Dernière mise à jour : 24-06-2026
Table des matières
- Préambule – champ d’application de la présente politique de confidentialité. 1
- Responsable de traitement. 2
- Catégories de Données Personnelles traitées. 3
- Collecte des Données Personnelles. 4
- Finalités des traitements, bases légales et durées de conservation. 4
VII. Destinataires de vos Données Personnelles. 10
VIII. Transferts hors Union européenne. 10
- Vos Droits. 11
- Modalités d’exercice de vos droits – contact DPO.. 12
- Sécurité des Données Personnelles. 12
Dans le cadre de ses activités, STDM (ci-après la « Société » ou « Nous ») est amenée à traiter des données à caractère personnel vous concernant (ci-après les « Données Personnelles »).
La présente politique de confidentialité (ci-après la « Politique ») a pour objet de préciser les conditions dans lesquelles Nous collectons et traitons vos Données Personnelles, en qualité de responsable de traitement, ainsi que de vous informer sur vos droits et les modalités de leur exercice.
La Politique s’applique aux clients et aux utilisateurs des services de la Société, ainsi qu’aux visiteurs de son site internet et de ses applications mobiles, et plus généralement à toute personne concernée par les traitements de Données Personnelles réalisés dans le cadre des activités de la Société (ci-après « Vous »).
Nous traitons vos Données Personnelles dans le respect de la législation et de la règlementation applicables en matière de protection des données personnelles, en particulier le Règlement (UE) n° 2016/679 du 27 avril 2016 (ci-après le « RGPD ») et la loi Informatique et Libertés n°78-17 du 6 janvier 1978, telle que modifiée (ci-après ensemble la « Règlementation »).
La présente Politique ne constitue pas un contrat et n’engendre aucune obligation contractuelle.
La Politique est susceptible d’être modifiée à tout moment, notamment afin de tenir compte des évolutions légales, réglementaires ou de notre activité.
Vos Données Personnelles sont traitées par STDM, SAS au capital de 914 700 euros, immatriculée au registre du commerce et des sociétés de Châlons-en-Champagne sous le numéro RCS 335 581 666, dont le siège social est situé 86 Rue de Fagnières 51000 Châlons en Champagne.
La Politique s’applique aux catégories de personnes suivantes :
- Les clients, ainsi que leurs ayants droits, et utilisateurs des services,
- Les prospects,
- Les visiteurs et utilisateurs du site internet, des applications mobiles et autres services numériques proposés par la Société,
- Les personnes entrant en contact avec les services internes de la Société,
- Les candidats au recrutement,
- Et, plus généralement, toute personne concernée par les traitements de Données Personnelles réalisés dans le cadre des activités de la Société et décrits au sein de la Politique.
Conformément à la Règlementation, le terme Donnée Personnelle désigne toute information se rapportant à une personne physique identifiée ou identifiable.
Dans le cadre de ses activités, la Société est susceptible de collecter et de traiter les différentes catégories de Données Personnelles suivantes :
- Données d’identification (ex. nom, prénom, date de naissance, photographie, numéro client, titre d’identité) ;
- Données de contact (ex. adresse postale, adresse de courrier électronique, numéro de téléphone) ;
- Données relatives à l’utilisation des services de mobilité (ex. type d’abonnement, données de validation, numéro de support, historique d’utilisation) ;
- Vie personnelle (ex. situation de famille, personnes à contacter) ;
- Vie professionnelle (ex. CV, diplômes, formation) ;
- Données de paiement (ex. moyen de paiement, RIB, montant de la commande, numéro de carte bancaire et date de fin de validité, incident de paiement) ;
- Données de navigation et de connexion (ex. adresse IP, logs de connexion, cookies et traceurs) ;
- Images et enregistrements sonores (ex. par les dispositifs de vidéoprotection ou les caméras individuelles portées par des agents habilités).
Dans certains cas limités, Nous pouvons être amenés à traiter des catégories particulières de Données Personnelles, dites « sensibles », telles que les données relatives à des infractions ou à la santé. Ces données ne sont traitées que lorsqu’elles sont strictement nécessaires à la fourniture du service demandé, au respect d’une obligation légale ou à la poursuite de notre intérêt légitime, et ce dans le strict respect du cadre juridique en vigueur.
Par ailleurs, Nous pouvons être amenés à collecter et traiter des documents contenant des Données Personnelles. Il peut notamment s’agir de documents d’identité et de justificatifs de domicile ou à certaines situations individuelles.
Lors de la collecte, Vous êtes informé du caractère obligatoire ou facultatif du recueil des Données Personnelles demandées. Si Vous refusez de fournir vos Données Personnelles obligatoires, Nous ne serons pas en mesure de Vous fournir les services demandés (tels que le traitement de votre commande sur le site internet ou l’inscription à un service de transport à la demande).
Nous nous engageons à ne collecter et traiter que les Données Personnelles pertinentes et nécessaires à l’objectif poursuivi.
Vos Données Personnelles sont collectées :
- Directement auprès de Vous, par exemple lors de la souscription à l’un de nos services, de la création d’un compte personnel sur notre site internet, de l’utilisation du site internet, ou de toute interaction avec notre Société ;
- Indirectement, auprès de sources légitimes, telles que nos partenaires, des tiers autorisés ou des sources en libre accès.
Lorsque vos Données Personnelles ne sont pas collectées directement auprès de Vous, Vous êtes informé de l’origine de la collecte de vos Données Personnelles, conformément aux exigences du RGPD.
Vos Données Personnelles sont collectées et traitées pour des finalités déterminées, explicites et légitimes, telles que détaillées dans le tableau ci-après, et dont les bases légales sont les suivantes :
- L’exécution du contrat ou de mesures précontractuelles,
- Le respect de nos obligations légales,
- Notre intérêt légitime, dès lors qu’il prévaut sur votre intérêt ou vos droits et libertés fondamentaux,
- Votre consentement.
Conformément à la Règlementation, vos Données Personnelles sont conservées en base active pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, selon les durées précisées dans le tableau ci-dessous. A l’issue de cette période, elles peuvent être conservées en archivage intermédiaire, pour la durée de prescription légale applicable, lorsqu’elles présentent un intérêt administratif (ex. gestion d’un contentieux) ou afin de satisfaire à une obligation légale. Au terme des durées de conservation applicables, que ce soit en phase d’utilisation courante ou, le cas échéant, en phase d’archivage intermédiaire, vos Données Personnelles sont supprimées ou anonymisées.
Les principaux traitements, les finalités, les bases légales et les durées de conservation associées sont décrites dans le tableau ci-dessous :
Finalités | Bases légales | Durées de conservation |
Relation client, titres et services | ||
Gestion des contrats : gestion et suivi des commandes, de l’exécution du service, des abonnements, de la délivrance des titres de transport, des inscriptions et des réservations aux services de mobilité, etc.
| Exécution du contrat ou de mesures précontractuelles | Durée de la relation contractuelle, puis conservation en archivage intermédiaire dans la limite du délai de prescription applicable (cinq ans en cas de contentieux). |
Gestion des réclamations et du service après-vente.
| Exécution du contrat ou de mesures précontractuelles | Durée de la relation contractuelle, puis conservation en archivage intermédiaire pour une durée maximale de cinq ans à compter de la clôture de la réclamation. |
Suivi de la relation client : enquêtes de satisfaction. | Intérêt légitime ou consentement | Durée nécessaire pour la réalisation de l’objectif de l’enquête ou jusqu’à l’exercice du droit d’opposition ou le retrait du consentement. |
Gestion des transactions bancaires : paiement des titres et services (notamment open payment, paiement en ligne), gestion des preuves de paiement et des remboursements.
| Exécution du contrat ou de mesures précontractuelles | Durée de la transaction commerciale (paiement unique) ou jusqu’à la dernière échéance de paiement. Les données de carte bancaire sont conservées en archivage intermédiaire treize mois à compter de la date de débit et quinze mois pour les cartes de paiement à débit différé, en cas de contestation de la transaction. Le cryptogramme visuel (CVV) de la carte bancaire est supprimé dès finalisation du règlement. |
Gestion des impayés. | Exécution du contrat ou de mesures précontractuelles | Quarante-huit heures maximum suivant le constat de la régularisation de l’impayé. En l’absence de régularisation, cinq ans à compter de la survenance de l’impayé. |
[Gestion des objets perdus/ trouvés : répondre aux demandes, contacter la personne en cas de découverte d’un objet, restitution de l’objet.] | Intérêt légitime ou consentement | 1 mois après la date de création de l’annonce/ déclaration de perte ou de l’identification du propriétaire ou dès le retrait du consentement lorsque la base légale est le consentement. Si le propriétaire est identifié, jusqu’à la restitution de l’objet, augmentée de la durée de prescription légale en cas de contentieux (cinq ans).
|
Communication et actions de prospection commerciale | ||
Information et communication institutionnelle : abonnement aux alertes, à l’information voyageurs etc.
| Consentement | Durée de souscription au service, jusqu’au retrait du consentement. |
Actions de prospection commerciale par voie électronique (ex. courriel et SMS) : messages publicitaires, offres/ opérations promotionnelles, newsletter, jeux-concours etc. | Consentement du client ou prospect, ou intérêt légitime pour des biens et services analogues déjà achetés/ souscrits par le client | Trois ans à compter de la fin de la relation commerciale ou du dernier contact émanant du client ou prospect ou jusqu’au retrait du consentement.
Jusqu’à 3 mois après la fin du jeu-concours et l’attribution des lots. |
Actions de prospection commerciale par voie postale et appels téléphoniques. | Intérêt légitime | |
Gestion des avis clients publiés sur le site internet. | Intérêt légitime | 6 mois maximum à compter de la publication de l’avis ou jusqu’à sa demande de suppression
|
Gestion des demandes d’information via le formulaire de contact en ligne, par email – hors réclamations et service après-vente | Intérêt légitime | 12 mois après le dernier contact |
Gestion des interactions via les réseaux sociaux : réponse aux sollicitations. | Intérêt légitime
| Selon la politique du réseau social. |
Statistiques, enquêtes et amélioration du service | ||
Analyses et études statistiques d’usage des services.
| Intérêt légitime | Processus d’anonymisation dès la fin de l’enquête.
|
Améliorer la formation du centre de relation clients et la qualité de service : enregistrements vocaux ou des transcriptions automatisées correspondantes. | Intérêt légitime
| Six mois à compter de l’enregistrement. |
Lutte contre la fraude | ||
Détection et gestion de la fraude aux titres et systèmes : détection de la contrefaçon et de la fraude technologique, détection des comportements anormaux des services applicatifs, contrôle des accès à l’espace personnel, au site internet et applications etc.
| Intérêt légitime | Durée des prescriptions légales applicables ou pendant toute la durée du litige, jusqu’à épuisement des voies de recours.
Dans le cadre de la détection de la fraude technologique, les données de validation (horodatage, lieu de validation et numéro de carte) sont conservées maximum quarante-huit heures.
|
Sécurité des personnes et des biens | ||
Gestion des alertes de sécurité et des accidents : suivi des événements, gestion de la mission d’assistance aux victimes, gestion du dossier assurance et indemnisation.
| Intérêt légitime | Durée du traitement de l’évènement, augmentée de trois ans, et le cas échéant, pendant toute la durée du dossier d’assurance majorée de cinq ans.
|
Gestion des infractions et contentieux | ||
Contrôle des titres de transport et constatation des infractions aux dispositions du Code des transports : contrôle des validations, constatation des infractions par les agents assermentés.
| Obligation légale | En cas d’infraction et en l’absence de paiement immédiat, les données sont conservées un an à compter de l’établissement du procès-verbal ou de sa transmission à l’officier du ministère public, augmentée de deux ans en archivage intermédiaire à titre de preuve. |
Gestion des procès-verbaux d’infraction et du recouvrement : émission et suivi des procès‑verbaux, gestion du recouvrement, des contestations, communication à l’officier du ministère public pour le recouvrement des amendes forfaitaires majorées.
| Obligation légale | |
Gestion des procédures judiciaires et administratives.
| Intérêt légitime | Les données sont conservées pendant toute la durée du contentieux jusqu’à épuisement des voies de recours.
|
Respect des obligations légales et règlementaires | ||
Gestion des demandes d’exercice de droits. | Obligation légale | Cinq ans à compter de la clôture de la demande (suppression du justificatif d’identité dès que la vérification a été effectuée).
|
Tenue de la comptabilité : obligations comptables, fiscales, etc. | Obligation légale | Sous forme d’archivage intermédiaire, pour la durée légale de conservation (dix ans au titre des obligations comptables).
|
Gestion des demandes de médiation adressées à la Médiatrice RATP via le formulaire en ligne. | Obligation légale | Trois ans à compter de la date de saisine de la Médiatrice RATP.
|
Réponse aux demandes de tiers autorisés par la loi : réquisitions judiciaires, décisions de justice etc. | Obligation légale | Durée de prescription applicable, à titre de preuve.
|
Gestion du site internet et des applications mobiles | ||
Gestion de l’espace personnel sur le site internet et/ ou l’application mobile. | Consentement ou intérêt légitime | Jusqu’à la suppression du compte par l’utilisateur ou après deux ans d’inactivité.
|
Gérer le bon fonctionnement technique du site internet, des applications et des services proposés, mesure d’audience. | Intérêt légitime | Veuillez consulter notre politique de gestion des cookies ici.
|
Recrutement | ||
Gérer les candidatures : sélectionner les candidats, organiser les entretiens, etc. | Exécution du contrat ou de mesures précontractuelles | Durée de la procédure de recrutement, puis cinq ans à compter de la date à laquelle le poste a été pourvu, à des fins probatoires.
|
Constitution d’une CVthèque. | Intérêt légitime ou consentement | Jusqu’à deux ans à compter du dernier contact avec le candidat non retenu, ou exercice du droit d’opposition ou retrait du consentement.
|
Vos Données Personnelles collectées et traitées pour les finalités décrites dans le tableau ci-dessus peuvent être transmises aux destinataires suivants :
- Aux services internes habilités de la Société, lorsqu’ils en ont besoin dans le cadre de leurs missions, notamment le service client et le service marketing pour la gestion des communications, le traitement des commandes et des réclamations, le personnel habilité à accéder aux enregistrements issus des dispositifs de vidéoprotection ;
- A la société RATP Développement et à ses filiales lorsque leur intervention est nécessaire à la mise en œuvre des traitements réalisés par la Société ;
- Aux prestataires et sous‑traitants lorsqu’ils interviennent pour le compte de la Société, notamment les prestataires informatiques chargés de la maintenance du site internet et des applications, les prestataires d’hébergement, les prestataires de services de paiement en ligne, les prestataires des services de mobilité, les prestataires en charge des campagnes de communication et de mailing ;
- Aux autorités administratives ou judiciaires compétentes ainsi qu’aux tiers autorisés disposant d’un droit de communication en vertu de la règlementation applicable.
Nous hébergeons vos Données Personnelles sur des serveurs situés au sein de l’Espace économique européen. Toutefois, dans le cadre de l’utilisation de certains outils et services numériques, vos Données Personnelles sont susceptibles d’être transférées en dehors de cet espace. Dans ce cas, Nous veillons à ce que :
- Des garanties appropriées soient mises en place afin d’encadrer ces transferts, telles que les clauses contractuelles types ou toute autre mécanisme équivalent reconnu par la Règlementation,
- Et que vos droits et libertés fondamentaux bénéficient d’un niveau de protection adéquat et effectif.
Conformément à la Règlementation, Vous disposez sur vos Données Personnelles des droits suivants :
- Droit d’accès: Vous avez le droit d’accéder à vos Données Personnelles et d’en obtenir une copie, y compris sous format électronique.
- Droit de rectification: Vous pouvez demander la rectification ou la mise à jour de vos Données Personnelles lorsqu’elles sont inexactes ou incomplètes.
- Droit à l’effacement: Vous pouvez demander l’effacement de vos Données Personnelles, dans les conditions prévues par la Règlementation, sauf lorsque leur conservation est nécessaire pour Nous permettre de respecter nos obligations légales, d’exercer ou de défendre nos droits ou encore, lorsque ces données sont nécessaires à l’exécution du contrat qui nous lie.
- Droit à la limitation des traitements : Vous pouvez demander le gel temporaire du traitement de vos Données Personnelles, dans les conditions prévues par la Règlementation.
- Droit d’opposition: Vous pouvez vous opposer au traitement de vos Données Personnelles, lorsque celui-ci est fondé sur notre intérêt légitime, dès lors que vos intérêts ou vos droits et libertés fondamentaux prévalent. Le droit d’opposition ne s’applique pas aux traitements mis en œuvre pour les finalités suivantes : vidéoprotection.
- Droit à la portabilité : Vous disposez du droit de recevoir les Données Personnelles vous concernant, que Vous nous avez fournies, dans un format structuré et couramment utilisé, lorsque leur traitement est fondé sur votre consentement ou sur l’exécution d’un contrat et qu’il est effectué à l’aide de procédés automatisés. Vous pouvez demander à ce que vos Données Personnelles soient directement transmises à un autre responsable de traitement.
- Retrait de votre consentement: lorsque le traitement de vos Données Personnelles est fondé sur votre consentement, Vous pouvez le retirer à tout moment. Ce retrait n’affecte toutefois pas la licéité des traitements réalisés antérieurement.
- Droit de définir des directives relatives au sort de vos données après votre décès: Vous pouvez définir des directives relatives à la conservation, à l’effacement et à la communication de vos Données Personnelles après votre décès.
Pour toute information ou pour exercer vos droits, à tout moment, Vous pouvez contacter notre délégué à la protection des données (DPO) :
- Par courrier à l’adresse suivante :
STDM – Filiale de RATP Développement
Délégué à la protection des données
9 rue Brahms
75012 Paris
- Par courrier électronique à l’adresse suivante : dpo-stdm@ratpdev.com
Dans le cadre de l’exercice de vos droits, une copie de votre pièce d’identité pourra vous être demandée en cas de doute raisonnable quant à votre identité, sauf lorsque les informations communiquées dans votre demande permettent de vous identifier de manière certaine.
Une réponse vous sera adressée dans un délai maximal d’un mois à compter de la réception de votre demande. Ce délai peut toutefois être prolongé de deux mois lorsque cela est nécessaire, en raison notamment de la complexité de la demande.
Vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) : https://www.cnil.fr
Nous mettons en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté à la protection de vos Données Personnelles, et de les préserver contre toute destruction, perte, altération, divulgation ou accès non autorisé. A ce titre, nous recourons, lorsque cela est possible et/ ou nécessaire, à des techniques de chiffrement ou de pseudonymisation de vos Données Personnelles.
Nous veillons également à mettre en place des procédures internes adaptées, destinées à sensibiliser l’ensemble de nos collaborateurs aux exigences en matière de protection des données personnelles et à assurer le respect de ces règles au sein de notre organisation. Par ailleurs, nos prestataires et sous‑traitants sont soumis à des engagements contractuels garantissant la mise en œuvre de mesures de sécurité et de confidentialité appropriées et le respect de la Réglementation.
Le site internet de la Société peut contenir des liens renvoyant vers des sites internet de tiers, qui mettent en œuvre des traitements de données personnelles sous leur propre responsabilité, en qualité de responsable de traitement distinct. Il Vous appartient, le cas échéant, de consulter leur politique de confidentialité afin de prendre connaissance des conditions applicables avant de leur communiquer toute donnée personnelle.
En cas de violation de Données Personnelles susceptible d’engendrer un risque élevé pour vos droits et libertés, Vous en serez informé conformément à la Réglementation.
