Politique de confidentialité de l’application TPC Mobile
1. Note préliminaire et lien avec les CGU
La présente Politique de confidentialité fait partie intégrante des Conditions Générales d’Utilisation (CGU) de l’application « TPC Mobile ». Elle détaille les modalités de traitement des données personnelles par Les Transports Publics du Chablais SA (TPC) et complète les dispositions tarifaires des entreprises de transports suisses participant au Service Direct National (SDN) ainsi que les directives de l’Alliance SwissPass.
2. Identité du responsable du traitement
Le maître du fichier (responsable du traitement) est : Les Transports Publics du Chablais SA (TPC) Place de la Gare 5 / CP 85 1860 Aigle, Suisse
Les TPC garantissent un niveau de sécurité élevé et un traitement strictement confidentiel des données, conformément aux standards de protection de la branche des transports publics suisses.
3. Bases légales et cadre réglementaire
Le traitement des données est effectué dans le respect rigoureux des cadres légaux suivants :
- LPD : Loi fédérale sur la Protection des Données du 25 septembre 2020 (entrée en vigueur le 1er septembre 2023).
- RGPD : Les données utilisées à des fins de marketing le sont toujours dans le respect de la loi fédérale et du Règlement général de l’UE sur la protection des données du 25 mai 2018
- LTV : Le traitement et le partage des données personnelles d’identification des voyageurs sans titre de transport valable (resquilleurs) à l’échelle nationale en alimentant le Registre suisse des resquilleurs exploité par CarPostal dans le respect de la loi fédérale sur le transport de voyageurs du 20 mars 2009
4. Catégories de données collectées
Les données sont collectées soit par saisie volontaire de l’utilisateur, soit automatiquement via l’infrastructure technique de l’application.
| Catégorie de données | Exemples de données | Méthode de collecte |
|---|---|---|
|
Identité et contact |
Genre, nom, prénom, date de naissance, adresse e-mail, adresse postale, numéro de mobile. |
Volontaire |
|
Identifiants d’interopérabilité |
TokenID SwissPass, identifiants de compte technique. |
Volontaire / Automatique |
|
Données de localisation |
Position GPS (exacte et approximative), adresse IP, signaux Bluetooth, bornes Wi-Fi à proximité. |
Automatique (avec accord) |
|
Transactions financières |
Nom du détenteur, type de carte, numéro partiel, date d’expiration, code CVC, montant des transactions. |
Volontaire (via Saferpay) |
|
Données d’utilisation |
Fréquence et durée des voyages, réglages de l’application, itinéraires consultés. |
Automatique |
|
Maintenance technique |
Journaux d’erreurs, traces de pile (pile d’exécution via Sentry.io). |
Automatique |
5. Finalités du traitement des données
- Gestion contractuelle : Exécution et livraison des titres de transport (E-Tickets, SMS), facturation et support technique.
- Garantie des recettes : Contrôle de validité des titres et lutte contre la fraude. En cas d’abus ou de falsification, les données sont transmises au Registre suisse des resquilleurs, dont la base de données est exploitée par CarPostal sur mandat de la branche.
- Amélioration des services : Études de marché et statistiques anonymisées (via Firebase/Google Analytics) pour optimiser l’offre de transport et l’ergonomie de la chaîne de mobilité.
- Marketing : Envoi d’offres personnalisées et de newsletters, sous réserve d’un consentement explicite (Opt-in).
6. Gestion spécifique de la géolocalisation
L’application « TPC Mobile » fonctionne parfaitement sans la fonction de géolocalisation. Toutefois, si vous choisissez d’activer cette fonctionnalité, l’application collectera vos données de localisation (IP, GPS, signaux Bluetooth et points d’accès Wi-Fi) afin de vous proposer des départs à proximité et de calculer votre itinéraire. Les TPC garantissent que ces données de déplacement détaillées (trace GPS) ne sont pas stockées. Vous gardez le contrôle total sur ces données : vous pouvez choisir quand partager votre position et gérer ces autorisations à tout moment, directement depuis les paramètres de l’application ou de votre appareil.
Traitement éphémère : Conformément aux exigences de transparence, le traitement est dit « éphémère » lorsqu’il consiste à accéder aux données et à les utiliser alors qu’elles ne sont conservées en mémoire que le temps de répondre en temps réel à une demande précise (ex: calcul d’itinéraire).
Stockage : Les traces GPS détaillées ne sont pas conservées par les TPC. L’utilisateur garde le contrôle total et peut révoquer les autorisations dans les paramètres de son terminal à tout moment.
7. Partage des données avec des tiers et Responsabilité conjointe
Pour assurer l’interopérabilité du réseau suisse, les données sont partagées avec :
- Alliance SwissPass : Gestion de l’identité numérique et du login unique.
- Service Direct National (SDN) & CFF : Les données sont stockées dans la base de données centrale « Base de données SD », gérée par les CFF sur mandat du SDN. À cet égard, les TPC agissent en qualité de responsable conjoint avec les autres entreprises de transport du SDN.
- Plateforme NOVA : Interface technique nationale pour la distribution des offres de transport.
- SIX Saferpay : Prestataire agissant en qualité de mandataire pour l’encaissement sécurisé des transactions.
- io (Functional Software, Inc.) : Monitoring technique et correction des bugs en temps réel.
- Autorités : Transmission obligatoire en cas d’injonction légale ou de procédure de poursuite pénale.
8. Conservation et suppression des données
Principes de conservation
Les données sont conservées pour la durée nécessaire à l’accomplissement des finalités précitées ou pour satisfaire aux obligations légales de conservation (ex: 10 ans pour les données comptables). Dans le cadre des mécanismes de demande de suppression, les TPC s’engagent à traiter la suppression ou l’anonymisation des données dans un délai maximal de 90 jours.
Procédure de suppression
Conformément aux exigences du Google Play Store, l’utilisateur dispose de deux voies pour demander la suppression de son compte et des données associées :
- Gestion SwissPass : Le compte étant lié à l’identité numérique nationale, la suppression doit prioritairement être initiée sur swisspass.ch.
- Ressource Web dédiée : Les utilisateurs ayant désinstallé l’application ou souhaitant exercer leur droit sans réinstallation peuvent soumettre une demande via notre formulaire dédié : www.tpc.ch/donnees-personnelles.
- Alternative in-app : Une option de demande de suppression est accessible directement dans les paramètres du profil utilisateur.
9. Droits de l’utilisateur
Conformément à la LPD et au RGPD, vous disposez des droits suivants : accès, rectification, effacement (droit à l’oubli), limitation du traitement, portabilité des données et retrait du consentement. Toute demande doit être adressée par écrit au siège social ou par voie électronique.
10. Sécurité des données (Mesures Techniques et Organisationnelles)
Les TPC déploient des Mesures Techniques et Organisationnelles (MTO) conformes à l’état de l’art (chiffrement TLS/HTTPS des données en transit, contrôle d’accès strict, audits de sécurité) pour prévenir tout accès non autorisé ou manipulation.
Responsabilité : La sécurité du compte dépend également de la vigilance de l’utilisateur dans la protection de ses identifiants. Les TPC déclinent toute responsabilité en cas de dommage résultant d’une négligence de l’utilisateur dans la gestion de ses accès.
11. Contact et délégué à la protection des données
Pour toute question relative à vos données personnelles ou pour exercer vos droits:
- E-mail : protectiondesdonnees@tpc.ch
- Courrier : TPC SA, À l’att. du responsable de la protection des données, Place de la Gare 5, 1860 Aigle, Suisse.
- Formulaire en ligne : www.tpc.ch/donnees-personnelles