POLITIQUE DE CONFIDENTIALITÉ – 3PAY -INTRODUCTION3Pay respecte votre vie privée et s'engage à protéger vos données à caractère personnel. Cette politique de confidentialité vous informe sur la manière dont nous traitons vos données à caractère personnel lorsque vous utilisez nos applications et nos services (collectivement appelés "Services") et lorsque vous utilisez notre site Web accessible à partir de l’URL suivante : https://www.3pay.fr (ci-après le « Site ») conformément au Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des données personnelles. Cette politique ne s'applique pas aux sites Web, aux produits ou aux services de tiers. 3Pay s'engage à protéger de manière adéquate vos données à caractère personnel quels que soient le lieu où elles sont traitées et le lieu où vous vous trouvez. DEFINITIONSACPR : Autorité de Contrôle Prudentiel et de Résolution, 61 Rue de Taitbout, 75009 Paris ; CNIL : Commission Nationale de l’Informatique et des Libertés, 3 Place de Fontenoy, 75334 Paris ; Cookie : Témoins de connexion ou « traceurs » qui sont susceptibles d’être déposés, sous forme de fichiers, sur la plateforme de navigation de l’Utilisateur (Internet Explorer, Opera, Firefox, Google Chrome, Safari, etc…) ; Délégué à la protection des données : La personne physique déléguée à la protection des données personnelles au sens des articles 37, 38 et 39 du Règlement européen 2016/679 du 27 avril 2016 ; Destinataire : La personne physique ou morale, l’autorité publique, le service ou tout autre organisme, qui reçoit communication de Données personnelles, qu’il s’agit ou non d’un tiers. A cet égard, toute autorité publique (Autorité de contrôle prudentiel et de résolution, Commission Nationale de l’Informatique et des Libertés, Direction Générale des Finances publiques, Agence Nationale de de la Sécurité des Systèmes d’Information etc…) susceptible de recevoir communication, dans le cadre d’une mission d’enquête spécifique (contrôle dans le cadre de la lutte contre le blanchiment de capitaux et du financement du terrorisme, contrôle et audits des systèmes de sécurité internes, etc…), déterminée par le droit de l’Union Européenne ou le droit national français, n’est pas considérée comme un destinataire, au sens de la présente définition ; Données personnelles : Toutes les informations à caractère personnel concernant le Titulaire ou un Utilisateur, personne physique identifiée ou qui peut être identifiée (Ci-après « Personne concernée »), directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ; Personne concernée : Il peut s’agir du Titulaire ou de l’Utilisateur, personne physique, ainsi définis au sens du contrat-cadre de services de paiement, dont les Données personnelles recueillies l’identifient ou le rendent identifiable, directement ou indirectement ; Responsable du traitement : Désigne la personne physique ou morale ayant déterminé les modalités, les moyens ainsi que les finalités du traitement des Données personnelles. Sauf stipulations contraires, le Responsable du traitement qui veille au respect de la présente politique de confidentialité est : la Société par actions simplifiée Treezor, 33 avenue de Wagram, 75017 Paris ; Services de paiement : Tous les services de paiement sont proposés par 3PAY ; Sous-traitant : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite les données à caractère personnel pour le compte du responsable du traitement ; Tiers : Une personne physique ou morale, une autorité publique, un service, ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données personnelles ; Traitement : Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données personnelles, ou un ensemble de Données personnelles. Les opérations peuvent se traduire en la collecte, enregistrement, conservation, structuration, adaptation ou modification, communication, diffusion, limitation, destruction, etc … ; Violation des données à caractère personnel : Toute violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation, non autorisée de Données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données ; QUI SOMMES NOUS ?3Pay SAS (par la suite «3Pay », « nous », « nos ») est une société par action simplifiée enregistrée à Bourg en Bresse, sous le numéro RCS 885 303 495 au capital social de 16 667 €, établi au 662 rue des jonchères 69730 Genay. Les utilisateurs de nos services sont (par la suite « vous, « vos ») : NOTRE DÉLÉGUÉ À LA PROTECTION DES DONNÉES3Pay a nommé un délégué à la protection des données (DPD ou DPO) qui est chargé de superviser les questions relatives à cette politique de confidentialité. Pour toute question portant sur la présente politique de confidentialité, y compris des demandes concernant l'exercice de vos droits sur vos données, veuillez contacter le DPD en utilisant les coordonnées indiquées ci-dessous. Le DPD de 3Pay peut être contacté en français ou en anglais. Adresse électronique : dpo@3pay.fr Adresse postale : 662 rue des jonchères 69730 Genay QUELLES SONT LES DONNÉES À CARACTÈRE PERSONNEL QUE NOUS RECUEILLONS ?Les données à caractère personnel ou informations personnelles désignent toute information concernant une personne physique et par laquelle cette dernière peut être identifiée. Elles ne comprennent pas les données qui ne permettent pas de déterminer l'identité d’une personne physique (données anonymes). Nous utilisons différentes méthodes pour collecter des données auprès de vous et à votre sujet. Les données sont collectées par les moyens suivants : NOTRE SITE WEBLorsque vous utilisez notre site Web, nous pouvons collecter, utiliser, stocker et transférer les données suivantes : Nous pouvons vous demander de nous fournir des informations permettant de vous identifier personnellement lorsque vous utilisez notre site Web. Il s'agit notamment de votre nom complet, de votre adresse électronique, de votre numéro de téléphone et de votre site Web. Nous pouvons utiliser des cookies, des journaux de serveur et d'autres technologies, telles que les balises Web, pour collecter les informations que votre navigateur nous envoie lorsque vous utilisez notre site Web. Ces informations comprennent le protocole Internet de votre ordinateur, le type et la version de votre navigateur, le pays à partir duquel vous avez visité notre site Web, la façon dont vous êtes arrivé sur notre site, la durée de votre visite et les pages que vous avez consultées. Veuillez-vous référer à notre politique en matière de cookies pour plus d'informations sur la manière dont nous utilisons les cookies et les technologies similaires. NOS SERVICES
Lorsque vous utilisez nos Services au travers de nos Applications Web ou mobiles, nous pouvons collecter, utiliser, stocker et transférer les données à caractère personnel suivantes :
|
Finalité/activité | Type de données | Base juridique du traitement et de l’intérêt légitime |
---|---|---|
Pour vous permettre d’utiliser nos services, pour faciliter et permettre notre relation avec vous en tant que nouveau adhérent | Identité et coordonnées, documents d’identité et preuve de domicile, carte bancaire personnelle, profession et tranche de revenues | |
Pour faciliter et permettre notre relation avec vous en tant que adhérent existant | Identité et coordonnées : login, mot de passe, email, téléphone, empreinte, visage | |
Pour traiter et exécuter votre transaction et d’autres activités liées aux paiements, notamment:
|
|
|
Pour gérer notre relation avec vous en qualité d’utilisateur de notre site Web ou de nos Services, ce qui inclut:
|
Identité et coordonnées |
|
Pour utiliser l'analyse des données afin d'améliorer notre site Web, nos produits/services, notre marketing, les relations avec les clients et les expériences de ces derniers | Données techniques et relatives à l’appareil et à l’utilisation : appareil, agent web, adresse IP, zone géographique, timestamp, certificat | Nécessaire à nos intérêts légitimes (pour définir les différents types de clients de nos produits et services, tenir à jour notre site Web et sa pertinence, développer notre activité et informer de notre stratégie de marketing) |
Pour administrer et protéger nos activités et ce site Web (notamment dépannage, analyse de données, tests, maintenance du système, assistance, reporting et hébergement de données) | Identité, coordonnées et détails techniques |
|
Nous partageons vos données à caractère personnel avec des tiers de confiance, dans le but de fournir nos Services et de promouvoir nos activités, comme suit :
Sociétés affiliées. Vos informations peuvent être partagées avec nos affiliés au sein de 3Pay, afin de vous fournir nos Services. L'entité 3Pay concernée est la partie responsable de la gestion globale et de l'utilisation de vos données à caractère personnel.
Partenaires commerciaux, prestataires du secteur des paiements et participants à vos transactions. Nous pouvons partager vos données à caractère personnel avec les systèmes de cartes, les fournisseurs de méthodes de paiement et les acquéreurs tiers, ainsi que nécessaire pour traiter les paiements ou fournir nos Services. Les informations partagées comprennent :
Prestataires de services tiers. Nous pouvons également faire appel à des prestataires de services tiers agissant en notre nom. Ces prestataires nous aident dans les domaines suivants : services de données et de cloud computing, hébergement de sites Web, analyse de données, services d'application, réseaux publicitaires, technologies de l'information et infrastructures connexes, service à la clientèle, communications et audit.
Autres tiers. Nous partagerons vos données à caractère personnel avec des tiers en cas de réorganisation, fusion, vente, joint-venture, cession, transfert ou autre disposition de tout ou partie de nos activités, actifs ou actions.
Sécurité, fins juridiques et application de la loi. Nous pouvons partager vos données à caractère personnel avec des tiers afin de détecter, prévenir ou résoudre les problèmes de fraude, de sécurité ou de nature technique, ou pour protéger les droits, la propriété ou la sécurité de 3Pay, de nos utilisateurs, clients, employés ou du public, ou pour répondre à toute autre exigence légale. Nous pouvons également utiliser et divulguer vos données à caractère personnel si nous le jugeons nécessaire
(i) en vertu de la loi en vigueur ou des règles relatives aux méthodes de paiement ;
(ii) pour faire respecter nos conditions générales ou notre contrat de service réservé aux adhérents et d'autres accords, selon le cas ;
(iii) pour protéger nos droits, la sécurité ou la propriété de nos informations confidentielles et/ou ceux de nos affiliés, de vous-même ou d'autres personnes ; et
(iv) pour répondre aux demandes des tribunaux, des forces de l'ordre, des organismes de réglementation et d'autres autorités publiques et gouvernementales, qui peuvent inclure des autorités en dehors de votre pays de résidence. Tous nos prestataires de services tiers et les autres entités du groupe sont tenus de traiter les données conformément à la réglementation applicable en matière de protection des données et de prendre les mesures de sécurité appropriées pour protéger vos informations personnelles conformément aux normes européennes de protection des données et à nos politiques.
Nous n'autorisons pas nos prestataires de services tiers à utiliser vos données à caractère personnel dans leur propre intérêt. En outre, lorsqu'une entité tierce traite vos données à caractère personnel en notre nom et conformément à nos instructions, nous signons avec elle un accord écrit qui décrit spécifiquement ses obligations en matière de sécurité et de protection des données, conformément aux lois européennes sur la protection des données. Nous ne l'autorisons à traiter vos données personnelles qu'à des fins précises.Dans la mesure du possible, les données que nous recueillons auprès de vous sont stockées et traitées au sein de l'EEE.
3Pay prend toutes les mesures juridiques, techniques et organisationnelles raisonnables pour garantir que si vos données sont transférées en dehors de l'EEE, elles seront traitées en toute sécurité et avec un niveau de protection similaire à celui offert au sein de l'EEE.
Nous pouvons partager vos données à caractère personnel avec les membres du groupe 3Pay qui sont basés en dehors de l'EEE, ainsi qu’avec des partenaires, des fournisseurs ou des sous-traitants basés dans des pays hors EEE.
Nous avons pris des mesures spécifiques, conformément à la législation européenne sur la protection des données, pour protéger vos données à caractère personnel. En particulier, nous nous efforçons de transférer vos données à caractère personnel uniquement vers les pays qui, selon la Commission européenne, offrent un niveau de protection adéquat des données à caractère personnel.
Nous attachons une grande importance à la protection de vos informations et de votre vie privée. Sachant que certaines de vos données les plus précieuses nous sont confiées, nous avons fixé des normes élevées en matière de sécurité des données. Nous avons mis en place des mesures de sécurité appropriées pour éviter que vos données à caractère personnel ne soient accidentellement perdues, utilisées ou consultées, modifiées ou divulguées de manière non autorisée.
Nous adhérons aux normes ISO/IEC 27001 et PCI DSS (Payment Card Industry Data Security Standard) de niveau 1, qui est la norme la plus stricte définie par le secteur des cartes de paiement pour garantir le traitement, le stockage ou la transmission des données des cartes de crédit dans un environnement sécurisé.
En terme de implémentation dans la sécurité des données, parmi les mesures que 3Pay a mis en place, vous trouverez la transmission chiffrée des données par TLSv.2 avec SSL pinning, l’accès aux services par authentification et utilisation d’un token avec durée limitée dans le temps et portée d’action limitée au périmètre de l’utilisateur (ségrégation des données et des actions), protection d’accès par empreinte digitale et/ou FaceId, chiffrement des données sensibles en base des données, chiffrement des secrets dans les fichiers de configuration, engagement d’absence d’affichage de toute donnée sensible lors de la production des logs techniques et de business, tokenisation de la carte bancaire de l’assuré, protection lors de l’affichage des données par authentification forte, protection sécurisée des clés de chiffrement et mise en place de procédures d’accès sécurisées pour tout accès aux machines physiques; monitoring de tout accès au système par tracement de adresse IP et géolocalisation du client, gestion de la suspension immédiate de l’accès au service en cas de suspicion de fraudes et une procédure pour récupération d’un mot de passe perdu.
En outre, nous limitons l'accès à vos informations personnelles aux employés et aux tiers qui ont besoin de les connaître. Ils ne traiteront vos informations personnelles que sur nos instructions et sont soumis à un devoir de confidentialité.
Nous avons également mis en place des procédures pour traiter toute violation présumée de la sécurité des données et nous vous informerons, ainsi que tout organisme de réglementation compétent, de toute violation présumée dans la mesure requise par la loi.
Nous conservons vos données personnelles dans un format identifiable pendant la période la plus courte possible nous permettant de remplir nos obligations légales ou réglementaires et de réaliser nos objectifs commerciaux. Nous pouvons conserver vos données personnelles plus longtemps que ne l'exige la loi si cela est dans notre intérêt commercial légitime et n'est pas interdit par la loi.
Nous ne conserverons vos données à caractère personnel que le temps nécessaire pour atteindre les objectifs pour lesquels nous les avons collectées, y compris pour satisfaire à toute exigence légale, comptable ou déclaratives. Pour déterminer la durée de conservation appropriée des données à caractère personnel, nous prenons en compte le volume, la nature et la sensibilité des données à caractère personnel, le risque potentiel de préjudice résultant de l'utilisation ou de la divulgation non autorisée de vos données à caractère personnel, les objectifs pour lesquels nous traitons vos données à caractère personnel et la possibilité d’atteindre ces objectifs par d'autres moyens, ainsi que les exigences légales applicables.
Les données sont conservées pendant les périodes suivantes :
Type de données | Finalité | Durée de conservation |
---|---|---|
Identité et coordonnées des adhérents | Exécution d'un contrat, fourniture de service et communication des modifications apportées à nos conditions ou à la politique de confidentialité. Examen des nouveaux adhérents. | 5 ans après la fin du contrat, ou à partir du dernier contact, selon le cas |
Données techniques, relatives aux appareils et à l’utilisation (données analytiques) | Amélioration de notre site Web, de nos produits/services, du marketing, des relations avec la clientèle et de l’expérience des clients | |
Identité, coordonnées et données techniques | Administration et protection de nos activités et de ce site Web | Clients : Cinq (5) ans après la fin du contrat. |
Informations sur la carte de paiement et la transaction de l'acheteur | Cinq (5) ans à partir de la date de la transaction ou de la fin de la relation commerciale |
Si votre compte est clôturé, nous nous réservons le droit de conserver et d'accéder à vos données à caractère personnel aussi longtemps que nécessaire pour nous conformer aux lois en vigueur. Nous continuerons à utiliser et à divulguer vos données à caractère personnel conformément à la présente politique de confidentialité.
Les cookies que nous utilisons ont une durée d'expiration définie ; si vous ne visitez pas notre site Web dans ce délai, les cookies sont automatiquement désactivés et les données conservées sont supprimées.
Dans certains cas, vous pouvez nous demander de supprimer vos données : voir ci-dessous pour de plus amples informations sur vos droits.
Dans certaines circonstances, nous pouvons rendre anonymes vos données à caractère personnel à des fins statistiques, et dans ce cas nous pouvons utiliser ces informations indéfiniment sans autre préavis.
Il est important que les données à caractère personnel que nous détenons à votre sujet soient exactes et à jour. Si des changements dans vos données à caractère personnel interviennent au cours de votre relation avec nous, veuillez-nous en informer.
La législation sur la protection des données vous confère, dans certaines circonstances, des droits en ce qui concerne vos données à caractère personnel. Vous avez ainsi la faculté de :
Si vous souhaitez exercer l'un des droits énoncés ci-dessus, veuillez contacter dpo@3Pay.fr ou utiliser l'adresse postale mentionnée au début de la présente politique de confidentialité. Dès que nous aurons reçu votre demande de retrait de consentement, nous ne traiterons plus vos informations pour la ou les fins que vous avez initialement acceptées, à moins que nous n'ayons un autre motif légitime pour le faire en droit.
3PAY a désigné un Délégué à la protection des données personnelles (DPO) conformément à l’article 37 du Règlement européen 2016679 du 27 avril 2016. Les personnes concernées peuvent contacter le DPO pour toute demande relative à leurs données personnelles.
Pour exercer vos droits d’accès, de rectification, de suppression, de portabilité, de limitation des traitements et de retrait de vos consentements ou si vous avez d’autres questions concernant l’utilisation de vos données personnelles visées par la présente Politique de confidentialité, vous pouvez contacter le DPO de 3PAY :
Par ailleurs, vous disposez du droit de vous inscrire sur la liste d’opposition au démarchage téléphonique auprès de Bloctel : http://www.bloctel.gouv.fr/ (article L223-1 et suivants du Code de la consommation).
Enfin, vous pouvez introduire une réclamation auprès de la CNIL si vous estimez que vos droits ne sont pas respectés ou que les traitements que nous effectuons de vos données ne sont pas conformes au RGPD ou à la Loi Informatique et Libertés.
Date d'entrée en vigueur : 1er janvier 2022