Se rendre au contenu

POLITIQUE DE PROTECTION DES DONNÉES PERSONNELLES - GROUPE KRISTAL

Version 2.1 · 09/05/2026 · Français

PRÉAMBULE

KRISTAL place la confidentialité et la sécurité des données personnelles au cœur de ses engagements vis-à-vis de ses clients, prospects, fournisseurs, partenaires et utilisateurs.

La présente politique (« Politique ») décrit les conditions dans lesquelles les sociétés du groupe KRISTAL collectent et traitent les données à caractère personnel, dans le respect du règlement (UE) 2016/679 dit « RGPD » et de la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».

La Politique s'applique à l'ensemble des activités du groupe KRISTAL : KRISTAL Parts (négoce mondial de pièces aéronautiques), KRISTAL AERO LLC (filiale américaine - Parts intra-USA), KRISTAL MRO (réseau d'ateliers de maintenance indépendants animé par KRISTAL), KRISTAL AIRCRAFT (distribution Tecnam), et KRISTAL.air (application mobile pour pilotes privés).

SOMMAIRE

  1. Responsable de traitement
  2. Périmètre de la Politique
  3. Catégories de données traitées
  4. Origine des données
  5. Finalités et bases légales
  6. Destinataires et sous-traitants
  7. Transferts hors Union européenne
  8. Durées de conservation
  9. Sécurité des données
  10. Droits des personnes concernées
  11. Exercice des droits - Contact
  12. Dispositions spécifiques à KRISTAL.air
  13. Prospection commerciale
  14. Cookies
  15. Mineurs
  16. Réclamation auprès de la CNIL
  17. Modification de la Politique

ARTICLE 1 - RESPONSABLE DE TRAITEMENT

1.1 Le responsable de traitement principal est :

KRISTAL AERONAUTIQUE SARL au capital de 10 000 € RCS Montpellier 412 462 285 Siège social : 61 rue Frédéric Mistral, 34400 Lunel - France Téléphone : +33 4 67 71 52 63 Adresse électronique : contact@kristal.aero

1.2 Pour les traitements relatifs à l'activité Parts intra-USA, le responsable de traitement opérationnel est la filiale américaine :

KRISTAL AERO LLC - single-member LLC enregistrée en Floride (EIN 36-5066092), 7901 4th N, Ste 300, St. Petersburg, FL 33702. KRISTAL AERONAUTIQUE et KRISTAL AERO LLC agissent en qualité de co-responsables de traitement au sens de l'article 26 RGPD pour les transferts intragroupe et les traitements communs.

1.3 Toute demande relative à la protection des données personnelles peut être adressée à :

  • Par courrier : KRISTAL AERONAUTIQUE - Protection des données - 61 rue Frédéric Mistral, 34400 Lunel, France
  • Par email : rgpd@kristal.aero

ARTICLE 2 - PÉRIMÈTRE DE LA POLITIQUE

2.1 La Politique s'applique aux données personnelles collectées et traitées dans le cadre :

  • De la relation commerciale (clients professionnels et particuliers, prospects, partenaires) ;
  • De la navigation sur les sites internet des sous-domaines group.kristal.aero, parts.kristal.aero, aircraft.kristal.aero, mro.kristal.aero, kristalair.kristal.aero ;
  • De l'utilisation de l'application mobile KRISTAL.air ;
  • Des participations aux compétitions et événements organisés par ou avec KRISTAL (KRISTAL CUP) ;
  • Des relations contractuelles avec les fournisseurs amont, les ateliers Part-145, les distributeurs partenaires et les marques sponsors.

2.2 La Politique s'adresse aux personnes physiques. Lorsque le client est une personne morale, la Politique s'applique aux données personnelles de ses représentants, contacts et préposés.

2.3 Certaines pages, formulaires ou fonctionnalités peuvent comporter une information complémentaire spécifique au traitement concerné, en particulier pour KRISTAL.air (cf. article 12).

ARTICLE 3 - CATÉGORIES DE DONNÉES TRAITÉES

3.1 Selon les services utilisés, KRISTAL traite tout ou partie des catégories suivantes :

  • Données d'identification et de contact : civilité, nom, prénom, adresse postale, adresse électronique, numéro de téléphone, fonction, société de rattachement.
  • Données professionnelles : raison sociale, numéro SIREN/SIRET/EIN, numéro de TVA, agréments aéronautiques détenus (Part-145, Part-CAO, Part-21G, FAA Repair Station, etc.).
  • Données commerciales : demandes de cotation, commandes, factures, modes de livraison, historique d'achats, retours, réclamations.
  • Données de paiement : moyen de paiement, numéro de transaction, données bancaires nécessaires (sans stockage des données carte au-delà des obligations PCI-DSS, déléguées au prestataire de paiement).
  • Données techniques de navigation : adresse IP, identifiants de session, identifiants techniques, terminaux et navigateurs utilisés, journaux de connexion, choix en matière de cookies.
  • Données relatives à la relation client : avis, commentaires, échanges email/téléphone, suivi SAV et garantie, contentieux.
  • Données relatives à la prospection : préférences de communication, opt-out exprimés.

3.2 Au titre de KRISTAL.air, sont susceptibles d'être traitées en complément :

  • Données de profil pilote : identifiant pilote, type et numéro de licence, qualifications déclarées par l'utilisateur ;
  • Données de vol : type d'aéronef, immatriculation, traces GPS, données de géolocalisation, points de départ et d'arrivée, durée et performances de vol ;
  • Données communautaires : publications, commentaires, photos, vidéos, messages, partages, classements de compétition ;
  • Données d'usage de l'application : interactions, fréquence d'usage, paramètres, badges et récompenses.

3.3 KRISTAL ne collecte aucune donnée personnelle dite « sensible » au sens de l'article 9 RGPD (santé, opinions politiques, religion, biométrie, données génétiques, orientation sexuelle, etc.). KRISTAL.air ne collecte pas le statut d'aptitude médicale ni aucune donnée médicale du pilote.

ARTICLE 4 - ORIGINE DES DONNÉES

4.1 Les données sont collectées :

  • Directement auprès de la personne concernée lors de la création d'un compte client, d'une demande de cotation, d'une commande, d'une inscription à la newsletter, d'une participation à une compétition, d'un contact email ou téléphonique, d'une publication sur la communauté KRISTAL.air ;
  • Indirectement, auprès de partenaires : fournisseurs de leads commerciaux, registres publics professionnels, partenaires aéronautiques, autorités compétentes (DGAC, FAA, EASA pour les agréments) ;
  • Automatiquement, via les outils techniques : cookies, journaux de connexion, capteurs intégrés à l'application mobile (avec consentement).

ARTICLE 5 - FINALITÉS ET BASES LÉGALES

5.1 KRISTAL traite les données personnelles pour les finalités et selon les bases légales suivantes :

Finalité Base légale (RGPD)
Gestion des comptes clients, cotations, commandes, livraisons, facturation Exécution du contrat (art. 6.1.b)
Gestion du SAV, des réclamations et des garanties Exécution du contrat / obligation légale (art. 6.1.b et c)
Comptabilité, fiscalité, archivage, lutte contre la fraude Obligation légale (art. 6.1.c)
Conformité export, sanctions, embargos, lutte contre le blanchiment Obligation légale (art. 6.1.c)
Prospection commerciale (clients existants - produits/services analogues) Intérêt légitime (art. 6.1.f)
Prospection commerciale auprès de prospects B2C Consentement (art. 6.1.a)
Prospection commerciale B2B (LCEN) Intérêt légitime, opt-out (art. 6.1.f)
Personnalisation de la navigation, statistiques Consentement (cookies non essentiels) ou intérêt légitime
Animation de la communauté KRISTAL.air, organisation des compétitions Exécution du contrat / consentement
Partage de contenus utilisateurs sur l'application Consentement (art. 6.1.a) + concession de licence (CGU)
Géolocalisation et traitement des données de vol KRISTAL.air Consentement (art. 6.1.a)
Sécurité informatique, prévention des incidents et des abus Intérêt légitime (art. 6.1.f)
Constatation, exercice et défense de droits en justice Intérêt légitime (art. 6.1.f)

5.2 Pour les traitements fondés sur l'intérêt légitime, KRISTAL s'assure que ses intérêts ne portent pas atteinte aux droits et libertés des personnes concernées, et tient à disposition la pondération réalisée.

5.3 Pour les traitements fondés sur le consentement, la personne concernée peut le retirer à tout moment, sans que ce retrait n'affecte la licéité des traitements antérieurs.

ARTICLE 6 - DESTINATAIRES ET SOUS-TRAITANTS

6.1 Les données ne sont communiquées qu'aux destinataires habilités, dans la limite de ce qui est strictement nécessaire à la finalité poursuivie.

6.2 Sont notamment destinataires des données, dans les limites de leurs habilitations respectives :

  • Les services internes habilités de KRISTAL AERONAUTIQUE et de KRISTAL AERO LLC (commercial, opérations, comptabilité, qualité, juridique, dirigeants) ;
  • Les sous-traitants au sens de l'article 28 RGPD, agissant exclusivement sur instruction de KRISTAL et dans le cadre d'un contrat contenant les clauses requises ;
  • Les autorités, juridictions et organismes habilités lorsque KRISTAL y est légalement tenue ;
  • Les conseils et auditeurs soumis à un secret professionnel ou contractuel ;
  • Les acquéreurs ou partenaires en cas d'opération de cession, fusion, restructuration, sous réserve de la continuité des engagements de la présente Politique.

6.3 KRISTAL recourt à un nombre limité de sous-traitants soigneusement sélectionnés. À titre indicatif et non exhaustif, les principaux sous-traitants sont :

Catégorie Sous-traitant identifié Localisation
Hébergement / ERP / CRM / sites web Odoo SA Belgique (UE)
Nom de domaine et DNS Gandi SAS France (UE)
Outils internes de collaboration Slack (Salesforce Inc.) États-Unis (transferts hors UE)
Outils internes de gestion de projet Jira / Atlassian États-Unis / Australie (transferts hors UE)
Compagnie d'assurance Allianz Global Corporate & Specialty SE Allemagne / France (UE)
Courtier en assurance JADIS S.A. France (UE)
Expert-comptable et déclarations fiscales Cabinet d'expertise comptable mandaté France (UE)
Banque(s) et prestataires de paiement Établissements bancaires partenaires (notamment Société Générale) et prestataires SEPA / cartes (réseaux Visa, Mastercard) France / UE
Transporteurs TNT/FedEx, DHL, UPS, Chronopost, France Express, Geodis et tout transporteur sollicité ponctuellement Monde
Hébergeur applications mobiles Apple Inc. (App Store) et Google LLC (Google Play) États-Unis (transferts hors UE)
Ateliers Part-145 partenaires Réseau d'ateliers agréés tiers - pour les opérations de réparation sous-traitées France / UE / monde selon le cas
Fabricants OEM et fournisseurs amont Pour l'exécution des commandes, en particulier en mode dropship (Michelin, McFarlane, et autres fournisseurs) Monde
Conseils externes Avocats, experts-comptables, commissaires aux comptes, auditeurs France / UE

6.4 La liste à jour des sous-traitants est tenue à disposition des personnes concernées sur demande écrite à rgpd@kristal.aero et peut être complétée par tout sous-traitant ponctuel sollicité pour un besoin déterminé.

6.5 KRISTAL ne vend, ne loue, ni ne cède les données personnelles à des tiers à des fins commerciales sans le consentement préalable et exprès de la personne concernée.

ARTICLE 7 - TRANSFERTS HORS UNION EUROPÉENNE

7.1 Compte tenu des activités du groupe (vente mondiale de pièces, filiale américaine, partenaires internationaux), certaines données peuvent faire l'objet de transferts en dehors de l'Union européenne et de l'Espace économique européen, notamment vers :

  • Les États-Unis, en lien avec les opérations de KRISTAL AERO LLC, les fabricants et distributeurs partenaires américains, les transporteurs internationaux ;
  • Le Royaume-Uni (post-Brexit), couvert par une décision d'adéquation de la Commission européenne ;
  • L'Île Maurice, dans le cadre de la gestion par la compagnie d'assurance Allianz GCS de certains sinistres délégués à AWP Indian Ocean ;
  • Toute autre juridiction où se trouve un client final, un partenaire commercial ou un sous-traitant nécessaire à l'exécution d'une commande.

7.2 Tout transfert hors UE est encadré par l'un des mécanismes suivants au sens des articles 44 à 49 RGPD :

  • Décision d'adéquation de la Commission européenne (Royaume-Uni, États-Unis sous Data Privacy Framework si applicable, Île Maurice, etc.) ;
  • Clauses contractuelles types (CCT) approuvées par la Commission européenne ;
  • Règles d'entreprise contraignantes (BCR) ;
  • Dérogations ponctuelles prévues à l'article 49 RGPD lorsque cela est strictement nécessaire (notamment exécution d'un contrat à la demande de la personne concernée).

7.3 Le détail des mécanismes appliqués pour un transfert donné peut être obtenu sur demande écrite à rgpd@kristal.aero.

ARTICLE 8 - DURÉES DE CONSERVATION

8.1 KRISTAL ne conserve les données que pour la durée strictement nécessaire à la finalité poursuivie ou à la satisfaction d'une obligation légale. Les durées indicatives sont les suivantes :

Catégorie de données Durée de conservation
Données de compte client actif Durée de la relation contractuelle + 3 ans
Données de prospect 3 ans à compter du dernier contact actif
Documents comptables et factures 10 ans à compter de la clôture de l'exercice (art. L123-22 C. com.)
Données de paiement (hors traçabilité bancaire) Le temps de la transaction puis archivage intermédiaire
Données de traçabilité aéronautique (Form 1, 8130-3, COC, RMA, garantie) Durée requise par la réglementation aéronautique applicable et la garantie OEM, à défaut 10 ans
Données relatives aux contentieux Jusqu'à l'extinction des voies de recours
Données relatives aux obligations export et sanctions 10 ans (durée d'archivage compliance)
Données KRISTAL.air - profil pilote Durée du compte + 1 an
Données KRISTAL.air - données de vol et performances Durée du compte + 1 an, sauf agrégation anonymisée à des fins statistiques
Données KRISTAL.air - contenus utilisateurs (UGC) Durée de la publication, suppression à la fermeture du compte sauf demande de modération
Données de connexion et journaux techniques 12 mois (art. L34-1 CPCE)
Cookies et traceurs 13 mois maximum à compter de leur dépôt (recommandation CNIL)
Données de prospection - opt-out 3 ans après opposition exprimée

8.2 À l'issue de ces durées, les données sont supprimées ou anonymisées, sauf obligation légale impérative imposant leur conservation pour une durée plus longue ou nécessité de défense de droits.

ARTICLE 9 - SÉCURITÉ DES DONNÉES

9.1 KRISTAL met en œuvre les mesures techniques et organisationnelles appropriées au sens de l'article 32 RGPD pour assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes traitant des données personnelles. Ces mesures comprennent notamment :

  • Le chiffrement en transit (HTTPS/TLS) et au repos pour les données sensibles ;
  • La politique de gestion des accès fondée sur le besoin d'en connaître et le moindre privilège ;
  • L'authentification forte sur les outils critiques ;
  • La sauvegarde régulière et le test périodique des plans de reprise ;
  • La sensibilisation et la formation des collaborateurs ;
  • La revue périodique des sous-traitants et des transferts ;
  • Le pseudonymisation et l'anonymisation lorsque cela est techniquement possible.

9.2 En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, KRISTAL en informe la CNIL dans les 72 heures et, si le risque est élevé, les personnes concernées dans les meilleurs délais, dans les conditions des articles 33 et 34 RGPD.

ARTICLE 10 - DROITS DES PERSONNES CONCERNÉES

10.1 Conformément aux articles 15 à 22 RGPD, la personne concernée dispose des droits suivants :

  • Droit d'accès (art. 15) : obtenir la confirmation que ses données sont traitées et en obtenir une copie ;
  • Droit de rectification (art. 16) : obtenir la correction de données inexactes ou incomplètes ;
  • Droit à l'effacement (art. 17 - « droit à l'oubli ») : obtenir la suppression de ses données dans les cas prévus par le RGPD ;
  • Droit à la limitation du traitement (art. 18) : obtenir la suspension d'un traitement dans les cas prévus ;
  • Droit à la portabilité (art. 20) : récupérer ses données dans un format structuré et lisible par machine pour les traitements fondés sur le consentement ou le contrat ;
  • Droit d'opposition (art. 21) : s'opposer au traitement pour motif légitime ou s'opposer sans motif à la prospection commerciale ;
  • Droit de retirer le consentement à tout moment, lorsque le traitement est fondé sur le consentement ;
  • Droit de définir des directives relatives au sort des données après le décès (art. 85 LIL).

10.2 Ces droits s'exercent dans les limites prévues par la loi. Notamment, le droit à l'effacement ne peut être exercé lorsque la conservation est requise par une obligation légale ou est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice.

ARTICLE 11 - EXERCICE DES DROITS - CONTACT

11.1 Pour exercer ses droits, la personne concernée peut adresser sa demande :

  • Par email à : rgpd@kristal.aero
  • Par courrier à : KRISTAL AERONAUTIQUE - Protection des données - 61 rue Frédéric Mistral, 34400 Lunel - France

11.2 Pour permettre le traitement de la demande, KRISTAL pourra solliciter un justificatif d'identité ainsi que toute information utile à l'identification de la personne concernée et à la formulation de la demande.

11.3 KRISTAL répond aux demandes dans un délai d'un (1) mois à compter de leur réception, prorogeable de deux mois en cas de complexité ou de nombre élevé de demandes, conformément à l'article 12 RGPD.

11.4 Lorsque la demande est manifestement infondée ou excessive, KRISTAL peut exiger des frais raisonnables ou refuser de donner suite, en motivant sa décision.

ARTICLE 12 - DISPOSITIONS SPÉCIFIQUES À KRISTAL.AIR

12.1 L'application KRISTAL.air est une application gratuite destinée aux pilotes privés, donnant accès à des fonctions communautaires, à l'organisation de compétitions aériennes (KRISTAL CUP), au partage de vols, et à des contenus rédigés par les utilisateurs.

12.2 La création d'un compte sur KRISTAL.air est subordonnée à l'acceptation des conditions générales d'utilisation et de la présente Politique.

12.3 Géolocalisation et données de vol : l'utilisation des fonctions de géolocalisation, d'enregistrement de vol et de partage de traces requiert le consentement explicite de l'utilisateur, sollicité à la première utilisation et révocable à tout moment depuis les paramètres de l'application.

12.4 Données médicales : aucune collecte. KRISTAL.air ne collecte ni ne stocke aucune donnée relative au statut d'aptitude médicale du pilote, ni aucune donnée de santé. La preuve d'aptitude au vol relève de la seule responsabilité du pilote vis-à-vis des autorités aéronautiques compétentes.

12.5 Contenus utilisateurs (UGC) : l'utilisateur reste propriétaire des contenus qu'il publie. En les publiant, il concède à KRISTAL une licence non-exclusive d'hébergement, de diffusion et d'adaptation technique sur l'application et ses prolongements, dans les conditions des CGU. KRISTAL agit en qualité d'hébergeur au sens de l'article 6-I-2 de la LCEN et n'a pas l'obligation générale de surveillance des contenus.

12.6 Compétitions et challenges (KRISTAL CUP, TDP - Tour de Piste, ANR - Air Navigation Race, et autres formats) : la participation à une Compétition emporte traitement des données nécessaires à l'inscription, au classement et à la communication des résultats. Le pilote demeure seul responsable de la conduite de son vol, KRISTAL n'étant ni opérateur de vol ni organisateur au sens du Code de l'aviation civile.

12.7 Sponsoring : les contenus publicitaires liés aux marques sponsors sont diffusés sans transfert de données personnelles aux annonceurs, à l'exception de données agrégées et anonymisées d'audience.

12.8 Analyse d'impact (AIPD) : compte tenu de la collecte de données de géolocalisation à grande échelle, KRISTAL conduit, lorsque requis, une analyse d'impact relative à la protection des données conformément à l'article 35 RGPD.

ARTICLE 13 - PROSPECTION COMMERCIALE

13.1 Prospection à destination des clients existants : KRISTAL peut adresser à ses clients des communications commerciales relatives à des produits ou services analogues à ceux déjà commandés, sur la base de son intérêt légitime. Le client peut s'y opposer à tout moment, gratuitement, sans frais et sans justification, par les liens de désinscription présents dans chaque communication ou en écrivant à rgpd@kristal.aero.

13.2 Prospection B2B : les communications commerciales adressées à des contacts professionnels portent sur des biens et services en lien avec leur activité professionnelle, conformément aux orientations de la CNIL et au régime LCEN. Un droit d'opposition s'exerce dans les mêmes conditions.

13.3 Prospection B2C : les communications commerciales par voie électronique adressées à des particuliers sont soumises au consentement préalable de la personne concernée, dans les conditions de l'article L34-5 du Code des postes et communications électroniques. Le consentement est révocable à tout moment.

ARTICLE 14 - COOKIES ET TRACEURS

14.1 Les sites internet de KRISTAL utilisent des cookies et traceurs pour assurer le fonctionnement du service, mesurer l'audience, et améliorer l'expérience utilisateur.

14.2 Les cookies non essentiels sont déposés uniquement après recueil du consentement, conformément aux recommandations de la CNIL. L'utilisateur peut à tout moment paramétrer son consentement via le bandeau dédié.

14.3 La politique cookies détaillée est accessible sur le site internet www.kristal.aero, à la rubrique « Cookies ».

ARTICLE 15 - MINEURS

15.1 Les services KRISTAL Parts, MRO et AIRCRAFT s'adressent à une clientèle professionnelle ou à des personnes majeures.

15.2 KRISTAL.air peut être utilisée par des pilotes en formation âgés de moins de 18 ans dans certains cas (BIA, élèves PPL, ULM). En cas d'utilisation par un mineur, l'autorisation préalable d'un titulaire de l'autorité parentale est requise. KRISTAL met en œuvre les protections adaptées prévues par le RGPD pour les mineurs et limite les données traitées au strict nécessaire.

15.3 Si KRISTAL apprend qu'un compte a été créé en violation des présentes, elle procède à la suspension du compte et à la suppression des données associées sans délai.

ARTICLE 16 - RÉCLAMATION AUPRÈS DE LA CNIL

16.1 La personne concernée peut, en cas de désaccord persistant avec KRISTAL sur la gestion de ses données personnelles, introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • 3 place de Fontenoy - TSA 80715 - 75334 Paris Cedex 07
  • Téléphone : +33 1 53 73 22 22
  • Site internet : www.cnil.fr

16.2 La personne concernée peut également saisir l'autorité de protection des données de son lieu de résidence ou de travail au sein de l'Union européenne.

ARTICLE 17 - MODIFICATION DE LA POLITIQUE

17.1 KRISTAL peut être amenée à faire évoluer la présente Politique pour se conformer à toute évolution légale, réglementaire, jurisprudentielle, technique ou organisationnelle.

17.2 La version en vigueur est celle publiée sur le site internet www.kristal.aero. Les évolutions substantielles sont portées à la connaissance des personnes concernées par tout moyen adapté.

17.3 Les données personnelles déjà collectées continuent d'être traitées conformément à la Politique en vigueur au moment de leur collecte, sauf prescription légale impérative contraire.

CONTACT

Toute question, remarque ou demande relative à la présente Politique peut être adressée à :

KRISTAL AERONAUTIQUE - Protection des données 61 rue Frédéric Mistral, 34400 Lunel, France rgpd@kristal.aero

KRISTAL AERONAUTIQUE - SARL au capital de 10 000 € - RCS Montpellier 412 462 285 - TVA FR62 412 462 285

La version française de ce document est la version opposable.

Document mis à jour le 11/05/2026 05:12:24. Pour toute question : rgpd@kristal.aero