Politique de confidentialité

Quelles données nous collectons

Les demandes liées aux droits des passagers aériens relèvent souvent d’un cadre juridique et nécessitent fréquemment de prouver l’identité du passager ainsi que la perturbation du vol. C’est pourquoi nous devons collecter différentes catégories de données.

Informations d’identification et de contact

Lorsque vous ouvrez un dossier ou créez un Compte CompenSky, nous vous demandons vos nom et prénom, votre date de naissance, votre nationalité, votre numéro de passeport ou de carte nationale d’identité si cela est nécessaire pour justifier votre identité auprès d’une compagnie aérienne ou d’un tribunal, votre adresse postale, votre adresse e-mail et votre numéro de téléphone de contact privilégié. Si vous effectuez une demande au nom d’un enfant ou d’un autre adulte, nous demanderons des informations similaires sur cette personne et nous nous appuierons sur votre confirmation selon laquelle vous êtes autorisé à nous transmettre ses données.

Informations relatives au vol et à la demande

Pour vérifier votre éligibilité et traiter votre demande, nous collectons les références de réservation (PNR), les numéros de billet, les numéros de vol, les aéroports de départ et d’arrivée, les horaires prévus et réels, les cartes d’embarquement, les étiquettes bagages, les reçus, les échanges que vous avez eus avec la compagnie aérienne, ainsi que tout justificatif utile, comme des bons ou des reçus de repas permettant d’établir le préjudice subi.

Données de compte et d’utilisation

Notre site web et notre application mobile enregistrent certaines informations sur votre utilisation du Service, notamment les dates et heures de connexion, les clics sur les mises à jour de statut d’un dossier, les formulaires envoyés, le type d’appareil, le type de navigateur, l’adresse IP et certaines données issues de cookies ou de pixels utilisées pour détecter des anomalies, améliorer l’expérience utilisateur et protéger votre compte contre la fraude.

Données financières et de paiement

Si l’indemnisation vous est versée par notre intermédiaire, ou si nous prélevons nos honoraires au résultat, nous traitons les coordonnées bancaires, les IBAN, les codes SWIFT/BIC, les numéros partiels de carte, les adresses de facturation, les informations de facturation et les confirmations de paiement. Nous ne conservons jamais les numéros complets de carte bancaire. Ceux-ci sont traités par des prestataires de paiement conformes à la norme PCI-DSS.

Préférences marketing

Lorsque vous choisissez de recevoir nos newsletters, des rappels d’échéance ou des offres promotionnelles, nous enregistrons votre choix, le canal sélectionné (e-mail, SMS, notification push) ainsi que la date et l’heure auxquelles vous avez donné votre consentement. Nous conservons également la trace de toute désinscription ultérieure afin d’éviter tout envoi par erreur.

Contenu des échanges avec le support

Chaque fois que vous contactez notre service client, par téléphone, chat ou e-mail, le contenu de la conversation ainsi que les pièces jointes que vous nous transmettez sont enregistrés dans notre outil de relation client afin que nos équipes puissent suivre votre dossier de manière fluide.

Nous collectons ces données directement auprès de vous, automatiquement au moyen de cookies ou de technologies similaires, auprès de bases de données publiques ou commerciales sur l’état des vols et, lorsque cela est strictement nécessaire, auprès de personnes voyageant sous la même réservation, en veillant toujours à ce qu’elles aient accepté le partage de leurs données.

Bases légales du traitement

En vertu de l’article 6 du RGPD, ainsi que des dispositions correspondantes de la KVKK, nous devons disposer d’au moins une base légale pour traiter vos données. Les principales bases sur lesquelles nous nous appuyons sont les suivantes :

• Nécessité contractuelle : nous ne pouvons pas vérifier une demande ni vous représenter face à une compagnie aérienne sans traiter vos données d’identification, vos informations de vol et vos données de paiement. Lorsque vous acceptez nos Conditions générales, un contrat est conclu entre vous et nous, et ce traitement est indispensable à son exécution.

• Obligation légale : les règles comptables, les obligations fiscales, les règles de lutte contre le blanchiment et les décisions de justice peuvent nous imposer de conserver ou de communiquer certaines données.

• Intérêts légitimes : nous avons un intérêt commercial légitime à fournir un service client efficace, à prévenir la fraude, à améliorer notre plateforme et à défendre nos droits en justice. Nous veillons toujours à mettre cet intérêt en balance avec vos droits et libertés fondamentaux.

• Consentement : pour les cookies non essentiels, le marketing direct et les données sensibles que vous nous fournissez volontairement, par exemple des certificats médicaux pouvant appuyer votre demande, nous recueillons votre consentement explicite, que vous pouvez retirer à tout moment.

Si une autre base légale s’applique dans une juridiction particulière, comme l’exécution d’une mission d’intérêt public ou la sauvegarde des intérêts vitaux, nous n’y recourrons que lorsque la situation le justifie réellement.

Comment nous utilisons vos données

Nous utilisons vos données personnelles à des fins étroitement liées au service que vous avez demandé :

• Évaluation de l’éligibilité : en analysant votre référence de réservation et les éléments relatifs à la perturbation, nous déterminons si votre situation remplit les critères légaux ouvrant droit à une indemnisation.

• Préparation et dépôt de la demande : nous préparons les arguments juridiques, rédigeons les courriers et complétons les formulaires des compagnies aériennes ou des juridictions à partir des Données personnelles que vous nous fournissez afin de déposer votre demande en bonne et due forme.

• Suivi de l’avancement du dossier : via votre Compte CompenSky, par e-mail et parfois par SMS ou notification push, nous vous tenons informé de chaque étape importante, comme l’accusé de réception de la compagnie aérienne, une proposition de règlement amiable ou une décision de justice.

• Vérification de l’identité : avant tout versement, nous vérifions que le compte bancaire bénéficiaire vous appartient bien, afin d’éviter les fraudes à l’identité ou les paiements envoyés au mauvais destinataire.

• Service client et contrôle qualité : nous pouvons examiner des enregistrements d’appels ou des transcriptions de chat afin de former nos équipes et de nous assurer que vos demandes sont traitées avec exactitude et courtoisie.

• Maintenance de la plateforme et analyses : des données d’usage agrégées et pseudonymisées nous permettent de détecter les erreurs techniques, d’optimiser les temps de chargement des pages et d’identifier les fonctionnalités les plus utiles pour nos clients.

• Marketing (facultatif): si vous y consentez, nous pouvons vous envoyer des newsletters sur l’évolution de la réglementation, des rappels d’échéance pour de futures demandes et, ponctuellement, des offres promotionnelles. Vous pouvez vous désinscrire à tout moment sans incidence sur le traitement de votre dossier en cours.

Nous ne recourons pas à une prise de décision entièrement automatisée produisant à votre égard des effets juridiques ou des effets significatifs comparables sans intervention humaine réelle.

Partage des données

Nous ne vendons ni ne louons jamais vos Données personnelles à des annonceurs. Nous les partageons uniquement avec des partenaires indispensables au traitement de votre demande ou au fonctionnement de notre activité, selon le strict principe du besoin d’en connaître et dans le cadre d’accords complets de traitement des données. Les destinataires habituels peuvent inclure :

• Cabinets d’avocats et représentants devant les juridictions : lorsqu’une action en justice est nécessaire, nous transmettons votre dossier, y compris les pièces d’identité et les échanges pertinents, à des avocats externes habilités dans la juridiction concernée, soumis à de strictes obligations de confidentialité.

• Compagnies aériennes, organismes de règlement extrajudiciaire des litiges (ADR) et autorités nationales compétentes : pour régler ou négocier votre demande, nous devons nécessairement échanger certaines informations, comme les justificatifs de réservation ou les procurations, avec les entités qui statuent sur l’indemnisation ou en assurent le paiement.

• Prestataires de services de paiement : nos partenaires de paiement conformes aux normes PCI reçoivent des informations limitées, par exemple votre nom, votre IBAN et le montant à payer, afin de traiter les remboursements et nos honoraires conditionnels.

• Fournisseurs d’infrastructure cloud : nous hébergeons nos serveurs, bases de données et sauvegardes dans des environnements cloud reconnus, principalement situés dans l’Espace économique européen, protégés par des engagements contractuels solides et par le chiffrement.

• Conseils, auditeurs et assureurs : plus rarement, nous pouvons être amenés à partager certains documents avec des conseillers professionnels ou des assureurs, par exemple à l’occasion d’un audit légal ou dans le cadre d’un litige en responsabilité.

• Autorités de régulation et services chargés de l’application de la loi : lorsque la loi, une injonction ou une décision judiciaire nous y oblige, nous coopérons en ne communiquant que les données légalement demandées.

Transferts internationaux

Comme nous accompagnons une clientèle internationale et collaborons avec des compagnies aériennes dans le monde entier, certaines données peuvent être transférées vers des pays qui ne sont pas reconnus comme offrant un niveau de protection adéquat au regard des normes européennes ou turques, ou être accessibles depuis ces pays. Dans ce cas, nous nous appuyons sur une ou plusieurs des garanties suivantes : les Clauses Contractuelles Types approuvées par la Commission européenne, les règles d’entreprise contraignantes adoptées par nos prestataires, votre consentement explicite et éclairé ou, lorsque cela est strictement nécessaire, les dérogations prévues à l’article 49 du RGPD, par exemple lorsque le transfert est nécessaire à l’exécution du contrat conclu entre vous et nous. Nous conservons une preuve documentaire des garanties mises en place et pouvons vous la communiquer sur demande.

Durée de conservation des données

Nous conservons vos Données personnelles uniquement pendant la durée réellement nécessaire à chaque catégorie de données. Les documents liés au dossier sont généralement conservés pendant six ans après la clôture de la demande ou après le dernier paiement, car cette durée couvre les délais de prescription applicables à la plupart des litiges en matière de droits des passagers et nous permet de répondre à d’éventuelles contestations postérieures au règlement ou à des demandes des autorités. Les documents financiers, notamment les factures et les confirmations de paiement, sont en principe archivés pendant dix ans conformément aux obligations fiscales et comptables. Les données liées à votre Compte CompenSky restent actives tant que votre compte existe. Si vous demandez sa suppression, nous supprimerons ou anonymiserons les données concernées dans un délai d’environ quatre-vingt-dix jours, une fois que toutes les demandes en cours auront été définitivement clôturées. Les preuves de consentement marketing sont conservées jusqu’à trois ans après votre dernière interaction afin de pouvoir démontrer notre conformité si cela nous est demandé.

Vos droits

Sous réserve des conditions et exceptions prévues par le droit applicable, vous disposez des droits suivants :

• accéder aux Données personnelles que nous détenons sur vous et en recevoir une copie dans un format électronique couramment utilisé ;

• rectifier sans retard injustifié toute donnée inexacte ou incomplète ;

• obtenir l’effacement de certaines données lorsqu’elles ne sont plus nécessaires ou lorsque vous avez retiré votre consentement et qu’aucune autre base légale ne justifie leur conservation ;

• obtenir la limitation du traitement pendant que nous vérifions l’exactitude de données contestées, ou lorsque le traitement est illicite et que vous préférez une limitation à une suppression ;

• vous opposer à un traitement fondé sur l’intérêt légitime, notamment lorsqu’il s’agit de prospection directe ;

• retirer votre consentement à tout moment lorsque celui-ci constitue la base légale du traitement, sans remettre en cause la licéité du traitement effectué avant ce retrait ;

• introduire une réclamation auprès d’une autorité de contrôle. En Turquie, il s’agit de l’Autorité de protection des données personnelles (« KVKK Board »). Dans l’EEE ou au Royaume-Uni, vous pouvez contacter votre autorité locale de protection des données. Nous vous invitons toutefois à nous contacter d’abord afin que nous puissions tenter de résoudre rapidement la situation à l’amiable.

Vous pouvez exercer vos droits en écrivant à privacy@compensky.com. Nous vous répondrons dans un délai d’un mois, ou plus rapidement si le droit local l’exige.

Cookies et technologies similaires

Notre site web et nos applications mobiles utilisent des cookies, des pixels, le stockage local et des kits de développement logiciel (« SDK ») afin de mémoriser vos préférences, sécuriser votre session, analyser le trafic et mesurer l’efficacité de nos campagnes marketing. Les cookies strictement nécessaires sont déposés automatiquement, car le site ne peut pas fonctionner correctement sans eux, par exemple pour vous maintenir connecté ou conserver vos préférences de langue. Tous les autres cookies, y compris les cookies d’analyse et les pixels publicitaires, ne sont utilisés qu’après votre consentement explicite via notre bannière de consentement aux cookies. Vous pouvez retirer ce consentement à tout moment en revenant sur la bannière ou en modifiant les paramètres de votre navigateur. Une [Politique Cookies CompenSky] distincte détaille les catégories utilisées, la durée de vie de chaque cookie et les moyens de les gérer.

Mesures de sécurité

CompenSky a mis en place un programme de sécurité à plusieurs niveaux conforme aux bonnes pratiques de la norme ISO 27001. Les mesures techniques comprennent notamment le chiffrement TLS 1.3 pour les données en transit, le chiffrement AES-256 pour les données au repos, des pare-feu applicatifs web (WAF), des systèmes de détection d’intrusion en temps réel, des tests d’intrusion réguliers réalisés par des spécialistes certifiés et une surveillance continue des vulnérabilités. Sur le plan organisationnel, nous appliquons des contrôles d’accès stricts fondés sur le principe du moindre privilège, l’authentification multifacteur obligatoire pour les collaborateurs, des vérifications d’antécédents pour les personnes disposant de droits élevés, des règles de développement sécurisé pour nos équipes techniques ainsi qu’un plan de réponse aux incidents précisant la manière dont nous informons les autorités compétentes et les personnes concernées lorsqu’une violation présente un risque élevé pour leurs droits et libertés.

Enfants

Nos Services sont conçus pour les personnes âgées de 16 ans et plus et leur sont destinés. Nous ne sollicitons pas sciemment de Données personnelles concernant des personnes plus jeunes et nous ne les traitons pas volontairement. Si vous pensez que nous avons collecté par erreur les données d’un mineur, merci de nous contacter immédiatement. Nous les supprimerons sans retard injustifié.

Candidatures

Lorsque vous postulez à un emploi chez CompenSky, nous traitons le CV, la lettre de motivation, les références professionnelles, les notes d’entretien, les résultats d’évaluation et, lorsque la loi l’autorise, les données issues des vérifications d’antécédents que vous nous fournissez directement ou qui nous sont transmises par des cabinets de recrutement. Nous utilisons ces données uniquement à des fins de recrutement et, le cas échéant, de constitution d’un vivier de talents. Sauf accord de votre part pour une conservation plus longue, nous supprimons ou anonymisons de manière irréversible les dossiers de candidature six mois après pourvoi du poste ou clôture du recrutement, sauf lorsqu’un litige impose une conservation plus longue.

Communications marketing

Nous souhaitons informer nos clients des évolutions du droit des passagers, des nouvelles fonctionnalités de nos services et de nos offres spéciales, mais uniquement avec leur accord explicite. Ce consentement peut être donné en cochant une case dédiée dans un formulaire en ligne ou dans les paramètres de votre Compte CompenSky. Chaque e-mail marketing contient un lien de désinscription clair permettant de se retirer immédiatement de la liste. Le refus ou le retrait du consentement aux communications marketing n’a aucune incidence sur les messages de service liés à vos demandes en cours, que nous devons vous envoyer pour vous tenir informé.

Responsabilité et gouvernance

La direction de CompenSky a approuvé un cadre formel de gouvernance en matière de protection des données, qui attribue des responsabilités à des fonctions clairement identifiées, impose des formations régulières et prévoit des audits de conformité récurrents. Notre DPO rend compte directement au conseil d’administration, ce qui garantit son indépendance. Nous tenons un registre complet des activités de traitement et réalisons des analyses d’impact relatives à la protection des données (AIPD) chaque fois qu’un traitement est susceptible d’engendrer un risque élevé pour les droits des personnes, par exemple lors de la mise en place d’un nouvel outil d’analyse documentaire fondé sur l’IA.

Réclamations

Si vous estimez que nous avons porté atteinte à vos droits en matière de vie privée, nous vous invitons à contacter notre DPO à l’adresse privacy@compensky.com. Nous prenons chaque réclamation au sérieux et nous efforçons d’y répondre de manière complète dans un délai de 30 jours. Si notre réponse ne vous satisfait pas, vous avez le droit de saisir l’Autorité turque de protection des données personnelles au titre de la KVKK ou l’autorité de contrôle compétente dans le pays où vous vivez ou travaillez.

Modifications de la présente Politique

Nous pouvons mettre à jour la présente Politique de temps à autre afin de refléter les évolutions légales, les nouvelles technologies ou les améliorations apportées à nos Services. Lorsque nous apportons des modifications substantielles, c’est-à-dire des changements ayant un impact significatif sur la manière dont nous traitons vos Données personnelles, nous vous en informerons au moins 30 jours avant l’entrée en vigueur de la nouvelle version au moyen d’une bannière visible sur notre site, d’un message dans l’application et/ou d’un e-mail. Nous conservons un historique accessible des versions précédentes afin que vous puissiez consulter les évolutions apportées.