Politique de confidentialité (Aviso de Privacidad Integral)
La présente politique de confidentialité intégrale (Aviso de Privacidad Integral) est émise en application de la loi fédérale mexicaine sur la protection des données à caractère personnel détenues par des particuliers (Ley Federal de Protección de Datos Personales en Posesión de los Particulares, la « LFPDPPP »), de son règlement et des Lignes directrices relatives à l'avis de confidentialité, et explique comment vos données à caractère personnel sont traitées lorsque vous utilisez l'application mobile PlanMyTrip24 et le site web planmytrip24.com (ensemble, le « Service »). Elle est en outre rédigée pour satisfaire au Règlement général sur la protection des données de l'UE/du Royaume-Uni (RGPD), à la LPD suisse, au California Consumer Privacy Act (CCPA/CPRA), à l'APPI japonaise et à la PIPA sud-coréenne, ainsi qu'aux exigences de divulgation de l'Apple App Store et de Google Play en matière de confidentialité. La version espagnole fait foi ; les versions anglaise, allemande et française sont des traductions de courtoisie.
1. Identité et adresse du responsable du traitement (Responsable)
Le responsable du traitement de vos données à caractère personnel (le « Responsable » ou « Opérateur ») est :
Kevin Meda Rodriguez, personne physique (persona física) de nationalité mexicaine
Adresse : Paseo de los Fresnos 182, Col. Paseos de Taxqueña, C.P. 04250, Alcaldía Coyoacán, Ciudad de México, Mexique
Courriel : [email protected]
Kevin Meda Rodriguez est la seule personne responsable du traitement des données à caractère personnel collectées via le Service. Aucun délégué à la protection des données n'a été désigné (non requis à notre échelle actuelle). Adressez toute demande relative à la confidentialité au courriel ci-dessus.
2. Quelles données nous traitons, à quelles fins et sur quelle base juridique
| Catégorie | Données | Finalité | Base juridique (RGPD) |
|---|---|---|---|
| Compte | Courriel, nom d'utilisateur, nom et prénom, date de naissance, genre (facultatif), pays/ville de résidence, mot de passe (stocké uniquement sous forme de condensat salé), photo de profil, langue/devise/unités préférées | Créer et exploiter votre compte ; vérifier que vous avez 18 ans ou plus ; personnaliser le contenu | Art. 6, §1, b) contrat ; vérification de l'âge : Art. 6, §1, c) obligation légale |
| Données techniques de l'appareil | Modèle d'appareil, système d'exploitation et version, version de l'application, identifiants d'appareil ou d'installation utilisés par les SDK intégrés, adresse IP, agent utilisateur (user-agent) | Exploiter l'application, diagnostiquer les erreurs, sécurité et prévention des abus | Art. 6, §1, b)/f) |
| Voyages et planification | Destinations, dates, itinéraires, notes, réservations, vols suivis, préférences (p. ex. centres d'intérêt, alimentation), membres du voyage | Fournir les fonctions de planification que vous utilisez | Art. 6, §1, b) contrat |
| Fichiers et reçus | Fichiers que vous téléversez (billets, confirmations, reçus, photos) | Les stocker et les afficher dans vos voyages ; analyse anti-maliciels | Art. 6, §1, b) ; analyse : Art. 6, §1, f) intérêt légitime (sécurité) |
| Coffre-fort sécurisé | Fichiers et métadonnées chiffrés de bout en bout | Stockage chiffré. Connaissance nulle : nous ne stockons que du texte chiffré et ne pouvons pas le lire | Art. 6, §1, b) |
| Dépenses | Montants des dépenses, répartitions, membres du groupe, images de reçus | Fonctions de partage des dépenses | Art. 6, §1, b) |
| Fonctions d'IA | Vos messages de discussion à l'assistant de voyage, paramètres du voyage et contenu nécessaire pour générer itinéraires/conseils/traductions | Générer le contenu d'IA que vous demandez (traité par les fournisseurs d'IA de la Section 6) | Art. 6, §1, b) |
| Localisation de l'appareil | Localisation précise ou approximative de l'appareil (uniquement si vous accordez l'autorisation du système d'exploitation), traitée via les services Google Maps/Google Places et les composants cartographiques de l'application | Exclusivement pour la fonctionnalité essentielle de l'application : afficher votre position sur les cartes, suggérer votre ville de départ et afficher les lieux et contenus à proximité. Non stockée sur nos serveurs et jamais vendue à des tiers | Art. 6, §1, a) consentement (révocable dans les réglages du système d'exploitation) |
| Journaux de sécurité et d'audit | Adresse IP, appareil/agent utilisateur, horodatages des connexions et des modifications pertinentes pour la sécurité (changements de courriel/nom d'utilisateur), acceptations des conditions | Sécurité, prévention des abus et de la fraude, limitation de débit, preuve légale du consentement | Art. 6, §1, f) intérêt légitime ; Art. 6, §1, c) |
| Statut d'abonnement | Identifiants de transaction de la boutique d'applications et statut de l'abonnement (aucune donnée de carte — les paiements sont gérés par Apple/Google) | Activer et vérifier Premium | Art. 6, §1, b) |
| Notifications | Jeton push (si vous activez les notifications), préférences de notification | Envoyer les notifications que vous avez choisies (p. ex. alertes de vol) | Art. 6, §1, a)/b) |
| Courriels | Adresse de courriel, événements de remise des courriels transactionnels (codes de vérification, réinitialisation de mot de passe, activité du compte) ; marketing uniquement selon votre consentement | Exploiter le compte ; actualités produit facultatives | Art. 6, §1, b) ; marketing : Art. 6, §1, a) consentement |
| Assistance et commentaires | Messages que vous nous envoyez, textes de commentaires | Vous répondre ; améliorer le Service | Art. 6, §1, b)/f) |
Aux fins de la LFPDPPP, le traitement décrit repose sur le consentement que vous donnez en acceptant le présent avis et, le cas échéant, sur les exceptions de l'article 10 de la LFPDPPP (données nécessaires à l'existence, au maintien et à l'exécution de la relation juridique entre vous et le Responsable). Les catégories ci-dessus correspondent aux déclarations de confidentialité publiées sur les fiches de l'application dans l'Apple App Store (« Confidentialité de l'app » / étiquettes de confidentialité) et Google Play (« Sécurité des données »).
Nous n'utilisons pas vos données pour une prise de décision automatisée produisant des effets juridiques ou vous affectant de manière significative similaire, et nous ne traitons pas délibérément de catégories particulières de données (ne téléversez pas de données de santé ou d'autres informations sensibles en dehors du coffre-fort chiffré).
3. Ce que nous ne faisons délibérément pas
- Nous ne vendons ni ne partageons de données à caractère personnel à des fins de publicité comportementale inter-contextes (CCPA : pas de « vente »/« partage »). En particulier, vos données de localisation ne sont jamais vendues à des tiers.
- Nous n'intégrons pas de SDK publicitaires ou de pisteurs tiers dans l'application mobile.
- Nous ne stockons pas vos coordonnées GPS sur nos serveurs.
- Nous ne lisons pas votre coffre-fort chiffré — techniquement impossible sans votre phrase secrète.
4. Finalités du traitement
Finalités primaires (nécessaires à la relation juridique qui donne lieu au traitement) :
- créer, authentifier, exploiter et maintenir votre compte, y compris vérifier que vous êtes majeur ;
- fournir les fonctions du Service que vous utilisez (planification de voyages, itinéraires, réservations, dépenses, fichiers, coffre-fort, suivi de vols, météo, contenu d'IA que vous demandez) ;
- gérer votre abonnement Premium et vérifier vos droits d'accès ;
- vous envoyer les communications transactionnelles indispensables (codes de vérification, réinitialisation de mot de passe, avis de sécurité et de compte) et les notifications que vous activez ;
- assurer la sécurité du Service, prévenir la fraude et les abus, et conserver la preuve du consentement ;
- respecter les obligations légales applicables.
Finalités secondaires (non nécessaires à la relation juridique) :
- envoi de nos propres actualités produit et communications promotionnelles (uniquement avec votre consentement exprès, opt-in) ;
- analyses internes pour améliorer le produit (p. ex. le motif de suppression de compte que vous fournissez volontairement).
Vous pouvez refuser à tout moment le traitement à des fins secondaires, sans que cela n'affecte le Service : désactivez les communications dans les réglages de l'application ou écrivez à [email protected] avec l'objet « Limitación de finalidades secundarias » (limitation des finalités secondaires).
5. Données à caractère personnel sensibles
Nous ne collectons ni ne sollicitons de données à caractère personnel sensibles au sens de la LFPDPPP (origine raciale ou ethnique, état de santé, croyances religieuses, appartenance syndicale, opinions politiques, préférence sexuelle, entre autres). Merci de ne pas inclure de telles informations dans les champs de texte libre ; si vous devez conserver des documents contenant des informations délicates, utilisez le coffre-fort chiffré à connaissance nulle.
6. Sous-traitants et destinataires
Pour exploiter le Service, nous faisons appel aux prestataires suivants (sous-traitants au sens de la LFPDPPP et du RGPD ou, dans certains cas, responsables indépendants) :
| Prestataire | Finalité | Données concernées | Localisation |
|---|---|---|---|
| Google Cloud (Google Ireland/LLC) | Hébergement : serveurs, base de données, stockage de fichiers, files de tâches (région europe-west1, Belgique) | Toutes les données côté serveur | UE (hébergement) ; assistance Google LLC (É.-U.) |
| Google (Gemini / Vertex AI) | Génération de contenu par IA (itinéraires, discussion, conseils, traductions, offres) | Messages de discussion, paramètres du voyage, contenu à traduire | UE/É.-U. |
| xAI, OpenAI, Groq | Fournisseurs d'IA de secours/auxiliaires pour des tâches de génération spécifiques | Mêmes catégories que ci-dessus (aucun identifiant de compte transmis) | É.-U. |
| Langfuse (Langfuse GmbH) | Journalisation technique des requêtes d'IA (suivi de la qualité et des coûts) ; les entrées/sorties sont enregistrées | Entrées/sorties d'IA, identifiants pseudonymes | UE |
| Google Maps / Google Places / Distance Matrix | Recherche de lieux, détails, photos, temps de trajet, fonctions cartographiques | Termes de recherche, requêtes de lieux, coordonnées interrogées | É.-U./mondial |
| Mapbox | Cartes et itinéraires | Requêtes de tuiles cartographiques, coordonnées d'itinéraire | É.-U. |
| Open-Meteo | Prévisions météorologiques | Coordonnées de la destination (aucun identifiant personnel) | UE |
| AeroDataBox (via MagicAPI) | Statut des vols que vous suivez | Numéros de vol, dates | É.-U./UE |
| MailerSend | Courriels transactionnels et (avec consentement) produit | Adresse de courriel, nom, événements de remise | UE/É.-U. |
| Firebase Cloud Messaging (Google) | Notifications push (si activées) | Jeton push, contenu des notifications | É.-U./mondial |
| Apple / Google Play | Distribution de l'application, facturation des abonnements | Données d'achat/de transaction (ce sont des responsables indépendants) | É.-U./mondial |
| Cloudflare | Diffusion de contenu (images, site web) | Adresse IP, URL demandées | Mondial |
| VirusTotal (Google) / ClamAV auto-hébergé | Analyse anti-maliciels des fichiers téléversés | Empreintes de fichiers / contenu des fichiers téléversés (hors coffre-fort) | É.-U. / UE |
| exchangerate-api.com | Taux de change | Aucune (requêtes de taux génériques) | É.-U. |
Lorsque vous ouvrez le site ou l'application d'un partenaire de réservation via un lien du Service (p. ex. Expedia, Trip.com, Check24, GetYourGuide, Viator, Klook, Tiqets, Civitatis), ce partenaire traite vos données en tant que responsable indépendant selon sa propre politique de confidentialité. Les liens sortants peuvent comporter un identifiant d'affiliation afin que le partenaire puisse attribuer la recommandation ; nous ne recevons pas vos détails de réservation de la part des partenaires.
7. Transferts internationaux
Nos serveurs se trouvent dans l'Union européenne (Belgique). Certains prestataires ci-dessus traitent des données aux États-Unis ou à l'échelle mondiale. Les transferts vers les sous-traitants décrits dans le présent avis sont nécessaires à l'exploitation du Service et sont effectués au titre des articles 36 et 37 de la LFPDPPP ; en fournissant vos données et en acceptant le présent avis, vous consentez à ces transferts. Lorsque les données quittent l'UE/le Royaume-Uni/la Suisse, nous nous appuyons sur des décisions d'adéquation de la Commission européenne (y compris le cadre de protection des données UE–États-Unis pour les prestataires certifiés) et/ou sur des clauses contractuelles types assorties de mesures supplémentaires. Le Responsable, établi au Mexique, accède aux systèmes à des fins d'administration ; la LFPDPPP et nos garanties contractuelles s'appliquent à cet accès.
8. Google Maps et Google Places
Les fonctions de cartographie, de recherche de lieux et de données géographiques du Service utilisent les services Google Maps et Google Places. En utilisant ces fonctions, vous êtes en outre lié par les Conditions d'utilisation supplémentaires de Google Maps/Google Earth et par la Politique de confidentialité de Google. Google peut recevoir les requêtes de lieux et les coordonnées nécessaires pour répondre à vos recherches ; Google agit selon ses propres conditions. Google Maps, Google Places et les autres marques de Google sont la propriété de Google LLC.
9. Liens et redirections vers des sites tiers
Le Service contient des liens qui vous redirigent vers des sites web et plateformes externes de tiers, entièrement hors du contrôle du Responsable. Lorsque vous quittez le Service via un tel lien, le présent avis de confidentialité cesse de s'appliquer : le traitement de vos données est régi exclusivement par l'avis ou la politique de confidentialité du site externe concerné. Nous vous recommandons de lire les politiques de confidentialité de tout site tiers que vous visitez. Le Responsable n'assume aucune responsabilité quant aux pratiques de confidentialité de ces tiers.
10. Droits ARCO (Mexique)
Vous ou votre représentant légal pouvez à tout moment exercer les droits d'Accès, de Rectification, d'Annulation (suppression) et d'Opposition (droits ARCO) prévus par la LFPDPPP. Procédure :
- Envoyez une demande par courriel à [email protected] avec l'objet « Solicitud ARCO ».
- Conformément à l'article 29 de la LFPDPPP, la demande doit contenir : (a) votre nom complet et un moyen de vous communiquer la réponse (courriel) ; (b) une copie d'un document prouvant votre identité (INE/IFE, passeport) ou, le cas échéant, la représentation légale de la personne agissant en votre nom ; (c) une description claire et précise des données à caractère personnel concernées et du droit que vous souhaitez exercer ; et (d) tout élément facilitant la localisation des données (p. ex. le courriel avec lequel vous vous êtes inscrit).
- Délais : nous vous communiquerons notre décision dans un délai maximal de 20 jours ouvrables à compter de la réception de la demande ; si elle est accueillie, elle sera exécutée dans les 15 jours ouvrables suivants. Ces délais peuvent être prorogés une seule fois pour une durée équivalente lorsque cela est justifié.
- L'exercice des droits ARCO est gratuit ; seuls les frais d'envoi justifiés ou le coût de reproduction en copies ou autres formats peuvent être facturés.
- Si la réponse ne vous satisfait pas ou si vous ne la recevez pas dans les délais, vous pouvez engager la procédure de protection des droits devant l'Institut national de la transparence, de l'accès à l'information et de la protection des données à caractère personnel (INAI) — home.inai.org.mx — dans les 15 jours ouvrables suivants.
11. Droits dans d'autres juridictions
UE/Royaume-Uni/Suisse (RGPD/LPD) : vous disposez des droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition (y compris à l'égard des traitements fondés sur l'intérêt légitime), ainsi que du droit de retirer votre consentement à tout moment avec effet pour l'avenir. Vous pouvez introduire une réclamation auprès de votre autorité de contrôle locale (en France, la CNIL).
Californie (CCPA/CPRA) : vous disposez des droits de savoir, de supprimer, de corriger et de non-discrimination. Nous ne vendons ni ne partageons d'informations personnelles, il n'y a donc rien à refuser ; nous n'utilisons pas non plus d'informations personnelles sensibles au-delà de ce qui est nécessaire à la fourniture du Service.
Japon (APPI) / Corée du Sud (PIPA) : vous disposez de droits équivalents d'accès, de correction, de suppression et d'opposition/révocation selon votre droit local.
Comment les exercer : la plupart des droits sont en libre-service dans l'application (modifier le profil ; Compte → Supprimer le compte). Pour tout le reste, écrivez à [email protected] ; nous vérifierons votre identité et répondrons dans le délai légal (un mois sous le RGPD, prorogeable dans les conditions permises).
12. Révocation du consentement et limitation de l'utilisation ou de la divulgation
Vous pouvez révoquer le consentement donné pour le traitement de vos données à caractère personnel, ainsi que limiter l'utilisation ou la divulgation de ces données, en écrivant à [email protected] avec l'objet « Revocación de consentimiento » (révocation du consentement) ou « Limitación de uso » (limitation de l'utilisation), en suivant la même procédure et les mêmes délais qu'à la Section 10. Notez que la révocation n'a pas d'effet rétroactif et que, lorsque le traitement est nécessaire à la fourniture du Service, la révocation peut impliquer que nous ne puissions plus vous le fournir (auquel cas vous pouvez supprimer votre compte comme décrit à la Section 13). L'autorisation de localisation peut être révoquée à tout moment directement dans les réglages de votre système d'exploitation, sans aucune demande.
13. Conservation des données et suppression de votre compte
Comment supprimer votre compte et toutes vos données : dans l'application, allez dans Compte → Supprimer le compte, confirmez avec votre mot de passe, et la suppression est exécutée de façon permanente. Vous pouvez aussi demander la suppression complète par courriel à [email protected] (nous vérifierons votre identité). Cette voie satisfait également à l'exigence de suppression de compte des directives de l'Apple App Store et de Google Play.
- Données et contenu du compte : conservés tant que votre compte existe. Lorsque vous supprimez votre compte, vos voyages, fichiers, dépenses, jetons push, liens d'invitation, photo de profil et coffre-fort sont supprimés définitivement (les voyages partagés dont vous êtes propriétaire sont transférés ou supprimés selon votre choix pendant la suppression).
- Ce qui survit à la suppression : (a) le motif de suppression que vous déclarez, avec votre courriel, conservé à des fins d'analyse du produit ; (b) les journaux d'audit de sécurité des changements d'identité (IP, agent utilisateur) ; (c) les preuves d'acceptation des conditions/de la confidentialité — conservées comme preuve légale, puis effacées lorsqu'elles ne sont plus nécessaires (au plus le délai de prescription applicable) ; et (d) des sauvegardes chiffrées de courte durée (rotation automatique).
- La désactivation (par opposition à la suppression) conserve vos données afin que vous puissiez revenir ; vous pouvez demander la suppression totale à tout moment.
- Les journaux de remise de courriels et les journaux serveur sont conservés pour de courtes durées techniques.
14. Mesures de sécurité
Les mesures mises en œuvre comprennent : TLS pour tous les transports (avec épinglage de certificat dans l'application), hachage des mots de passe avec bcrypt, stockage chiffré, résidence des données dans l'UE, contrôles d'accès stricts, limitation de débit et blocage contre les attaques par force brute, analyse anti-maliciels des fichiers téléversés via un pipeline de quarantaine isolé, journaux d'audit en écriture seule, et un coffre-fort chiffré à connaissance nulle (AES-256-GCM, dérivation de clé argon2id sur votre appareil). Aucun service Internet n'est sûr à 100 % ; gardez votre mot de passe unique et confidentiel.
15. Mineurs
Le Service s'adresse aux personnes majeures (18 ans et plus). Nous ne traitons pas sciemment les données de mineurs ; le processus d'inscription rejette les dates de naissance de moins de 18 ans. Si vous pensez qu'un mineur possède un compte, contactez-nous et nous le supprimerons.
16. Cookies et le site web
L'application mobile n'utilise ni cookies ni pisteurs publicitaires tiers.
Le site web planmytrip24.com (y compris la version web de l'application) n'utilise que le stockage techniquement nécessaire à son fonctionnement — par exemple le stockage local de votre session connectée — ainsi que les requêtes aux fournisseurs de cartes et d'images décrits à la Section 6 (qui reçoivent votre adresse IP en servant le contenu). Nous ne déposons pas de cookies publicitaires ou de suivi. Si cela devait changer, nous afficherions d'abord une bannière de consentement.
17. Modifications du présent avis
Nous mettrons à jour le présent avis à mesure que le Service évolue. La version et la date d'entrée en vigueur figurent en haut ; toute modification sera publiée sur cette page (planmytrip24.com/fr/privacy) et les modifications substantielles seront annoncées dans l'application, où il vous sera demandé de confirmer la nouvelle version. Nous conservons la trace de la version que vous avez acceptée.
18. Contact
[email protected] — Kevin Meda Rodriguez, Paseo de los Fresnos 182, Col. Paseos de Taxqueña, C.P. 04250, Alcaldía Coyoacán, Ciudad de México, Mexique.