Politique de confidentialité

Données de contact : votre adresse e-mail, votre nom et, en option, un numéro de téléphone.

Données de la demande : la destination, le type de visa et les réponses exigées par le formulaire officiel de la destination, pouvant inclure les données du passeport, dates de naissance, adresses, projets de voyage et, pour certaines destinations, une photo de passeport que vous téléversez. Nous ne collectons ces données que lorsque vous commencez une demande.

Données de paiement : le montant, la devise, la date, l'état du paiement et une référence bancaire pour chaque paiement. Nous ne voyons ni ne stockons jamais votre numéro de carte complet ; les données de carte sont saisies directement par la passerelle de notre banque (Redsys / CaixaBank) dans son cadre sécurisé.

Données techniques et d'utilisation : adresse IP, informations sur l'appareil et le navigateur, journaux de sécurité et, uniquement avec votre consentement, événements d'analyse et de mesure publicitaire (voir notre Politique de cookies).

Registres de consentement et de communication : vos choix de cookies, les textes juridiques acceptés et leur date, les e-mails transactionnels envoyés et l'état de désinscription.

Pour fournir le service demandé : préparer, vérifier, déposer et suivre votre demande, y compris conserver un brouillon inachevé pendant 30 jours pour que vous puissiez le reprendre. Base : exécution d'un contrat, art. 6(1)(b) RGPD.

Pour respecter la loi : conservation fiscale et commerciale des demandes payées et réponse aux demandes licites des autorités. Base : obligation légale, art. 6(1)(c) RGPD.

Pour exploiter et protéger la plateforme : journaux de sécurité, prévention de la fraude, détection des abus et suivi des erreurs. Base : intérêt légitime, art. 6(1)(f) RGPD.

Pour mesurer et améliorer le site (analyse) et mesurer la publicité, uniquement si vous acceptez ces catégories de cookies. Base : consentement, art. 6(1)(a) RGPD, révocable à tout moment.

Nous ne vendons pas vos données personnelles. Nous utilisons un petit nombre de prestataires vérifiés agissant comme sous-traitants au titre de l'art. 28 RGPD : un prestataire de base de données, d'authentification, de stockage de fichiers et d'hébergement (traitement dans l'Union européenne) ; un prestataire de diffusion de contenu, d'edge computing et de sécurité (y compris la protection anti-bots) ; Redsys / CaixaBank (traitement des paiements par carte) ; un prestataire d'e-mails transactionnels ; un prestataire de suivi des erreurs (données personnelles purgées avant envoi) ; Geoapify (autocomplétion d'adresse optionnelle) et Google (mesure Google Analytics 4 et Google Ads, uniquement après votre consentement). Ces catégories de destinataires sont détaillées dans l'annexe des sous-traitants ultérieurs (section 11).

Lorsque vous nous demandez de déposer une demande, les données exigées par le formulaire officiel sont transmises à l'autorité de ce gouvernement. Cette autorité est responsable de traitement indépendante des données qu'elle reçoit.

Nous pouvons aussi divulguer des données lorsque la loi l'exige, par exemple aux tribunaux, à l'administration fiscale ou aux forces de l'ordre agissant dans leurs compétences.

Nos systèmes principaux sont hébergés dans l'Union européenne. Lorsqu'un prestataire traite des données hors de l'Espace économique européen (par exemple certaines opérations de notre prestataire de diffusion de contenu et de sécurité, de notre prestataire de suivi des erreurs ou de Google aux États-Unis), le transfert est protégé par une décision d'adéquation de la Commission européenne (y compris le cadre de protection des données UE-États-Unis lorsque le prestataire est certifié) ou par les clauses contractuelles types avec des garanties supplémentaires.

Déposer votre demande auprès d'une destination hors EEE transfère nécessairement les données de la demande à l'autorité de ce pays. Ce transfert est nécessaire à l'exécution de votre contrat avec nous (art. 49(1)(b) RGPD) et n'a lieu qu'à votre demande.

Demandes en brouillon : 30 jours après la dernière mise à jour, puis suppression, avec un e-mail de rappel avant expiration.

Registres de paiement et de facturation : conservés pendant la prestation du service puis pendant les durées exigées par le droit fiscal et commercial espagnol (en général quatre ans selon la loi générale fiscale et six ans selon le code de commerce), puis supprimés ou anonymisés. Vos données d'identité pour une demande déposée (données du passeport, les réponses de votre formulaire gouvernemental et toute photo de passeport téléversée) sont supprimées ou anonymisées peu après la résolution de la demande, en général dans un délai d'environ 30 jours après son acceptation, son refus ou son expiration, une fois traitée auprès de l'autorité de destination ; seul le registre de paiement anonymisé est conservé pendant la durée légale.

Journal des e-mails envoyés : jusqu'à 365 jours. Journaux d'audit de sécurité : jusqu'à 1 an. Journaux d'accès aux données d'identité : jusqu'à 2 ans. Registres de consentement : conservés comme preuve de conformité aussi longtemps que la loi peut nous l'exiger.

Les photos de passeport des brouillons non payés sont supprimées avec le brouillon ; pour les demandes déposées, elles sont supprimées peu après la résolution de la demande, avec le reste de ses données d'identité, ne laissant que le registre de paiement anonymisé pendant la durée légale fiscale et commerciale.

Vous avez le droit d'accéder à vos données, de les rectifier, de les effacer, d'en limiter le traitement, de les recevoir dans un format portable, de vous opposer aux traitements fondés sur l'intérêt légitime et de retirer votre consentement à tout moment. Pour exercer ces droits, écrivez à notre délégué à la protection des données à l'adresse ci-dessus ; nous vérifions votre identité (via l'e-mail enregistré ou votre code de suivi) avant d'agir.

Nous répondons sous un mois, prolongeable de deux mois pour les demandes complexes, et nous pouvons vous demander de vérifier votre identité. Les registres de paiement et de facturation que nous devons conserver au titre du droit fiscal ou commercial ne peuvent pas être effacés avant la fin de ces durées ; vos données d'identité, en revanche, sont supprimées peu après la résolution de votre demande. Nous vous indiquerons quand une conservation légale s'applique.

Vous pouvez aussi déposer une réclamation auprès de l'autorité espagnole de protection des données (Agencia Española de Protección de Datos, AEPD ; C/ de Jorge Juan, 6, 28001 Madrid ; www.aepd.es ; bureau électronique sedeagpd.gob.es) ou de l'autorité de contrôle de votre pays de résidence dans l'UE.

Tout le trafic est chiffré en transit (TLS). Les données d'identité des demandes sont chiffrées au repos, leur accès est au moindre privilège, journalisé et audité, et l'accès à la base de données est protégé par une sécurité au niveau des lignes. Les paiements sont traités dans le périmètre PCI DSS de la banque ; nous ne détenons jamais votre numéro de carte.

En cas de violation de données personnelles présentant un risque pour vos droits, nous notifierons l'AEPD et, si nécessaire, vous-même, dans les délais légaux.

Notre service ne s'adresse pas aux mineurs. Les demandes pour des voyageurs de moins de 18 ans doivent être créées par un parent ou tuteur légal, qui fournit les données du mineur sous sa propre autorité.

Nous ne prenons pas de décisions produisant des effets juridiques à votre égard fondées uniquement sur un traitement automatisé. Chaque demande est vérifiée par notre équipe avant dépôt ; la décision sur votre visa ou autorisation appartient au gouvernement de la destination, pas à nous.

Toute modification substantielle de cette politique sera publiée sur cette page et, le cas échéant, notifiée par e-mail. La date de la version en vigueur est la date de publication de cette page.

Cette annexe détaille, par catégorie, les prestataires (sous-traitants ultérieurs) qui traitent des données personnelles pour notre compte, décrits à la section 3. Chacun agit au titre d'un contrat écrit art. 28 RGPD, ne traite les données que selon nos instructions documentées et est tenu à des obligations équivalentes de sécurité et de confidentialité. Nous tenons cette liste à jour et publions ici les changements substantiels.

Prestataire de base de données, d'authentification, de stockage de fichiers et d'hébergement de l'application. Région de traitement : l'Union européenne.

Prestataire de diffusion de contenu, d'edge computing et de sécurité (y compris la protection anti-bots). Réseau de périphérie mondial ; tout traitement hors de l'Espace économique européen est protégé par une décision d'adéquation de la Commission européenne ou par les clauses contractuelles types.

Redsys / CaixaBank : traitement des paiements par carte dans le périmètre PCI DSS de la banque. Région de traitement : l'Espagne et l'Union européenne.

Prestataire d'e-mails transactionnels : envoi d'e-mails transactionnels. Tout traitement hors de l'Espace économique européen est protégé par les clauses contractuelles types.

Prestataire de suivi des erreurs : suivi des erreurs, les données personnelles étant purgées avant l'envoi. Tout traitement hors de l'Espace économique européen est protégé par une décision d'adéquation (le cadre de protection des données UE-États-Unis) ou par les clauses contractuelles types.

Geoapify : autocomplétion d'adresse optionnelle pendant que vous saisissez une adresse. Région de traitement : l'Union européenne.

Google (Google Analytics 4 et Google Ads) : mesure d'analyse et de publicité, utilisée uniquement après votre consentement à ces catégories de cookies. Traitement aux États-Unis, protégé par le cadre de protection des données UE-États-Unis et par les clauses contractuelles types.

Nous n'engageons pas de nouveau sous-traitant ultérieur ayant accès à vos données personnelles sans un contrat écrit art. 28 imposant des obligations équivalentes, et nous restons responsables envers vous des données qu'ils traitent.