Politique de protection des données à caractère personnel Lydia
Politique de protection des données à caractère personnel Lydia
Consciente de l’importance du respect de votre vie privée et de la sécurité de vos données, Lydia Solutions réaffirme par la présente politique, son engagement d’être un acteur de confiance dans le traitement de vos données personnelles.
Dans cette Politique de protection des données, « Lydia », « nous » et « notre » désignent « Lydia Solutions ».
1. Mentions légales
Lydia Solutions, société par actions simplifiée au capital de 1 785 979 euros, immatriculée au RCS de Paris sous le numéro unique d'identification 534 479 589, domiciliée 14 avenue de l’Opéra, 75001, Paris, France,
Agréée et supervisée par l’Autorité de Contrôle Prudentiel et de Résolution (« ACPR », 4 place de Budapest CS 92459 75436 Paris Cedex 09, 01.49.95.40.00) en tant qu’établissement de monnaie électronique habilité à délivrer des services de paiements, sous le code banque (CIB) 17598 et l’identifiant REGAFI 62677.
Enregistrée sur le Registre unique des intermédiaires en assurance, banque et finance, tenu par l’ORIAS sous le numéro 18007465, à titre accessoire en tant que: mandataire non exclusif en opération de banque et services de paiement, mandataire d'intermédiaire en assurance, agent lié de prestataire de service d’investissement et mandataire d'intermédiaire en opérations de banque et en services de paiement.
Lydia respecte l’ensemble des réglementations applicables, françaises et européennes relatives à la protection des données à caractère personnel, en particulier le Règlement Européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données (dit « RGPD ») et la Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite « Loi Informatique et Libertés »).
2. Objet
En sa qualité de responsable du traitement de vos données à caractère personnel (ci-après dénommées les « Données personnelles »), Lydia souhaite vous informer par la présente Politique de protection des données sur :
- Les catégories de vos données personnelles que nous collectons et traitons ;
- Les objectifs poursuivis par le traitement de vos données (ses finalités) et les durées de conservation des données associées à chaque traitement ;
- Les bases légales sur lesquelles reposent les traitements réalisés ;
- Les destinataires et catégories de destinataires ;
- Les transferts à l’extérieur de l’Espace Économique Européen ;
- Vos droits concernant vos données personnelles ;
- La sécurité de vos données personnelles.
Cette Politique de protection des données s’adresse et s’applique à vous en tant que clients et prospects particuliers de Lydia. Elle s’applique également à vous si vous êtes :
- Une personne intéressée par nos produits, services ou contenus de Lydia (newsletters…), qui s’inscrit aux alertes des actualités Lydia, qui interagit directement ou indirectement avec Lydia (via son service client ou ses réseaux sociaux), ou qui consulte les sites ou participe à un événement organisé par Lydia ;
- Un candidat intéressé par les offres d’emploi publiées par Lydia sur son site internet.
La Politique de protection des données est mise à jour régulièrement pour refléter les évolutions des pratiques de Lydia ainsi que les potentielles évolutions de la réglementation applicable aux données personnelles. Lydia vous invite à la consulter régulièrement afin de prendre connaissance d'éventuelles modifications ou mises à jour apportées.
3. Données personnelles collectées et traitées
Lydia peut être amenée à collecter et traiter les catégories de données personnelles suivantes :
- Données d’état civil et données d’identification : nom, prénom(s), genre, date et lieu de naissance, nationalité, vidéos recto-verso d’une ou plusieurs pièces d’identités, justificatifs d’identité, et vidéos d'authentification (pouvant faire l’objet d’un traitement biométrique) ;
- Coordonnées de contact : adresses postales, électroniques, numéros de téléphone ;
- Données liées à votre situation personnelle : situation familiale, régime matrimonial ;
- Données liées à votre situation professionnelle : situation professionnelle ;
- Informations d’ordre économique et financier : revenus (montant, sources et justificatifs), résidences fiscales, situation financière et fiscale, données comptables, habitudes et usages de consommation ;
- Données financières et transactionnelles (nature des opérations, date, paiements carte, virement, prélèvement, montant, libellé, justifications des opérations, coordonnées bancaires et autres données des comptes agrégés à votre compte Lydia etc.) ;
- Données de connexion liées à l’utilisation de nos services : données d’identification et d’authentification, logs, cookies et autres traceurs, données de navigation sur les sites et applications Lydia ;
- Données issues des correspondances et communications entre vous et nous, réalisées à distance : entretiens et appels téléphoniques, courriers postales et électroniques, messageries instantanées, communications sur les réseaux sociaux, réclamations ou plaintes ou tout autre type de communication ;
- Données de connexion, données de l’appareil utilisé pour se connecter à l’application et données associées à l’utilisation de l’application Lydia (dates et heures d’accès au service Lydia, données sur le matériel informatique ou téléphonique, données associées à l’utilisation de l’appareil, les identifiants uniques, données de plantage ou encore les cookies).
- Données liées aux produits et services souscrits (type de produit, mode de règlement, échéance, montant) ;
- Données de géolocalisation (adresse IP ou données de GPS du terminal utilisé) ;
- Données et informations destinées à être communiquées au public et partagées avec les autres clients au sein de l’application Lydia : photos de profil et de fond d’écran, images, photos liées aux opérations réalisées (pouvant faire l’objet d’un traitement biométrique), commentaires et autres messages ;
- Données fournies dans le cadre de services complémentaires telles que les informations relatives aux cartes de fidélité fournies par le Client ou encore les numéros ainsi que les adresses e-mail présentes dans le carnet d’adresses du Client (uniquement si le Client choisit de relier ses répertoires de contacts à l'application Lydia afin de savoir lesquels de ses contacts utilisent l’application Lydia, et étant précisé que ces informations transmises sont stockées chiffrées, par clé publique à sens unique). ;
- Toute autre information ou document nécessaire à la recherche de l’origine et de la destination des fonds des opérations réalisées avec votre compte.
Ces données personnelles sont collectées, soit, directement auprès de vous par Lydia, ou, en cas de besoin, indirectement :
- Auprès du Répertoire National d’Identification des Personnes Physiques ;
- Auprès de la Direction Générale des Finances Publiques ;
- Auprès de toutes autorités judiciaires ou financières, agences d’État ou organismes publics, dans la limite de ce qui est autorisé par la réglementation ;
- Auprès de l’institution financière, dans les livres de laquelle vous avez ouvert un compte, que vous pouvez agréger à votre compte Lydia, dans le cadre de la fourniture des services d’initiation de paiement et d’information sur les comptes.
- Grâce aux publications et bases de données rendues accessibles par les autorités officielles ou par des tiers habilités, ou
- Grâce aux sites Internet et réseaux sociaux contenant des informations que vous avez souhaité rendre publiques.
Dans le cadre de nos obligations légales et réglementaires de vigilance de la relation d’affaire nous pouvons également être amenés à collecter et traiter des informations de personnes vous concernant avec lesquelles nous n’avons pas de relation directe : un membre de votre famille, un proche, votre employeur, votre représentant légal, un contact personnel. La collecte et le traitement de ces informations sont nécessaires à des fins de recherche de l'origine et de la destination des fonds des opérations réalisées avec votre compte.
Certaines catégories de données ou données collectées par Lydia peuvent faire l’objet de rapprochements, afin de mieux répondre aux finalités décrites dans l’article 4. Ces rapprochements se sont réalisés par Lydia en veillant à n’utiliser que les données strictement nécessaires à la réalisation de la finalité du traitement (en application du respect du principe de minimisation des données, prévu par le RGPD).
4. Finalités des traitements et durée de conservation des données personnelles
1 - Dispositions générales
Lydia traite les catégories de données personnelles visées à l’article 3 en fonction des situations, pour répondre à différents objectifs ou finalités. À chacune de ces catégories est associée une durée de conservation des données au-delà de laquelle celles-ci ne sont plus utilisées, sont archivées puis anonymisées et/ou supprimées. Les finalités qui justifient le traitement de vos données personnelles sont les suivantes :
- La gestion de la relation d’affaire, du compte Lydia et/ou des produits et services souscrits, notamment pour des besoins de preuve. Vos données personnelles pourront être conservées pour une durée de cinq (5) ans à compter de la fin de la relation d’affaires ou, le cas échéant, à compter de la fin d’une éventuelle procédure judiciaire ou de recouvrement et/ou à l’expiration des délais de prescription applicables.
- La réalisation d’études d’opinion et de satisfaction et d’études statistiques. Vos données personnelles pourront être conservées pour une durée de trois (3) ans à compter de la réalisation de l’étude.
- La lutte contre la fraude (exemples : établissement de notations ou de scores, détection d’opérations atypiques). Vos données personnelles pourront être conservées pour une durée maximum de cinq (5) ans à compter de la clôture du dossier de fraude avérée ou de l’émission d’une alerte dans nos systèmes.
- Le respect des obligations légales et réglementaires qui incombent à Lydia, notamment les obligations en matière de connaissance client (dites « Know Your Customer »), la gestion du risque opérationnel (notamment la sécurité des réseaux informatiques, la protection de la clientèle, la supervision et le contrôle interne, la sécurité des transactions ainsi que la sécurité de l’utilisation des réseaux de paiements internationaux), les obligations en matière de sécurité financière (lutte contre le blanchiment des capitaux et le financement du terrorisme et les obligations en matière de sanctions et embargos), les obligations liées à la détermination de votre statut fiscal et au respect des réglementations fiscales associées, l’éthique et la lutte contre la corruption ; la protection des données et toutes autres obligations relatives à la gestion et au pilotage des risques de conformité. Vos données personnelles seront conservées pour une durée de cinq (5) ans à compter du fait générateur prévu par la réglementation en vigueur (exemple : en matière d’activation, de chargement et d’utilisation de la monnaie électronique, cinq ans à compter de l'exécution de ces opérations).
- La prévention et la détection des infractions pénales et/ou exercer une action en justice (exemple : pour l’identification de comportements ou d’actes gravement répréhensibles tel que la violence à l’égard du personnel de Lydia). Vos données personnelles pourront être conservées pendant une durée de cinq (5) à vingt (20) ans, selon la nature de l’infraction, à compter du jour de sa constatation. Lorsqu’une procédure judiciaire est engagée, les données sont conservées jusqu’au terme de cette procédure et à l’expiration des délais de prescription applicables.
- La gestion des comptes en déshérence et les données liées à la recherche des personnes concernées. Vos données pourront être conservées pendant une durée maximum de trente (30) ans en fonction des cas prévus par la réglementation en vigueur.
- L’enregistrement de vos conversations et communications avec Lydia, quel que soit leur support (e-mails, courriers, entretiens téléphoniques, etc.). Selon les réglementations applicables, vos données personnelles pourront être conservées pour des durées variables qui ne sauront néanmoins excéder une durée de cinq (5) ans à compter de leur enregistrement. Les supports d’enregistrement ou leur reproduction seront conservés pendant des durées proportionnées à la finalité de l’enregistrement en cause (de 6 mois à des fins de formation du personnel, à 5 ans lorsque l’enregistrement téléphonique est susceptible d’être utilisé à des fins de preuve).
- Les traitements comptables : les données comptables pourront être conservées pendant une durée de dix (10) ans conformément aux dispositions légales en vigueur.
- Les cookies et autres traceurs. La durée de vie des traceurs est de treize (13) mois maximum.
- L’activité de recherche ou d’analyse à des fins d’amélioration de processus et de développement de modèles. Vos données pourront être utilisées afin d’améliorer nos procédures de contrôle interne ou contribuer à la gestion du risque et de la conformité. Ces données sont conservées pendant une durée déterminée pour chacune de ces sous-finalités.
- La prospection commerciale, la proposition d’offres commerciales adaptées à votre situation et à votre profil de consommation, la réalisation d’offres et de jeux promotionnelles, d’animations commerciales et de campagnes publicitaires. Les données pourront être conservées pour une durée maximale de trois (3) ans à compter de la fin de la relation commerciale ou pour les prospects, à compter du dernier contact. Ces données pourront être anonymisées et agrégées afin d’établir des rapports statistiques.
Vos données collectées et traitées conformément aux finalités susvisées pourront être conservées pour une durée supplémentaire si la défense d’un droit ou d’un intérêt l’exige, ou encore afin de répondre aux exigences des autorités françaises ou européennes telles que l’ACPR ou l’Autorité des marchés financiers (« AMF »). Dans ce cas, vos données ne seront pas utilisées pour d’autres finalités, elles seront conservées en archivage intermédiaire et seront uniquement accessibles aux seules personnes autorisées ayant un besoin à en connaître (exemples : service juridique, service de conformité, corps d’audit et d’inspection).
2 - Dispositions spécifiques à la vérification d’identité à distance
Afin de vérifier votre identité à distance et de se conformer à ses obligations légales et réglementaires relatives à l’identification, la vérification de l’identité et la connaissance de sa clientèle, Lydia est tenue de collecter directement auprès de vous les données suivantes :
- Une vidéo recto-verso et en couleurs de votre pièce d’identité officielle (carte nationale d’identité ou passeport européen ou titre de séjour en cours de validité) et,
- Une vidéo d’authentification, soit une vidéo de votre visage dite « selfie vidéo », réalisée en couleurs avec la caméra frontale de votre téléphone mobile, d’une qualité et d’une luminosité suffisantes et ne présentant pas d’altération numérique (présence de filtres).
A cette fin, vous devez autoriser l’accès à Lydia au microphone et aux caméras frontale et dorsale de votre téléphone mobile, puis vous filmer pendant quelques secondes et énoncer oralement une phrase aléatoire. Les vidéos ainsi enregistrées sont visionnées par l’un de nos collaborateurs spécialement habilité dans le but de vous authentifier. Votre authentification réalisée, la vidéo n’est plus accessible par notre collaborateur : elle est automatiquement conservée en archivage semi-intermédiaire.
Nota Bene : Un traitement technique spécifique des données biométriques (au sens de l’Article 4.14 du RGPD), captées lors de la vidéo de votre visage, est réalisé par Lydia aux fins de vérification de votre identité à distance. Ce traitement technique spécifique des images faciales permet de confirmer l’identification unique d’un client à partir de ses caractéristiques physiques, physiologiques ou comportementales. Il permet également la détection du caractère « vivant » du visage du client pour vérifier que celui-ci n’a pas fait l’objet d’altération physique ou numérique. Ces données biométriques sont considérées comme sensibles au sens du RGPD. Afin d’utiliser ce traitement conformément à l’article 9 du RGPD, nous justifions d’un besoin spécifique d’identification de nos clients pour permettre l’accès à nos services, sous contrôle de la Commission Nationale de l’Informatique et des Libertés (dite « CNIL »).
Vous restez toujours libre de choisir de réaliser ou non une vidéo d’authentification. Vous pouvez choisir de réaliser le parcours alternatif de vérification d’identité, proposé par Lydia, sans contrainte additionnelle, ni incitation ou contrepartie particulière.
3 - Dispositions spécifiques aux requêtes jugées sensibles
Lydia peut être amenée à vous demander d’effectuer une vidéo d’authentification (une vidéo de votre visage dite « selfie vidéo ») afin de vous permettre de réaliser des requêtes, jugées sensibles, relatives à la modification de vos données de sécurité et ou lors du processus de récupération d’accès à votre compte Lydia (exemples : oubli de votre mot de passe, changement de numéro de téléphone ou compte bloqué).
A cette fin, vous devez autoriser l’accès à Lydia au microphone et aux caméras frontale et dorsale de votre téléphone mobile puis vous filmer pendant quelques secondes et énoncer oralement votre requête. Les vidéos ainsi enregistrées sont visionnées par l’un de nos collaborateurs spécialement habilité dans le but de vous authentifier. Votre authentification réalisée, la vidéo n’est plus accessible par notre collaborateur : elle est automatiquement conservée en archivage semi-intermédiaire. Aucun traitement biométrique de ces images n’est réalisé par Lydia.
Vous restez toujours libre de choisir de réaliser ou non une vidéo d’authentification. Vous pouvez choisir de réaliser le parcours alternatif pour le traitement des requêtes jugées sensibles, proposé par Lydia, sans contrainte additionnelle, ni incitation ou contrepartie particulière.
4 - Dispositions spécifiques au profilage
Lydia met en œuvre des traitements de profilage, c’est-à-dire des traitements consistant à évaluer certains aspects de ses clients concernant leur situation économique, leurs préférences ou centres d’intérêt personnels, l’analyse de leur comportement, ou encore leur localisation et leurs déplacements.
Ces traitements de profilage ont différentes finalités, principalement de sécurisation de vos opérations, de lutte contre la fraude, de personnalisation de la relation, de prospection commerciale ou pour mieux répondre à nos obligations relatives à la gestion et au pilotage des risques de conformité.
Dans le cas de la prospection commerciale, le traitement consiste à analyser certaines de vos données afin d’établir des profils qui vous correspondent. Ces profils nous permettent de vous adresser des offres personnalisées plus adaptées à vos besoins, à vos attentes ou à votre situation.
Pour chacun de ces traitements de profilage, une analyse approfondie est effectuée afin de déterminer si le traitement doit être fondé sur votre consentement, l’intérêt légitime de Lydia, ou sur une autre base légale (l’exécution d’un contrat, une obligation légale).
Si le profilage est fondé sur votre consentement : nous nous assurons que votre consentement est recueilli, après vous avoir informé de manière explicite et transparente sur l’utilisation de vos données personnelles. Nous vous permettons également de retirer à tout moment votre consentement.
Si le profilage est fondé sur l’intérêt légitime de Lydia : nous aurons mené une analyse préalable nous permettant de nous assurer, pour chaque traitement envisagé, que vos intérêts et droits fondamentaux sont respectés et que vous pouvez raisonnablement vous attendre à ce que vos données soient utilisées dans ce cadre. Nous vous permettons à tout moment de vous opposer à ces traitements, dans les conditions prévues par la réglementation et selon les modalités décrites à l’article 6.
5 - Dispositions spécifiques aux décisions entièrement automatisées
Dans les cas où Lydia met en œuvre des traitements de données impliquant une prise de décision entièrement automatisée, y compris le profilage, et produisant des effets juridiques vous concernant ou vous affectant de manière significative, ces traitements reposent sur l’une des bases légales suivantes : votre consentement, l’exécution d’un contrat, l’intérêt légitime de Lydia ou une obligation légale. Ces traitements sont réalisés conformément à la réglementation applicable, et assortis de garanties appropriées.
Dans l’hypothèse où ce profilage a des conséquences juridiques à votre égard, vous pouvez demander l’intervention d’une personne humaine, notamment afin d’obtenir un réexamen de votre situation, d’exprimer votre propre point de vue, d'obtenir une explication sur la décision prise ou de contester la décision.
6 - Dispositions spécifiques aux cookies et autres traceurs
On entend par cookies ou autres traceurs, les traceurs déposés et lus par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé.
Vous êtes informé que lors de vos visites sur nos sites ou lors de l’utilisation de l’une de nos applications, des cookies et des traceurs peuvent être installés sur votre équipement terminal.
Lorsque cela est nécessaire nous recueillons votre consentement préalablement à l’installation sur votre équipement terminal de tels traceurs mais également lorsque nous accédons à des données stockées sur votre équipement.
Pour plus d’informations, vous pouvez consulter à tout moment la Politique sur l’utilisation des traceurs et cookies de Lydia.
7 - Dispositions spécifiques à l’accès à votre répertoire téléphonique et aux enregistrements téléphoniques
Les conversations téléphoniques entre vous et nos services dédiées à la clientèle (service client, conformité, de lutte contre la fraude etc.) peuvent faire l’objet d’enregistrements téléphoniques à des fins de formation du personnel, d’évaluation ou d’amélioration de la qualité de nos produits et de nos services, de preuve dans le cadre de la lutte contre la fraude, le blanchiment d’argent et le financement du terrorisme et à des fins de vérification de votre identité dans le cadre de l’exercice de vos droits sur vos données personnelles. Préalablement à tout enregistrement, nous vous en informons et vous avez le droit de vous y opposer.
Lydia vous permet de relier le répertoire de contacts de votre téléphone mobile à l’application Lydia afin de connaître lesquels de vos contacts utilisent comme vous nos services. Pour réaliser ce rapprochement, nous devons collecter les numéros et les adresses électroniques présentes dans votre carnet d’adresse. Nous ne réalisons pas d’autre traitement de ces données (seule une empreinte et non une collecte des données brutes est réalisée). Ces informations sont transmises et stockées chiffrées, par clé publique à sens unique. Vous pouvez désactiver à tout moment cette fonctionnalité dans l’application Lydia.
4.1 Les informations transmises directement par le Client Particulier
Création d’un compte Lydia
Dans le cadre de la création de son compte de paiement Lydia, le Client Particulier est invité à communiquer son numéro de téléphone, son nom et son prénom. Par la suite, le client peut préciser d’autres informations telles que ses adresses e-mail. Il choisit également son mot de passe et renseigne une question et réponse secrète en cas d’oubli de celui-ci. Il peut aussi associer une photo de profil à son compte.
Services complémentaires
Afin de lui permettre d’accéder aux services complémentaires de Lydia, le Client Particulier peut être amené à fournir à Lydia les informations relatives aux cartes de crédit ou aux cartes de fidélité qu’il souhaite associer à l’application Lydia ainsi que ses IBAN de comptes en banque. Dans le cadre de la création de cagnottes, il peut également ajouter un titre, une description et associer une photo à la cagnotte qu’il crée.
Vérification d’identité
Afin de vérifier l’identité du Client Particulier et de se conformer à la réglementation en vigueur, Lydia peut également collecter auprès du Client un justificatif d’identité, un document d’identité complémentaire ou encore une vidéo d’authentification.
Vidéo d’authentification
Le Client Particulier dispose de plusieurs moyens de justifier de son identité aux fins d’obtenir le statut « Profil Vérifié » et d’effectuer des requêtes relatives à la modification de ses données de sécurité de son compte Lydia (par exemple, en cas d’oubli de son mot de passe, de changement du numéro de téléphone ou de compte bloqué). Si la requête est jugée sensible et que le Client y consent expressément, elle peut être réalisée au moyen d'une vidéo d'authentification dite « selfie-video ».
Pour cela, le Client Particulier doit autoriser l’accès à Lydia, au microphone et à la caméra de son téléphone puis se filmer pendant quelques secondes pour énoncer sa requête. Les vidéos ainsi enregistrées sont visionnées par un Agent de Lydia habilité qui authentifie le Client Particulier. Après cette authentification, la vidéo n’est plus accessible par l’Agent : elle est conservée en archivage semi-intermédiaire.
Nota Bene : un traitement technique spécifique des données biométriques (au sens de l’Article 4.14 du RGPD), captées lors du selfie-vidéo, est réalisé par Lydia lorsque le Client Particulier souhaite obtenir le statut « Profil Vérifié ». Ce traitement technique spécifique des images faciales du Client Particulier, permet ou confirme l’identification unique de l’Utilisateur à partir de ses caractéristiques physiques, physiologiques ou comportementales. Il permet également la détection du caractère « vivant » de l’Utilisateur pour vérifier que celui-ci n’a pas fait l’objet d’altération physique ou numérique. Ces données biométriques sont considérées comme sensibles au sens du RGPD. Afin d’utiliser ce traitement conformément à l’Article 9 du RGPD, Lydia justifie donc d’un besoin spécifique d’identification de ses utilisateurs pour permettre l’accès au Service, sous contrôle de la Commission Nationale de l'Informatique et des Libertés (dénommée ci-après la « CNIL »).
Le Client Particulier reste toujours libre de choisir lors du parcours de vérification d’identité à distance, afin d’obtenir le statut « Profil Vérifié » (parcours de vérification d’identité dit « Know Your Customer ») ou lors du processus de récupération d’accès à son Compte Client (en cas de mot de passe oublié, de changement de numéro de téléphone ou de blocage de son Compte Client) de réaliser un selfie-vidéo ou non et peut choisir d’utiliser un autre mode d’authentification proposé par Lydia, sans contrainte additionnelle, ni incitation ou contrepartie particulière.
4.2 Les informations recueillies indirectement lors de l’utilisation du Service Lydia par le Client Particulier
Informations complémentaires d’identité
Lorsque le Client Particulier fournit à Lydia un justificatif d’identité, Lydia collecte sa date et son lieu de naissance ainsi que le pays d’émission de son justificatif d’identité.
Informations de géolocalisation
Lorsque le Client Particulier utilise certaines fonctionnalités du Service Lydia, Lydia peut recueillir des informations sur son emplacement, comme déterminé par des données telles que l’adresse IP ou le GPS de son ordinateur ou son téléphone portable, afin de lui offrir une meilleure expérience utilisateur et de renforcer la sécurité (la géolocalisation pouvant par exemple constituer un contrôle dans le cas d’un soupçon de fraude). La majorité des téléphones portables permettent de contrôler ou de désactiver l’utilisation des services de localisation dans les applications à partir du menu des paramètres de l’appareil.
Informations d’utilisation. Lydia recueille des informations concernant les interactions du Client Particulier avec l’application Lydia, comme ses consultations de contenu, ses transactions réalisées ou plus généralement son utilisation de l’application (par exemple la date à laquelle le Client a associé ses cartes de crédit à l’application).
Données de connexion et d’appareil
Lydia collecte automatiquement les données de connexion et d’appareil lorsque le Client Particulier utilise le Service Lydia. Ces informations comprennent notamment son adresse IP, ses dates et heures d’accès au Service Lydia, les données sur son matériel informatique ou téléphonique, les données associées à l’utilisation de son appareil, ses identifiants uniques, données de plantage ou encore cookies.
IBAN rattachés aux comptes associés
Lorsque le Client Particulier connecte son compte bancaire à l’application Lydia, en fournissant ses identifiants de connexion de compte bancaire, les IBAN et bénéficiaires qui y sont rattachés sont automatiquement importés dans l’application Lydia afin de pouvoir faciliter les virements entre le Compte Lydia du Client et les comptes externes enregistrés.
Contacts utilisant Lydia
Le Client Particulier peut relier ses répertoires de contacts à l’application Lydia afin de savoir lesquels de ses contacts utilisent l’application Lydia. Pour faire le lien entre un contact présent dans le carnet d’adresse du Client et un Client qui vient de s’inscrire à l’application, Lydia doit collecter les numéros et les adresses e-mail présentes dans le carnet d’adresses du Client. Lydia ne faisant pas d’autre usage de ces informations, Lydia a uniquement besoin d’une empreinte de ces données et non des données brutes. C’est pourquoi ces informations sont transmises et stockées chiffrées, par clé publique à sens unique. Cette fonction peut être désactivée par le Client depuis l’écran Paramètres de l’application.
Communications avec le Support de Lydia
Lydia conserve l’historique des communications que le Client Particulier a pu avoir avec le Support de Lydia, comme par exemple les échanges d’e-mail, les échanges téléphoniques, ou une synthèse des conversations téléphoniques.
Suivi des actions réalisées par les collaborateurs de Lydia
Les collaborateurs de Lydia peuvent être amenés à intervenir dans la gestion du Compte Lydia des Clients Particuliers. Dans ce cas, les actions réalisées sont également conservées sous la forme de commentaires (par exemple, un Compte Lydia peut être temporairement bloqué en cas de suspicion de fraude).
Informations relatives au service d’agrégation de compte(s) bancaire(s)
Dans le cas où le Client Particulier a recours au service d’agrégation de compte(s) bancaire(s) lui permettant d’agréger son/ses compte(s) bancaire(s) à l’application Lydia, les données relatives à ce/ces compte(s) agrégé(s) sont collectées par Lydia : nom de la banque, types de compte bancaire (compte courant, compte de crédit, compte épargne), opérations réalisées et solde du compte.
5. Bases légales des traitements réalisés
Les traitements réalisés par Lydia reposent sur l’une des bases légales suivantes :
- L’exécution du contrat conclu avec vous (exemples : la gestion d’un compte de monnaie électronique ou de paiement, la délivrance de moyens de paiement, la souscription d’une assurance perte ou vol de moyens de paiement, l’information relative aux transactions effectuées via Lydia).
- Cette base légale fonde les traitements des données suivantes : les données d’état civil, les données d’identification, les coordonnées de contact, les données liées à votre situation personnelle et professionnelle et les informations d’ordre économique et financier, les données financières et transactionnelles, les données liées aux produits et services souscrits et les données issues des correspondances et communications entre vous et nous.
- Ces traitements ont pour finalités : la gestion de la relation d’affaire, du compte Lydia et/ou des produits et services souscrits, sa gestion ainsi que la mise en place des assurances associées, la fourniture d’informations concernant les services Lydia (mise à jour des contrats / conditions d’utilisation des services ou information relative à l’exécution des services Lydia).
- Le respect des obligations légales et réglementaires qui incombent à Lydia en tant qu’établissement de monnaie électronique habilité à fournir des services de paiement.
- Cette base légale fonde les traitements des données suivantes : les données d’état civil, les données d’identification, les coordonnées de contact, les données liées à votre situation personnelle et professionnelle, les informations d’ordre économique et financier, les données financières et transactionnelles, les données liées aux produits et services souscrits, les données issues des correspondances et communications entre vous et nous et toute autre information ou document nécessaire à la recherche de l’origine et de la destination des fonds des opérations réalisées avec votre compte.
- Ces traitements ont pour finalités : la connaissance client, la gestion du risque opérationnel, la vigilance constante sur la relation d’affaires, la lutte contre le blanchiment des capitaux et le financement du terrorisme, l’application des mesures de sanctions et d’embargos, les obligations liées à la détermination de votre statut fiscal et au respect des réglementations fiscales associées, l’éthique et la lutte contre la corruption, la gestion des comptes en déshérence et les données liées à la recherche des personnes concernées, la protection des données et toutes autres obligations relatives à la gestion et au pilotage des risques de conformité.
- La poursuite des intérêts légitimes de Lydia (exemples : la prospection commerciale, les sondages et l’envoi de communications personnalisées, la prévention de la fraude, l’analyse de l’utilisation faite par les clients des services Lydia et de l’application ou encore la constitution de jeux de données pour tester l’efficacité des outils de conformité mis en place par Lydia).
- Cette base légale fonde les traitements des données suivantes : les données d’état civil, les données d’identification, les coordonnées de contact, les données liées à votre situation personnelle et professionnelle, les informations d’ordre économique et financier, les données financières et transactionnelles, les données liées aux produits et services souscrits, les données de connexion liées à l’utilisation de nos services, les cookies, les données issues des correspondances et communications entre vous et nous et les données de géolocalisation.
- Ces traitements ont pour finalités : la prévention de la fraude, la prévention des impayés, le recouvrement et la gestion du contentieux (amiable, surendettement et contentieux judiciaires), la gestion des réclamations, la gestion des successions, la lutte contre la criminalité financière, la prévention et la gestion des incivilités à l’égard de nos salariés, la sécurité de nos réseaux, la surveillance de nos locaux notamment par un dispositif de vidéosurveillance, l’analyse de notre risque en matière d’entrée en relation d’affaire, les activités de recherche et de développement, la gestion d’études statistiques et d’enquêtes de satisfaction à des fins d’amélioration de la connaissance client, la prospection commerciale, le profilage et la segmentation marketing et nos activités de communication.
- Le choix de cette base légale est effectué après une mise en balance rigoureuse des intérêts poursuivis par Lydia avec vos intérêts, si vous êtes concerné par le traitement, et l’évaluation des attentes raisonnables en la matière. Nous mettons en place des garanties pour préserver vos intérêts, droits et libertés fondamentaux (exemples : droits d'information, droit d’opposition et de limitation des traitements).
- Le consentement pour des traitements spécifiques.
- Cette base légale fonde les traitements des données suivantes : les données d’état civil, les données d’identification, les coordonnées de contact, les données liées à votre situation personnelle et professionnelle, les informations d’ordre économique et financier, les données financières et transactionnelles, les données liées aux produits et services souscrits, les données de connexion liées à l’utilisation de nos services, les données issues des correspondances et communications entre vous, les données de géolocalisation, les données et autres informations destinées à être communiquées au public et partagées avec les autres clients au sein de l’application Lydia.
- Ces traitements ont pour finalités : la prospection commerciale par courrier postal ou électronique, par SMS/MMS, par appel téléphonique, le dépôt et la lecture de cookies publicitaires, la gestion d’offres et jeux promotionnels et l'hébergement de zones de communication au public au sein de l’application Lydia.
- L’intérêt légitime du client (exemple : la constitution de jeux de données pour tester l’efficacité des outils de conformité mis en place par Lydia, l’enregistrement d’une partie des appels clientèle afin d’évaluer le niveau de qualité de nos services, la lutte contre la fraude).
- Cette base légale fonde les traitements sur les données suivantes : les données d’état civil, les données d’identification, les coordonnées de contact, les données liées à votre situation personnelle et professionnelle, les enregistrements d’une partie des appels clientèle.
- Ces traitements ont pour finalité : l’évaluation de la qualité des services Lydia, l’amélioration de l’expérience utilisateur, la prévention de la fraude, la communication avec les équipes support et lutte contre la fraude de Lydia.
- Le choix de cette base légale est effectué après une mise en balance rigoureuse des intérêts poursuivis par Lydia avec vos intérêts, si vous êtes concerné par le traitement, et l’évaluation des attentes raisonnables en la matière. Nous mettons en place des garanties pour préserver vos intérêts, droits et libertés fondamentaux (exemples : droits d'information, droit d’opposition et de limitation des traitements).
6. Destinataires
Vos données personnelles peuvent être communiquées en fonction des finalités poursuivies :
- Aux partenaires, mandants, mandataires, intermédiaires et assureurs, sous-traitants et prestataires de Lydia (Floa, PayLead, Treezor, Bitpanda, Braze, Google Cloud Platform) Cette communication n’intervient que dans le cadre d’un traitement qui poursuit l’une des finalités décrites dans l’article 2 ;
- Dans le respect des réglementations applicables, à des tiers en France ou à l’étranger à des fins de constatation, de sauvegarde ou de défense d’un droit en justice, dans le cadre d’enquêtes administratives ou pénales d’un ou plusieurs régulateurs, du respect d’engagements pris à leur égard ou dans le cadre de contentieux judiciaires de toute nature.
- À certaines professions réglementées telles que les commissaires aux comptes, les avocats, afin de fournir des rapports réglementaires ou pour agir pour la défense de nos droits.
- Aux initiateurs de paiement et prestataires de services d’information sur les comptes, seulement si vous y consentez ou à votre demande (exemples : Budget Insight, Tink).
En application de l’article L. 511-34 du Code monétaire et financier, les informations personnelles recueillies pourront être transmises par nos partenaires aux autres entités appartenant au même groupe de sociétés (succursales et filiales).
6. Vos droits
Dans les conditions et limites autorisées par la réglementation applicable vous disposez des droits suivants :
- Accéder à vos données personnelles,
- Faire rectifier, mettre à jour et effacer vos données personnelles, étant précisé que l’effacement ne peut intervenir que lorsque :
- Les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière,
- Vous avez retiré votre consentement sur lequel le traitement était fondé et il n’existe pas d’autre fondement juridique le justifiant,
- Vous vous êtes opposé au traitement de vos données pour des raisons tenant à votre situation particulière et qu’il n’existe pas de motif légitime impérieux de le poursuivre,
- Les données personnelles ont fait l’objet d’un traitement illicite,
- Les données personnelles doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit français auquel Lydia est soumis,
- Vous opposer au traitement de vos données personnelles pour des raisons tenant à votre situation particulière et qu’il n’existe pas de motif légitime impérieux de le poursuivre,
- Vous opposer au traitement de vos données personnelles à des fins de prospection commerciale, y compris au profilage lié à cette prospection (cf. article 8) ;
- Recevoir les données personnelles vous concernant et que vous nous avez fournies, pour les traitements automatisés reposant sur votre consentement ou sur l’exécution d’un contrat, et demander la portabilité de ces données auprès d’un tiers,
- Demander une limitation des traitements de données personnelles que nous opérons vous concernant lorsque :
- Vous contestez l’exactitude des données personnelles et ce, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données personnelles,
- Vous vous opposez à l’effacement des données vous concernant alors que le traitement est illicite,
Nous n’avons plus besoin des données mais celles-ci vous sont encore nécessaire pour la constatation, l’exercice ou la défense de droits en justice, - Vous vous êtes opposés au traitement de vos données, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par Lydia prévalent sur les vôtres.
- Lorsque le traitement est fondé sur votre consentement, retirer ce consentement à tout moment, et il n’existe pas d’autre fondement juridique le justifiant.
En outre, vous avez la possibilité de nous communiquer des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès, lesquelles directives peuvent être enregistrées également auprès « d’un tiers de confiance numérique certifié ». Ces directives peuvent désigner une personne chargée de leur exécution. Ces droits ne peuvent cependant avoir pour effet de contrevenir aux droits des héritiers ou à permettre la communication d’informations auxquelles seuls ces derniers peuvent légitimement avoir accès.
Vous pouvez exercer vos droits ainsi que contacter le Délégué à la protection des données personnelles de Lydia selon les modalités suivantes :
- Par courrier postal envoyé à l’adresse suivante : Lydia Solutions, Délégué à la Protection des Données, 14 avenue de l’Opéra, 75001 Paris, France.
- Par email envoyé à l’adresse suivante : dpo@lydia-app.com.
Vous avez enfin le droit d’introduire une réclamation auprès de la CNIL (3, place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07 - www.cnil.fr), autorité de contrôle en charge en France du respect des obligations en matière de données personnelles.
8. PROSPECTION COMMERCIALE
1 - Prospection commerciale par courrier électronique et automate d’appel
Si vous êtes une personne physique n’agissant pas à des fins professionnelles, nous pouvons vous prospecter par courrier électronique, automate d’appel ou SMS/MMS lorsque vous avez donné votre accord au moment de la collecte de votre adresse électronique ou de vos coordonnées personnelles, ou lorsque vous êtes déjà client et que la prospection concerne des produits ou services analogues à ceux déjà souscrits. Chaque message électronique de prospection commerciale contient un lien permettant de vous désinscrire.
Si vous êtes une personne physique agissant à titre professionnel, votre adresse électronique peut être utilisée afin de vous adresser de la prospection commerciale par courrier électronique pour des objets en relation avec votre profession. Vous pouvez à tout moment faire valoir votre droit d’opposition à la prospection commerciale.
Les adresses professionnelles génériques attribuées à une personne morale (société) ne sont pas soumises aux principes du consentement, de l’information préalable et ne bénéficient pas du droit d’opposition.
Les messages et notifications liés à la gestion administrative d’un produit ou service préalablement souscrits (alertes, modifications de la documentation contractuelle et tarifaire...) ne relèvent pas de la prospection commerciale.
Les paramétrage des messages et notifications que vous pouvez recevoir de notre part peut être réalisé dans le cadre du service souscrit, étant entendu que certaines de ces notifications peuvent relever d’obligations réglementaires et présenter un caractère impératif.
2 - Prospection par téléphone
Nous pouvons également être amenés à vous prospecter par téléphone. Conformément à l’article L.223-2 du Code de la consommation, vous êtes informé que vous pouvez vous inscrire sur une liste d’opposition au démarchage téléphonique Bloctel. Toutefois, malgré cette inscription, nous pouvons vous démarcher par téléphone dès lors qu’il existe des relations contractuelles en cours sauf si vous y êtes préalablement opposé ou si vous vous y opposez lors de l’appel.
9. Transferts à l'extérieur de l'espace économique européen (EEE)
Les traitements de vos données personnelles par Lydia conformément aux finalités convenus (cf. article 5) sont susceptibles d’impliquer des transferts vers des pays non-membres de l’Espace Économique Européen (EEE), dont les législations en matière de protection à caractère personnel diffèrent de celles de l’Union Européenne.
En particulier, vos données personnelles peuvent, dans la limite de ce qui est autorisé par la réglementation applicable, être communiquées aux organismes officiels et aux autorités administratives et judiciaires habilitées de pays non-membres de l’EEE, notamment dans le cadre des réglementations sur la lutte contre le blanchiment des capitaux et le financement du terrorisme, les sanctions internationales et embargo, la lutte contre la fraude et la détermination de votre statut fiscal.
Lors d’un transfert de données personnelles vers des pays non-membres de l’EEE, un dispositif juridique précis et exigeant vient encadrer ce transfert, conformément à la réglementation européenne applicable, notamment par la signature de Clauses contractuelles types approuvées par la Commission européenne. En outre, des mesures de sécurité appropriées sont mises en place pour assurer la protection des données personnelles transférées hors de l’EEE.
Les Clauses contractuelles types sont disponibles sur le site de la CNIL (www.cnil.fr).
Pour plus d’informations quant à ces transferts internationaux de données personnelles, vous pouvez contacter Délégué à la Protection des Données de Lydia selon les modalités à l’article 7 des présentes.
10. Sécurité
Lydia prend toutes les mesures physiques, techniques et organisationnelles nécessaires aux fins de protéger la confidentialité, l’intégrité et la disponibilité de vos données personnelles, notamment contre la perte, la destruction accidentelle, l’altération et l’accès non autorisé.
Lydia s'efforce également avec la plus grande vigilance de maintenir un haut standard de sécurité et de confidentialité de vos données personnelles par la sensibilisation de nos collaborateurs et partenaires commerciaux et la formation de nos salariés à la protection des données, par la mise en place de contrôles contenus, par l’implémentation d’outils et la mise en place de pratiques visant à l’obfuscation, l’anonymisation, le chiffrement et le cryptage des données afin d’assurer la protection de vos données personnelles face aux risques internes et externes de fuite de données.
En cas de violation de données personnelles vous concernant, présentant un risque pour vos droits et libertés, nous notifierons la CNIL dans le respect du délai réglementaire. Dans l’hypothèse où cette violation présenterait un risque élevé pour vos droits et libertés, nous vous informerons dans les meilleurs délais de la nature de cette violation et des mesures mises en œuvre pour y remédier.
11. Qualité d'hébergeur de Lydia
Lydia héberge des zones de communication au public vous permettant de participer à des forums de discussions, des systèmes de messageries instantanées ou de diffuser des contenus. Ces zones de communication au public sont des lieux dont Lydia n'a pas la maîtrise et sur lesquels seuls, vous avec les autres clients, avez la maîtrise et pouvez publier. Dès lors, Lydia ne peut être considérée comme ayant la qualité d'éditeur du contenu mais exclusivement celle d'hébergeur dont la mission consiste à mettre à la disposition de ses clients des moyens techniques permettant le stockage direct et permanent d'informations destinées à être communiquées au public. Lydia répond en cela à la définition de l'article 6.I.2 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (« LCEN »).
Le paragraphe 5 du I de l'article 6 de la LCEN précise que :
« La connaissance des faits litigieux est présumée acquise par les personnes désignées au 2 (de l’article 6 I 2 de la LCEN, c'est-à-dire les hébergeurs) lorsqu'il leur est notifié les éléments suivants : la date de la notification ; si le notifiant est une personne physique : ses nom, prénoms, profession, domicile, nationalité, date et lieu de naissance ; si le requérant est une personne morale : sa forme, sa dénomination, son siège social et l'organe qui la représente légalement ; les nom et domicile du destinataire ou, s'il s'agit d'une personne morale, sa dénomination et son siège social ; la description des faits litigieux et leur localisation précise ; les motifs pour lesquels le contenu doit être retiré, comprenant la mention des dispositions légales et des justifications de faits ; la copie de la correspondance adressée à l'auteur ou à l'éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l'auteur ou l'éditeur n'a pu être contacté. ».
Dès lors qu’ait signalé à Lydia le caractère prétendument illicite ou indélicat d'un contenu dans les conditions prévues au paragraphe 5 du I de l'article 6 de la LCEN indiquées ci-dessus, nous mettrons en œuvre promptement les mesures nécessaires pour que le contenu ne soit plus accessible. Ces mesures peuvent aller de la suppression du contenu à l’interdiction temporaire voire définitive au service d’hébergement de contenus eu égard à la gravité et la répétition des infractions constatées. Lydia ne procède pas également à une surveillance générale du contenu au-delà du concours à la répression notamment de l'apologie des crimes contre l'humanité, de l'incitation à la haine raciale ainsi que de la pornographie enfantine, de l'incitation à la violence, notamment l'incitation aux violences faites aux femmes, ainsi que des atteintes à la dignité humaine conformément aux dispositions du paragraphe 7 du I de l'article 6 de la LCEN.
De plus, Lydia n’est pas responsable des contenus qu’elle héberge et ne pourra voir sa responsabilité recherchée ni engagée du fait des activités ou des informations stockées à votre demande, si elle n’avait pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elle en a eu connaissance, elle a agi promptement pour retirer ces informations ou en rendre l’accès impossible. A cet égard, Lydia se réserve le droit de retirer ou de suspendre l’accès à tout contenu à la suite de la réception d’une notification ou si elle a effectivement connaissance du caractère manifestement illicite du contenu. La responsabilité de Lydia ne pourra en aucun cas être engagée en raison de ce retrait. En tout état de cause, la responsabilité de Lydia ne peut être engagée à aucun titre, en cas de partage de contenus par vos soins.
12. Responsable de traitement
12.1. Dispositions générales
Lydia collabore, sous mandat, avec des établissements de paiement et de monnaie électronique et des prestataires de service d’information sur les comptes agréés auprès de l’ACPR, tous responsables conjoints du traitement des données personnelles des Clients, suivant l’Article 26 du RGPD.
Ainsi, Lydia et ces établissements définissent conjointement les finalités et moyens de ces traitements. Les données personnelles des Clients ne sont partagées avec ces co-responsables de traitement qu’aux fins d’exécution des contrats établis avec Lydia.
La liste de ces prestataires est énumérée ci-dessous :
- Powens permet à Lydia de fournir ses services d’agrégation de comptes bancaires et d’informations sur les comptes liés des Clients. La Politique de confidentialité de Powens est accessible ici.
- Tink AB permet également à Lydia de fournir des services d’agrégation de comptes bancaires et d’informations sur les comptes liés des Clients Lydia. La Politique de confidentialité de Tink AB est accessible ici.
- Treezor est notamment un émetteur des IBAN Lydia. La Politique de confidentialité de Treezor est accessible ici.
Lydia et ces entités sont liées par des obligations d'information mutuelle, notamment quant aux évènements suivants :
- Toute violation de données personnelles des Clients ;
- Tout recours à un nouveau sous-traitant réalisant des traitements des données personnelles des Clients en dehors de l’Espace économique européen (EEE) et pour le compte de Lydia.
Dans le cadre de la fourniture de services additionnels, Lydia est également amenée à communiquer vos données personnelles à des partenaires (tels que BitPanda, PayLead et Floa). A noter que PayLead analyse les données de transactions bancaires pour vous proposer des offres personnalisées, définies sur la base de votre historique de transactions et vos habitudes de consommation.
Lydia peut également être amenée à communiquer les données à caractère personnel de ses Clients à l’un de ses fournisseurs ou partenaires, à condition que celles-ci aient été préalablement anonymisées. Cette anonymisation consiste à retirer les éléments suivants : nom et prénom, adresse e-mail, numéro de téléphone, adresse postale et tout autre élément permettant d’identifier ou de contacter directement le Client.
L'ensemble des données à caractère personnel des Clients de Lydia sont couvertes par le secret professionnel dans les conditions de l'Article L.511-33 du Code monétaire et financier.
Ces partenaires n’ont accès qu'aux données qui leur sont strictement nécessaires aux fins d’exécution des contrats établis avec Lydia.
12.2. Dispositions propres aux service de remises
Pour fournir le Service de Remises (tel que ce terme est défini dans la documentation contractuelle mise à disposition par Lydia), Lydia et son partenaire PayLead interviennent en qualité de responsables conjoints de traitement.
PAYLEAD est une société par actions simplifiée dont le siège social est situé 9 rue de Condé, 33064 Bordeaux (France), immatriculée au Registre du Commerce et des Sociétés (RCS) de Bordeaux sous le numéro B 821 725 579.
PayLead et Lydia ont conjointement déterminé le mode de fonctionnement du Service de Remises et comment vos données personnelles sont utilisées pour fournir ce service.
PayLead intervient également en qualité de responsable de traitement indépendant pour les traitements ultérieurs exposés en sous section 1.
1. Finalités de traitement
Les finalités pour lesquelles nous utilisons vos données personnelles ainsi que la base légale retenue sont détaillées ci-dessous. Les opérations réalisées sur la base de l’exécution du contrat sont indispensables à la fourniture du Service de Remises.
Le Service de Remises repose sur l’analyse de vos transactions bancaires : sur la base du catalogue d’offres affiché, PayLead identifie les transactions éligibles au paiement d’une remise.
PayLead analyse également vos données de transactions bancaires pour vous proposer des offres personnalisées, définies sur la base de votre historique de transactions et vos habitudes de consommation. Les critères d’éligibilité des offres sont définis par les enseignes partenaires et Lydia.
L’essence du Service de Remises est ainsi de vous permettre de valoriser vos données bancaires pour bénéficier d’offres personnalisées et pertinentes chez les enseignes partenaires.
Traitements ultérieurs (au sens de l’article 13.3 du RGPD)
PayLead utilise vos données personnelles pour les traitements ultérieurs exposés ci-dessous. Ces traitements sont réalisés par PayLead en toute autonomie et sous sa seule responsabilité.
Comme requis par la réglementation applicable, nous avons vérifié que la poursuite de nos intérêts légitimes ne porte pas atteinte aux droits et libertés des utilisateurs :
- Un utilisateur peut raisonnablement anticiper que PayLead doit obligatoirement réaliser un reporting auprès des enseignes partenaires pour les informer sur la performance et le suivi des offres.
- Les études réalisées par PayLead ne portent pas sur une personne prise de manière individualisée, mais sur un ensemble de données agrégées et non nominatives.
- PayLead établit ses études sur la base de données pseudonymisées.
2. Données personnelles traitées
Les données personnelles suivantes sont communiquées à PayLead par Lydia :
- Dénomination sociale de votre banque
- Transactions bancaires : libellé de transaction, date, lieu, montant, marchand, numéro de PAN tronqué (4 derniers chiffres)
- identifiant unique d’utilisateur (token)
PayLead vous identifie uniquement par le biais d’un identifiant utilisateur unique, appelé « token », constitué d’une série de chiffres et de lettres. C’est ce qu’on appelle la pseudonymisation.
Par l’analyse de vos données bancaires, PayLead traite également vos habitudes de consommation (vos marques préférées, vos magasins préférés, les zones géographiques habituelles de vos achats, votre panier moyen), votre salaire moyen, vos revenus exceptionnels ou des événements de vie qui peuvent être déduits de vos achats (tels que mariage, naissance, etc).
Dans le cadre de la procédure de support, nous traitons les données personnelles additionnelles de toute nature que vous pourriez nous communiquer. A cette occasion, nous vous invitons à limiter les informations partagées au strict nécessaire, et notamment à ce qui est demandé par nos soins pour répondre à votre demande.
3. Durées de conservation
Vos données personnelles sont utilisées pour une période déterminée, strictement limitée aux finalités poursuivies :
- Vos données de transactions bancaires sont supprimées au-delà de 2 ans (à compter de la date de transaction) si elles n’ont pas généré le paiement d’une remise;
- Vos données de transaction sont supprimées au-delà de 5 ans (à compter de la date de transaction) si elles ont généré le paiement d’une remise.
Lorsque vous décidez de vous désinscrire du Service de Remise, PayLead supprime l’ensemble de vos données personnelles, à l’exception de celles liées au paiement d’une remise qui sont alors conservées pendant la durée de 5 ans précitée.
4. Communication à des tiers
Vos données personnelles ne sont accessibles qu’au personnel de PayLead qui a besoin de les connaître pour l’exercice de ses fonctions et la fourniture du Service de Remise.
Certaines tierces parties peuvent avoir accès à vos données personnelles pseudonymisées (ou anonymisées le cas échéant) :
- Les éventuels sous-traitants et prestataires de services de PayLead agissant pour des raisons techniques et logistiques liés à la bonne exécution du Service de Remise (tels qu’un prestataire de services de paiement, des auditeurs de sécurité externes, etc) ;
- Les enseignes partenaires à qui PayLead communique un relevé des transactions ayant généré une remise (montant, horodatage, PAN tronqué le cas échéant).
5. Stockage des données personnelles
Vos données personnelles sont hébergées et traitées par PAYLEAD dans l’Union Européenne (UE) exclusivement. Toutefois, PayLead se réserve le droit de faire appel à certains prestataires de services en dehors de l’Espace économique européen (EEE). Dans cette éventualité, PayLead vous informera de tels transferts hors de l’UE et assurera que vos données personnelles sont correctement protégées, conformément aux exigences du RGPD. Sur demande, PayLead vous fournira une copie des mesures de protection applicables.
6. Mesures de sécurité
PayLead utilise des mesures techniques et organisationnelles conformes aux exigences légales et réglementaires pour conserver vos données personnelles en toute sécurité et confidentialité, et notamment :
- pseudonymisation des données: PayLead ne connait pas directement votre identité
- mise en place d’une politique de gestion des droits d’accès à nos outils et bases de données
- mise en place d’une politique de logs
- chiffrement des données
- anti-virus
- réalisation de tests d’intrusion
- anonymisation des données lorsque cela est possible
- formation des employés de PayLead à la sécurité et confidentialité des données
En vertu d’accords écrits, PayLead exige de ses prestataires de services et de ses sous-traitants qu’ils mettent en œuvre des mesures de sécurité fortes pour protéger les données personnelles qu’ils traitent pour le compte de PayLead.
7. Exercice de vos droits
La réglementation en vigueur vous permet de garder le contrôle sur vos données personnelles. A ce titre, vous disposez des droits suivants :
- Droit d’accès : vous avez le droit d’obtenir une copie de toutes les données personnelles que nous détenons sur vous.
- Droit de rectification : vous pouvez demander la mise à jour de vos données personnelles lorsque celles-ci sont incorrectes
- Droit d’opposition : vous avez le droit de vous opposer, pour certains cas, à l’utilisation de vos données personnelles. Seuls les traitements reposant sur la base légale « intérêts légitimes » peuvent faire l’objet d’une opposition de votre part. Vous devez justifier des raisons légitimes pour lesquelles vous souhaitez vous opposer à l’utilisation de vos données personnelles par PayLead.
- Droit de retirer votre consentement : si vous avez donné votre consentement à un traitement spécifique, vous pouvez retirer ce consentement à tout moment, sans justification. Le retrait du consentement n’est valable que pour l’avenir.
- Droit à la limitation du traitement : vous avez le droit de demander, pour certains cas, à suspendre ou limiter tout ou partie des traitements réalisés sur vos données personnelles.
- Droit à l’oubli : vous pouvez demander, pour certains cas, la suppression de l’ensemble de vos données personnelles.
- Droit à la portabilité : vous pouvez demander à récupérer vos données personnelles, dans un format compréhensible et lisible.
- Droit de s’opposer au profilage et à une décision individuelle automatisée : vous avez le droit de vous opposer à tout moment au traitement de profilage réalisé sur vos données personnelles à des fins de marketing direct.
Veuillez noter que l’exercice de certains droits pourra entraîner votre désinscription du Service de Remise dans la mesure où certains traitements sont indispensables à la fourniture du service.
Pour répondre à votre demande, nous pourrons vous demander de nous fournir une preuve de votre identité et/ou des informations justificatives supplémentaires.
Nous ferons tout notre possible pour répondre à votre demande dans les meilleurs délais.
Vous pouvez exercer vos droits en contactant Lydia à l’adresse mentionnée à l’article 7 et/ou PayLead à l’adresse :
PAYLEAD
A l’attention du DPO
58 bis rue de la Chaussée d’Antin, 75009 PARIS
dpo@paylead.fr
Vous pouvez contacter de manière indifférente Lydia et/ou PayLead qui répondront conjointement à votre demande. Veuillez néanmoins noter que PayLead ne connaissant pas directement votre identité, il est recommandé d’adresser votre demande initiale à Lydia.
Enfin, vous pouvez déposer une réclamation auprès de la CNIL, l’Autorité française de protection des données (Commission Nationale Informatique et Libertés, située 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07 (plus d’informations sur www.cnil.fr)