Politique de confidentialité
Préambule
L'édition de la Plateforme est assurée par la Société Française du Capital Responsable (SFCR), société par actions simplifiée au capital de 1000 euros. Son siège social est situé au 13 rue Primo Lévi, 75013, Paris. Elle est immatriculée au RCS de Paris sous le numéro 882 088 172 et son numéro de TVA est le FR59882088172. Le nom commercial "PHARE" (ci-après dénommé « PHARE »), aura le statut de responsable de traitement pour tous les traitements relatifs à l’administration de sa Plateforme ainsi qu’à la gestion de ses Clients dès leur inscription sur la Plateforme et/ou la souscription aux Services.
Cette Politique de confidentialité s’adresse aux Utilisateurs de PHARE et a pour objectif de les informer sur
la manière dont leurs informations personnelles peuvent être collectées et traitées. Le respect de la vie privée
et des données à caractère personnel est pour PHARE une priorité, raison pour laquelle nous nous engageons à
traiter celles-ci dans le plus strict respect de la Loi Informatique et Libertés du 6 janvier 1978 (ci-après «
loi IEL ») modifiée et du Règlement (UE) général sur la protection des données du 27 avril 2016 (ci-après « RGPD
»). En tout état de cause, nous nous engageons à respecter les deux (2) principes essentiels suivants :
a. l’utilisateur reste maître de ses données à caractère personnel ;
b. les données sont traitées de manière transparente, confidentielle et sécurisée.
Définitions
Applicatif client : désigne l’interface d’administration mise à
la disposition du Client par PHARE
Bénéficiaire : désigne les salariés bénéficiant des solutions de
PHARE proposés par leur entreprise et/ou réseau de sous-traitants sélectionnés.
Client : désigne l’entreprise ayant souscrit à l’une des offres
proposées par PHARE en vue de l’utilisation des Services.
Identifiant : désigne l’adresse de messagerie électronique (ou
le nom d'utilisateur) et le mot de passe que vous choisissez lors de votre inscription en tant que Client et
dont la saisie permet la connexion à votre Applicatif client.
Plateforme : désigne le site Internet et l’application édités
par PHARE ainsi que toutes leurs composantes graphiques, sonores, visuelles, logicielles, et textuelles. La
Plateforme est la propriété exclusive de PHARE.
Services : désigne les services proposés par PHARE via la
Plateforme. Les Services sont détaillés au sein des CGVU.
Utilisateurs :désigne l’ensemble des catégories d’utilisateurs
de la Plateforme. Sont ainsi considérés comme des Utilisateurs :
a. Les Bénéficiaires
b. Le Client
Affiliés : désigne les prestataires rigoureusement sélectionnés
par PHARE.
Les données personnelles traitées par PHARE
Le caractère obligatoire ou facultatif des données personnelles collectées et les éventuelles conséquences d'un défaut de réponse sont indiqués lors de leur(s) collecte(s) sur les formulaires associés.
Vous pouvez consulter le détail des données à caractère personnel vous concernant que nous sommes susceptibles de traiter ci-après.
Données d’identification des Clients
Détail des données personnelles traitées :
- Noms, prénoms et adresses email des administrateurs et/ou dirigeants ;
- Données nécessaires à l’authentification du Client (KYB).
Personnes concernées :
- Administrateurs au sein des Clients.
Catégories de traitement(s) concerné(s) :
- Gestion et utilisation de la Plateforme ;
- Gestion comptable et commerciale de la relation avec les Clients ;
- Opérations marketing.
Données d'identification des Bénéficiaires
Détail des données personnelles traitées :
- Civilité ;
- Nom ;
- Prénom ;
- Numéro de téléphone ;
- Adresse email (professionnelle ou personnelle selon les cas) ;
- Adresse postale personnelle le cas échéant ;
- Date d’anniversaire.
Personnes concernées :
- Bénéficiaires.
Catégories de traitement(s) concerné(s) :
- Gestion et utilisation de la Plateforme ;
- Fonctionnalités supplémentaires suivant l’offre souscrite.
Données relatives à la vie professionnelle
Détail des données personnelles traitées :
- Adresse email professionnelle le cas échéant ;
- Entreprise dans laquelle le Bénéficiaire travaille ;
- Statut et type de contrat ;
- Date d’entrée dans l’entreprise.
Personnes concernées :
- Utilisateurs ;
- Prospects.
Catégories de traitement(s) concerné(s) :
- Gestion et utilisation de la Plateforme ;
- Fonctionnalités supplémentaires suivant l’offre souscrite ;
- Opérations marketing.
Données techniques relatives à l’usage de la Plateforme
Détail des données personnelles traitées :
- Adresse IP ;
- Identifiant mobile ;
- Identifiant unique généré par PHARE ;
- Logs ;
- Cookies ;
- Données de connexion.
Personnes concernées :
- Utilisateurs.
Catégories de traitement(s) concerné(s)
- Gestion et utilisation de la Plateforme ;
- Fonctionnalités supplémentaires suivant l’offre souscrite.
Données financières et transactionnelles
Détail des données personnelles traitées :
- RIB ;
- Historique des transactions ;
- Modalités de paiement ;
- Informations liées à une transaction ;
Personnes concernées :
- Les Clients
Catégories de traitement(s) concerné(s) :
- Gestion et utilisation de la Plateforme ;
- Gestion de la relation comptable et commerciale avec les Clients et les Affiliés.
Comment les données personnelles sont collectées ?
Dans le cadre de la fourniture des Services, PHARE collecte directement ou indirectement des données personnelles concernant les Utilisateurs pour les finalités mentionnées ci-après.
Données collectées indirectement :
- Par le Client concernant le Bénéficiaire : lorsque le Client souscrit aux Services, certaines données des Bénéficiaires sont directement importées par le Client pour leur permettre d’accéder aux fonctionnalités de la Plateforme.
Données collectées directement :
- Auprès du Bénéficiaire : lorsque le Bénéficiaire remplit ou complète ses informations personnelles dans son Espace, lorsqu’il navigue sur la Plateforme ainsi qu’à l’occasion d’une transaction effectuée avec la Carte PHARE;
- Auprès du Client et de l’Affilié : lorsqu’ils transmettent les données nécessaires à l’exécution des contrats qu’ils concluent avec PHARE.
Pour quelles finalités les données sont collectées ?
Suivant le degré de détermination de PHARE dans les finalités et les moyens de traitement des données, celle-ci aura alternativement le statut de responsable de traitement ou de sous-traitant du Client.
A. PHARE en qualité de responsable de traitement
Gestion et utilisation de la Plateforme :
- Administration générale de la Plateforme, y compris la mise en place de mesures de sécurité ;
- Réalisation de statistiques d’utilisation de la Plateforme ;
- Assistance et gestion des demandes des Utilisateurs ;
- Lutte contre le blanchiment, la fraude et le terrorisme, conformément à ses obligations légales ;
- Dépôt de cookies sur la Plateforme, conformément aux choix effectués par l’Utilisateur le cas échéant.
Gestion comptable et commerciale avec les Clients et Affiliés :
- Paiement des Services et le suivi de la facturation ;
- Gestion des impayés et du contentieux ;
- Tenue des registres comptables et justificatifs légaux ;
- Gestion du suivi commercial.
Opérations marketing :
- Réalisation de campagnes de prospection BtoB et BtoC(email, téléphone, courrier) ;
- Envoi d’emails promotionnels (de façon continue ou sur des opérations ponctuelles) ;
- Elaboration de statistiques ;
- Réalisation d’enquêtes de satisfaction ;
- Réalisation d’enquêtes sur une thématique en relation avec les offres de PHARE.
B. PHARE en qualité de sous-traitant du Client
Finalités communes dans le cadre de la fourniture des services :
- Paramétrage de l’environnement de l’entreprise du Client, en ce inclus :
- la gestion de la liste des Bénéficiaires ;
- l’accompagnement au paramétrage des comptes utilisateur des Bénéficiaires. - Gestion des demandes d’exercice de droits des Bénéficiaires pour les opérations de traitement sous-traitées.
- Fourniture d’états statistiques pour le Client ;
Quels sont les destinataires des données ?
PHARE est susceptible de transmettre vos données à ses sous-traitants, aux seules fins de l’exécution d’une partie des Services.
PHARE audite préalablement et documente l’ensemble des mesures organisationnelles et techniques mises en place par ses sous-traitants.
PHARE vérifie systématiquement la mise en place de mesures de sécurité suffisantes afin de préserver un niveau adéquat tout au long du cycle de vie de la donnée.
En conséquence, PHARE s’assure que les données personnelles traitées ne sont pas lisibles en clair et font l’objet d’un chiffrement systématique. Dès lors, en l’absence de la détention de la clé de chiffrement, les données sont inaccessibles, même par une autorité judiciaire ou administrative étrangère.
PHARE s’assure également d’instaurer des garanties contractuelles robustes en imposant un Data Processing Agreement (DPA) adapté à son secteur d’activité.
- Vous pouvez demander à accéder aux documents assurant des garanties appropriées contractuelles en en faisant la demande à notre Délégué à la Protection des Données par mail à dpo@phare360.com, ou par courrier à SFCR - PHARE - Service DPO, 13 rue Primo Lévi, 75013, Paris.
Dans la limite de leurs attributions respectives et pour les finalités, les personnes qui seront susceptibles d’avoir accès à vos données sont les suivantes :
Le personnel habilité de nos services recherche et développement, marketing, commercial, administratif, logistique, juridique et informatique, chargés de l’amélioration de nos services, de la relation client et la prospection et du contrôle qualité ; le personnel habilité de nos sous-traitants.
A noter que toutes ces personnes sont soumises à une obligation de compétence et de confidentialité et qu’elles encourent des sanctions disciplinaires, judiciaires et/ou administratives en cas d’utilisation desdites données pour des finalités contraires à celles énoncées précédemment.
De plus, nous disposons de garanties contractuelles fortes concernant le traitement de données personnelles par nos sous-traitant et que l’accès doit être motivé et préalablement autorisé par PHARE.
Comment PHARE sécurise les transferts de données vers d’autres États que ceux de l’Union Européenne, et notamment les États-Unis ?
PHARE favorise la sélection de sous-traitants situés au sein de l’Union européenne et soumis d’office aux obligations du RGPD. Dans certains cas, des sous-traitants peuvent être situés et/ou traiter certaines données hors de l’Union Européenne.
PHARE s’assure de conclure tous les contrats avec des prestataires traitant des données personnelles hors de l'Union Européenne avec les garanties adéquates, conformément à l’article 46 du RGPD, et d’y annexer les Clauses Contractuelles Type de la Commission européenne dans leur version la plus récente.
Ces derniers s’engagent systématiquement à prévenir PHARE en cas de réception d’une requête judiciaire ou administrative d’accès aux données qu’elle détient. Dans ces circonstances, PHARE prévoit des mesures internes pour préserver les droits et libertés des Utilisateurs.
Pour toute demande d’information complémentaire sur nos sous-traitants, vous pouvez adresser une demande d’information complémentaire à notre Délégué à la Protection des Données (Article 9. Qui contacter pour toutes les demandes liées au RGPD ?).
- Les organismes financiers (banques…) et organismes de contrôle ;
- S’il y a lieu, les juridictions concernées, médiateurs, experts-comptables, commissaires aux comptes, avocats, huissiers, sociétés de recouvrement de créances ;
- Les tiers susceptibles de déposer des cookies sur vos terminaux (ordinateurs, tablettes, téléphones portables…) lorsque vous y consentez (Pour plus de détail, consultez notre Charte de gestion des cookies) ;
- Le Client employeur du Bénéficiaire et les Affiliés présents sur la Plateforme ;
- Les associations partenaires.
Vos données à caractère personnel ne sont ni communiquées, ni échangées, ni vendues, ni louées sans votre consentement exprès préalable conformément aux dispositions légales et réglementaires applicables.
Prestataires principaux
Afin de mettre à disposition la Plateforme, PHARE fait appel à des sous-traitants. Dans le cadre de sa mise en conformité, chacun des sous-traitants est préalablement audité afin de déterminer la qualité des mesures techniques et organisationnelles mises en place ainsi que son niveau de sécurité. Chaque relation avec un sous-traitant est encadrée par un DPA spécifique et, au besoin, par des Clauses Contractuelles Types comme spécifié ci-dessus.
Les prestataires principaux sont les suivants :
- Amazon Web Service : pour l’hébergement des données au sein de l’Union Européenne (les Datacenters sont situés en région parisienne, en Irlande et en Allemagne).
- Mailchimp / Sendinblue : pour l’envoi des emails (transactionnels et commerciaux) aux Utilisateurs.
- Bubble : pour la gestion de la plateforme PPHARE.
Comment PHARE préserve la sécurité de vos données ?
PHARE prend à cœur la préservation de la sécurité de ses systèmes d’information et des données personnelles qu’elle traite. PHARE met en œuvre toutes les mesures techniques et organisationnelles nécessaires afin d’assurer la sécurité de nos traitements de données à caractère personnel et la confidentialité des données que nous collectons. Cela implique notamment la mise en place des mesures détaillées ci-après.
Mesures techniques
- Chiffrement systématique des données sur les serveurs d’hébergement au moment du transit de la donnée (entre l’application et les serveurs) et lors de leur stockage ;
- Politique de mot de passe fort lors de la création du compte Bénéficiaire pour limiter Les tentatives d’attaques ;
- Accès à la Plateforme par les Bénéficiaires monitoré et protégé par un système de détection et de
prévention:
- des attaques de type brute force ;
- des accès depuis des adresses IP multiples ;
- des accès multiples depuis une seule adresse IP.
Mesures organisationnelles
Mesures supplémentaires pour le Service connect : Les données traitées dans le cadre de la mise à disposition de la messagerie sont chiffrées par une clé supplémentaire et inaccessibles par PHARE et ses salariés et, lors de leur stockage, au moyen d'algorithmes reconnus par l'industrie.
Combien de temps nous stockons les données personnelles
Nous conservons vos données uniquement le temps nécessaire pour les finalités poursuivies, telles que décrites plus haut :
a. Les informations collectées dans le cadre des autres services sont conservées pour toute la durée de la relation contractuelle liant PHARE au Client. A compter de la fin de la relation les données collectées sont conservées pour une durée de rétention équivalente à 3 mois, puis détruites.
b. Les données utilisées dans le cadre de la gestion de la relation Client sont conservées pendant toute la durée nécessaire à l’exécution du contrat. Ces données sont ensuite archivées pour une durée de 5 ans à des fins probatoires. Les factures et données comptables émises sont quant à elles conservées 10 ans à compter de leur émission.
c. Les données utilisées dans le cadre d’opérations marketing sont conservées pour une durée de 3 ans à compter de la fin de la relation commercial.
d. Il est rappelé que pour les paiements par carte bancaire, conformément à l’article L 133-24 du code monétaire et financier, ces données peuvent être conservées pour une finalité de preuve en cas d’éventuelle contestation de la transaction ou réclamation, en archives intermédiaires, pendant une durée de 13 mois suivant la date de débit (durée portée à 15 mois pour les cartes de paiement à débit différé). La trace comptable des paiements est conservée pour une durée de 10 ans en archivage intermédiaire à compter de la réalisation effective du paiement (cf. art. Article L123-22 du Code de Commerce).
e. Pour la gestion des demandes de droit issus du RGPD et de la loi Informatique et Liberté modifiée 16, les données relatives à la gestion des demandes de droit sont conservées pour toute la durée nécessaire au traitement de la demande. Elles sont par la suite archivées pour la durée de prescription pénale applicable en archivage intermédiaire.
Qui contacter pour toutes les demandes liées au RGPD ?
PHARE a nommé un Délégué à la Protection des Données (ci-après « DPO »), qui pourra répondre à toutes vos demandes, y compris d’exercice de droits, relatives à vos données à caractère personnel.
Vous pouvez le joindre :
- Soit par email à l’adresse suivante : dpo@phare360.com
- Soit par courrier : SFCR - PHARE - Service DPO, 13 rue Primo Lévi, 75013, Paris.
Vos droits en tant qu’utilisateur
Conformément à la Réglementation Applicable, vous disposez des droits suivants (en savoir plus) :
- Droit d’accès (article 15 RGPD), de rectification (article 16 RGPD), de mise à jour, de complétude de vos données ;
- Droit à l’effacement (ou « droit à l’oubli ») de vos données à caractère personnel (article 17 RGPD), lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite. L’exercice de ce droit peut être limité par une obligation légale de conserver les données à des fins de lutte contre la fraude et/ou le blanchiment d’argent ;
- Droit de retirer à tout moment votre consentement (article 7 RGPD) ;
- Droit à la limitation du traitement de vos données (article 18 RGPD) en cas de contestation ;
- Droit d’opposition au traitement de vos données (article 21 RGPD) systématique pour les cas de prospection et conditionné à la justification de motifs légitimes impérieux dans les autres cas ;
- Droit à la portabilité des données que vous nous avez fournies, lorsque vos données font l’objet de traitements automatisés fondés sur votre consentement ou sur un engagement contractuel (article 20 RGPD)
Vous pouvez exercer vos droits, à condition de justifier de votre identité, en vous adressant à notre DPO.
Si vous souhaitez clôturer votre compte PHARE et que vous êtes toujours salarié de l’entreprise ayant souscrit à une offre de PHARE, nous vous invitons à vous rapprocher de votre employeur afin de ne plus vous faire bénéficier des services souscrits auprès de PHARE.
Enfin, vous pouvez également introduire une réclamation auprès des autorités de contrôle et notamment de la CNIL ou de toute autre autorité compétente.
Les bases légales des traitements
Conformément au Règlement général sur la protection des données (RGPD), cette politique de confidentialité est conforme aux règlements suivants.
Les données à caractère personnel doivent être :
- traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
- collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;
- adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
- exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;
- conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, par. 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;
- traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).
Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
- la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
- le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
- le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
- le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
- le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
- le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Pour les résidents de l’État de Californie, cette politique de confidentialité vise à se conformer à la California Consumer Privacy Act (CCPA). S’il y a des incohérences entre ce document et la CCPA, la législation de l’État s’appliquera. Si nous constatons des incohérences, nous modifierons notre politique pour nous conformer à la loi pertinente.
Données de connexion et cookies
Nous faisons usage pour le bon fonctionnement de la Plateforme et des Services de données de connexion (date, heure, adresse Internet, protocole de l’ordinateur du visiteur, page consultée) et des cookies (petits fichiers enregistrés sur votre ordinateur) permettant de vous identifier, de mémoriser vos consultations, et de bénéficier de mesures et statistiques d’audience, notamment relatives aux pages consultées.
Certains cookies dit « non nécessaires » nous permettent d’améliorer la qualité de notre Service et de vous proposer des solutions en adéquation avec vos besoins et vos habitudes.
Pour ces derniers, PHARE obtient votre consentement préalablement à leur dépôt par le biais d’un bandeau dédié lors de votre première connexion sur la Plateforme.
Pour plus d’informations vous pouvez consulter la Charte de gestion des cookies.