La présente politique illustre les engagements de Treezor, en sa qualité de Responsable de traitement conformément au Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des données personnelles, applicable depuis le 25 mai 2018 et, plus généralement, les mesures mises en œuvre par Treezor afin d’assurer un traitement licite, loyal et transparent des données personnelles.
Pour une meilleure compréhension quant à l’application de la présente politique, il convient de se référer à l’article Définitions pour connaître le sens de chaque terme commençant par une majuscule.
Par conséquent, la présente politique de traitement des données personnelles ne peut se traduire en un contrat-cadre de services de paiement au sens de la directive 2015/2366 du 25 novembre 2015 concernant les services de paiement.
ACPR : Autorité de Contrôle Prudentiel et de Résolution, 61 Rue de Taitbout, 75009 Paris ;
CNIL : Commission Nationale de l’Informatique et des Libertés, 3 Place de Fontenoy, 75334 Paris ;
Cookie : Témoins de connexion ou « traceurs » qui sont susceptibles d’être déposés, sous forme de fichiers, sur la plateforme de navigation de l’Utilisateur (Internet Explorer, Opera, Firefox, Google Chrome, Safari, etc…) ;
Délégué à la protection des données : La personne physique déléguée à la protection des données personnelles au sens des articles 37, 38 et 39 du Règlement européen 2016/679 du 27 avril 2016 ;
Destinataire : La personne physique ou morale, l’autorité publique, le service ou tout autre organisme, qui reçoit communication de Données personnelles, qu’il s’agit ou non d’un tiers. A cet égard, toute autorité publique (Autorité de contrôle prudentiel et de résolution, Commission Nationale de l’Informatique et des Libertés, Direction Générale des Finances publiques, Agence Nationale de de la Sécurité des Systèmes d’Information etc…) susceptible de recevoir communication, dans le cadre d’une mission d’enquête spécifique (contrôle dans le cadre de la lutte contre le blanchiment de capitaux et du financement du terrorisme, contrôle et audits des systèmes de sécurité internes, etc…), déterminée par le droit de l’Union Européenne ou le droit national français, n’est pas considérée comme un destinataire, au sens de la présente définition ;
Données personnelles : Toutes les informations à caractère personnel concernant le Titulaire ou un Utilisateur, personne physique identifiée ou qui peut être identifiée (Ci-après « Personne concernée »), directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ;
Personne concernée : Il peut s’agir du Titulaire ou de l’Utilisateur, personne physique, ainsi définis au sens du contrat-cadre de services de paiement, dont les Données personnelles recueillies l’identifient ou le rendent identifiable, directement ou indirectement ;
Responsable du traitement : Désigne la personne physique ou morale ayant déterminé les modalités, les moyens ainsi que les finalités du traitement des Données personnelles. Sauf stipulations contraires, le Responsable du traitement qui veille au respect de la présente politique de confidentialité est : la Société par actions simplifiée Treezor, 33 avenue de Wagram, 75017 Paris ;
Services de paiement : Tous les services de paiement, prévus au contrat-cadre et qui sont proposés par Treezor SAS ;
Sous-traitant : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite les données à caractère personnel pour le compte du responsable du traitement ;
Tiers : Une personne physique ou morale, une autorité publique, un service, ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données personnelles ;
Traitement : Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données personnelles, ou un ensemble de Données personnelles. Les opérations peuvent se traduire en la collecte, enregistrement, conservation, structuration, adaptation ou modification, communication, diffusion, limitation, destruction, etc … ;
Violation des données à caractère personnel : Toute violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation, non autorisée de Données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données ;
La société par actions simplifiée Treezor, au capital social de 3 334 962 euros, sise 33 avenue de Wagram, 75017 Paris. La société a été immatriculée au Registre du Commerce et des Sociétés de Paris, sous le numéro 807 465 059.
TREEZOR SAS est représentée par M. Eric LASSUS, en sa qualité de Président.
La Personne concernée est seule responsable des Données personnelles qu’elle communique à Treezor et déclare que toutes les données fournies sont parfaitement renseignées et exactes.
Les Données personnelles sont collectées par le Partenaire (agent de service de paiement de Treezor) pour la seule exécution des services de paiement au titre du Contrat cadre de services de paiement. Le Partenaire agit, en sa qualité de sous-traitant au sens de l’article 4 du Règlement 2016/679 du 27 avril 2016.
Le Responsable du traitement traite les données suivantes :
Le Responsable du traitement n’exécute aucune opération de traitement des Données personnelles telles que l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données biométriques ou données génétiques, en vertu de l’article 9 du Règlement général européen 2016/679 du 27 avril 2016 relatif à la protection des données.
Toutefois, cette interdiction peut être écartée, si les dispositions légales ou règlementaires imposaient à Treezor de traiter les Données personnelles précitées.
Treezor, en sa qualité d’établissement de monnaie électronique, est soumis à la législation et réglementation bancaire, notamment en matière d’obligations relatives à la lutte contre le blanchiment des capitaux et le financement du terrorisme (en vertu des articles L.561-2 à L561-50 du code monétaire et financier), laquelle oblige le responsable du traitement à collecter un ensemble de Données personnelles à des fins déterminées.
Le Responsable du traitement garantit la licéité du traitement, en vertu d’une obligation légale, ainsi que le prévoit l’article 6 (1.c.) du règlement général européen 2016/679 du 27 avril 2016 sur la protection des données personnelles.En outre, le Responsable du traitement s’engage à traiter les Données personnelles précitées (voir supra « Article 4. Les Données personnelles traitées par Treezor »), selon les finalités suivantes :
Le Responsable du traitement traite également les Données personnelles (Voir supra article 3) afin de servir ses intérêts légitimes, en vertu de l’article 6 (1.f.) du Règlement général européen 2016/679 sur la protection des données personnelles.
En outre, les finalités du traitement répondant à des intérêts légitimes sont les suivantes :
Les finalités du traitement peuvent être modifiées ultérieurement, sous réserve de nouvelles obligations légales ou réglementaires, ainsi que l’évolution de l’activité du Responsable du traitement. Toute modification de la présente convention sera portée à la connaissance de la Personne concernée.
Le refus de la Personne concernée de fournir les Données personnelles précitées constituera un obstacle à l’ouverture du compte de paiement ou à l’accès aux Services de Treezor.
Le Responsable du traitement communique et partage les Données personnelles qui font l’objet de la collecte. Les Données personnelles peuvent être communiquées aux Destinataires suivants :
Treezor garantit que les différents sous-traitants mettent en œuvre les mesures de sécurité nécessaires et adéquates visant à assurer la sécurité, la confidentialité et l’intégrité des données personnelles traitées pour le compte de Treezor.
Treezor communique également dans le cadre de l’exécution de prestations qu’elle sous-traite :
En raison d’exigences légales et réglementaires, notamment dans le cadre d’un contrôle de l’ACPR, de la CNIL, ou d’une requête adressée par les organes judiciaires, le ministère public, etc…
Le traitement et l’hébergement des Données personnelles sont établis sur le territoire de l’Union européenne.
Néanmoins, si Treezor transfère des Données personnelles hors du territoire de l’Union européenne, Treezor garantit que ces transferts sont exécutés vers des Etats, qui font l’objet d’une décision d’adéquation par la Commission européenne, justifiant d’un niveau de protection adéquat, au sens de l’article 45 du Règlement général européen 2016/679 du 27 avril 2016 sur la protection des données personnelles.
A défaut de décision d’adéquation, Treezor peut transférer des Données personnelles hors de l’Union européenne à des Sous-traitants, dans les conditions prévues à l’article 46 du Règlement général européen 2016/679 du 27 avril 2016 sur la protection des données personnelles, notamment par l’élaboration de clauses types de sous-traitance approuvées par la CNIL.
Le Responsable du traitement et toute personne sous son autorité sont investis d’une obligation de sécurité quant aux opérations portant sur les Données personnelles.
D’une part, le Responsable du traitement s’engage à protéger les Données personnelles par la mise en œuvre de mesures techniques et organisationnelles :
D’autre part, le Responsable du traitement s’engage à assurer la confidentialité des Données personnelles, et de soumettre toute personne, sous son autorité, à respecter cette obligation de confidentialité.
Toutefois, le Responsable du traitement ne sera pas responsable, en cas de collecte des Données personnelles par un tiers pour son propre compte.
Les différents Cookies susceptibles d’être déposés sur le serveur de navigation (Internet Explorer, Google chrome, Firefox, Safari, Opera, etc…) de la Personne concernée, sont :
Si la Personne concernée refuse le dépôt des cookies, elle ne pourra pas accéder ou utiliser l’ensemble des services proposés sur le site Treezor.com.
Le Responsable du traitement s’engage à conserver les Données personnelles pour une durée de cinq (5) ans suivant la clôture du compte de paiement de la Personne concernée, en vertu des dispositions de l’article L561-12 du code monétaire et financier.
En vertu de la délibération n°2013-378 du 5 Décembre 2013 rendue par la Commission Nationale de l’Informatique et des Libertés portant recommandation relative aux cookies et autres traceurs, la durée de conservation de ces derniers, dans le cas où le consentement a été recueilli, ne peut être supérieure à treize (13) mois. Au terme des treize premiers mois, le consentement de la Personne concernée devra être de nouveau recueilli.
Vous pouvez vous rendre sur la page Cookies de Treezor pour en savoir plus à leur propos.
La Personne concernée peut obtenir une copie des données qui font l’objet d’un traitement, conformément à l’article 15 du Règlement général européen 2016/679 du 27 avril 2016 sur la protection des données à caractère personnel, sous réserve de restrictions légales.
La copie des données est transmise à titre gratuit à la Personne concernée, sur la présentation d’un document d’identité officiel par celle-ci.
Dans le cas d’une demande de copie supplémentaire, le Responsable du traitement est fondé à demander le paiement d’un prix, basé sur les coûts administratifs.
Enfin, en vertu de l’article L561-45 du Code monétaire et financier, toute demande d’accès portant sur les Données personnelles soumises à la législation et règlementation bancaire, notamment celles relatives à la lutte contre le blanchiment de capitaux et le financement du terrorisme, doit être adressée à la CNIL.
La Personne concernée peut exiger du Responsable du traitement toute modification de Données personnelles inexactes ou incomplètes.
Dans ce cas, le Responsable du traitement peut exiger des justificatifs complémentaires afin de procéder à la rectification des Données personnelles.
La Personne concernée peut s’opposer au traitement des Données personnelles, pour des raisons tenant à sa situation particulière.
Toutefois, la Personne concernée ne peut exercer son droit à l’égard du traitement dont le fondement juridique est une obligation légale, notamment au regard de l’obligation de lutte contre le blanchiment de capitaux et le financement du terrorisme (V. 3. « Finalités du traitement des données à caractère personnel »).
La Personne concernée peut demander la limitation du traitement des Données personnelles, selon les cas prévus par l’article 18 du Règlement général européen 2016/679 du 27 avril 2016 sur la protection des données à caractère personnel.
La Personne concernée peut demander l’effacement de Données personnelles, selon les prescriptions prévues à l’article 17 du Règlement général européen 2016/679 du 27 avril 2016 sur la protection des Données personnelles.
Néanmoins, la Personne concernée ne pourra demander l’effacement des Données personnelles, si leur traitement est nécessaire en vertu d’une obligation légale, notamment concernant l’obligation de lutte contre le blanchiment de capitaux et le financement du terrorisme.
La Personne concernée peut demander que soient transmises, sur support durable (notamment format .PDF), ses Données personnelles, à un autre Responsable du traitement.
Dans tous les cas où les données sont traitées sur le fondement d’une obligation légale, le Responsable peut refuser de procéder à la portabilité des données à caractère personnel.
En cas de Violation des données personnelles, le Responsable du traitement veille à la notifier à la Personne concernée, dans un délai ne pouvant excéder quarante-huit (48) heures à compter du moment où le Responsable du traitement a connaissance de la Violation. Cette notification comprendra :
Néanmoins, le Responsable du traitement ne sera pas obligé de notifier la Violation des données personnelles à la Personne concernée, dans l’un des cas suivants :
Afin d’exercer ses droits, la Personne concernée doit adresser un courrier, soit par voie postale soit par voie électronique, en précisant le ou les droits qu’elle souhaite exploiter.
A compter de la réception de la demande, le Responsable du traitement dispose d’un délai d’un mois maximum, pour apporter une réponse.
Toutefois, le Responsable du traitement devra motiver sa réponse, lorsqu’il n’est pas en mesure de donner suite aux demandes.
Adresse électronique :
[email protected]
Adresse postale :
SAS TREEZOR,
33 avenue de Wagram
75017 Paris
Dans le cas où les droits de la Personne concernée n’auraient pas été respectés et après avoir pris contact avec le Responsable du traitement, la Personne concernée peut introduire une réclamation auprès de la CNIL :
Commission Nationale de l’Informatique et des Libertés
3 Place de Fontenoy,
75334 PARIS
Lien utile : https://www.cnil.fr/fr/webform/adresser-une-plainte