Qu’est-ce qui rend notre traitement légal ?
Dans de nombreux pays au sein desquels nous exerçons nos activités, le droit en matière de protection des données exige que nous traitions les données à caractère personnel seulement si la base dudit traitement est approuvée en vertu du droit applicable. Vous avez le droit de comprendre nos bases juridiques, c’est pourquoi nous vous les présentons ci-après. En fonction de l’activité que nous exerçons, nous utilisons les bases suivantes :
Dans la plupart des cas, les données que nous collectons et les finalités pour lesquelles nous les utilisons sont nécessaires à la fourniture de nos services aux commerçants et payeurs.
Par exemple, lorsque nous complétons des transactions de paiement, fournissons notre tableau de bord aux commerçants ou indiquons à un payeur le commerçant responsable d’un paiement donné, nous respectons l’Article 6(1)(b) du RGPD.
Certaines des activités que nous exerçons sont nécessaires aux fins du respect de nos obligations légales et autres en notre qualité de prestataire de services de paiement.
Par exemple, nous traitons les données à caractère personnel afin :
Afin de respecter nos obligations en matière de lutte contre le blanchiment d’argent et de contrôle préalable des clients, nous sommes tenus de collecter des informations concernant les antécédents criminels des commerçants. À cette fin, nous respectons les exigences du droit applicable concernant la collecte de données d’une telle nature. Par exemple, au Royaume-Uni, nous collectons ces données conformément aux « conditions liées aux motifs importants d’intérêt public » mentionnées à l’Annexe 1 de la loi britannique de 2018 sur la protection des données (UK Data Protection Act).
Si nécessaire, nous utilisons les données à caractère personnelpour répondre à nos intérêts commerciaux légitimes. Auquel cas, nous nous assurons de comprendre l’impact dudit traitement sur la vie privée et de tout mettre en œuvre pour le limiter. Par exemple, nous limitons les données utilisées à celles nécessaires, nous contrôlons l’accès aux données et, si possible, nous agrégeons ou anonymisons les données.
Vous trouverez ci-dessous quelques exemples des activités de traitement des données que nous entreprenons aux fins de nos intérêts légitimes :
Lutte contre la fraude et toute utilisation non autorisée
Lutte contre les échecs de paiement et accélération des délais de traitement des paiements
Commercialisation de nos services auprès de commerçants potentiels
Envoi de communications contenant des actualités du secteur ou concernant des événements à nos commerçants actuels et potentiels
Organisation d’événements et participation à des événements
Développement et amélioration de nos produits et services
Qu’entend-on par intérêts légitimes ? Conformément à l’Article 6(1)(f) du RGPD, les sociétés peuvent exercer certaines activités de traitement sans consentement après avoir procédé à une mise en balance. Les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent-ils pas sur notre intérêt légitime à exercer l’activité en question ?
Dans certains cas, nous traitons vos données à caractère personnel après avoir obtenu votre consentement spécifique et éclairé. Nous vous indiquerons les services pour lesquels vous avez le choix ou pouvez nous donner votre consentement. Si vous nous avez donné votre consentement, vous pouvez le retirer à tout moment afin de faire cesser tout traitement ultérieur.
Prise de décision automatisée
La technologie nous permet de prendre des décisions automatisées sur la base des informations que nous collectons vous concernant ou concernant une transaction. Nous testons régulièrement nos logiciels afin d’améliorer le degré de précision de ces décisions et d’éviter tout préjudice involontaire. Lesdites décisions peuvent avoir un impact sur vous, par exemple :
Imposer des étapes supplémentaires pour vérifier votre identité ou votre compte bancaire, si les modèles que nous surveillons indiquent que cette vérification rendrait nos services plus sûrs et plus efficaces.
Vous empêcher d’accéder à nos services, si nous déterminons qu’il est très probable que votre accès à ces derniers enfreigne nos exigences réglementaires (par exemple, si la pièce d’identité que vous avez fournie ne correspond pas aux informations obtenues auprès des services publics ou dans le cadre d’une vérification d’identité ou des références en matière de crédit).
Interrompre les services, si nous avons besoin de plus d’informations pour enquêter sur un cas de fraude ou un crime financier présumés ou les prévenir, par exemple, si vos comportements correspondent aux modèles d’activités frauduleuses antérieures.
L’annulation des transactions, si nous déterminons qu’il est très probable que les fonds soient insuffisants pour couvrir la transaction en question ou que cette dernière soit frauduleuse (par exemple, parce que le paiement est versé depuis un endroit qui ne correspond pas à nos registres).
L’annulation du service, si nous déterminons qu’il est utilisé d’une manière contraire à nos conditions (par exemple, si l’une quelconque des activités que vous exercez figure sur notre liste des activités soumises à restriction).
Partager des données mal classées, dans les cas où nous compilons et rassemblons des informations vous concernant dans le cadre d’une fonctionnalité que nous offrons à votre prestataire de services, par exemple, si les données brutes sous-jacentes n’étaient pas claires ou si notre classification n’était pas exacte.
Si vous pensez qu’une décision a été prise par erreur, veuillez nous contacter.
Vos droits et choix
Il est possible que vous disposiez de certains droits en vertu de la législation sur la protection des données et de la vie privée. Selon l’endroit où vous résidez, lesdits droits comprennent le droit de demander à GoCardless une copie de vos données à caractère personnel, le droit de corriger ou d’effacer ces données ou d’en limiter le traitement et d’obtenir vos données à caractère personnel dans un format permettant de les partager avec un nouveau prestataire. Vous pouvez avoir le droit de vous opposer au traitement. Dans certains cas, de tels droits peuvent être limités. Par exemple, si nous pouvons prouver que nous sommes légalement tenus de traiter vos données.
Vous pouvez contacter notre équipe chargée de la protection de la vie privée pour toute question concernant nos pratiques en la matière ou pour exercer vos droits. Si vos problèmes n’ont pas été résolus ou si vous pensez qu’une violation a pu être commise, vous avez le droit de déposer une réclamation auprès d’une autorité responsable de la protection des données ou de tout autre organisme de réglementation à l’endroit où vous vivez ou travaillez, ou là où la violation a eu lieu.
Nous ne vendons aucune donnée à caractère personnel. Nous partageons les données à caractère personnel avec certains destinataires dans les conditions prévues par la loi, lorsque cela est nécessaire aux fins de la prestation de nos services et de l’exercice de nos activités.
Nous partageons des données à caractère personnel avec les commerçants, les payeurs et les établissements financiers prenant part à une transaction données, quel que soit l’endroit où ils sont établis.
En savoir plus sur la façon dont vos données à caractère personnel circulent dans le système bancaire.
D’autres sociétés nous aident à exercer les activités présentées dans cette déclaration de confidentialité.
Nous collaborons avec des prestataires de services qui ont accès aux données à caractère personnel lorsqu’ils nous fournissent des services, tels que le développement de l’infrastructure technique, le développement web et le développement d’applications, ainsi que des outils de commercialisation, d’analyse et de sondage. Nous imposons des limites strictes quant à la façon dont les prestataires de services conservent, utilisent et partagent des données pour notre compte. Nous travaillons également avec des sociétés qui nous fournissent des services de vérification d’identité, de contrôle des antécédents, de contrôles préalables, de consultation et d’autres services réglementaires.
Consultez une liste de nos principaux fournisseurs.
GoCardless travaille avec des sociétés qui intègrent nos services de paiement à leurs applications ; nous les appelons des partenaires.
Si vous effectuez un paiement à travers une intégration de partenaires ou créez un compte commerçant GoCardless auprès de l’un de nos partenaires, vos données à caractère personnel seront partagées avec le partenaire afin de fournir les services intégrés.
Si la réglementation financière l’exige, nous partageons les données des commerçants et payeurs avec l’entité GoCardless habilitée dans le pays concerné. Dans d’autres pays, nous partageons les données des commerçants et prospects avec l’entité GoCardless locale qui nous aide à vendre nos services.
Certaines sociétés du groupe GoCardless nous aident à fournir nos services réglementés dans les pays où elles sont établies. GoCardless Ltd, au Royaume-Uni, est notre siège social, où la majorité de nos données à caractère personnel sont traitées. GoCardless SAS, en France, fournit nos services au sein de l’UE en vertu d’une licence de services financiers. Nous sommes tenus de partager les données des commerçants et payeurs avec GoCardless SAS afin de fournir nos services. Ces entités traitent et gèrent les données à caractère personnel des commerçants et payeurs afin de mener à bien les transactions et de fournir nos services.
Nous partageons également les données des commerçants et prospects avec les entités et bureaux locaux de GoCardless dans les pays où nous avons des bureaux commerciaux, par exemple SIA Nordigen Solutions et la Lettonie, le bureau commercial GoCardless en Australie et GoCardless Inc. aux États-Unis. Ces bureaux utilisent lesdites données afin de commercialiser nos services et d’apporter une assistance aux commerçants et partenaires locaux.
Toutes les sociétés GoCardless sont assujetties à notre programme de confidentialité mondial et soumises à la présente déclaration de confidentialité.
Si la propriété ou le contrôle de tout ou partie de notre entreprise ou de nos actifs change, nous sommes susceptibles de transférer les données à caractère personnel au nouveau propriétaire.
Si le nouveau propriétaire utilise les données à des fins autres que celles énoncées dans le présent document, il prendra les mesures obligatoires au titre du droit applicable afin de garantir que lesdites fins restent licites.
Nous partageons les données à caractère personnel si nous pensons que cela est raisonnablement nécessaire pour nous protéger et protéger les personnes qui utilisent nos services, pour exécuter des contrats, pour intervenir en cas d’urgence et pour respecter le droit applicable.
Dans certaines situations exceptionnelles, nous partageons les données à caractère personnel avec des instances gouvernementales et d’autres tiers si nous pensons que cela est raisonnablement nécessaire aux fins de respecter la législation, la réglementation, une procédure juridique ou une requête gouvernementale ; aux fins de l’exécution de nos contrats, polices et conditions ; aux fins de préserver la sécurité de nos services ; aux fins de protéger GoCardless et nos commerçants, payeurs ou le public contre tout préjudice ou toute activité illicite ; ou aux fins d’intervenir en cas d’urgence.
Transferts internationaux
Les services GoCardless sont proposés par notre siège au Royaume-Uni et par les bureaux de GoCardless en France, en Australie et aux États-Unis. Nos services sont mis à la disposition des commerçants dans plusieurs pays du monde. Si vous utilisez nos services pour payer un commerçant dans un autre pays, les données à caractère personnel nécessaires seront transférées pour mener à bien la transaction.
Il est également possible que les données à caractère personnel soient conservées et consultées par des prestataires de services établis dans d’autres pays. Pour les personnes établies au sein de l’UE, il est important de souligner que certains de nos prestataires de services sont établis aux États-Unis ou dans d’autres pays ne garantissant pas le même niveau de protection des données que l’UE. Quel que soit l’endroit vers lequel nous transférons les données, nous concluons des contrats avec les prestataires de services ou cherchons d’autres façons de garantir que ces derniers traitent les données conformément au droit du pays dans lequel elles ont été collectées.
Pendant combien de temps conservons-nous les données à caractère personnel ?
GoCardless conserve les données à caractère personnel pendant toute la durée nécessaire aux fins de la prestation de nos services et du traitement des paiements pour nos commerçants. Nous conservons également les données à caractère personnel pour d’autres finalités commerciales légitimes, notamment le respect de nos obligations légales, le règlement de litiges, la lutte contre la fraude et l’exécution de nos contrats. Dans la mesure où ces besoins sont susceptibles de varier en fonction des données utilisées et des finalités, les durées de conservation varient. Vous trouverez ci-dessous certains des facteurs dont nous tenons compte pour déterminer la durée de conservation :
Pendant combien de temps avons-nous besoin des données à caractère personnel pour développer, maintenir et améliorer nos services, garantir la sécurité de nos systèmes, appliquer des rétrofacturations, éviter les transactions frauduleuses et tenir les registres commerciaux et financiers appropriés ?
Nous avez-vous demandé de cesser toute utilisation de vos données ou avez-vous retiré votre consentement ? Si nous pouvons effacer les données, nous les traiterons uniquement pendant une courte durée afin de donner suite à votre demande. Le cas échéant, nous conserverons également une trace de vos demandes afin de garantir qu’elle soit respectée à l’avenir.
Sommes-nous soumis à une obligation légale, réglementaire ou contractuelle de conserver les données ? Par exemple, nous sommes tenus de conserver les données de transaction et toutes autres informations nous permettant de procéder aux contrôles obligatoires, pendant des durées qui varient en fonction du plan de paiement sous-jacent. Il est également possible que nous soyons tenus de respecter des ordonnances gouvernementales concernant la conservation de données pertinentes dans le cadre d’une enquête ou de conserver des données en cas de litige.