authentification et de protection des comptes utilisateurs ;
- Des mesures de protection des environnements informatiques (postes de travail, serveurs, applications) ;
- Des sauvegardes régulières et des procédures permettant d’assurer la disponibilité et l’intégrité des Données ;
- Des mesures de traçabilité et de supervision, lorsque cela est nécessaire.
Sur le plan organisationnel, AVEA Séjours a mis en place des procédures internes visant à encadrer le traitement des Données et à limiter les risques de divulgation, notamment :
- La tenue d’un registre des traitements ;
- Une procédure de gestion et de notification des violations de Données auprès de l’autorité de contrôle compétente, dans les délais réglementaires ;
- La sensibilisation et la formation des personnes autorisées à traiter des Données ;
- La désignation de référents en charge de la protection des Données et de la sécurité des systèmes d’information, chargés du suivi et de l’amélioration continue des mesures mises en place.
Ces mesures permettent notamment de prévenir les accès non autorisés aux locaux, aux systèmes et aux Données, de contrôler les traitements effectués, et de garantir que les Données sont utilisées conformément aux finalités définies.
Où les données sont-elles conservées et envoyées par AVEA Séjours ?
Stockage des données
AVEA Séjours met en œuvre une architecture de stockage mixte, reposant à la fois sur des infrastructures internes et sur des prestataires d’hébergement spécialisés, afin d’assurer la sécurité, la disponibilité et la continuité des traitements de Données personnelles.
Stockage interne et infrastructures maîtrisées par AVEA Séjours
Certaines Données sont hébergées sur des infrastructures exploitées directement par AVEA Séjours, notamment au sein de ses environnements internes et de ses serveurs dédiés. Ces Données sont accessibles uniquement aux personnes habilitées et protégées par des mesures de sécurité appropriées.
Hébergement chez des prestataires
AVEA Séjours confie l’hébergement de certaines Données à des prestataires spécialisés, notamment pour ses applications métiers, ses sites internet et certains outils de gestion.
À ce jour, les principaux prestataires identifiés sont :
- Cyllene (France – EEE) : hébergement des applications métiers ARIS (gestion des familles, inscriptions, offres de séjours, transports), de l’Extranet directeurs et de la solution E-Trafic ;
- OnLine / Scaleway (France – EEE) : hébergement du site internet AVEA-Vacances et de certaines applications spécifiques ;
- Datacenter Céleste (France – EEE) : hébergement de solutions de gestion et de pilotage, notamment comptables, financières et RH (Sage, Kelio, outils de reporting) ;
- Prestataires SaaS agissant en qualité de sous-traitants (ex. solutions de paiement, d’envoi de SMS, de marketing, de téléphonie), dont les données sont hébergées majoritairement au sein de l’EEE.
Transfert de données hors de l'Union Européenne
Dans certains cas, AVEA Séjours peut être amené à transférer vos données personnelles vers des pays situés en dehors de l'Union Européenne. Ces transferts sont effectués uniquement si nécessaire pour la réalisation des finalités décrites dans la présente politique de confidentialité et dans le respect des exigences du RGPD.
Lorsque nous transférons vos données vers un pays situé en dehors de l'Union Européenne, nous nous assurons que ce transfert est encadré par des garanties appropriées, telles que :
- Une décision d'adéquation de la Commission Européenne reconnaissant que le pays tiers assure un niveau de protection adéquat des données personnelles.
- La signature de clauses contractuelles types approuvées par la Commission Européenne avec le destinataire des données.
- La mise en place d'autres mécanismes de transfert reconnus comme valides par le RGPD.
Concernant les transferts de données vers les Etats-Unis, suite à l’invalidation du Privacy Shield, les transferts de données vers les États-Unis s’effectuent désormais dans le cadre du Data Privacy Framework UE-États-Unis, lorsque nos prestataires y sont certifiés. Si ce n’est pas le cas, nous exigeons l’application des clauses contractuelles types (CCT) et d’autres garanties appropriées afin d’assurer un niveau de protection équivalent à celui exigé par le RGPD.
Nous nous engageons à ne transférer vos données personnelles que dans des conditions garantissant leur sécurité et leur confidentialité, et nous restons à votre disposition pour toute question relative à ces transferts.
Analyse d'Impact sur la Protection des Données (AIPD)
L'AIPD est un outil permettant de construire des traitements de Données respectueux de la vie privée, de démontrer leur conformité au RGPD, d'étudier les éventuels risques sur la sécurité des Données (disparition ou fuite, accès non autorisé) et l'impact potentiel sur la vie privée et les mesures techniques et/ou d'organisation pour protéger les Données. Nous l'appliquons systématiquement pour les traitements susceptibles d'engendrer des risques élevés.
AVEA Séjours a ainsi décidé :
- D'établir des procédures garantissant l'étude approfondie des nouveaux projets (évaluation des risques pouvant découler du traitement de Données) ;
- Qu'une AIPD sera complétée avant de commencer tout traitement à haut risque de Données ;
- Que le Délégué à la protection des Données sera consulté systématiquement en matière d'AIPD ;
- De nous assurer que les mesures d'atténuation définies dans l'AIPD sont effectivement mises en œuvre ;
- Que s'il était impossible de réduire l'exposition au risque et le potentiel impact afférent, AVEA Séjours consultera la CNIL.
Règles de bonne conduite
AVEA Séjours procède à des vérifications préalables à la contractualisation avec ses Sous-traitants ainsi qu'à des contrôles réguliers, permettant d'assurer l'établissement de procédures approuvées au traitement de Données de chaque Sous-traitant et de la conformité avec la Loi applicable.
Mesures spécifiques en cas de violation des données personnelles
En cas de violation des données personnelles, AVEA Séjours notifiera l'incident à l'Autorité de contrôle, la CNIL, au plus tard 72h après en avoir pris connaissance, conformément à l'article 33 RGPD.
Comme le prévoit l'article 34 RGPD, AVEA Séjours informera la personne concernée de toute violation de ses Données, lorsque celle-ci est susceptible d'engendrer un risque élevé pour ses droits et libertés.
Un personnel formé
AVEA Séjours s'engage à former son personnel et à le sensibiliser aux devoirs et obligations lui incombant en matière de protection des Données de manière régulière. A cet effet, les procédures sont documentées, l'accès aux Données est limité aux seules personnes qui les utilisent.
En cas de besoin de clarification, le personnel a l'obligation de s'adresser au Délégué à la protection des données personnelles.
Droit des Clients ou Utilisateurs de nos Services
Comment exercer vos droits ?
Vous pouvez exercer vos droits à tout moment en contactant le DPO d’AVEA Séjours :
- Email : protection-donnees@avea.asso.fr
- Courrier : AVEA Séjours – DPO, 8 rue Brillat-Savarin, 75013 Paris
Afin de garantir la sécurité des Données et prévenir toute demande frauduleuse, AVEA Séjours peut être amenée à demander un justificatif d’identité, strictement limité à la vérification de l’identité du demandeur.
AVEA Séjours s’engage à répondre à toute demande dans un délai d’un mois à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires en cas de demande complexe ou de volume important, conformément à l’article 12 du RGPD ; le demandeur en sera alors informé.
Quels sont vos droits ?
Conformément au Règlement (UE) 2016/679 (RGPD), vous disposez des droits suivants :
- Droit à l’information :
Vous avez le droit d’obtenir des informations claires, transparentes et compréhensibles sur la manière dont vos Données sont collectées et utilisées.
- Droit d’accès :
Vous pouvez obtenir la confirmation que vos Données sont traitées par AVEA Séjours et, le cas échéant, accéder à ces Données ainsi qu’aux informations relatives aux traitements mis en œuvre.
- Droit de rectification :
Vous pouvez demander la correction ou la mise à jour de vos Données lorsqu’elles sont inexactes, incomplètes ou obsolètes.
- Droit à l’effacement (droit à l’oubli) :
Vous pouvez demander la suppression de vos Données lorsque celles-ci ne sont plus nécessaires au regard des finalités poursuivies, lorsque vous retirez votre consentement ou lorsque le traitement est illicite, sous réserve des obligations légales de conservation.
- Droit à la limitation du traitement :
Vous pouvez demander la suspension temporaire du traitement de vos Données dans certains cas, notamment en cas de contestation de l’exactitude des Données ou de traitement illicite.
- Droit d’opposition :
Vous pouvez vous opposer à tout moment au traitement de vos Données pour des motifs légitimes, et sans justification lorsque le traitement est fondé sur l’intérêt légitime ou effectué à des fins de prospection commerciale.
- Droit à la portabilité :
Lorsque le traitement est fondé sur votre consentement ou sur un contrat et réalisé à l’aide de procédés automatisés, vous pouvez demander à recevoir les Données que vous avez fournies dans un format structuré, couramment utilisé et lisible par machine, ou demander leur transmission directe à un autre responsable de traitement lorsque cela est techniquement possible.
- Droit de ne pas faire l’objet d’une décision automatisée :
Vous avez le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou vous affectant de manière significative, sauf dans les cas prévus par la réglementation.
Désinscription aux communications commerciales et newsletters
AVEA Séjours peut vous adresser des communications commerciales ou informatives (notamment newsletters) afin de vous tenir informé de ses offres, actualités et services. Vous pouvez retirer votre consentement ou vous opposer à ces communications à tout moment, sans frais :
- En cliquant sur le lien de désinscription figurant dans chaque email ;
- Ou en contactant directement le DPO d’AVEA Séjours.
La prise en compte de la désinscription est effective dans les meilleurs délais et n’affecte pas la licéité des traitements réalisés antérieurement.
Identification de l'autorité de contrôle
L'autorité de contrôle compétente en France est la Commission nationale de l'informatique et des libertés (CNIL). Vous pourrez adresser vos réclamations à la CNIL si vous ne parvenez pas à exercer vos droits Informatique et Libertés.
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy,
75007 PARIS,
01 53 73 22 22
CONSULTEZ AUSSI
- Notre politique relative à l'utilisation des cookies sur le site AVEA Vacances
- Nos conditions générales de vente (CGV)
- Les mentions légales