Politique de confidentialité RGPD Treezor

Politique de confidentialité RGPD Treezor

Préambule

La présente politique illustre les engagements de Treezor, en sa qualité de Responsable de traitement conformément au Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des données personnelles, applicable depuis le 25 mai 2018 et, plus généralement, les mesures mises en œuvre par Treezor afin d’assurer un traitement licite, loyal et transparent des données personnelles.

Pour une meilleure compréhension quant à l’application de la présente politique, il convient de se référer à l’article Définitions pour connaître le sens de chaque terme commençant par une majuscule.

Par conséquent, la présente politique de traitement des données personnelles ne peut se traduire en un contrat-cadre de services de paiement au sens de la directive 2015/2366 du 25 novembre 2015 concernant les services de paiement.

1. Définitions

ACPR : Autorité de Contrôle Prudentiel et de Résolution, 61 Rue de Taitbout, 75009 Paris ;

CNIL : Commission Nationale de l’Informatique et des Libertés, 3 Place de Fontenoy, 75334 Paris ;

Cookie : Témoins de connexion ou « traceurs » qui sont susceptibles d’être déposés, sous forme de fichiers, sur la plateforme de navigation de l’Utilisateur (Internet Explorer, Opera, Firefox, Google Chrome, Safari, etc…) ;

Délégué à la protection des données : La personne physique déléguée à la protection des données personnelles au sens des articles 37, 38 et 39 du Règlement européen 2016/679 du 27 avril 2016 ;

Destinataire : La personne physique ou morale, l’autorité publique, le service ou tout autre organisme, qui reçoit communication de Données personnelles, qu’il s’agit ou non d’un tiers. A cet égard, toute autorité publique (Autorité de contrôle prudentiel et de résolution, Commission Nationale de l’Informatique et des Libertés, Direction Générale des Finances publiques, Agence Nationale de de la Sécurité des Systèmes d’Information etc…) susceptible de recevoir communication, dans le cadre d’une mission d’enquête spécifique (contrôle dans le cadre de la lutte contre le blanchiment de capitaux et du financement du terrorisme, contrôle et audits des systèmes de sécurité internes, etc…), déterminée par le droit de l’Union Européenne ou le droit national français, n’est pas considérée comme un destinataire, au sens de la présente définition ;

Données personnelles : Toutes les informations à caractère personnel concernant le Titulaire ou un Utilisateur, personne physique identifiée ou qui peut être identifiée (Ci-après « Personne concernée »), directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ;

Personne concernée : Il peut s’agir du Titulaire ou de l’Utilisateur, personne physique, ainsi définis au sens du contrat-cadre de services de paiement, dont les Données personnelles recueillies l’identifient ou le rendent identifiable, directement ou indirectement ;

Responsable du traitement : Désigne la personne physique ou morale ayant déterminé les modalités, les moyens ainsi que les finalités du traitement des Données personnelles. Sauf stipulations contraires, le Responsable du traitement qui veille au respect de la présente politique de confidentialité est : la Société par actions simplifiée Treezor, 33 avenue de Wagram, 75017 Paris ;

Services de paiement : Tous les services de paiement, prévus au contrat-cadre et qui sont proposés par Treezor SAS ;

Sous-traitant : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite les données à caractère personnel pour le compte du responsable du traitement ;

Tiers : Une personne physique ou morale, une autorité publique, un service, ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données personnelles ;

Traitement : Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données personnelles, ou un ensemble de Données personnelles. Les opérations peuvent se traduire en la collecte, enregistrement, conservation, structuration, adaptation ou modification, communication, diffusion, limitation, destruction, etc … ;

Violation des données à caractère personnel : Toute violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation, non autorisée de Données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données ;

2. Qui est le Responsable du traitement ?

La société par actions simplifiée Treezor, au capital social de 3 334 962 euros, sise 33 avenue de Wagram, 75017 Paris. La société a été immatriculée au Registre du Commerce et des Sociétés de Paris, sous le numéro 807 465 059.

TREEZOR SAS est représentée par M. Eric LASSUS, en sa qualité de Président.

3. Collecte des Données personnelles

La Personne concernée est seule responsable des Données personnelles qu’elle communique à Treezor et déclare que toutes les données fournies sont parfaitement renseignées et exactes.

Les Données personnelles sont collectées par le Partenaire (agent de service de paiement de Treezor) pour la seule exécution des services de paiement au titre du Contrat cadre de services de paiement. Le Partenaire agit, en sa qualité de sous-traitant au sens de l’article 4 du Règlement 2016/679 du 27 avril 2016.

4. Les Données personnelles traitées par Treezor

Le Responsable du traitement traite les données suivantes :

  • Les données identifiant la personne physique (nom, prénom, date de naissance, numéro de carte d’identité et de passeport, adresse postale et adresse électronique, numéro de téléphone, numéro, résidence fiscale et la situation judiciaire)
  • Données liées à la situation professionnelle de la Personne concernée (Contrat de travail, fiche de paie, etc…)
  • Données liées à la situation patrimoniale
  • Données liées aux opérations et transactions que la personne concernée effectue en utilisant le Service (paiements, virement)
  • Données Bancaires (IBAN, numéro de carte, solde)
  • Données d’identification et d’authentification liées à l’utilisation
  • Données d’identification ou authentification numérique liées à l’utilisation (logs de connexion et d’usage, adresse IP, etc…).

Le Responsable du traitement n’exécute aucune opération de traitement des Données personnelles telles que l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données biométriques ou données génétiques, en vertu de l’article 9 du Règlement général européen 2016/679 du 27 avril 2016 relatif à la protection des données.

Toutefois, cette interdiction peut être écartée, si les dispositions légales ou règlementaires imposaient à Treezor de traiter les Données personnelles précitées.

5. Fondements juridiques et finalités du traitement des Données personnelles

5.1 L’obligation légale et règlementaire de traitement des Données personnelles

Treezor, en sa qualité d’établissement de monnaie électronique, est soumis à la législation et réglementation bancaire, notamment en matière d’obligations relatives à la lutte contre le blanchiment des capitaux et le financement du terrorisme (en vertu des articles L.561-2 à L561-50 du code monétaire et financier), laquelle oblige le responsable du traitement à collecter un ensemble de Données personnelles à des fins déterminées.

Le Responsable du traitement garantit la licéité du traitement, en vertu d’une obligation légale, ainsi que le prévoit l’article 6 (1.c.) du règlement général européen 2016/679 du 27 avril 2016 sur la protection des données personnelles.En outre, le Responsable du traitement s’engage à traiter les Données personnelles précitées (voir supra « Article 4. Les Données personnelles traitées par Treezor »), selon les finalités suivantes :

  • La connaissance de la Personne concernée et la mise à jour de ses données à caractère personnel,
  • La tenue et la gestion du (des) Compte(s) de paiement,
  • La gestion du risque, le contrôle et la surveillance liés au contrôle interne auquel est soumis Treezor,
  • La sécurité et la prévention des impayés et de la fraude, le recouvrement, le contentieux,
  • Le respect des obligations légales et réglementaires et notamment, l’identification des comptes inactifs, la lutte contre le blanchiment de capitaux et le financement du terrorisme, l’échange automatique d’informations relatif aux comptes en matière fiscale,
  • La segmentation à des fins réglementaires,
  • La réalisation d’études statistiques et la fiabilisation des données à des fins de sécurité informatique,

5.2 La justification d’intérêts légitimes

Le Responsable du traitement traite également les Données personnelles (Voir supra article 3) afin de servir ses intérêts légitimes, en vertu de l’article 6 (1.f.) du Règlement général européen 2016/679 sur la protection des données personnelles.

En outre, les finalités du traitement répondant à des intérêts légitimes sont les suivantes :

  • Tenue et gestion des comptes de paiement ;
  • Prévention des risques de fraude et des abus (notamment le contrôle des opérations anormales) ;
  • Gestion informatique afin d’assurer la disponibilité, l’intégrité, la confidentialité des données à caractère personnel ;
  • La tenue du registre relatif à la gestion des demandes des Personnes concernées (notamment les demandes relatives aux droits des personnes) ;
  • La segmentation des clients à des fins réglementaires.

Les finalités du traitement peuvent être modifiées ultérieurement, sous réserve de nouvelles obligations légales ou réglementaires, ainsi que l’évolution de l’activité du Responsable du traitement. Toute modification de la présente convention sera portée à la connaissance de la Personne concernée.

5.3 Le caractère obligatoire du traitement des Données personnelles

Le refus de la Personne concernée de fournir les Données personnelles précitées constituera un obstacle à l’ouverture du compte de paiement ou à l’accès aux Services de Treezor.

6. La communication et le partage des Données personnelles

Le Responsable du traitement communique et partage les Données personnelles qui font l’objet de la collecte. Les Données personnelles peuvent être communiquées aux Destinataires suivants :

  • Les directions internes de Treezor à des fins d’analyse, de détection des fraudes, de gestion des demandes des personnes concernées relatives à leurs droits ;
  • Les Sous-traitants en matière de traitement des Données personnelles :
    • Les agents prestataires de services de paiement
    • L’hébergeur du site
    • Processeur de cartes de paiement

Treezor garantit que les différents sous-traitants mettent en œuvre les mesures de sécurité nécessaires et adéquates visant à assurer la sécurité, la confidentialité et l’intégrité des données personnelles traitées pour le compte de Treezor.

Treezor communique également dans le cadre de l’exécution de prestations qu’elle sous-traite :

  • Gestionnaires et fabricants de cartes de paiement
  • Gestionnaires de paiement par mobile
  • Membres du réseau bancaire SEPA (Single Euro Payments Area)
  • Gestionnaires des chèques

En raison d’exigences légales et réglementaires, notamment dans le cadre d’un contrôle de l’ACPR, de la CNIL, ou d’une requête adressée par les organes judiciaires, le ministère public, etc…

7. Le transfert des Données personnelles hors de l’Union européenne

Le traitement et l’hébergement des Données personnelles sont établis sur le territoire de l’Union européenne.

Néanmoins, si Treezor transfère des Données personnelles hors du territoire de l’Union européenne, Treezor garantit que ces transferts sont exécutés vers des Etats, qui font l’objet d’une décision d’adéquation par la Commission européenne, justifiant d’un niveau de protection adéquat, au sens de l’article 45 du Règlement général européen 2016/679 du 27 avril 2016 sur la protection des données personnelles.

A défaut de décision d’adéquation, Treezor peut transférer des Données personnelles hors de l’Union européenne à des Sous-traitants, dans les conditions prévues à l’article 46 du Règlement général européen 2016/679 du 27 avril 2016 sur la protection des données personnelles, notamment par l’élaboration de clauses types de sous-traitance approuvées par la CNIL.

8. Confidentialité et sécurité du traitement des Données personnelles

Le Responsable du traitement et toute personne sous son autorité sont investis d’une obligation de sécurité quant aux opérations portant sur les Données personnelles.

D’une part, le Responsable du traitement s’engage à protéger les Données personnelles par la mise en œuvre de mesures techniques et organisationnelles :

  • la pseudonymisation des Données personnelles ;
  • les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement des Données personnelles;
  • les moyens permettant de rétablir la disponibilité des Données personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
  • une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement des Données personnelles ;
  • toute autre mesure appropriée pour préserver la sécurité, la disponibilité, la confidentialité et l’intégrité de ces Données Personnelles, notamment contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés.

D’autre part, le Responsable du traitement s’engage à assurer la confidentialité des Données personnelles, et de soumettre toute personne, sous son autorité, à respecter cette obligation de confidentialité.

Toutefois, le Responsable du traitement ne sera pas responsable, en cas de collecte des Données personnelles par un tiers pour son propre compte.

9. Politique d’utilisation des cookies

Les différents Cookies susceptibles d’être déposés sur le serveur de navigation (Internet Explorer, Google chrome, Firefox, Safari, Opera, etc…) de la Personne concernée, sont :

  • Des cookies de session utilisateur qui permettent de conserver les informations renseignées dans tous formulaires mis à disposition par le Responsable du traitement ;
  • Des cookies d’authentification de l’utilisateur qui retracent les informations relatives aux identifiants de la Personne concernée ;
  • Des cookies de personnalisation qui sont destinés à adapter la présentation du site selon les préférences de la Personne concernée ;
  • Des cookies de sécurité qui sont destinés à la mise en œuvre de mesures de sécurité (déconnexion au terme d’un délai) ;
  • Des cookies de statistiques permettent de connaître l’utilisation et les performances du site du Responsable du traitement, notamment afin d’en améliorer le contenu ;
  • Des cookies de réseaux sociaux qui sont destinés à la publication d’un lien renvoyant au site Treezor.com, en recourant à des opérateurs de plateformes en ligne (Facebook, Twitter, Linkedin, etc…).

Si la Personne concernée refuse le dépôt des cookies, elle ne pourra pas accéder ou utiliser l’ensemble des services proposés sur le site Treezor.com.

10. Durée de conservation des Données personnelles

Le Responsable du traitement s’engage à conserver les Données personnelles pour une durée de cinq (5) ans suivant la clôture du compte de paiement de la Personne concernée, en vertu des dispositions de l’article L561-12 du code monétaire et financier.

En vertu de la délibération n°2013-378 du 5 Décembre 2013 rendue par la Commission Nationale de l’Informatique et des Libertés portant recommandation relative aux cookies et autres traceurs, la durée de conservation de ces derniers, dans le cas où le consentement a été recueilli, ne peut être supérieure à treize (13) mois. Au terme des treize premiers mois, le consentement de la Personne concernée devra être de nouveau recueilli.

Vous pouvez vous rendre sur la page Cookies de Treezor pour en savoir plus à leur propos.

11. L’exercice des droits par la Personne concernée

11.1 Demande d’accès aux Données personnelles par la Personne concernée

La Personne concernée peut obtenir une copie des données qui font l’objet d’un traitement, conformément à l’article 15 du Règlement général européen 2016/679 du 27 avril 2016 sur la protection des données à caractère personnel, sous réserve de restrictions légales.

La copie des données est transmise à titre gratuit à la Personne concernée, sur la présentation d’un document d’identité officiel par celle-ci.

Dans le cas d’une demande de copie supplémentaire, le Responsable du traitement est fondé à demander le paiement d’un prix, basé sur les coûts administratifs.

Enfin, en vertu de l’article L561-45 du Code monétaire et financier, toute demande d’accès portant sur les Données personnelles soumises à la législation et règlementation bancaire, notamment celles relatives à la lutte contre le blanchiment de capitaux et le financement du terrorisme, doit être adressée à la CNIL.

11.2 Demande de rectification des Données personnelles

La Personne concernée peut exiger du Responsable du traitement toute modification de Données personnelles inexactes ou incomplètes.

Dans ce cas, le Responsable du traitement peut exiger des justificatifs complémentaires afin de procéder à la rectification des Données personnelles.

11.3 Demande d’opposition au traitement

La Personne concernée peut s’opposer au traitement des Données personnelles, pour des raisons tenant à sa situation particulière.

Toutefois, la Personne concernée ne peut exercer son droit à l’égard du traitement dont le fondement juridique est une obligation légale, notamment au regard de l’obligation de lutte contre le blanchiment de capitaux et le financement du terrorisme (V. 3. « Finalités du traitement des données à caractère personnel »).

11.4 Demande de limitation du traitement

La Personne concernée peut demander la limitation du traitement des Données personnelles, selon les cas prévus par l’article 18 du Règlement général européen 2016/679 du 27 avril 2016 sur la protection des données à caractère personnel.

11.5 Exercice du droit à l’effacement

La Personne concernée peut demander l’effacement de Données personnelles, selon les prescriptions prévues à l’article 17 du Règlement général européen 2016/679 du 27 avril 2016 sur la protection des Données personnelles.

Néanmoins, la Personne concernée ne pourra demander l’effacement des Données personnelles, si leur traitement est nécessaire en vertu d’une obligation légale, notamment concernant l’obligation de lutte contre le blanchiment de capitaux et le financement du terrorisme.

11.6 Droit à la portabilité des données

La Personne concernée peut demander que soient transmises, sur support durable (notamment format .PDF), ses Données personnelles, à un autre Responsable du traitement.

Dans tous les cas où les données sont traitées sur le fondement d’une obligation légale, le Responsable peut refuser de procéder à la portabilité des données à caractère personnel.

12. La communication d’une Violation des données personnelles aux Personnes concernées

En cas de Violation des données personnelles, le Responsable du traitement veille à la notifier à la Personne concernée, dans un délai ne pouvant excéder quarante-huit (48) heures à compter du moment où le Responsable du traitement a connaissance de la Violation. Cette notification comprendra :

  • La nature de la Violation affectant les Données personnelles ;
  • Les coordonnées du Délégué à la protection des données personnelles (DPO) ;
  • Les conséquences probables de la Violation des données personnelles ;
  • Les mesures prises par le Responsable du traitement.

Néanmoins, le Responsable du traitement ne sera pas obligé de notifier la Violation des données personnelles à la Personne concernée, dans l’un des cas suivants :

  • La mise en œuvre de mesures techniques et organisationnelles qui permet de rendre inaccessibles et incompréhensibles les Données personnelles pour lesquelles une personne n’est pas autorisée à y avoir accès, tels que le chiffrement, l’anonymisation, pseudonymisation, etc… ;
  • La mise en œuvre de mesures techniques et organisationnelles qui permet de garantir que le risque pour les droits et libertés des Personnes concernées n’est plus susceptible de se matérialiser ;
  • La notification de la violation susciterait des efforts disproportionnés, notamment dans le cas où les Données personnelles n’auraient pas été directement collectées auprès de la Personne concernée. A cette condition, le Responsable du traitement pourra procéder à une communication publique sans viser spécifiquement la Personne concernée.

13. Coordonnées du Responsable du traitement et Délégué à la Protection des Données

Afin d’exercer ses droits, la Personne concernée doit adresser un courrier, soit par voie postale soit par voie électronique, en précisant le ou les droits qu’elle souhaite exploiter.

A compter de la réception de la demande, le Responsable du traitement dispose d’un délai d’un mois maximum, pour apporter une réponse.

Toutefois, le Responsable du traitement devra motiver sa réponse, lorsqu’il n’est pas en mesure de donner suite aux demandes.

Adresse électronique :
[email protected]

Adresse postale :
SAS TREEZOR,
33 avenue de Wagram
75017 Paris

14. Réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL)

Dans le cas où les droits de la Personne concernée n’auraient pas été respectés et après avoir pris contact avec le Responsable du traitement, la Personne concernée peut introduire une réclamation auprès de la CNIL :

Commission Nationale de l’Informatique et des Libertés
3 Place de Fontenoy,
75334 PARIS

Lien utile : https://www.cnil.fr/fr/webform/adresser-une-plainte