Intégrateur d'innovation

Protection des données : accepteurs

Je suis un accepteur CB ou le représentant légal d’un accepteur CB

Dans le cadre de nos activités, nous, le GIE Cartes Bancaires « CB », sommes susceptibles de traiter des Données Personnelles vous concernant. C’est en particulier le cas lorsque vous êtes une personne physique agissant en tant qu’accepteur (commerçant, prestataire de services, ou une personne exerçant une profession libérale et acceptant les paiements par carte CB) ou personne physique représentant un accepteur personne morale (ci-après l’ « Accepteur »).

La présente Politique de protection des Données Personnelles (ci-après « la Politique ») vise à vous indiquer quelles informations nous traitons, pour quelles raisons et comment nous les traitons. Elle vous permettra également de comprendre comment exercer vos droits et protéger votre vie privée.

Les termes de « Données à caractère personnel » (ci-après « Données Personnelles »), « Traitement », « Responsable du Traitement » et « Destinataire » utilisés dans la présente Politique renvoient aux termes définis à l’article 4 du Règlement (UE) 2016/679 du 27 avril 2016 sur la protection des Données Personnelles (ci-après le RGPD). Toutes ces définitions sont reproduites en annexe de la présente Politique.

Pour répondre à toutes les questions que vous pourriez vous poser en matière de protection des Données Personnelles utilisées lors d’opérations de paiement par carte de paiement, nous avons désigné un Délégué à la Protection des Données Personnelles que pouvez contacter par courriel à protegezvosdonnees@cartes-bancaires.com.

1-Les Données Personnelles que nous traitons :

Conformément au contrat conclu entre vous et le prestataire de services de paiement vous permettant d’accepter des cartes de paiements CB (ci-après l’ « Acquéreur »), nous sommes susceptibles de traiter vos Données Personnelles dans le cadre de nos activités de lutte contre la fraude. Nous sommes en particulier amenés à collecter à partir de sources publiques ouvertes le nom, le prénom et la fonction des représentants légaux des accepteurs, y compris ceux suspendus ou radiés de leur adhésion au système de paiement CB.

2-Les raisons pour lesquelles nous traitons vos Données Personnelles :

Nous traitons vos Données Personnelles pour les raisons suivantes (conformément à l’article 6 du RGPD, nous indiquons entre parenthèse le fondement légal sur lequel nous nous appuyons pour traiter vos Données Personnelles) :

  • Prévenir, détecter et lutter contre la fraude en conservant un historique des représentants légaux des accepteurs (intérêt légitime) ;
  • Assurer la gestion d’éventuels contentieux contre, par exemple, des fraudeurs ayant agi dans votre commerce (intérêt légitime) ;
  • Répondre aux obligations réglementaires ou légales, notamment en matière pénale ou administrative, liées à l’utilisation de la Carte (obligation légale).

3-Durées de conservation des Données Personnelles :

  • Identité des représentants légaux des accepteurs suspendus ou radiés de leur adhésion au système de paiement CB. Durée de conservation : Durée de la suspension de 6 mois renouvelable par tacite reconduction (durée maximale de 5 ans).
  • Les données nécessaires à la réalisation d’alertes de fraude. Durée de conservation : Les  données utilisées pour l’émission d’alertes sont conservées pour une durée maximale de douze (12) mois à compter de l’émission des alertes. En cas de qualification de fraude avérée, les données relatives à la fraude sont conservées au maximum cinq (5) années.
  • Les données nécessaires à la gestion des éventuels contentieux. Durée de conservation :  Archivage intermédiaire selon les durées légales de prescription/forclusion applicables. En cas de contentieux, les données sont supprimées lorsque les recours ne sont plus possibles contre la décision rendue pour la faire exécuter (sauf intérêt historique majeur).

4-Les destinataires de vos Données Personnelles :

Nous ne communiquons vos informations personnelles qu’aux entités suivantes :

  • A l’Acquéreurs avec lequel vous avez conclu le contrat vous permettant d’accepter les cartes de paiements CB.
  • Aux autorités administratives et judiciaires, soit pour nous conformer à des obligations légales, réglementaires, judiciaires ou administratives (notre équipe juridique s’engage à ne répondre qu’aux demandes légitimes des autorités strictement compétentes), soit dans le cadre de contentieux pour nous prémunir contre toute atteinte aux droits, aux biens ou à la sécurité du système de paiement CB.

Ces communications de Données Personnelles sont réalisées dans le respect de la règlementation française et européenne en vigueur en matière de protection des Données Personnelles et notamment du Règlement (UE) 2016/679 du 27 avril 2016.

5-La sécurité de vos Données Personnelles est notre priorité :

Nous mettons en œuvre toutes les mesures techniques et organisationnelles appropriées pour protéger nos systèmes d’informations ainsi que les Données Personnelles vous concernant contre tout accès, modification, divulgation ou destruction non autorisés des Données Personnelles sous notre responsabilité :

  • Nous mettons en place des mécanismes de chiffrement des Données Personnelles que nous traitons afin d’en garantir la confidentialité.
  • En dehors des Destinataires autorisés, l’accès aux Données Personnelles est strictement réservé à nos seuls salariés qui ont besoin d’y accéder dans le cadre de leur fonction et pour la réalisation des seules finalités définies dans la présente Politique. Ces personnes sont soumises à de strictes obligations de sécurité et de confidentialité.
  • Les Données Personnelles vous concernant sont essentiellement traitées en France. Nous ne transférons pas vos Données Personnelles hors de l’Union européenne. Vous bénéficiez donc totalement des garanties françaises et européennes encadrant le traitement des Données Personnelles vous concernant.
  • Nous menons des audits internes sur le Traitement des données, y compris les mesures de sécurité physiques et les procédures, afin d’empêcher tout accès non autorisé à nos systèmes d’information.

6-Transparence et gestion de vos Données Personnelles :

Nous mettons tout en œuvre pour faire preuve de transparence et vous permettre de contrôler et de gérer les Données Personnelles vous concernant. Vous pouvez à tout moment :

Vous pouvez exercer vos droits en vous adressant par courriel à notre Délégué à la protection des données à l’adresse suivante protegezvosdonnees@cartes-bancaires.com en joignant à votre demande une copie recto-verso de votre pièce d’identité.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation en ligne à la Commission Nationale de l’Informatique et des Libertés (CNIL) ou par voie postale.

Date de la dernière modification : 25/09/2018

 

Annexe : Reproduction de définitions de l’article 4 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Aux fins du présent règlement, on entend par:

  • «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
  • «traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;
  • «responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre;
  • «destinataire», la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.