Dernière mise à jour le 11 novembre 2024
MoneyBack SAS (ci-après “l’Entreprise”) s’engage à protéger les données personnelles de ses clients, partenaires, employés et autres parties prenantes. Cette politique de protection des données (ci-après “la Politique”) décrit les principes et les pratiques que l’Entreprise applique pour garantir la confidentialité, l’intégrité et la sécurité des données personnelles, conformément aux lois et réglementations en vigueur, notamment la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et le Règlement (UE) 2016⁄679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après “RGPD”).
1. Définitions
Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable.
Traitement : toute opération ou ensemble d’opérations effectuées sur des données personnelles, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou l’organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou l’organisme qui traite des données personnelles pour le compte du responsable du traitement.
2. Principes de Protection des Données
2.1 Licéité, Loyauté et Transparence
Les données personnelles sont traitées de manière licite, loyale et transparente vis-à-vis des personnes concernées.
2.2 Limitation des Finalités
Les données personnelles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.
2.3 Minimisation des Données
Les données personnelles collectées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
2.4 Exactitude
Les données personnelles sont exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables sont prises pour que les données personnelles inexactes, au regard des finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai.
2.5 Limitation de la Conservation
Les données personnelles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
2.6 Intégrité et Confidentialité
Les données personnelles sont traitées de manière à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.
3. Droits des Personnes Concernées
3.1 Droit d’Accès
Les personnes concernées ont le droit d’obtenir du responsable du traitement la confirmation que des données personnelles les concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données personnelles.
3.2 Droit de Rectification
Les personnes concernées ont le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données personnelles inexactes les concernant.
3.3 Droit à l’Effacement
Les personnes concernées ont le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données personnelles les concernant, sous réserve des exceptions prévues par la loi.
3.4 Droit à la Limitation du Traitement
Les personnes concernées ont le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
La personne concernée conteste l’exactitude des données personnelles.
Le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation.
Le responsable du traitement n’a plus besoin des données personnelles aux fins du traitement, mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice.
La personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1 du RGPD, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
3.5 Droit à la Portabilité des Données
Les personnes concernées ont le droit de recevoir les données personnelles les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données personnelles ont été communiquées y fasse obstacle.
3.6 Droit d’Opposition
Les personnes concernées ont le droit de s’opposer à tout moment, pour des raisons tenant à leur situation particulière, à un traitement des données personnelles les concernant fondé sur l’article 6, paragraphe 1, points e) ou f) du RGPD, y compris un profilage fondé sur ces dispositions.
3.7 Décision Individuelle Automatisée, y compris le Profilage
Les personnes concernées ont le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques les concernant ou les affectant de manière significative de façon similaire.
4. Sécurité des Données
4.1 Mesures Techniques et Organisationnelles
L’Entreprise met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris, entre autres :
La pseudonymisation et le chiffrement des données personnelles.
Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.
Des moyens permettant de rétablir la disponibilité des données personnelles et l’accès à celles-ci en temps utile en cas d’incident physique ou technique.
Une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
4.2 Notification des Violations de Données
En cas de violation de données personnelles, le responsable du traitement notifie la violation en question à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
5. Transferts de Données
5.1 Transferts Internationaux
Les données personnelles ne sont transférées vers un pays tiers ou à une organisation internationale que si les conditions prévues par le RGPD sont respectées, notamment :
Le transfert est effectué vers un pays ou une organisation internationale pour lequel ou laquelle la Commission européenne a décidé qu’il ou elle assure un niveau de protection adéquat.
Le transfert est soumis à des garanties appropriées, et les personnes concernées disposent de droits opposables et de voies de recours effectives.
Le transfert est nécessaire pour l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou pour l’exécution de mesures précontractuelles prises à la demande de la personne concernée.
6. Sous-Traitance
6.1 Choix des Sous-Traitants
L’Entreprise ne fait appel qu’à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée.
6.2 Contrat de Sous-Traitance
Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique en vertu du droit de l’Union ou du droit de l’État membre, qui lie le sous-traitant à l’égard du responsable du traitement et définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données personnelles et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement.
7. Responsabilité
7.1 Responsable de la Protection des Données
L’Entreprise désigne un délégué à la protection des données (DPD) chargé de veiller au respect de la présente Politique et des réglementations en vigueur en matière de protection des données personnelles.
7.2 Documentation
L’Entreprise tient une documentation écrite de toutes les activités de traitement des données personnelles sous sa responsabilité, conformément à l’article 30 du RGPD.
7.3 Formation et Sensibilisation
L’Entreprise met en place des programmes de formation et de sensibilisation pour ses employés et collaborateurs afin de garantir une compréhension et une application adéquates des principes de protection des données.
8. Modifications de la Politique
L’Entreprise se réserve le droit de modifier la présente Politique à tout moment. Toute modification sera communiquée aux personnes concernées par les moyens appropriés.
9. Contact
Pour toute question ou demande concernant la présente Politique ou le traitement de vos données personnelles, vous pouvez contacter notre délégué à la protection des données à l’adresse suivante :
MoneyBack SAS Délégué à la Protection des Données recouvrement@mymoneyback.io
Cette Politique de Protection des Données est en vigueur à compter du 12/09/2024.
