Politique de protection des Données personnelles
Mise à jour : juillet 2022
Spendesk, société par actions simplifiée immatriculée au RCS de Paris sous le n°821 893 286 et ayant son siège social 51, rue de Londres - 75008 Paris (France), propose une solution intuitive qui aide les entreprises à mieux gérer, payer et suivre leurs dépenses professionnelles (ci-après la « Solution Spendesk ») et édite les sites internet accessibles à l’adresse www.spendesk.com, blog.spendesk.com/ et www.cfoconnect.eu/ (ci-après le « Site Internet »).
La mise à disposition et l’utilisation de la Solution Spendesk et du Site Internet nécessitent de traiter certaines Données personnelles (i) visitant le Site Internet et/ou transmettant des Données personnelles via le Site Internet ou (ii) les salariés et collaborateurs autorisés par leur employeur à utiliser la Solution Spendesk pour la gestion de leurs dépenses professionnelles (ci-après les « Utilisateurs », « l’Utilisateur », « Vous », « Vos » et « Votre »).
On entend par Donnée personnelle toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant notamment : un nom, un numéro de téléphone, une adresse email, des données de localisation, un identifiant en ligne.
En souscrivant et/ou utilisant le Site Internet et/ou la Solution Spendesk, Vous reconnaissez et acceptez que Spendesk traite certaines Données personnelles Vous concernant, ainsi que certaines informations sur les dépenses effectuées avec les outils et/ou enregistrées via la Solution Spendesk.
Cette Politique de protection des Données personnelles vise à décrire comment Spendesk traite Vos Données personnelles dans le cadre l’utilisation du Site Internet et/ou de la Solution Spendesk, et Vous informer de Vos droits à ce titre. Elle peut faire l’objet de mises à jour, notamment en cas de modifications de la Réglementation en matière de Données personnelles ou si nous apportons des améliorations, ajouts ou modifications à la Solution Spendesk ou au Site internet. La version applicable est celle accessible sur le Site internet au jour de Votre utilisation de celui-ci et/ou de la Solution Spendesk.
Spendesk accorde la plus haute importance à la sécurité et à l’intégrité des Données personnelles qui lui sont confiées. Spendesk s’engage à prendre toutes les précautions nécessaires afin de préserver la sécurité des Données personnelles et, en particulier, les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, corruption, diffusion ou accès non autorisé, ainsi que contre toute autre forme de traitement illicite ou divulgation à des personnes non autorisées.
À cette fin, Spendesk met en œuvre des mesures de sécurité conformes aux normes de notre industrie pour protéger les Données personnelles contre toute divulgation non autorisée. De plus, afin d’éviter notamment tout accès non autorisé, de garantir l’exactitude et la bonne utilisation des données, Spendesk a mis en place les procédures électroniques, physiques et de gestion appropriées en vue de sauvegarder et préserver les données recueillies par le biais de ses services.
Spendesk a désigné un délégué à la protection des données (DPO), qui peut être contacté par email (privacy@spendesk.com) et dont le rôle est notamment de veiller à la conformité de Spendesk à la loi « Informatique et Libertés » du 6 janvier 1978 modifiée et au Règlement Général sur la Protection des Données du 27 avril 2016 (« RGPD ») (ci-après ensemble « la Réglementation sur les Données personnelles »), mais également de répondre aux demandes et questions des personnes concernées.
Vous trouverez ci-après les principales réponses aux questions que Vous pouvez Vous poser sur les engagements de Spendesk en matière de protection des Données personnelles :
I.
1) Les Données personnelles collectées par Spendesk
Spendesk est « responsable de traitement » des Données personnelles collectées via notamment son Site Internet.
1. Quelles données sont collectées sur le Site Internet ?
Des Données personnelles Vous concernant peuvent être collectées lorsque Vous naviguez sur le Site Internet, à savoir principalement Vos données de navigation et Votre adresse IP, notamment par l’utilisation de Cookies.
Par ailleurs, des données d’identification (nom, prénom, adresse email (professionnelle et/ou personnelle), numéro de téléphone, le cas échéant CV) peuvent nous être transmises par Vos soins depuis le Site Internet lorsque Vous nous contactez via les formulaires de contact ou demandes de démonstration, ou si Vous répondez à une offre d’emploi Spendesk.
Si Vous nous transmettez via le Site Internet des données, documents ou informations, nous Vous invitons à vérifier que ces éléments ne contiennent pas de données confidentielles ou sensibles (par exemple numéro de sécurité sociale, de permis de conduire ; données médicales ; informations confidentielles relatives à Votre société ou employeur…) non nécessaires.
Nous pouvons également obtenir Vos Données personnelles de façon indirecte, en utilisant les services de partenaires, par exemple pour identifier de nouveaux clients, mettre à jour ou enrichir nos informations. Les Données personnelles ainsi collectées sont traitées dans le respect de Vos droits et de la réglementation applicable et ce dans les mêmes conditions que celles décrites dans la présente Politique de confidentialité.
Dans certains cas précis, Spendesk peut être amenée à Vous demander une copie de Votre pièce d’identité, par exemple pour vérifier Vos droits d’utilisation du Site Internet ou une demande d’exercice de Vos droits au titre de la Réglementation sur les Données personnelles.
2. Pourquoi ces données sont-elles collectées ?
Le but principal de la collecte de Vos Données personnelles est de Vous offrir une expérience optimale, efficace et personnalisée lorsque Vous utilisez notre Site Internet et ses fonctionnalités.
Le traitement de Vos Données personnelles est fondé sur Votre consentement ainsi que notre intérêt légitime et a pour finalités de Vous donner accès au Site Internet et à ses différentes fonctionnalités, de répondre à Vos sollicitations et demandes, mais également d’améliorer Votre navigation, nos services et offres, et de Vous tenir informés de nos offres et notre actualité.
Vous pouvez naturellement, à tout moment, nous contacter à ce sujet et exercer Vos droits au titre de la Réglementation sur les Données personnelles (voir II « Quels sont Vos droits ? » ci-après).
3. Pendant combien de temps les Données Personnelles sont-elles conservées ?
Spendesk a défini des durées de conservation des Données personnelles collectées.
S’agissant de Vos données de navigation, Vous trouverez leur durée de conservation dans la « Politique Cookies ».
S’agissant des demandes d’information, de contact ou de démonstration, Vos Données personnelles sont conservées pour une durée de 36 mois depuis notre dernier contact.
S’agissant de Vos réponses à nos offres d’emploi ou candidatures spontanées en ligne, nous conservons Vos Données personnelles pendant toute la durée de notre procédure de recrutement ou la durée nécessaire à l’examen de Votre candidature et, avec Votre accord, une durée supplémentaire de 2 années. Si Votre candidature est retenue, nous conservons Vos Données personnelles pendant toute la durée du contrat de travail et une durée supplémentaire de 5 ans après la fin de notre collaboration.
Ces durées de conservation sont applicables sous réserve de l’exercice de Vos droits au titre de la Réglementation sur les Données personnelles, comme indiqué ci-dessus.
2) Les traitements de Données personnelles liés à l’usage de la Solution Spendesk
La Solution Spendesk est mise à la disposition des Utilisateurs (salariés ou collaborateurs) à la demande de leur employeur. Dans ce cadre, les traitements de Données personnelles sont réalisés par Spendesk, en sa qualité de « sous-traitant » de Données personnelles au sens de la Réglementation sur les Données personnelles, pour le compte de l’employeur, en sa qualité de « responsable de traitement ».
1. Quelles données sont collectées pour l’utilisation de la Solution Spendesk ?
Dans le cadre de l’utilisation de la Solution Spendesk, pourront être collectées et conservées par Spendesk, des informations permettant d’identifier de façon sécurisée les Utilisateurs, de conserver l’historique de leurs visites sur le Site Internet et de leurs utilisations de la Solution Spendesk, et en particulier de leurs transactions (paiements grâce aux outils Spendesk, demandes de remboursement, transmission de justificatifs), en conformité avec la politique de dépenses et les autorisations définies par l’employeur.
En particulier, pourront être traitées :
les coordonnées professionnelles et informations d’identification de l’Utilisateur : nom et prénom, sexe, adresse email professionnelle, numéro de téléphone, photographie (avec l’accord de la personne concernée), fonction ou poste ;
les données relatives aux connexions à la Solution Spendesk : identifiant et mot de passe, adresse IP ;
les informations de paiement, demandes de remboursement et frais enregistrés dans le cadre de l’utilisation de la Solution Spendesk ;
les factures, notes de frais et reçus transmis via la Solution Spendesk.
Pour certains traitements, Spendesk peut recourir à des sous-traitants ultérieurs, dans le respect de ses obligations et engagements à l’égard du responsable de traitement et de la Réglementation sur les Données personnelles.
Spendesk s’engage à assurer la plus grande sécurité et confidentialité des informations, y compris des Données personnelles, dont le traitement lui est confié par le responsable de traitement.
Il appartient aux Utilisateurs de la Solution Spendesk de l’utiliser dans le respect de la politique de dépenses et des autorisations définies par leur employeur et de veiller à sécuriser leurs accès à la Solution Spendesk, notamment en ne partageant pas leurs identifiants et mots de passe personnels, en les renouvelant régulièrement et en informant immédiatement leur employeur et/ou Spendesk de toute perte, divulgation ou intrusion frauduleuse.
2. Pourquoi des Données personnelles sont-elles collectées ?
Spendesk a besoin de collecter ces Données personnelles pour exécuter le contrat conclu avec l’employeur ayant souscrit à la Solution Spendesk et, par voie de conséquence, fournir aux Utilisateurs un accès à la Solution Spendesk et une utilisation conforme audit contrat, mais également pour respecter ses obligations légales (notamment comptables et fiscales), dans le respect de la Réglementation sur les Données personnelles.
Soucieuse d’appliquer le principe de minimisation des traitements de Données personnelles, Spendesk limite la collecte et les traitements aux données et pour les finalités strictement nécessaires à l’exécution de ses obligations contractuelles et légales.
En particulier :
les coordonnées des Utilisateurs sont traitées pour permettre l’envoi d’informations relatives à la Solution Spendesk, son fonctionnement ou leur usage, de codes de sécurité et d’instructions ;
les données de connexion des Utilisateurs permettent de garantir la connexion des salariés, de les identifier et leur fournir l’accès à la Solution Spendesk, et de facturer le service Spendesk à leur employeur ;
l’identification du poste ou de la fonction des Utilisateurs permet de définir les droits et autorisations d’usage de la Solution Spendesk tels que fixés par l’employeur ;
les données relatives aux informations de paiement visent à assurer le parfait paiement ou remboursement des frais professionnels de l’Utilisateur, et le traitement comptable de ceux-ci par l’employeur ;
les factures, notes de frais et reçus transmis par les Utilisateurs sont collectés pour conserver les preuves et informations comptables nécessaires aux paiements et remboursements, et à leur traitement comptable.
3. Pendant combien de temps sont conservées Vos données ?
Spendesk conserve les Données personnelles nécessaires à l’utilisation de la Solution Spendesk aussi longtemps que Vous utilisez celle-ci et pour une durée additionnelle de 24 mois à compter de la fin de cette utilisation, et ce pour permettre de fournir les données nécessaires au responsable de traitement et répondre à ses obligations contractuelles et légales.
Les données de paiement et de remboursement et les justificatifs transmis via la Solution Spendesk sont archivés pour une durée de 11 ans, dans le respect de la Réglementation sur les Données personnelles et de toute réglementation spéciale applicable à Spendesk.
II. Quels sont Vos droits ?
1) Comment exercer Vos droits ?
Conformément à la Réglementation sur les Données personnelles, Vous disposez d’un droit d’accès, de rectification, de limitation, d’effacement et de suppression des Données personnelles Vous concernant, ainsi que d’un droit d’opposition et d’un droit à la portabilité.
Vous pouvez également nous adresser vos directives liées au sort de vos Données personnelles après Votre décès.
Pour exercer Vos droits, ou en savoir plus à ce sujet, Vous pouvez Vous adresser à notre Délégué à la protection des données :
par courrier postal : Spendesk SAS - Délégué à la protection des données (DPD) - 51 rue de Londres, 75008 Paris, France;
par email : privacy@spendesk.com
Nous répondrons à Votre demande dans un délai de 30 jours, éventuellement renouvelable, et pouvons demander une copie de Votre pièce d’identité uniquement pour vérification.
S’agissant des demandes relatives aux Données personnelles traitées dans le cadre de la Solution Spendesk, Vous pouvez à tout moment modifier Vos Données personnelles d’identification (titre, prénom, nom, email, numéro de téléphone, mot de passe) en Vous connectant dans la rubrique "Mon profil" de Votre compte, dans le respect de la politique d’identification et d’utilisation de la Solution Spendesk éventuellement mise en place par Votre employeur.
Vous pouvez demander à exercer Vos droits auprès de Votre employeur (responsable de traitement), mais également en nous écrivant directement à : privacy@spendesk.com. Nous informerons Votre employeur de la nature de Votre demande et des suites à donner.
Si vous considérez que Spendesk ne respecte pas ses obligations en matière de protection des Données personnelles ou ne répond pas à Vos demandes de manière satisfaisante, Vous pouvez saisir la Commission Nationale de l’Informatique et des Libertés (CNIL) via son site internet (www.cnil.fr) ou par courrier postal (CNIL, Service des Plaintes, 3 place de Fontenoy - TSA 80715 -75334 Paris Cedex 07).
Pour en savoir plus sur Vos droits en matière de protection des Données personnelles, Vous pouvez consulter le site internet de la CNIL : www.cnil.fr.
2) Où sont stockées Vos données ?
Les serveurs sur lesquels Spendesk traite et stocke les Données personnelles sont situés sur le territoire de l’Union européenne.
3) Vos Données personnelles sont-elles partagées avec des tiers ?
Spendesk ne partage pas Vos Données personnelles à des tiers.
Du fait de l’utilisation de certains outils associés à la Solution Spendesk, par exemple pour permettre les règlements par cartes ou les remboursements, ou pour assurer le service commercial ou technique de la Solution Spendesk, certaines données peuvent être transmises à des partenaires situés en dehors de l’Union européenne. La liste de ces partenaires est disponible sur demande écrite.
Pour chacun de ces partenaires, Spendesk exige une parfaite conformité à la Réglementation sur les Données personnelles et des garanties contractuelles écrites s’agissant de la sécurité et de la confidentialité des traitements.
Spendesk ne divulgue pas autrement Vos Données personnelles à des tiers, sauf si : (1) Vous (ou le titulaire de Votre compte agissant en Votre nom) en demandez ou en autorisez la divulgation ; (2) la divulgation est nécessaire pour traiter les transactions ou fournir les services que vous avez demandés ; (3) Spendesk est obligée de transmettre Vos Données personnelles à une autorité administrative ou judiciaire (réquisition) ; ou si (4) la divulgation est nécessaire pour respecter des obligations juridiques et/ou réglementaires.