AVIS DE CONFIDENTIALITÉ Reed & Mackay

MARKETING – R&M partage des communications marketing avec les clients et prospects potentiels,
uniquement lorsque ceux-ci ont accepté cette forme de communication ou lorsque nous avons un
intérêt légitime au traitement de ces données.

DÉSINSCRIPTION – R&M ne s’appuie pas sur le consentement comme base légale de traitement des
Données à caractère personnel autrement que dans le cadre de la prospection ou du lead marketing.

Pour nous demander, ou demander à nos tiers qui nous accompagnent dans ces activités marketing,
de cesser l’envoi de messages marketing à tout moment, nous vous invitons à nous contacter à
marketing.fr@reedmackay.com ou à nous écrire à l’adresse suivante :

Reed & Mackay France
Service Marketing
15, rue Traversière
75012 Paris
France

Veuillez noter que ce droit de désinscription ne s’applique pas aux Données à caractère personnel qui
nous sont fournies à la suite d’un achat de produit/Service, de la manifestation d’un intérêt, d’un
enregistrement de garantie, d’une expérience produit/Service ou autres transactions.

ENREGISTREMENT DES APPELS – R&M est susceptible d’enregistrer les appels de ses Clients à des
fins de formation et de suivi. Le Client appelant en est informé au début de l’appel et les
enregistrements ne sont conservés que pendant 6 mois, après quoi ils sont définitivement supprimés.

COOKIES – Les paramètres du navigateur peuvent refuser tout ou partie des Cookies du navigateur
(non essentiels), ou afficher des alertes lorsque les sites Web les installent ou y accèdent. Si les
Cookies sont désactivés ou refusés, veuillez noter que certaines parties de nos sites Web ou de notre
technologie peuvent devenir inaccessibles ou ne pas fonctionner pleinement. Pour plus d’informations
sur les Cookies que nous utilisons, veuillez consulter notre Politique de Cookies.

4. Divulgations de Données à caractère personnel

Nous partageons des Données à caractère personnel avec les parties indiquées plus bas uniquement
dans la mesure nécessaire, pour soutenir les finalités énoncées dans le tableau du paragraphe 3 cidessus.
Les Sous-traitants sont les tiers avec lesquels nous sommes liés par contrat afin de nous aider à
fournir nos Services à votre organisation. Cela inclut les tiers auxquels nous faisons appel pour faire
fonctionner nos outils tels que nos outils en ligne de réservation de voyages et de réunions. Tous ces
tiers s’engagent à respecter les dispositions de l’Article 28 du RGPD afin de garantir que vos Données
à caractère personnel sont protégées par nos sous-traitants au même niveau que par nous-mêmes, et
qu’ils n’utilisent les Données à caractère personnel que pour les finalités spécifiques que nous leur
indiquons.

Veuillez consulter la section suivante, Transferts Internationaux, pour comprendre la manière dont
nous restons conformes aux règles du RGPD lors du transfert de vos Données à caractère personnel
hors de l’UE. Afin d’éviter toute ambiguïté, cela n’inclut pas les Prestataires de Services de Voyage.

Pour consulter la liste de nos sous-traitants ultérieurs, nous vous invitons à en soumettre la demande
à dpo.fr@reedmackay.com.

Les Prestataires de Services de Voyage sont les tiers qui vous fournissent directement les services
de voyage. R&M s’engage avec eux en votre nom en tant qu’agent autorisé de notre Client afin de
faciliter la fourniture des Services. Les Prestataires de Services sont classés comme suit :

• Les Parties fournissant des services de voyage et auprès desquelles R&M effectue des réservations
au nom de ses Clients, incluant les compagnies aériennes, les hôtels, les opérateurs ferroviaires
et autres transports terrestres avec lesquelles nos Clients choisissent de voyager,

• Les Parties facilitant ou traitant les réservations (par voie électronique ou autre) effectuées par
R&M au nom de notre Client dans le cadre des services de voyage, incluant les outils de
réservation en ligne ou autres logiciels externes et les agents de voyages, ou

• Les Parties traitant les demandes et nous aidant à ou améliorant la capacité d’une personne à
bénéficier les Services, incluant les organismes de délivrance de passeports et de visas, les
agences de change de devises, les agences de services d’informations de voyage et autres agences
similaires.

Les Prestataires de Services de Voyage sont des Responsables du traitement des Données à caractère
personnel indépendants et ont des obligations directes envers vous concernant le traitement et la
sécurité de vos Données, ainsi que votre capacité à faire valoir vos droits individuels. R&M agit
toujours dans ces circonstances en tant que Sous-traitant au nom de notre Client. Nous ne sommes
pas responsables des actes ou omissions de ces Prestataires de services.

LIENS TIERS

Notre site Web ou l’utilisation de notre technologie ou de nos Services peuvent inclure des liens vers
des sites Web, des plug-ins tiers et des applications tierces. Cliquer sur ces liens ou activer ces
connexions est susceptible de permettre à des tiers de collecter ou de partager des Données à
caractère personnel. Nous ne contrôlons pas ces tiers et ne sommes pas responsables de la manière
dont ils traitent les Données à caractère personnel.

5. TRANSFERTS INTERNATIONAUX

En tant que Sous-traitant pour nos Clients et dans le cadre de la fourniture d’un service global, nous
partageons des Données à caractère personnel entre les entités sous le contrôle opérationnel de R&M
(veuillez consulter ces entités plus bas dans la section Entités du Groupe), avec nos partenaires
Entreprises de Gestion de Voyages (EGV) locaux et avec des sous-traitants tiers. Cela implique le
transfert de Données à caractère personnel en dehors du Royaume-Uni et de l’Espace Economique
Européen (EEE).

Nous veillons à ce que le même degré de protection soit accordé à toutes les Données à caractère
personnel en veillant à ce qu’au moins une des protections suivantes soit mise en œuvre :

• Nous ne transférons les Données à caractère personnel que vers des pays qui ont été jugés
en capacité de fournir un niveau de protection adéquat des données par la CNIL ou la
Commission Européenne.

• En l’absence de décision d’adéquation, nous mettrons en œuvre les outils de transfert
nécessaires spécifiés dans les Clauses Contractuelles Types ou l’International Data Transfer
Agreement du Royaume-Uni (ou Addendum), ainsi que des mesures supplémentaires si
nécessaire avec nos sous-traitants stockant et traitant des données aux États-Unis et autres
pays tiers en mettant en œuvre des outils de chiffrement appropriés, conformément à la
récente décision Schrems II.

6. SÉCURITÉ DES DONNÉES

R&M opère dans le cadre d’une société internationale, les Données à caractère personnel de nos
Clients sont traitées par nos entités internationales comme indiqué dans les paragraphes 4 et 5 cidessus. Nous stockons cependant toutes les Données à caractère personnel au Royaume-Uni.

Nous avons mis en place des mesures de sécurité appropriées afin d’empêcher tout accès accidentel,
non autorisé ou illégal, ainsi que toute perte, altération ou divulgation de Données à caractère
personnel. En outre, nous n’autorisons l’accès à vos Données à caractère personnel à ces employés,
agents, sous-traitants et autres tiers que s’ils en ont un réel besoin. Ils ne traitent les Données à
caractère personnel que lorsque nous leur indiquons de le faire et ils sont soumis à une obligation de
confidentialité.

Nous avons mis en place des procédures de traitement en cas de violation présumée de Données à
caractère personnel et nous en informons nos Clients et tous les organismes de régulation concernés
dès lors que nous sommes légalement tenus de le faire.

7. CONSERVATION DES DONNÉES

PÉRIODE DE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

Nous ne conservons les Données

à caractère personnel que durant le temps nécessaire pour atteindre la finalité pour laquelle elles
ont été traitées, notamment afin de satisfaire à toute exigence légale, comptable ou d’établissement
de rapports.

Afin de déterminer les mesures de conservation des Données à caractère personnel appropriées, nous
prenons en compte la quantité, la nature et la sensibilité de ces Données, le risque potentiel de
préjudice résultant d’une utilisation ou d’une divulgation non autorisée de ces Données, ainsi que les
finalités pour lesquelles nous les traitons.

Plus précisément, les Données à caractère personnel de nos Clientes conservées dans les profils, les
historiques/réservations de voyages sont conservés pendant la durée du contrat avec l’organisation
Cliente, sauf indication contraire de cette dernière.
Les demandes de suppression de profils peuvent provenir des flux de maintenance automatique
réguliers ou ponctuels des profils fournis par certains de nos Clients, elles peuvent être demandées
via le portail ou via des conseillers en voyages étant habilité à supprimer des profils.

Les données d’Informations de Gestion (MI – Management Information), susceptibles de contenir des
détails de voyage (dont les noms des voyageurs, mais pas le passeport, etc.), sont conservées pendant
une période de 5 ans (continue), quel que soit le statut de validité du contrat avec notre Client (c.-
à-d. que ces données sont conservées pendant 5 ans après la date du dernier voyage).

De même, l’Historique des Transactions, qui inclut les détails du voyage (ainsi que les noms des
voyageurs, mais pas le passeport, etc.), est conservé pendant au moins 7 ans aux fins du respect des
obligations légales.

Les enregistrements des appels sont conservés pendant 6 mois.

Les Données à caractère personnel qui ne sont plus nécessaires sont supprimées définitivement des
systèmes informatiques et toutes les copies papier sont détruites de manière sécurisée.

À des fins fiscales, et conformément à la loi, nous sommes tenus de conserver les informations de
base sur nos Clients (dont leurs Coordonnées, les Données Financières et Transactionnelles) pendant
10 ans après la fin de notre relation avec eux.

Dans certaines circonstances, nous sommes susceptibles d’anonymiser les Données à caractère
personnel (afin qu’elles ne puissent plus être associées à une personne) à des fins de recherche ou
statistiques, auquel cas nous sommes en droit d’utiliser ces informations indéfiniment sans autre
information.

8. DROITS LÉGAUX

Vous pouvez nous contacter afin de formuler une demande de mise en œuvre de vos Droits
Individuels ci-dessous à l’adresse dpo.fr@reedmackay.com

En tant que Sous-traitant des Données à caractère personnel pour le compte de ses Clients, R&M
ne peut donner effet aux demandes de mise en œuvre des droits individuels que sur instruction de
ceux-ci. Nous sommes tenus de vérifier votre demande auprès de votre organisation et d’obtenir
son autorisation pour donner effet à ces droits en tant que Sous-traitant :

• Demande d’accès aux Données à caractère personnel (communément appelée « Demande
d’accès de la personne concernée »). Ce droit permet aux personnes de recevoir une copie
des Données à caractère personnel détenues les concernant et de vérifier la légalité du
traitement de celle-ci.

• Demande de rectification des Données à caractère personnel que nous détenons sur une
personne. Ce droit permet aux personnes de faire rectifier toutes les données incomplètes
ou inexactes que nous détenons à leur sujet, même si nous pouvons être amené à vérifier
l’exactitude des nouvelles données qui nous sont fournies.

• Demande d’effacement des Données à caractère personnel. Ce droit permet aux
personnes de nous demander de supprimer ou de retirer des Données à caractère personnel
lorsqu’il n’y a plus aucune raison valable pour nous de continuer à les traiter. Notez
toutefois que nous sommes susceptibles de pas être en mesure de donner une suite
favorable à la demande d’effacement pour des raisons légales spécifiques qui seront
notifiées au demandeur, le cas échéant, au moment de la demande.

• Demande de transfert des Données à caractère personnel. Cette demande est
généralement formulée par l’entreprise si elle apporte des changements à votre Service.
Sur demande de notre Client, nous fournissons les données dans un format structuré,
couramment utilisé et lisible par machine. Notez que ce droit s’applique uniquement aux
informations détenues sur des supports électroniques qui nous ont été initialement
fournies afin d’exécuter un contrat établi avec votre organisation.

Veuillez noter que les Clients et les particuliers ont la possibilité de mettre à jour ou de supprimer
certains éléments de Données à caractère personnel inclus dans leur profil via une interface du
système RH de notre Client, via un accès direct à leur profil, ou via un conseiller/agent de voyages.

Lorsque cela n’est pas possible ou applicable, ou qu’une personne souhaite exercer l’un des autres
droits énoncés ci-dessus, nous vous invitons à nous contacter à l’adresse dpo.fr@reedmackay.com.

Lorsque nous traitons vos Données à caractère personnel en tant que Sous-traitant (comme décrit
au paragraphe 3 ci-dessus), au nom de notre Client, nous informons le Responsable du traitement
de la demande sans retard injustifié et l’aidons à y répondre favorablement.

Lorsque nous agissons en qualité de Responsable du traitement de vos Données à caractère
personnel (en tant qu’employeur, et pour des communications spécifiques avec les Clients et des
améliorations du Service), nous sommes en mesure de répondre directement à vos demandes de
mise en œuvre de vos Droits Individuels. En sus des droits énumérés ci-dessus, vous pouvez
également :

• Vous opposer au traitement des Données à caractère personnel pour lesquelles nous nous
appuyons sur un intérêt légitime (ou celui d’un tiers) et pour lesquelles vous estimez que
ce traitement a un impact sur vos libertés et droits fondamentaux. Dans certains cas, nous
sommes susceptibles de démontrer que nous disposons de motifs légitimes et impérieux
pour traiter les informations, motifs prévalant sur ces droits et libertés.

Demande de limitation du traitement des Données à caractère personnel. Ce droit vous
permet de nous demander de suspendre le traitement des Données à caractère personnel
dans les cas suivants : (a) pour établir l’exactitude des données, (b) lorsque notre
utilisation des données est illégale, mais que vous ne souhaitez pas que nous les effacions,
(c) lorsque vous avez besoin que nous conservions les données même si nous n’en avons
plus besoin, car vous en avez besoin pour établir, exercer ou défendre un droit devant la
justice, ou (d) vous vous êtes opposé à notre utilisation des données, mais nous devons
vérifier si nous avons des motifs légitimes impérieux de le faire.

• Retrait du consentement à tout moment lorsque nous nous appuyons sur le consentement
pour traiter les Données à caractère personnel. Cela n’affecte toutefois pas la licéité de
tout traitement effectué avant le retrait du consentement. En cas de retrait du
consentement, nous sommes susceptibles de ne pas être en mesure de fournir certains
services. Dans ce cas, nous en informons le Client au moment du retrait du consentement.

AUCUN FRAIS N’EST HABITUELLEMENT REQUIS – Les personnes n’ont pas à payer de frais d’accès à
leurs Données à caractère personnel (ou pour exercer l’un des autres droits). Toutefois, nous sommes
susceptibles de facturer des frais justifiés en cas de demande répétitive ou excessive. Dans ce dernier
cas, nous sommes également susceptibles de refuser de donner une suite favorable à la demande.

NOUS SOMMES SUSCEPTIBLES DE devoir demander des informations spécifiques à la personne, à
l’employeur ou à l’initiateur du voyage pour nous aider à confirmer l’identité de la personne et
garantir son droit d’accès aux Données à caractère personnel (ou à exercer l’un des autres droits). Il
s’agit là d’une mesure de sécurité visant à garantir que les Données à caractère personnel ne soient
divulguées à personne n’étant pas en droit de les recevoir. Nous sommes également susceptibles de
demander des informations complémentaires concernant la demande afin d’accélérer notre réponse.

DÉLAI DE RÉPONSE – Nous essayons de répondre à toutes les demandes légitimes dans un délai d’un
mois. Ce délai peut parfois être allongé dans le cas d’une demande particulièrement complexe ou si
plusieurs demandes ont été déposées. Dans ce cas, nous en informons les demandeurs et les tenons
informés.

8. INFORMATIONS SUPPLÉMENTAIRES

Merci d’adresser toutes les questions relatives à la façon dont nous traitons les informations
personnelles à notre délégué à la protection des Données, à dpo.fr@reedmackay.com. Nous espérons
être en mesure de vous apporter des réponses satisfaisantes à toutes vos questions ou préoccupations.
Les personnes sont toutefois également en droit de déposer une réclamation à tout moment auprès
de leur Autorité de Contrôle locale. Veuillez consulter ci-dessous les coordonnées de l’Autorité de
Contrôle de votre région :