Politique de confidentialité
Quels sont les concepts clés du Règlement général sur la protection des données (RGPD) ?
Aux notions déjà définies dans les conditions générales, s’ajoutent les termes suivants dont la signification est définie par le « Règlement général sur la protection des données » (RGPD), Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE :
Données personnelles : toute information permettant, sous quelque forme que ce soit, l’identification d’une personne physique. Est réputée identifiable toute personne physique qui peut être identifiée notamment par référence à un nom, un numéro d’identification ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Personnes concernées : les personnes qui peuvent être identifiées, directement ou indirectement, dans le cadre des activités de la Société (activité commerciale, marketing, relations clients, etc.), c'est-à-dire tous les utilisateurs, clients et prospects d'« Indy ».
Responsable du traitement : organisme qui, seul ou conjointement avec d’autres, détermine le « pourquoi » et le « comment » du traitement des données, c’est-à-dire sa finalité (objectifs poursuivis) et ses moyens (conditions de mise en œuvre, notamment sur les plans technique, matériel et organisationnel).
Sous-traitant : organisation qui traite des données pour le compte et sur les instructions d’une autre organisation, le responsable du traitement des données.
Traitement des données à caractère personnel : toute opération appliquée à des données ou ensembles de données à caractère personnel, telle que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Qui est le responsable du traitement de vos données personnelles ?
La société Blendy by Cogesten détermine les finalités et les moyens du traitement de vos données personnelles.
Dans le cadre de la publication du Site et de la gestion des Comptes, la Société agit donc en qualité de Responsable du traitement des données au sens de l’article 4 du RGPD.
Quelles catégories de données personnelles sont concernées ?
Données d'identification : nom et prénom ; adresse postale ; mot de passe ; numéro de téléphone ; profession ; entreprise (nom, raison sociale ou SIRET).
Données de connexion : pays de connexion ; adresse IP ; journal ; identifiant utilisateur, etc.
Données web : cookies et données de navigation ; avis et commentaires laissés sur différents canaux, tels que nos sites web ou nos réseaux sociaux.
Données financières : données relatives à la carte de crédit de la personne concernée dans le cadre du paiement de l’abonnement effectué par l’intermédiaire d’un prestataire de services.
Données bancaires : données relatives au compte bancaire de la personne concernée dans le cadre de la synchronisation bancaire effectuée par nos prestataires de services.
Bien que présentant un caractère hautement sensible, les données financières et bancaires ne sont pas considérées comme des données « sensibles » au sens de l’article 9 du RGPD (libertés et droits fondamentaux). Si ces données doivent faire l’objet de garanties appropriées en raison de leur nature particulière ou de leur confidentialité, leur traitement n’est néanmoins pas soumis à des règles spécifiques dans le cadre de la réglementation européenne sur la protection des données.
Qui sont les destinataires de vos données personnelles ?
L’accès aux données personnelles est strictement réglementé. L’entreprise veille à ce que les données ne soient accessibles qu’aux destinataires internes ou externes autorisés.
Destinataires internes :
Le personnel autorisé des services marketing, ventes, relations clients, administration et technique, ainsi que leurs responsables hiérarchiques. Le personnel autorisé des services chargés du contrôle (auditeur, service responsable des procédures de contrôle interne, etc.).
Destinataires externes :
Les partenaires et sous-traitants de la Société et, plus particulièrement, leur personnel autorisé à accéder uniquement aux données nécessaires à la mise en œuvre de leurs services.
Les organisations, les agents judiciaires et les agents ministériels, dans le cadre de leur mission de recouvrement de créances ;
Les destinataires de vos données personnelles au sein de l'entreprise sont soumis à une obligation de confidentialité spécifique. L'entreprise décide en interne des destinataires autorisés à recevoir ces données.
La politique d'autorisation est régulièrement mise à jour et tient compte des arrivées et des départs des employés de la société ayant accès aux données.
Si un employé se rend compte qu'il a accès à des données auxquelles il ne devrait pas avoir accès, il a l'obligation d'en informer sans délai le service compétent.
Tout accès au traitement des données personnelles des personnes concernées est soumis à une mesure de traçabilité.
De plus, vos Données Personnelles peuvent être transmises à des prestataires de services tiers qui sont tenus de les utiliser uniquement dans le cadre des missions que la Société leur a confiées, notamment : pour la mise en œuvre de la synchronisation bancaire, la Société est en relation avec des sociétés financières avec lesquelles elle a conclu un accord de partenariat spécifique ;
Lorsque la Société fait appel à des sous-traitants et des prestataires indépendants pour l'aider à fournir certains services : plateforme de messagerie client, publicité, statistiques, gestion et hébergement de données, services de paiement, etc., ces prestataires ont un accès limité aux données des personnes concernées, dans le cadre strict de l'exécution de ces services. Lorsque la personne concernée publie, dans des espaces de commentaires libres (blog, page Facebook, etc.), des informations accessibles au public ;
Lorsque la personne concernée autorise un site web tiers à accéder à ses données, la société veille à ce que leur sécurité soit préservée grâce à un contrôle rigoureux.
Dans le cas où des informations personnelles seraient transférées au sein de l’Union européenne, la Société veille à ce que ces prestataires de services tiers respectent les principes du « Règlement général sur la protection des données » (RGPD) ;
Dans le cas où des informations personnelles seraient transférées en dehors de l'Union européenne, la Société s'assure que le pays tiers concerné dispose d'un niveau de protection jugé adéquat par la réglementation européenne (par exemple, en cas de transfert de données vers les États-Unis, contrôle du respect par le prestataire de services tiers des principes du « Privacy Shield »).
Vos données personnelles peuvent également être communiquées à toute autorité légalement habilitée à les connaître. La société peut notamment transmettre des données pour donner suite aux réclamations formulées à son encontre et pour se conformer aux procédures administratives et judiciaires.
Dans ce cas, la Société n'est pas responsable des conditions dans lesquelles le personnel de ces autorités a accès à vos données et les utilise.
Combien de temps vos données personnelles sont-elles conservées ?
La société conserve vos données pendant une certaine période afin de vous fournir ses services ou son assistance.
La société peut également conserver certaines de vos informations si nécessaire, même après la fermeture de votre compte ou lorsque vous n'en avez plus besoin pour vous fournir ses services.
Toutefois, vos données personnelles ne seront ni transférées, ni louées, ni échangées au profit de tiers.
La durée de conservation des données est définie par la Société en fonction des contraintes légales et contractuelles qui lui sont imposées et, à défaut, selon ses besoins :
Durées de conservation pour chaque catégorie de données personnelles
Données relatives aux utilisateurs et aux clients (données d'identification, données web, suivi de la relation client) :
Les données relatives aux utilisateurs et aux clients sont conservées pendant toute la durée d'ouverture du compte et jusqu'à 30 jours après sa fermeture, sur demande. Cette durée peut être prolongée de 3 ans à des fins d'animation et de prospection, et de 5 ans dans les archives à compter de la suppression du compte ou de la désinscription.
Données relatives aux prospects (données d'identification et données web) :
Les données relatives aux prospects sont conservées pendant une durée maximale de 3 ans à compter de leur collecte ou du dernier contact avec le prospect.
Données techniques (données de connexion et cookies) :
Les données de connexion (adresses IP et journaux des personnes concernées) sont conservées pendant un an à compter de la dernière connexion ou de la dernière utilisation d'Indy. Les cookies peuvent être conservés pendant 13 mois à compter de la dernière manifestation de consentement.
Données financières (conditions de paiement) :
Les transactions financières relatives au paiement des frais d'abonnement via le site sont confiées à un prestataire de services de paiement qui assure l'hébergement, le bon fonctionnement et la sécurité. Destinataire de vos données personnelles, notamment vos numéros de carte bancaire, ce prestataire les collecte et les stocke en notre nom et pour notre compte lors de l'exécution des transactions. Nous n'avons jamais accès à vos données de paiement.
Données bancaires (données de connexion, synchronisation des comptes et récupération de l'historique) :
La collecte des transactions bancaires est confiée à l'un de nos prestataires de synchronisation bancaire, qui en assure l'hébergement, le bon fonctionnement et la sécurité. Ce dernier collecte et stocke, en notre nom et pour notre compte, les données de connexion et les données relatives aux transactions bancaires pendant votre utilisation d'Indy. Nous n'avons jamais accès aux données d'identification au niveau de l'interface bancaire.
Les données permettant d’établir la preuve d’un droit ou d’un contrat (données clients, etc.) ou conservées pour le respect d’une obligation légale (données de facturation, etc.) sont soumises à une politique d’archivage intermédiaire pour une durée n’excédant pas celle nécessaire aux fins pour lesquelles elles sont conservées, conformément aux dispositions en vigueur.
Après les délais impartis, les données sont soit supprimées, soit conservées après anonymisation, notamment à des fins statistiques. Il est rappelé aux personnes concernées que la suppression ou l'anonymisation des données stockées dans ses systèmes sont des opérations irréversibles et que la société n'est plus en mesure de les restaurer.