Votre confiance est notre atout le plus précieux

TravelPerk respecte les lois applicables en matière de protection des données, telles que le RGPD de l’UE, le RGPD du Royaume-Uni et le CCPA de Californie. Nous avons mis en place des mesures techniques et organisationnelles appropriées pour sécuriser les données personnelles qui nous sont communiquées. Il s’agit notamment de s’assurer que les données sont cryptées à la fois en transit et au repos, sur la plateforme et au niveau des points de terminaison. Pour garantir la conformité, le personnel de TravelPerk reçoit une formation appropriée et des politiques centralisées ont été mises en place. Avant d’accéder aux données à caractère personnel, chaque personne et chaque entreprise est soumise à une forme d’évaluation de son devoir de diligence et est liée par des obligations de confidentialité. Des contrats de traitement des données sont en place avec tous nos sous-traitants ultérieurs, où figurent les dernières clauses contractuelles types pour les transferts internationaux publiées par la Commission européenne le 4 juin 2021, le cas échéant.

Notre Système de gestion de la sécurité de l’information (SGSI) est conforme aux dispositions de la norme ISO 27001 en ce qui concerne les contrôles techniques et opérationnels de la sécurité des données confidentielles et personnelles. En outre, notre plateforme est hébergée sur Amazon Web Services (AWS) dans des centres de données situés dans l’UE et soumis aux protocoles de sécurité définis par le secteur.

Nous avons mis en place une série de contrôles pour nous conformer au RGPD. Afin de garantir le respect de la vie privée dès la conception et par défaut, nous nous centrons sur le cycle de vie des données des clients. Des mesures de sécurité techniques, organisationnelles et physiques sont appliquées depuis le moment où les données à caractère personnel nous sont confiées jusqu’à leur destruction avec toutes les garanties de sécurité. Ces contrôles vont de la Détection et (de la) réponse du point de terminaison (sigle anglais : EDR) à la sécurité et à la surveillance du cloud. Nos bureaux sont également protégés par une série de mesures, notamment des agents de sécurité 24 heures sur 24 et 7 jours sur 7 et une surveillance vidéo en circuit fermé. Plus un complément d’information, veuillez consulter le Livre blanc de la sécurité et le Document sur les mesures techniques et organisationnelles de sécurité (sigle anglais : TOM).

Oui. Actuellement, le cryptage est l’une des mesures de sécurité les plus élémentaires pour protéger les données confidentielles. Nous utilisons AES-256 pour crypter vos données au repos, y compris les sauvegardes. Pour les données en transit, nous appliquons au minimum TLS v1.2 et ne prenons pas en charge les anciennes versions.

Pour le stockage des mots de passe, nous suivons les normes recommandées par le NIST en ce qui concerne le choix de l’algorithme de hachage et du mécanisme d’étirement des mots de passe. Notre système de courrier électronique est également automatiquement crypté à l’aide de S/MIME dans la mesure où ce protocole est pris en charge.

Oui, nous appliquons plusieurs politiques de sécurité, dont une politique de sécurité de l’information qui fait partie de notre système de gestion de la sécurité de l’information (SGSI). Ces politiques s’alignent sur les meilleures pratiques mondiales reconnues en matière de sécurité de l’information et de cybersécurité, telles que ISO27001, ISO27005 et OWASP, et fournissent une orientation stratégique pour le maintien de notre SGSI.

Oui, nous avons mis en place un programme de formation du personnel aux meilleures pratiques en matière de protection de la vie privée et de sécurité. Nous croyons qu’il faut modifier les comportements pour les améliorer, et pas se contenter de cocher une case de conformité avec une formation annuelle en ligne. C’est pourquoi nous proposons une formation interne à tous les employés, aux nouveaux arrivants et aux sous-traitants concernés. Nous réalisons également des simulations de phishing, des affiches de sensibilisation personnalisées, des événements de formation ludique du type « Capturez le drapeau », etc. TravelPerk a également mis en place un contrôle d’accès basé sur les rôles, ce qui signifie que seul un nombre limité des employés a accès aux données des clients, strictement en fonction du besoin d’en connaître.

Vos données de paiement sont sécurisées lorsque vous effectuez des paiements sur la plateforme TravelPerk. Nous faisons équipe avec Stripe pour stocker en toute sécurité les informations relatives à votre carte de crédit et traiter vos demandes de paiement. TravelPerk n’a pas accès, ne stocke ni ne traite jamais les informations relatives à votre carte de paiement – elles sont toujours gérées par Stripe ; nous utilisons simplement des numéros de référence uniques et anonymes pour nous connecter à Stripe et vous facturer les réservations et les services. Stripe traite les données des ses client en tant que responsable indépendant des données. Veuillez consulter la Politique de confidentialité de Stripe pour un complément d’information relatif à la protection de vos données personnelles.

TravelPerk s’engage à améliorer continuellement la sécurité de ses systèmes en renforçant et en mettant à jour les mesures de sécurité existantes. Bien que nous nous efforcions de respecter nos obligations en vertu des lois sur la protection des données, il nous est impossible d’accepter les politiques de sécurité de chaque client. En tant qu’entreprise SaaS de gestion des voyages à l’échelle mondiale ayant un large éventail de clients, nous sommes tenus d’appliquer des politiques de sécurité cohérentes et exhaustives afin de garantir des protections appropriées et une cohérence dans notre approche.

Soyez toutefois assurés que nous répondons volontiers aux questionnaires de sécurité et d’audit sur demande. Cela vous permettra de confirmer que TravelPerk respecte ses obligations en matière de sécurité des données à caractère personnel. Nous comprenons l’importance de maintenir le plus haut niveau de sécurité pour nos clients et nous nous engageons à respecter ces normes.

Nos sous-traitants ultérieurs s’engagent contractuellement à respecter des mesures techniques et organisationnelles de sécurité (TOM) équivalentes à celles que nous offrons à nos clients. Nos mesures techniques et organisationnelles de sécurité (TOM) actualisées sont disponibles ici. 

Nous demandons aux sous-traitants ultérieurs de fournir des mesures de sécurité techniques et organisationnelles suffisantes, ainsi que des mesures garantissant le respect des lois pertinentes en matière de protection des données. Tous les sous-traitants ultérieurs et fournisseurs qui hébergent les données des clients sont soumis à des audits de sécurité et à des analyses des risques approfondis, menés à la fois par les équipes chargée de la sécurité de l’information et chargée de la protection de la vie privée, afin de garantir le respect de ces exigences. Nous utilisons également un système de contrôle continu de la sécurité pour suivre nos fournisseurs.

Gestion de la vulnérabilité. Les tests de pénétration périodiques ne suffisent tout simplement pas dans l’environnement actuel qui évolue rapidement. Nous allons donc beaucoup plus loin dans notre gestion de la vulnérabilité. Nous effectuons quotidiennement des analyses de vulnérabilité dynamiques de notre application web, tandis que notre application mobile est également analysée quotidiennement à l’aide de divers tests statiques, dynamiques et interactifs. Ces informations, combinées aux interrogations du programme de recherche des bogues ou aux résultats des tests de pénétration, sont rapidement examinées et prises en compte en fonction de leur gravité.

Prévention des logiciels malveillants (Malware). Comme on peut s’y attendre pour une entreprise internationale comme la nôtre, nous nous appuyons sur des outils de détection et de réponse des points de terminaison de niveau mondial. Grâce à la détection comportementale, nous sommes protégés contre les attaques de nouvelle génération que les systèmes basés sur les signatures sont incapables de reconnaître. Nos capacités de connexion rapides et efficaces nous permettent de répondre rapidement aux incidents liés aux points de terminaison, partout dans le monde. Nous avons également mis en place diverses solutions pour éviter que des logiciels malveillants ne s’introduisent dans nos systèmes ou nos applications de voyage.

Veille Nous recueillons des journaux d’activité et d’accès ainsi que des informations importantes provenant de diverses sources. Lorsque nous recevons des alertes ou d’autres déclencheurs, notre équipe inspecte et enquête rapidement sur l’incident suspecté. Dans la mesure du possible, nos outils sont configurés pour détecter les activités suspectes et nous les communiquer immédiatement. Cela comprend la surveillance et les alertes provenant de notre propre parc informatique et de nos outils, outre nos applications de voyage d’affaires.

Notre équipe de sécurité est formée pour diriger les opérations en cas d’incident de sécurité, pour faire intervenir les bonnes personnes et pour coordonner toute intervention nécessaire en suivant le plan d’intervention prévu en cas d’incident. Nous évitons d’introduire un biais de départ en supposant un niveau de gravité à partir d’informations susceptibles, dans un premier temps, d’être limitées. En revanche, nous traitons chaque incident avec la même priorité et la même importance jusqu’à ce que nous disposions d’informations concernant sa gravité réelle.

Nous disposons d’une équipe d’ingénieurs d’astreinte 24 heures sur 24, 7 jours sur 7, de sorte qu’en cas d’incident survenant en dehors des heures de travail et affectant la confidentialité, l’intégrité ou la disponibilité, nos ingénieurs peuvent répondre, faire remonter et résoudre rapidement tout problème, avec l’aide de notre équipe de sécurité. Les meilleures pratiques sont appliquées, en tenant un registre des incidents et en effectuant une analyse ultérieure des incidents, pour s’assurer que les leçons sont tirées et que toutes les améliorations possibles ont été apportées.

Oui, nous disposons d’un plan de réponse aux incidents qui a été approuvé par le CTO. Il définit les rôles, les responsabilités, les coordonnées et les mesures à prendre en cas de suspicion d’incident. Nous avons également mis en place une équipe de gestion des incidents. 

Plus un complément d’information, veuillez consulter la page Sécurité, le Livre blanc de la sécurité et le Document sur les mesures techniques et organisationnelles de sécurité (TOM).

Oui, les procédures d’identification et de signalement des violations de données personnelles sont incluses à la formation de sensibilisation à la sécurité dispensée à l’ensemble du personnel de TravelPerk.

En tant que sous-traitant des données, TravelPerk est tenu de notifier les violations de données à caractère personnel aux clients concernés (responsables des données) afin qu’ils puissent en informer l’autorité de contrôle conformément aux lois applicables en matière de protection des données. Dans nos notifications aux clients, nous fournissons toutes les informations disponibles conformément au point 33.3 du RGPD.

En tant que sous-traitant des données, TravelPerk est tenu de notifier les violations de données à caractère personnel aux clients concernés (responsables des données) afin qu’ils puissent en informer l’autorité de contrôle conformément aux lois applicables en matière de protection des données. Dans nos notifications aux clients, nous fournissons toutes les informations disponibles conformément au point 33.3 du RGPD.

Nous pouvons transférer des données à des destinataires situés dans des pays tiers, c’est-à-dire dans des pays situés hors de l’EEE sans décision d’adéquation de la Commission européenne. Par exemple, nous pouvons transférer des données à des sous-traitants ultérieurs qui nous aident à fournir nos services (voir notre Liste des sous-traitants ultérieurs mise à jour), ou à des fournisseurs de voyages tels que des compagnies aériennes, des hôtels ou d’autres prestataires de transport et d’hébergement. 

Lorsque nos sous-traitants ultérieurs sont situés dans des pays tiers et pour sécuriser le transfert, nous nous appuyons principalement sur les dernières clauses contractuelles types pour les transferts internationaux publiées par la Commission européenne le 4 juin 2021. Nous procédons également à une évaluation de la sécurité de tous nos fournisseurs et, le cas échéant, nous mettons en œuvre des mesures supplémentaires (conformément aux recommandations « post-Schrems II » Recommandations du CEPD 01/2020) afin de garantir que les données transférées bénéficient d’un niveau de protection adéquat conformément aux normes de l’UE et du RGPD. Vous trouverez de plus amples informations dans notre Livre blanc sur les transferts internationaux de données.

La procédure suivie chaque fois à chaque partage des données de nos clients avec un fournisseur situé dans un pays tiers comporte 7 étapes : 

1. Nous identifions et cartographions tous nos transferts restreints (c’est-à-dire tous les transferts de données vers des pays non adéquats).
2. Nous demandons aux fournisseurs potentiels de remplir un questionnaire approfondi sur la protection de la vie privée, évalué par nos équipes chargées de la sécurité de l’information et de la protection de la vie privée.
3. Nous concluons un contrat de traitement des données avec le vendeur, qui définit des obligations de protection des données identiques ou équivalentes à celles énoncées dans le DPA conclu avec nos clients.
4. Nous mettons en place les dernières clauses contractuelles types pour les transferts internationaux publiées par la Commission européenne, le 4 juin 2021, avec chaque fournisseur traitant des données personnelles dans des pays tiers.
5. Nous évaluons les lois du pays de stockage du vendeur, en mettant l’accent sur les États-Unis.
6. Nous identifions et adoptons toutes les mesures et procédures supplémentaires nécessaires pour que le niveau de protection des données transférées soit conforme aux normes de l’UE.
7. Nos évaluations sont réévaluées périodiquement pour s’assurer que les transferts internationaux restent sécurisés dans le temps.

Oui. La Commission européenne encourage les responsables et les sous-traitants des données à fournir des garanties supplémentaires pour le transfert de données à caractère personnel à l’étranger, en prenant des engagements contractuels supplémentaires qui offrent un niveau de protection équivalent à celui des normes de l’UE.

Dans cette optique, TravelPerk procède à une évaluation approfondie de tous les sous-traitants et sous-traitants ultérieurs situés dans des pays tiers afin de déterminer l’efficacité des clauses contractuelles types au cas par cas. Sur la base des résultats de l’évaluation, nous demandons à ces fournisseurs d’intégrer des engagements contractuels supplémentaires dans le contrat de traitement des données concerné. Nous nous centrons à la fois sur les mesures de sécurité mises en œuvre par le vendeur et sur les garanties spécifiques visant à prévenir ou à atténuer les risques de demandes potentielles de divulgation de données à caractère personnel aux autorités publiques ou aux forces de l’ordre dans le pays du vendeur, en particulier aux États-Unis en vertu de lois et de règlements tels que la section 702 de la FISA, l’ordre exécutif 12333 ou le CLOUD Act.

Selon le cas et sur la base des résultats de notre évaluation, nous demandons à nos fournisseurs de se conformer à certains engagements contractuels supplémentaires s’ils reçoivent de telles demandes de divulgation. À titre d’exemple, nous leur demandons de vérifier si la demande de divulgation est légale et appropriée, notamment en ce qui concerne les données recherchées et la juridiction compétente et de contester la demande conformément aux principes du RGPD et aux engagements contractuels sur les demandes d’accès du gouvernement, conformément aux articles 14 et 15 des CSC, le cas échéant. Nous demandons également à nos fournisseurs de fournir le minimum d’informations possible lorsqu’ils répondent à une demande de divulgation, de mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données à caractère personnel, y compris la protection contre la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès à ces données, et de s’abstenir de créer des portes dérobées ou des programmes similaires qui pourraient être utilisés par les forces de l’ordre ou les autorités publiques pour accéder aux systèmes et/ou aux données à caractère personnel.

Les tiers n’ont pas accès aux systèmes ni aux installations de traitement de nos clients. Toutefois, TravelPerk peut partager les données des clients avec des fournisseurs tiers (sous-traitants ultérieurs et fournisseurs de voyages) afin de fournir des services de voyages d’affaires (par exemple, le nom et les coordonnées du voyageur avec une compagnie aérienne ou un hôtel pour confirmer une réservation). Tous ces tiers font l’objet d’évaluations de sécurité et disposent de DPA et/ou de clauses contractuelles pertinentes pour garantir la sécurité et la confidentialité des données à caractère personnel transférées.

Oui, nous avons mis en place les clauses contractuelles types pour les transferts internationaux publiées par la Commission européenne le 4 juin 2021 avec tous les sous-traitants ultérieurs situés en dehors de l’EEE dans des pays non adéquats, par exemple ceux situés aux États-Unis.

Actuellement, nos sous-traitants ultérieurs sont situés dans l’UE/EEE, au Royaume-Uni, aux États-Unis, aux Philippines, en Inde, au Japon, en Australie, au Salvador et en Israël. La liste actualisée des sous-traitants ultérieurs est disponible ici.

Si vous êtes (ou souhaitez devenir) client de TravelPerk : la réponse est NON. En tant qu’entreprise basée dans l’UE traitant des données à caractère personnel en vertu du RGPD, TravelPerk n’est pas tenue d’utiliser les clauses contractuelles types (CCT) pour les transferts internationaux publiées par la Commission européenne, le 4 juin 2021, entre elle et ses clients.

Lorsque TravelPerk doit effectuer des transferts ultérieurs de données à caractère personnel à ses sous-traitants ultérieurs situés dans des pays tiers (par exemple, les États-Unis), vous pouvez être assuré que ces transferts sont déjà réglementés par des CCT conclues entre TravelPerk et le sous-traitant ultérieur concerné. 

Si vous êtes un fournisseur situé hors de l’UE/EEE ou du Royaume-Uni, dans un pays qui n’est pas reconnu comme offrant une protection adéquate de la vie privée par la Commission européenne (liste des pays adéquats disponible ici : la réponse est OUI – nous devons conclure les clauses contractuelles types pour les transferts internationaux publiées par la Commission européenne, le 4 juin 2021, afin de fournir à TravelPerk les services nécessitant le traitement de données à caractère personnel.

En raison de la nature de notre service SaaS, il n’est pas possible de mettre en œuvre des restrictions de géolocalisation par client. Notre environnement SaaS et tous les processus opérationnels et de sécurité associés sont conçus pour être standardisés et, en conséquence ne sont pas adaptables à des clients spécifiques. En conséquence, l’accès et l’utilisation de notre SaaS sont fournis « en l’état » et conformément à nos processus et procédures existants, ainsi qu’aux termes du contrat conclu entre nous et nos clients.

Soyez assuré que nous appliquons les normes de sécurité les plus strictes du secteur. Nos activités font l’objet d’un audit réussi, conformément aux normes du secteur.  Notre fournisseur de centre de données, Amazon Web Services Ireland (avec un site de repli en Allemagne), est certifié ISO 27001. Il possède également les certifications ISO 27017 et ISO 27018, SOC 1, SOC 2 et SOC 3, PCI DSS niveau 1 et la certification C5 de BSI.

En tant que plateforme SaaS, nous n’engageons pas de sous-traitants ultérieurs pour les clients individuels. Le recours aux sous-traitants ultérieurs fait partie intégrante de notre prestation de services et tous les fournisseurs tiers sont préengagés et soumis à des obligations contractuelles vis-à-vis de notre entreprise. Avant de faire appel à un fournisseur tiers, nous procédons à des évaluations complètes de sécurité afin de nous assurer qu’il répond aux normes strictes appliquées par notre entreprise en la matière. En outre, tous les sous-traitants ultérieurs ont conclu des contrats de protection des données afin de garantir la sécurité et la confidentialité des données personnelles traitées pour le compte de nos clients. Cela nous permet de maintenir un niveau élevé de sécurité et de protection de la vie privée tout en fournissant des services fiables et efficaces à nos clients.

Nous disposons d’un contrat complet de traitement des données intragroupe qui régit tous les transferts internes et qui inclut les dernières clauses contractuelles types pour les transferts internationaux publiées par la Commission européenne, le 4 juin 2021. Ce contrat fournit un cadre solide garantissant que tous les transferts de données au sein de notre organisation sont conformes aux réglementations pertinentes en matière de protection des données et répondent aux normes les plus strictes en matière de sécurité et de confidentialité. Grâce à ces clauses contractuelles types, nous sommes en mesure de maintenir un haut niveau de protection des données, même lors du transfert transfrontalier de données à caractère personnel, assurant ainsi à nos clients qu’ils peuvent nous confier leurs précieuses informations avec toutes les garanties de sécurité.

Si vous êtes un utilisateur de TravelPerk : en tant que sous-traitant des données, nous sommes heureux d’aider nos clients (responsables des données) à traiter les demandes des personnes concernées (DSR) émanant de leurs utilisateurs. Les utilisateurs de TravelPerk doivent adresser les demandes des personnes concernées à l’administrateur du compte TravelPerk de leur entreprise, qui représente le responsable du traitement des données. L’administrateur peut supprimer les données en libre-service (instructions ici) et les mettre à jour directement à partir de la plateforme TravelPerk, ou nous demander de plus amples informations s’il le juge nécessaire.

Si vous êtes un client potentiel, un testeur de produits, un participant à un événement TravelPerk ou un visiteur du site web TravelPerk : vous pouvez exercer vos droits en matière de protection des données en remplissant le présent formulaire.

TravelPerk recueille les données personnelles fournies par ses utilisateurs par le biais de sa plateforme ou du service clientèle afin de fournir des services de voyage d’affaires. Ainsi, nous pouvons traiter des données personnelles des voyageurs dont l’entreprise est cliente de TravelPerk, telles que le nom, l’adresse électronique professionnelle, le numéro de téléphone et les renseignements relatifs à la carte d’identité ou au passeport. En outre, nous pouvons traiter des données telles que les cartes d’affiliation, les moyens de paiement, les informations sur les réservations et les voyages, ainsi que les demandes d’assistance à la clientèle ou les réclamations, si cela est nécessaire pour faciliter nos prestations de voyages d’affaires et vous permettre d’effectuer des réservations de voyage.

Si vous êtes un utilisateur de TravelPerk et que vous souhaitez supprimer votre compte utilisateur, veuillez envoyer votre demande à l’administrateur du compte TravelPerk de votre entreprise. L’administrateur d’entreprise peut supprimer des comptes d’utilisateurs de la plateforme TravelPerk en suivant les étapes indiquées dans cet article (dans la section « Supprimer un utilisateur »). L’administrateur peut également modifier les données des utilisateurs à partir de l’annuaire People disponible sur la plateforme TravelPerk.