Intégrateur d'innovation

Protection des données : porteurs

Je suis titulaire d’une carte CB ou titulaire du compte sur lequel fonctionne une carte CB

Dans le cadre de nos activités, nous, le GIE Cartes Bancaires « CB », sommes susceptibles de traiter des données personnelles vous concernant en qualité de responsable de Traitement.

C’est en particulier le cas lorsque :

  • Vous utilisez votre carte de paiement, lorsque la marque CB est choisie par vous ou par un commerçant ou un prestataire de services, ou que vous recourrez à un service CB (ci-après le « titulaire d’une carte») ;
  • Vous êtes le titulaire du compte sur lequel fonctionne une carte de paiement CB utilisée conformément au 1° (ci-après le « titulaire du compte»).

La présente Politique de protection des Données Personnelles (ci-après « la Politique ») vise à vous indiquer quelles informations nous traitons, pour quelles raisons et comment nous les traitons. Elle vous permettra également de comprendre comment exercer vos droits et protéger votre vie privée.

Les termes de « Données à caractère personnel » (ci-après « Données Personnelles »), « Traitement », « Responsable du Traitement », « Sous-traitant », « Destinataire », « Profilage » et « Pseudonymisation » utilisés dans la présente Politique renvoient aux termes définis à l’article 4 du Règlement (UE) 2016/679 du 27 avril 2016 sur la protection des Données Personnelles (ci-après le RGPD). Toutes ces définitions sont reprises en annexe de la présente Politique.

Pour répondre à toutes les questions que vous pourriez vous poser en matière de protection des Données Personnelles utilisées lors d’opérations de paiement par carte de paiement, nous avons désigné un Délégué à la Protection des Données Personnelles que pouvez contacter par courriel à protegezvosdonnees@cartes-bancaires.com.

1-Les données personnelles que nous traitons :

Conformément au contrat conclu entre vous et le prestataire de services de paiement mettant à votre disposition une carte de paiement (ci-après l’ « Emetteur »), nous recevons des Données Personnelles vous concernant, à savoir :

  • Le numéro de votre carte ainsi que sa date d’expiration ;
  • Les données correspondant aux opérations effectuées au moyen de votre carte (le montant, la date, l’heure, la raison sociale du commerçant et son SIRET) ;
  • Dans certains cas d’opération de paiement à distance, l’adresse IP utilisée pour réaliser l’opération ainsi que le code postal de l’adresse de facturation.

Nous utilisons ces Données Personnelles pour déduire et générer d’autres Données Personnelles, à savoir :

  • Le profil d’utilisation de la carte de paiement (fréquence d’utilisation, déplacements à l’étranger…) ;
  • Un indicateur évaluant le risque que l’opération de paiement soit frauduleuse (qu’elle ne soit pas réalisée par vous par exemple) ;
  • Des alertes de fraude à la carte de paiement.

Pour lutter contre la fraude et sécuriser vos intérêts financiers tout en facilitant votre authentification et votre parcours client, certains commerçants et prestataires de services ayant souscrit un service proposé par nous sont susceptibles de nous communiquer, à l’occasion d’une opération de paiement à distance, d’autres Données Personnelles vous concernant :

  • les coordonnées postales, téléphoniques et électroniques que vous avez indiquées aux commerçants ou au prestataire de services à des fins de facturation et de livraison ;
  • des informations liées aux activités de la carte et au suivi de vos commandes et de votre compte auprès du commerçant ou du prestataire de services ;
  • des données techniques relatives à l’appareil et au navigateur que vous avez utilisé pour effectuer l’opération de paiement, et notamment l’adresse IP.

2-Les raisons pour lesquelles nous traitons vos Données Personnelles :

Les Données Personnelles que nous traitons nous permettent de proposer un système de paiements performant, sécurisé et souverain ainsi que de nombreux services associés.

Nous traitons vos Données Personnelles pour les raisons suivantes (conformément à l’article 6 du RGPD, nous indiquons entre parenthèse la base légale sur laquelle nous nous appuyons pour traiter vos Données Personnelles) :

  • Assurer et améliorer le fonctionnement du système de paiement CB (exécution du contrat entre vous et l’Emetteur) ;
  • Sécuriser vos opérations de paiement en prévenant et luttant contre la fraude à la carte de paiement (intérêt légitime).
  • Suivre notre activité, en particulier par l’élaboration de statistiques anonymes ne permettant pas votre identification (intérêt légitime) ;
  • Permettre à un commerçant de vous contacter lorsque vous êtes concerné en tant que consommateur par une crise sanitaire considérée comme exceptionnellement grave par une autorité publique (sauvegarde de vos intérêts vitaux ou de ceux de vos proches) ;
  • Assurer la gestion d’éventuels contentieux, contre, par exemple, les auteurs de fraudes à la carte de paiement (intérêt légitime) ;
  • Répondre aux obligations réglementaires ou légales, notamment en matière pénale ou administrative, liées à l’utilisation de la Carte (obligation légale).

Dans le cadre de la lutte contre la fraude, nous utilisons notamment vos Données Personnelles pour réaliser le profil d’utilisation de votre carte et évaluer la probabilité que vous soyez bien à l’origine de l’utilisation de celle-ci lors de certaines opérations de paiement et ainsi protéger tout particulièrement vos intérêts financiers. Lorsque cette évaluation est réalisée à l’occasion d’une opération de paiement, celle-ci est transmise à l’Emetteur de votre carte de paiement qui pourra s’appuyer dessus pour autoriser ou refuser l’opération de paiement.

Les Traitements de Données Personnelles réalisés aux fins de la lutte contre la fraude et du suivi de notre activité ont chacun fait l’objet d’une analyse d’impact sur la vie privée validée par notre Délégué à la protection des Données Personnelles.

3-Durée de conservation des Données Personnelles :

Les Données Personnelles que nous traitons sont conservées pour les durées suivantes :

  • Le numéro de votre carte, sa date d’expiration. Durée de conservation : Vingt-quatre (24) mois à compter de la fin de date de validité ou du blocage de la Carte.
  • Les données correspondant aux opérations effectuées au moyen de votre carte . Durée de conservation : Vingt-quatre (24) mois non glissant à compter de la date de chaque transaction.
  • L’adresse IP utilisée pour réaliser l’opération, le code postal de l’adresse de facturation, le profil de l’utilisation de la carte de paiement et l’indicateur évaluant le risque de fraude (score). Durée de conservation : Vingt-quatre (24) mois glissant.
  • Les coordonnées postales, téléphoniques et électroniques que vous avez indiquées aux commerçants ou au prestataire de services à des fins de facturation et de livraison. Les informations liées aux activités de la carte et au suivi de vos commandes et de votre compte auprès du commerçant ou du prestataire de services. Les données techniques relatives à l’appareil et au navigateur que vous avez utilisé pour effectuer l’opération de paiement, et notamment l’adresse IP. Durée de conservation : Vingt-quatre (24) mois glissant.
  • Les données nécessaires à la réalisation d’alertes de fraude. Durée de conservation : Les données utilisées pour l’émission d’alertes sont conservées pour une durée maximale de douze (12) mois à compter de l’émission des alertes. En cas de qualification de fraude avérée, les données relatives à la fraude sont conservées au maximum cinq (5) années.
  • Les données nécessaires afin que vous puissiez être contacté dans le cadre d’une crise sanitaire exceptionnellement  grave. Durée de conservation : Un (1) mois à compter de la transmission de vos informations.
  • Les données nécessaires à la gestion des éventuels contentieux. Durée de conservation : Archivage intermédiaire selon les durées légales de prescription/forclusion applicables. En cas de contentieux, les données sont supprimées lorsque les recours ne sont plus possibles contre la décision rendue pour la faire exécuter (sauf intérêt historique majeur).

4-Les destinataires de vos Données Personnelles :

Nous ne communiquons vos Données Personnelles qu’aux entités suivantes :

  • Aux prestataires de services de paiements membres du GIE Cartes bancaires qui interviennent dans les transactions vous concernant (votre banque et la banque du commerçant par exemple). L’ensemble des prestataires de services de paiements membres du GIE Cartes bancaires a également accès à la liste des cartes en opposition afin de pouvoir rapidement réagir à une mise en opposition de votre carte et ainsi protéger vos intérêts financiers.
  • Aux prestataires techniques intervenant en tant que Sous-traitants pour notre compte et notamment les sociétés STET SA, EquensWorldline SE et Ethoca Ltd. Nous veillons contractuellement à ce que ces prestataires respectent des mesures de sécurité appropriées et ne procèdent à aucun transfert de vos Données Personnelles hors de l’Union européenne.
  • Aux autorités administratives et judiciaires, soit pour nous conformer à des obligations légales, réglementaires, judiciaires ou administratives (notre équipe juridique s’engage à ne répondre qu’aux demandes légitimes des autorités strictement compétentes), soit dans le cadre de contentieux pour nous prémunir contre toute atteinte aux droits, aux biens ou à la sécurité du système de paiement CB.

Ces communications de Données Personnelles sont réalisées dans le respect de la règlementation française et européenne en vigueur en matière de protection des Données Personnelles et notamment du Règlement (UE) 2016/679 du 27 avril 2016.

5-La sécurité de vos Données Personnelles est notre priorité :

Nous mettons en œuvre toutes les mesures techniques et organisationnelles appropriées pour protéger nos systèmes d’informations ainsi que les Données Personnelles vous concernant contre tout accès, modification, divulgation ou destruction non autorisés des Données Personnelles sous notre responsabilité :

  • Nous mettons en place des mécanismes de chiffrement et de Pseudonymisation des Données Personnelles que nous traitons afin d’en garantir la confidentialité.
  • Nos équipes se conforment à la norme PCI-DSS, un standard de référence en matière de sécurité dans le secteur bancaire et financier et qui est cité en exemple par la CNIL.
  • En dehors des Destinataires autorisés, l’accès aux Données Personnelles est strictement réservé à nos seuls salariés qui ont besoin d’y accéder dans le cadre de leur fonction et pour la réalisation des seules finalités définies dans la présente Politique. Ces personnes sont soumises à de strictes obligations de sécurité et de confidentialité.
  • Les Données Personnelles vous concernant sont essentiellement traitées en France. De plus, en dehors de cas particulièrement occasionnels et ponctuels (et donc très rares) impliquant la gestion de contentieux transfrontaliers qui vous concerneraient et pour lesquels vous seriez expressément informés (une banque non européenne victime d’une fraude par exemple), nous ne transférons jamais vos Données Personnelles hors de l’Union européenne. Vous bénéficiez donc totalement des garanties françaises et européennes encadrant le traitement des Données Personnelles vous concernant.
  • Nous menons des audits internes sur le Traitement des données, y compris les mesures de sécurité physiques et les procédures, afin d’empêcher tout accès non autorisé à nos systèmes d’information.

6-Transparence et gestion de vos Données Personnelles :

Nous mettons tout en œuvre pour faire preuve de transparence et vous permettre de contrôler et de gérer les Données Personnelles vous concernant. Vous pouvez à tout moment :

Vous pouvez exercer vos droits en vous adressant par courriel à notre Délégué à la protection des données à l’adresse suivante protegezvosdonnees@cartes-bancaires.com en joignant à votre demande une copie recto-verso de votre pièce d’identité.

Sauf cas particuliers, nous traitons vos Données Personnelles sans être en mesure de les associer à votre identité. Dans ce cas, nous ne sommes donc pas en mesure de vous identifier directement et, conformément à l’article 11 du RGPD, nous ne sommes pas tenus d’obtenir ou de traiter des informations supplémentaires pour vous identifier à la seule fin de respecter le présent règlement. Toutefois, vous pouvez nous fournir des informations complémentaires qui nous permettent de vous identifier et de répondre favorablement à vos demandes d’exercice des droits mentionnés au présent article.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation en ligne à la Commission Nationale de l’Informatique et des Libertés (CNIL) ou par voie postale.

Date de la dernière modification : 25/09/2018

 

Annexe : Reproduction de définitions de l’article 4 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Aux fins du présent règlement, on entend par:

  • «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
  • «traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;
  • «profilage», toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;
  • «pseudonymisation», le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;
  • «responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre;
  • «sous-traitant», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
  • «destinataire», la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.