Dans le cadre de l’exécution du Contrat avec le Client, Spendesk et SFS SAS (Spendesk Financial Services SAS) (respectivement définies dans les Conditions Générales) sont amenées à traiter ensemble, en qualité de Responsables conjoints de Traitement, certaines Données Personnelles du Client, à savoir celles se rapportant à ses bénéficiaires effectifs, à ses représentants légaux, à son Utilisateur Principal ainsi qu’aux Utilisateurs désignés par le Client (les « Personnes Concernées »).
Afin de protéger ces Données Personnelles, et conformément à la Législation sur la protection des données, Spendesk et SFS SAS ont conclu un accord de responsabilité conjointe qui précise leurs rôles et obligations respectifs à l’égard du Client et des Personnes Concernées dont les Données Personnelles sont traitées pour fournir les Services de Paiement.
Par ailleurs, SFS SAS est susceptible d’agir en tant que Responsable de Traitement distinct lorsqu’elle traite les Données Personnelles des Personnes Concernées en sa qualité d’établissement de paiement, pour respecter ses obligations légales et réglementaires et répondre à son intérêt légitime.
La présente notice d'information (la « Notice ») inclut (1) les principaux éléments de l’accord de responsabilité conjointe entre Spendesk et SFS SAS, (2) les informations relatives aux Traitements effectués par SFS SAS en qualité de Responsable de Traitement distinct et (3) les mesures techniques et opérationnelles mises en place y compris les mesures de sécurité et la distribution de responsabilité entre Spendesk et SFS SAS pour assurer la protection des Données Personnelles et la gestion des droits des Personnes Concernées.
Le Client s’engage à informer les Personnes Concernées des Traitements décrits dans la Notice et à leur fournir l'information sur la manière dont elles peuvent exercer leurs droits auprès de Spendesk et SFS SAS.
Cette Notice pourra être mise à jour, notamment en cas de modification de la Législation sur la protection des données ou en cas de modification des Services.
Au sein de cette Notice, les termes commençant par une majuscule et non définis spécifiquement ont le sens qui leur est attribué (a) dans l’Accord sur le Traitement des données annexé aux Conditions Générales, (b) à défaut, dans le corps des Conditions Générales ou, (c) à défaut, dans le RGPD.
1. Traitements effectués par SFS SAS et Spendesk en qualité de Responsables conjoints
A. Caractéristiques des Traitements
Pour fournir les Services de Paiement et satisfaire à leurs obligations légales et contractuelles, Spendesk et SFS SAS traitent conjointement les Données Personnelles collectées auprès des Personnes Concernées, comme indiqué ci-dessous :
| Finalités de Traitement des Données Personnelles | Catégories des Personnes Concernées | Catégories des Données Personnelles traitées | Base légale du Traitement des Données Personnelles |
|---|---|---|---|
| Ouverture et fourniture du Compte au nom du Client | Utilisateur Principal // Bénéficiaires effectifs et représentants légaux du Client | Données d'identification : nom(s), prénom(s), date de naissance, nationalité // Données de contact : adresse postale, adresse e-mail professionnelle (uniquement pour l’Utilisateur Principal) // Autres données : nature de la relation avec le Client (uniquement pour les bénéficiaires effectifs) // Pièce d'identité et tout autre justificatif nécessaire à la validation de la conformité du Client pour l’entrée en relation d'affaires | Respect d’une obligation légale // Exécution du Contrat |
| Émission des Cartes | Utilisateurs désignés par le Client | Données d'identification : nom(s), prénom(s) // Données de contact : numéro de téléphone, adresse e-mail professionnelle, adresse postale (uniquement pour la livraison de la Carte physique) | Exécution du Contrat |
| Gestion des Opérations de Paiement | Utilisateurs désignés par le Client | Données d'identification : nom(s), prénom(s) // Données de contact : numéro de téléphone // Données de connexion : adresse IP // Données financières : IBAN, données transactionnelles des Opérations de Paiement relatives aux dépenses professionnelles | Exécution du Contrat |
| Gestion des demandes | Utilisateurs désignés par le Client | Données d'identification : nom(s), prénom(s) // Contenu de la demande | Exécution du Contrat |
| Gestion des réclamations liées aux Services de Paiement | Utilisateurs désignés par le Client | Données d'identification : nom(s), prénom(s) // Données financières : données transactionnelles des Opérations de Paiement relatives aux dépenses professionnelles // Contenu de la réclamation | Respect d’une obligation légale |
Le Traitement des Données Personnelles susvisées est obligatoire. A défaut, le Client ne pourra pas bénéficier des Services de Paiement.
B. Durées de conservation des Données Personnelles
Spendesk et SFS SAS s’engagent à conserver les Données Personnelles uniquement pour les durées nécessaires à la réalisation des finalités décrites ci-dessus.
Certaines Données Personnelles pourront être conservées pour une durée supplémentaire de cinq (5) ans, conformément au délai de prescription de droit commun en matière civile et commerciale, pour permettre à Spendesk et SFS SAS d’assurer la défense de leurs droits et intérêts en cas de litige.
Pour les Traitements effectués en vertu d’une obligation légale, Spendesk et SFS SAS respectent les durées de conservation imposées par la réglementation applicable.
C. Destinataires des Données Personnelles
Spendesk et SFS SAS peuvent être amenées à partager certaines Données Personnelles avec leurs sous-traitants et prestataires de services de paiement partenaires lorsque cela est nécessaire pour la fourniture des Services de Paiement, ainsi qu’à les communiquer aux autorités compétentes dans la mesure où elles y sont obligées par la réglementation applicable.
2. Traitements effectués par SFS SAS en qualité de Responsable distinct
A. Caractéristiques des Traitements
SFS SAS, en sa qualité de Responsable de Traitement distinct, traite les Données Personnelles collectées indirectement auprès des Personnes Concernées, par l'intermédiaire de Spendesk ou de tiers (et notamment auprès de sources d’informations accessibles au public, d’administrations et d’autorités publiques), comme indiqué ci-dessous :
| Finalités de Traitement des Données Personnelles | Catégories des Personnes Concernées | Catégories des Données Personnelles traitées | Base légale du Traitement des Données Personnelles |
|---|---|---|---|
| Assurance de la sécurité et de la continuité des Services de Paiement | Utilisateurs désignés par le Client | Données d'identification : User ID // Données de connexion : logs, adresse IP | Intérêt légitime |
| Optimisation des Services de Paiement | Utilisateurs désignés par le Client | Données d'identification : User ID // Données de connexion : logs, adresse IP | Intérêt légitime |
| Respect des normes comptables et fiscales | Utilisateurs désignés par le Client | Données d'identification : nom(s), prénom(s) // Données financières : données transactionnelles des Opérations de Paiement relatives aux dépenses professionnelles | Respect d’une obligation légale |
| Gestion du suivi des réclamations liées aux Services de Paiement | Utilisateurs désignés par le Client | Données d'identification : nom(s), prénom(s) // Données financières : données transactionnelles des Opérations de Paiement relatives aux dépenses professionnelles // Contenu de la réclamation | Respect d’une obligation légale |
| Lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) | Utilisateur Principal // Bénéficiaires effectifs et représentants légaux du Client | Données d'identification : nom(s), prénom(s), date de naissance, lieu et pays de naissance, nationalité // Données de contact : adresse postale, adresse e-mail professionnelle (uniquement pour l’Utilisateur Principal) // Autres données : nature de la relation avec le Client (uniquement pour les bénéficiaires effectifs) // Pièce d'identité et tout autre justificatif nécessaire pour satisfaire les exigences du dispositif LCB-FT en fonction du risque identifié // Toute information accessible au public pour satisfaire aux exigences du dispositif LCB-FT en fonction du risque identifié | Respect d’une obligation légale |
| Lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) | Utilisateurs désignés par le Client | Données d'identification : nom(s), prénom(s), date de naissance, lieu et pays de naissance, nationalité // Données de connexion : adresse IP // Données financières : IBAN, données transactionnelles des Opérations de Paiement relatives aux dépenses professionnelles | Respect d’une obligation légale |
Le Traitement des Données Personnelles susvisées est obligatoire. A défaut, le Client ne pourra pas bénéficier des Services de Paiement.
B. Durées de conservation des Données Personnelles
SFS SAS s’engage à conserver les Données Personnelles uniquement pour la durée nécessaire à la réalisation des finalités décrites ci-dessus.
Certaines Données Personnelles pourront être conservées pour une durée supplémentaire de cinq (5) ans, conformément au délai de prescription de droit commun en matière civile et commerciale, pour permettre à SFS d’assurer la défense de ses droits et intérêts en cas de litige.
Pour les Traitements effectués en vertu d’une obligation légale, SFS SAS respecte les durées de conservation imposées par la réglementation applicable.
Pour le Traitement nécessaire à la lutte contre le blanchiment et le financement du terrorisme, les documents et informations relatifs à l’identité des bénéficiaires effectifs, représentants légaux et Utilisateur Principal du Client, sont conservés pour une durée de cinq (5) ans à compter de la cessation de la relation d’affaires avec le Client, et les documents et informations relatifs aux Opérations de Paiement effectuées par les Utilisateurs sont conservés pour une durée de cinq (5) ans à compter de leur exécution.
C. Destinataires des Données Personnelles
SFS SAS peut être amenée à partager certaines Données Personnelles avec ses sous-traitants et certaines professions réglementées, ainsi qu’à les divulguer aux autorités compétentes notamment pour répondre à toute demande ou requête émise dans le cadre de la réglementation applicable.
3. Mesures techniques et organisationnelles pour assurer la protection des Données Personnelles
A. Mesures de sécurité
Spendesk et SFS SAS accordent la plus grande importance à la sécurité et à l'intégrité des Données Personnelles qui lui sont confiées. SFS SAS et Spendesk s'engagent à prendre toutes les mesures nécessaires pour préserver la sécurité des Données Personnelles et, en particulier, à protéger les Données Personnelles contre toute destruction, perte, altération (accidentelles ou illicites), divulgation ou accès non autorisé, ainsi que contre toute autre forme de Traitement illicite ou de divulgation à des personnes non autorisées.
À cette fin, SFS SAS et Spendesk mettent en œuvre des mesures de sécurité conformes aux normes de l'industrie pour protéger les Données Personnelles contre toute divulgation non autorisée. Afin d’éviter notamment tout accès non autorisé et de garantir l’exactitude et la bonne utilisation des Données Personnelles, SFS SAS et Spendesk ont mis en place les procédures électroniques, physiques et de gestion appropriées en vue de sauvegarder et préserver les Données Personnelles recueillies par le biais des Services.
Ces engagements sont valables quelle que soit la responsabilité de Traitement retenue aux paragraphes 1 et 2 de la présente Notice.
B. Transferts des Données Personnelles
Les Données Personnelles traitées par Spendesk et SFS SAS sont hébergées sur le territoire de l’Union européenne.
Afin de fournir des Services de Paiement aux Utilisateurs, par exemple pour permettre des Opérations de Paiement par Carte ou des remboursements de dépenses professionnelles, certaines Données Personnelles peuvent être transmises à des sous-traitants situés en dehors de l'Union européenne.
Spendesk et SFS SAS s'engagent à mettre en place un mécanisme de transfert adéquat conformément à la réglementation en vigueur, notamment les Clauses Contractuelles Types. Elles exigent en outre de chacun de leurs sous-traitants qu'ils respectent la Législation sur la protection des données et qu'ils fournissent des garanties contractuelles concernant la sécurité et la confidentialité des Traitements des Données Personnelles.
C. Droits des Personnes Concernées
Conformément à la Législation sur la protection des données, les Personnes Concernées disposent d’un droit d’accès, de rectification, de limitation, d’effacement des Données Personnelles les concernant, ainsi que d’un droit d’opposition, d’un droit à la portabilité et d'un droit de soumettre des instructions concernant la gestion des Données Personnelles après leur décès.
Conformément à l'accord de responsabilité conjointe conclu entre Spendesk et SFS SAS, Spendesk est chargée de la gestion des demandes des Personnes Concernées exerçant leurs droits accordés par le RGPD.
Ainsi, Spendesk et SFS SAS ont déterminé que le point de contact privilégié pour l’exercice des droits des Personnes Concernées est le délégué à la protection des données (DPD) de Spendesk. Les demandes d’information et les demandes d’exercice de droits doivent par conséquent être adressées de préférence :
par e-mail : privacy@spendesk.com ; ou
par courrier postal : Spendesk SAS - Délégué à la protection des données (DPD) - 51 rue de Londres, 75008 Paris, France.
Pour autant, les Personnes Concernées peuvent exercer leurs droits auprès de chaque Responsable de Traitement.
SFS SAS a également désigné un délégué à la protection des données (DPD), qui peut être contacté par e-mail : privacy@spendesk-sfs.com.
En toute hypothèse, la Personne Concernée est informée qu'il existe des exceptions aux droits susvisés. SFS SAS et/ou Spendesk pourront notamment refuser de donner suite à la demande si :
Il existe des motifs légitimes et impérieux à traiter les Données Personnelles ou que ces dernières sont nécessaires à la constatation, l’exercice ou défense de droits en justice ;
Le Traitement en question est nécessaire à l’exécution des Conditions Générales ; ou
Une obligation légale impose de traiter les Données Personnelles de la Personne Concernée.
Par exemple, SFS SAS ne peut donner suite à une demande de droit d’accès aux Données Personnelles d’une Personne Concernée traitées à des fins de LCB-FT, conformément à l’article L. 561-45 du CMF. La demande de droit d’accès relative à LCB-FT doit être adressée de manière indirecte à la Commission Nationale de l’Informatique et des Libertés (CNIL) : www.cnil.fr.
Enfin, la Personne Concernée a le droit de saisir la CNIL via son site internet (www.cnil.fr) ou par courrier postal (CNIL, Service des Plaintes, 3 place de Fontenoy - TSA 80715 -75334 Paris Cedex 07).