POLITIQUE DE CONFIDENTIALITÉ

1. PREAMBULE
La protection de vos Données Personnelles est un enjeu important que ORFEA prend au sérieux et sur lequel l’entreprise souhaite établir la plus grande transparence.

La présente politique de confidentialité (ci-après la « Politique ») est ainsi destinée aux personnes physiques afin de les tenir informées sur les traitements de Données les concernant.

Nous vous présentons dans la présente Politique la manière dont vos Données Personnelles sont traitées dans le cadre de l’exploitation du site ORFEA https://www.orfea.fr/fr et la plateforme de réservation WebResa https://resa.orfea.fr/wof/ (le « Site »), ainsi que les droits dont les Utilisateurs consultant le Site (l’« Utilisateur ») disposent sur leurs Données Personnelles traitées, conformément à la Réglementation Applicable.

Vous êtes concerné par la présente Politique, si vous êtes (ci-après « vous », « Utilisateur », ou « Personne Concernée » :
– Clients ORFEA (accédant au service réservé au personnel SNCF et partenaires), disposant d’un compte client auprès d’ORFEA, en vue de bénéficier du service de réservation d’un service d’hébergement dans un établissement exploité par ORFEA (Résidence ORFEA), ou d’un Hôtel partenaire, pouvant être soit :
– Un salarié du Groupe SNCF ou de l’une de ses filiales ;
– Un ayant-droit du salarié (pouvant réserver sans le salarié) ;
– Un accompagnant du salarié (en cas de déplacement non professionnel) ;
– Les retraités du Groupe SNCF.
– Gestionnaire de compte client (accédant au service réservé aux Hôtels Partenaires du Réseau Orfea) : désigne l’Utilisateur, employé par un établissement titulaire d’un compte client, choisi par cet établissement pour administrer ce compte (employé de l’hôtel partenaire dans le cadre de la gestion des réservations le concernant, disposant d’identifiants permettant l’utilisation du Site) ;
– Gestionnaire/Administrateur de contenu Orfea (accédant au service réservé au personnel Orfea) ;
– Membre du support ORFEA (accédant au service réservé au personnel Orfea) ;
– Membre d’un service financier (accédant au service réservé aux clients de Orfea) ;
– Service chargé de gérer l’application Anaël (accédant au service réservé au personnel Orfea) ;
– Toute autre personne qui nous contacte via le chatbot.

2. DEFINITIONS
Voici les différents termes relatifs à la Protection des Données que vous trouverez dans la présente Politique. Vous pouvez également vous référer à l’article 4 du Règlement Général sur la Protection des Données (RGPD) pour plus de détails :
– « Données Personnelles » ou « Données » : désignent toutes les informations se rapportant à une Personne Concernée, qui permettent de l’identifier directement ou indirectement en les croisant entre-elles. Nom, prénom, identifiant, numéro de téléphone, adresse, etc., sont autant d’informations qui peuvent constituer des Données Personnelles.
– « Délégué à la Protection de Données » ou « DPO » : désigne la personne chargée de mettre en œuvre la conformité au RGPD au sein de l’organisme qui l’a désignée s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.
– « Personne Concernée » : désigne une personne physique faisant l’objet d’un traitement de Données Personnelles.
– « Responsable du traitement » : désigne la personne physique ou morale qui détermine les finalités et les moyens du Traitement des Données Personnelles.
– « Sous-traitant » : désigne la personne qui traite des Données Personnelles sous l’autorité, sur instructions et pour le compte du Responsable du traitement, dans le cadre d’une prestation ou d’un service.
– « Destinataire » : désigne toute personne physique ou morale, autorité publique, ou organisme qui reçoit communication de Données Personnelles, qu’il s’agisse ou non d’un tiers.
– « Autorité de contrôle » : désigne l’autorité publique indépendante chargée de surveiller l’application du RGPD, en France l’Autorité de contrôle est la Commission Nationale Informatique et Libertés (CNIL).
– « Traitement » : désigne toute opération ou tout ensemble d’opérations, effectuées ou non à l’aide de procédés automatisés et portant sur des Données Personnelles, réalisée par le Responsable de traitement. Cela peut notamment être la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que la limitation, l’effacement ou la destruction.
– « Consentement » : désigne toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la Personne Concernée accepte, par une déclaration ou par un acte positif clair, que des Données Personnelles la concernant fassent l’objet d’un traitement. Par exemple, l’expression de choix en cochant des cases sur un formulaire ou des boutons « on / off » dans une fenêtre de dialogue affichée par le Site constituent des Consentements.
– « Cookies » : désigne un fichier texte ou tout autre traceur déposé sur un terminal lors de la visite du Site. Un Cookie peut être utilisé pour collecter des informations relatives aux Personnes Concernées qui consultent le Site et leur adresser des services et contenus personnalisés.
– « Réglementation Applicable » : en matière de protection des Données Personnelles, elle désigne le règlement européen N°2016/679 du 27 avril 2016 (le « RGPD ») et la loi Informatique et Libertés N°78-17 du 6 janvier 1978 modifiée.
– « Site » : fait référence au site institutionnel d’ORFEA accessible sur https://www.orfea.fr/fr ainsi qu’à la plateforme de réservation WebResa accessible sur l’adresse suivante : https://resa.orfea.fr/wof/ . La présente Politique s’applique également en cas d’utilisation de l’application MobiResa, disponible sur iOS et Android.
– « Utilisateur » : désigne toute personne physique qui accède à notre Site.

3. IDENTITE ET COORDONNEES DU RESPONSABLE DU TRAITEMENT ET DE SON DPO
Le Site est édité par la Société d’Exploitation des Résidences Hôtelières Rail (ORFEA), Société en Nom Collectif, au capital de 400 000 € euros, enregistrée au Registre du Commerce et des Sociétés de Paris sous le numéro 452 440 381, et sous le numéro de TVA intracommunautaire FR58 452 440 381, et dont le siège social sis à 49, Rue Réaumur 75139 Paris Cedex, représentée par Mr Arnaud BELVEAU-JEAN, agissant en tant que Directeur général, dûment habilitée à l’effet des présentes.
Les informations de contact :
• Adresse du siège social : 49, Rue Réaumur 75139 Paris Cedex
ORFEA traite les Données Personnelles des Utilisateurs du Site, et agit en qualité de Responsable du traitement.
Nous vous informons que ORFEA a désigné un Délégué à la Protection des Données Personnelles (DPO) que vous pouvez contacter pour lui poser vos questions en lien avec la protection de vos Données Personnelles à l’adresse suivante : dpo-orfea@sncf.fr

4. FINALITES DES TRAITEMENTS ET CATEGORIES DE DONNEES COLLECTEES
Les Données traitées sont adéquates et pertinentes vis-à-vis des finalités poursuivies, et leur collecte est limitée au strict nécessaire.
ORFEA met en œuvre, en qualité de Responsable de traitement de Données Personnelles
recueillies directement sur le Site concernant les Utilisateurs, en vue de réaliser les finalités suivantes :

1) La gestion des réservations :
 Données Personnelles relatives à la création des réservations par l’Utilisateur et la confirmation de celles-ci par Orfea :
 Informations du séjour : Nombre de personnes par chambre, type de chambre, motif de séjour, dates et heures d’arrivée et de départ du séjour, prix du séjour, numéro de réservation, code promotionnel (facultatif), catégorie d’hôtel (facultatif), budget maximum par nuit et par personne (facultatif), nombre de petit-déjeuner (facultatif), observation* (facultatif).
 Données d’identification : Adresse email, nom, prénom, numéro de téléphone mobile.
 Données Personnelles liées aux demandes de remboursement : Détail de la réservation, devis de la réservation, facture.
Pas de collecte des Données Personnelles liées au règlement des services de réservation et d’hébergement : Numéro de la carte bancaire personnelle ou professionnelle. Vos paiements sont bien effectués sur un environnement sécurisé de notre banque. Vos numéros de carte bleue transitent entre votre banque et la banque de Orfea. Ils ne sont pas stockés sur notre site Web.

2) La création du compte client sur la plateforme de réservation WebResa
 Données relatives à la création du compte : Login utilisateur, nom, prénom, adresse email, numéro de téléphone mobile, numéro de téléphone bureau (facultatif), numéro de matricule dans l’entreprise de rattachement (facultatif), libellé de facturation (facultatif), adresse postale, adresse ligne 2 (facultatif), code postal, ville, pays.

3) Le traitement des demandes reçues sur chatbot* (liées à la connexion, la réservation, la facturation ou autres) et l’orientation de ces demandes vers le service concerné
Données saisies sur chatbot : Nom, prénom, adresse email (professionnelle ou personnelle), numéro de téléphone, pièces jointes (facultatif), observation* (facultatif).

4) L’envoi des offres promotionnelles d’ORFEA et de ses hôteliers partenaires (sous réserve de l’obtention du consentement)
 Données Personnelles liées à l’envoi des offres promotionnelles d’ORFEA et de ses partenaires : Adresse email, nom, prénom

5) Le bon fonctionnement et la sécurité du Site
 Données déposées sur votre appareil lors de votre navigation sur le Site : identifiant unique de session, les Données de session stockées côté serveur, telles que les données de connexion

6) La gestion des réservations Orfea
 Données d’identification : login, mot de passe

7) La consultation et gestion des factures
 Données d’identification d’un membre d’un service financier/Utilisateur WebFinance : adresse email, mot de passe et rattachement aux périmètres de consultation des factures le concernant
 Données relatives à la création du compte

8) La gestion du contenu descriptif des Hôtels et/ou Résidences
 Données d’identification d’un gestionnaire/administrateur de contenu Orfea : login, mot de passe
 Données relatives à la création du compte et aux rattachements des contenus du login

*Nous sommes parfois amenés à collecter des informations que vous avez librement renseignées dans la rubrique « observation » lors de la validation de la réservation (par exemple, le nombre de personnes, le type de chambre, vos souhaits de catégories d’hôtels, etc.), ou sur chatbot, lors d’une saisie d’une demande. Par ailleurs, nous excluons toute collecte des commentaires subjectifs, non professionnels, discriminants, excessifs ou insultants, et portant sur des données sensibles ou faisant apparaitre des infractions, condamnations et mesures de sûreté.
Les Données Personnelles sont collectées directement par l’Utilisateur ou par l’intermédiaire d’un Gestionnaire de Compte Client.

5. BASE LEGALE DU TRAITEMENT
Le Traitement de vos Données dans le cadre de l’exploitation du Site repose sur l’une des bases légales suivantes, conformément à l’article 6 RGPD :

1) Consentement de l’Utilisateur, recueilli directement :
– Lors de l’acceptation de recevoir des offres promotionnelles d’ORFEA et de ses partenaires.

2) Intérêts légitimes de ORFEA :
– Répondre aux demandes de contact reçues via chatbot,
– Traiter les réclamations clients
– Assurer le fonctionnement et la sécurité du Site.

3) Exécution du contrat de réservation de Services d’hébergement liant le client à ORFEA (par l’acceptation des conditions générales de services de réservation accessible sur le Site) :
– Permettre la création et la gestion de votre compte sur l’espace client,
– Exécuter la commande d’un Service de réservation d’un Service d’hébergement.
NB. En cas de non-respect des Conditions Générales, ORFEA pourra refuser à un Utilisateur d’accéder au Site.

4) Obligations légales :
– Respecter les obligations légales et réglementaires,
– Assurer le traitement des réclamations et litiges éventuels quant à l’utilisation de nos services.

6. CARACTERE OBLIGATOIRE OU FACULTATIF DU RECUEIL DE DONNEES PERSONNELLES
L’Utilisateur reconnaît être informé, sur chacun des formulaires de collecte de Données Personnelles, du caractère obligatoire ou facultatif des réponses par la présence d’un astérisque dans les cases concernés.
L’Utilisateur du Site est notamment informé que la fourniture de l’ensemble des Données mentionnées comme obligatoires dans les formulaires présents sur le Site, sont nécessaires pour bénéficier de nos services offerts sur le Site.
A défaut, l’inscription de l’Utilisateur pour les services ne pourra être effectuée et il ne pourra pas en bénéficier. ORFEA pourrait ne pas pouvoir exécuter la commande d’un Service de réservation.

7. DESTINATAIRES DES DONNEES PERSONNELLES
Dans le cadre de la fourniture de nos services sur le Site, nous pouvons transmettre ou donner accès à tout ou partie de vos Données Personnelles, à nos services internes et/ou aux sous-traitants habilités en fonction de leurs besoins respectifs.
Les destinataires des Données sont :
(i) Au sein de ORFEA, il s’agit notamment du service Clients contacté via le chatbot « Julie », service des achats, service de réservations Orfea, centrale de réservation Orfea, résidences Orfea, Direction du Système d’Information (DSI) d’Orfea.
(ii) A nos sous-traitants, notamment, les hôtels partenaires exclusivement dans le cadre de la réservation de Services d’hébergement, banque partenaire de Orfea, les prestataires informatiques en charge de l’hébergement et de la maintenance de notre site internet.
(iii) A votre établissement de rattachement chargé de régler le paiement de votre séjour (pour les réservations régulières ou si vous êtes un voyageur en rupture de correspondance).
Par ailleurs, nous ne transmettons aux destinataires précités que les Données dont ils ont besoin pour réaliser les services pour lesquelles ils interviennent et nous exigeons qu’ils ne les utilisent à aucune autre fin.
ORFEA pourra être amenée à communiquer vos Données à des organismes tiers dans les cas où une telle communication est autorisée et requise par la loi ou par une décision de justice, ou si cette communication est nécessaire pour assurer la protection et la défense de vos droits.
En dehors de ces cas, vos Données ne seront cédées ou rendues accessibles à aucun tiers sans votre accord préalable.

8. DUREE DE CONSERVATION DES DONNEES PERSONNELLES
Les Données Personnelles vous concernant sont conservées pour la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées visées à l’article 4 de la présente Politique.
Les Données saisies sur chatbot sont conservées pour la durée strictement nécessaire pour répondre à votre demande. Compte tenu de la nature des données saisies, elles sont supprimées dès la fin de la conversation ou conservées pour la durée nécessaire de traiter de votre demande, à l’issue de laquelle, elles seront supprimées dans un délai de 1 an.
Les Données des prospects sont conservées 3 ans à compter du dernier contact ou jusqu’au retrait du consentement du prospect.
Pour les Données stockées sur le compte client, conformément aux règles de prescription en matière commerciale et comptable, elles sont conservées :
– jusqu’à 3 ans après la dernière activité du compte,
– pendant 5 ans pour les données contractuelles à compter de la fin du Contrat,
– et 10 ans pour les données comptables à compter de la clôture de l’exercice comptable
Les commentaires sur les champs libres sont conservés pendant la durée du traitement de la demande.
Les Données Personnelles relatives à l’envoi des offres promotionnelles d’ORFEA et de ses partenaires sont supprimées après une inactivité du compte d’une durée de 3 ans ou jusqu’au retrait du consentement de l’Utilisateur.
Au terme des délais de conservation et d’archivage indiqués ci-dessus, vos Données Personnelles sont soit détruites sans délai, soit conservées à la condition d’avoir été préalablement anonymisées à des fins exclusivement statistiques et ne donneront lieu à aucune exploitation, de quelque nature que ce soit.
Toutefois, si des Données Personnelles permettent d’établir la preuve d’un droit ou d’un contrat ou si elles sont conservées au titre du respect d’une obligation légale de conservation ou sur réquisition de l’autorité judiciaire, ces données à caractère personnel seront conservées pendant la durée prévue par les dispositions légales et réglementaires en vigueur applicables.

9. HEBERGEMENT ET TRANSFERTS DES DONNEES EN DEHORS DE L’UNION EUROPEENNE
Le Site ORFEA est hébergé par le prestataire ITS INTEGRA.
– Adresse de l’hébergeur : 25, Boulevard des Bouvets, 92741- Nanterre Cedex (France)
Les données collectées et traitées par le Site de ORFEA sont par principe exclusivement hébergées et traitées en France, et ne font par ailleurs l’objet d’aucun transfert de données en dehors de l’Union Européenne.

10. SECURITE DES DONNEES ET INFORMATION DES UTILISATEURS
La société ORFEA conserve dans des conditions raisonnables de sécurité l’ensemble des données collectées à travers le Site.
La société ORFEA s’engage à protéger les Données Personnelles collectées et à prendre toutes les précautions utiles et les mesures organisationnelles et techniques appropriées afin de garantir un niveau de sécurité adapté au risque, impliquant en particulier la mise en œuvre de moyens destinés à préserver la disponibilité, l’intégrité et la confidentialité de vos Données Personnelles et notamment, empêcher qu’elles soient modifiées, endommagées ou que des tiers non autorisés y aient accès.
Dans le cas où l’intégrité, la confidentialité ou la sécurité des Données Personnelles de l’Utilisateur est compromise, ORFEA s’engage à l’informer par tout moyen.

11. DROITS DES UTILISATEURS SUR LEURS DONNEES PERSONNELLES
Conformément à la Règlementation Applicable, vous possédez en tant qu’Utilisateur les droits ci-après énumérés dans les conditions prévues par ladite Réglementation :
– Demander à ORFEA l’accès, la rectification ou l’effacement de vos Données, ou une limitation du traitement ;
– Vous opposer au Traitement de vos Données Personnelles pour des motifs légitimes, à ce que ces Données fassent l’objet d’un Traitement ;
– Vous avez également droit à la portabilité de vos Données dans un format structuré et exploitable ;
– Retirer votre consentement à tout moment, sans porter atteinte à la licéité du Traitement fondé sur le consentement effectué avant le retrait de celui-ci, ce droit existant exclusivement lorsque le Traitement est fondé sur le consentement ;
– Ne pas faire l’objet d’une décision fondée exclusivement sur un procédé automatisé ;
– Définir des directives sur le sort de vos Données après la mort.
Vous pouvez exercer vos droits à tout moment par email en envoyant une demande à l’adresse : dpo-orfea@sncf.fr
Si vous constatez, après nous avoir contactés, que vos droits sur vos Données Personnelles ne sont pas respectés, vous pouvez déposer une plainte auprès de l’Autorité de contrôle compétente. En France, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL) : www.cnil.fr

12. GESTION DES COOKIES
Lors de la consultation du Site, seuls les cookies strictement nécessaires à son fonctionnement et les cookies fonctionnels sont déposés sur l’ordinateur de l’Utilisateur.
Ces cookies sont indispensables afin de permettre à notre Site de fonctionner correctement. Elles nous permettent d’assurer notamment un environnement en ligne sûr, par exemple en détectant les échecs répétitifs de connexion afin d’empêcher des personnes non autorisées d’accéder à votre compte.
Ces cookies ne peuvent pas être désactivés de nos systèmes. Ils ne sont pas soumis au consentement préalable de l’Utilisateur. Leur utilisation est fondée sur notre intérêt légitime d’assurer la sécurité, le fonctionnement technique et l’accessibilité à notre Site et à nos différents services proposés sur le Site.
 Sur le site ORFEA : https://www.orfea.fr/fr
Nom du cookie Description du cookie
(finalité) Durée de vie du cookie
PHPSESSID Cookie de session PHP, associé au contenu embarqué de ce domaine, permettant de rester connecté sur les différents pages du Site. 0 jour (session Utilisateur)
 Sur la plateforme de réservation WebResa : https://resa.orfea.fr/wof/
Nom du cookie Description du cookie
(finalité) Durée de vie du cookie
ASP.NET_SessionId Ce cookie est utilisé pour identifier la session des utilisateurs sur le serveur. La session est une zone sur le serveur qui peut être utilisée pour stocker des données entre des requêtes http.
1 an

TS017d98bb Cookie de session 0 jour (session)
__RequestVerificationToken_L1dPRg2 Cookie de session Il s’agit d’un cookie anti-contrefaçon, conçu pour empêcher la publication non autorisée de contenu sur un site Web.
Il ne contient aucune information sur l’utilisateur et est détruit à la fermeture du navigateur.

0 jour (session)

13. MODIFICATION DE LA PRESENTE POLITIQUE DE CONFIDENTIALITE
Nous pouvons être amenés à modifier la présente Politique, afin notamment de nous conformer à toute évolution de la Réglementation Applicable, ou en cas de changement technique relatif au Site. Le cas échéant, nous changerons la date de dernière modification présente ci-dessous pour plus de lisibilité.

Nous vous invitons ainsi à la consulter régulièrement.

Date de dernière modification de la présente Politique : 30/01/2025.

Pour toute information complémentaire, nous vous invitons à contacter le DPO de ORFEA à l’adresse : dpo-orfea@sncf.fr