Politique de confidentialité de l’application Wero
Politique de confidentialité de l’application Wero
1.0 Introduction
2.0 Qui est responsable du traitement de vos Données à caractère personnel ?
3.0 De quelle manière sommes-nous susceptibles d’utiliser vos Données à caractère personnel ?
4.0 Êtes-vous tenu de fournir vos Données à caractère personnel ?
5.0 Comment partageons-nous vos Données à caractère personnel ?
6.0 De quelle manière conservons-nous vos Données à caractère personnel au sein de l’Espace économique européen (EEE) ?
7.0 Comment protégeons-nous et sécurisons-nous vos Données à caractère personnel ?
8.0 Comment exercer vos droits ?
9.0 Modifications
La présente politique de protection des données à caractère personnel (ci-après la « Politique ») s’applique spécifiquement à l’application Wero et décrit de quelle manière et dans quelle mesure vos données à caractère personnel sont traitées par EPI Company SE lorsqu’un utilisateur de l’application Wero (ci-après un « Utilisateur » ou « vous ») installe, active et utilise l’application Wero. Cette Politique complète les Conditions générales d’utilisation de Wero.
L’application Wero est une application de paiement électronique mobile détenue et exploitée par EPI Company SE (ci-après « EPI », « nous », « notre », « nos »), une société immatriculée en Belgique à la Banque-Carrefour des Entreprises sous le numéro 0755.811.726, dont le siège social est situé à l’adresse suivante : De Lignestraat 13, 1000 Bruxelles, Belgique.
La protection des Données à caractère personnel étant notre principale préoccupation, nous nous engageons à les traiter en faisant preuve de la plus grande transparence et dans le respect des réglementations européennes et nationales applicables en matière de protection des données (ci-après les « Réglementations applicables »), notamment le règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD ») et la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.
Cette politique décrit la manière dont nous, en tant que Responsable du traitement, traitons vos Données à caractère personnel dans le respect de la réglementation applicable et explique de quelle manière vous pouvez exercer vos droits en vertu de celle-ci. Pour veiller au strict respect de la Réglementation applicable et de la présente Politique lors du traitement de vos Données à caractère personnel et pour répondre à toutes les questions que vous pourriez vous poser concernant leur traitement par EPI, nous avons nommé un Délégué à la protection des données qui peut être contacté par e-mail à l’adresse suivante : dpo@epicompany.eu.
Les termes « Données à caractère personnel », « Traitement », « Responsable du traitement », « Sous-traitant », « Destinataire » et « Personne concernée », lorsqu’ils sont utilisés dans la présente Politique, font référence aux termes définis à l’article 4 du RGPD.
EPI assume la responsabilité du traitement des Données à caractère personnel en sa qualité de Responsable du traitement en vertu de la présente Politique. Celle-ci évoque spécifiquement la question du traitement des Données à caractère personnel par EPI dans le cadre du fonctionnement de l’application Wero.
La présente Politique ne prévoit pas les éléments suivants :
Sites Internet d’EPI et de Wero : le traitement des Données à caractère personnel dans le cadre du fonctionnement des sites Internet d’EPI et de Wero est régi par des déclarations de confidentialité distinctes qui sont spécifiques à ces sites Internet.
Traitement en qualité de sous-traitant : EPI traite des Données à caractère personnel dans le cadre du traitement des opérations de paiement et de l’authentification forte des clients au nom et conformément aux instructions de votre PSPGC (prestataire de services de paiement gestionnaire du compte) éligible (tel que ce terme est défini dans les Conditions générales d’utilisation de Wero). À ce titre, le PSPGC éligible agit en qualité de Responsable du traitement distinct et EPI en tant que Sous-traitant. Veuillez consulter leur déclaration de confidentialité pour en savoir plus sur la manière dont vos Données à caractère personnel sont traitées dans ces situations.
Dans le cadre des opérations de Traitement que nous réalisons, nous traitons les catégories de Données à caractère personnel suivantes :
|
Finalité (et base juridique) |
Catégories de Personnes concernées |
Durée de conservation |
|
Inscription et provisionnement de l’application Wero (exécution d’un contrat – art. 6.1.b du RGPD) |
Informations concernant l’origine de votre paiement (nom du titulaire du compte, type de compte de paiement, identifiant technique lié à la source du paiement) Acceptation de nos conditions générales d’utilisation, avec l’heure de l’acceptation |
Durée du contrat (Conditions générales d’utilisation de Wero) |
|
Émission et confirmation d’une demande de paiement (exécution d’un contrat – art. 6.1.b du RGPD) |
Nom du titulaire du compte, montant, statut, horodatage, message de demande P2P, identifiants techniques liés à la source du paiement, à l’application Wero et à la demande P2P |
13 mois après l’exécution de l’opération |
|
Initiation et confirmation d’un Paiement P2P (exécution d’un contrat – art. 6.1.b du RGPD) |
Nom du titulaire du compte, montant, statut, horodatage, message de paiement P2P, IBAN masqué, identifiants techniques liés à la source du paiement, à l’application Wero et au paiement P2P |
13 mois après l’exécution de l’opération |
|
Initiation et confirmation d’une transaction commerciale (exécution d’un contrat – art. 6.1.b du RGPD) |
Nom légal de l’Accepteur (tel que ce terme est défini dans les Conditions générales d’utilisation de Wero), horodatage de la création, horodatage de l’expiration, type de transaction et paramètres de la transaction, date de naissance, adresse de livraison, IBAN masqué |
13 mois après l’exécution de l’opération |
|
Affichage du nom du bénéficiaire (tronqué) au payeur afin d’empêcher les fraudes et les erreurs (intérêt légitime – art. 6.1.f du RGPD) |
Prénom et nom |
Durée du contrat (Conditions générales d’utilisation de Wero) |
|
Affichage des informations de votre compte (exécution d’un contrat – art. 6.1.b du RGPD) |
Solde et historique des opérations sur votre compte de paiement |
Durée du contrat (Conditions générales d’utilisation de Wero) |
|
Prévention de la fraude et notation du risque de fraude dans le cadre des opérations, y compris l’anonymisation des données afin d’améliorer le moteur de notation du risque de fraude (intérêt légitime – art. 6.1.f du RGPD) |
Informations concernant l’origine de votre paiement (nom du titulaire du compte, identifiant technique lié à la source du paiement) Informations vous concernant (nom et prénom, date de naissance) Données relatives à l’opération (montant, date de création et d’expiration de la demande de paiement ou de l’opération de paiement) Données relatives à votre application Wero (identifiant unique et nom dans l’application) Données relatives à votre appareil mobile (nom et numéro de modèle, résolution de l’écran, opérateur, localisation géographique, indicateur de fuseau horaire, identifiant, système d’exploitation, choix de la langue, heure, adresse IP, adresse IP du client, agent utilisateur, agent utilisateur du client) Données relatives à la fraude (note de risque de fraude, vecteur de risque principal de cette note) |
Au maximum vingt-quatre (24) mois à compter de la date de collecte. Au maximum cinq (5) ans pour les fraudes avérées |
|
Traitement de toute demande que vous pourriez faire à notre service client et information concernant les modifications apportées à l’application Wero ou toute autre question se rapportant à Wero (intérêt légitime – art. 6.1.f du RGPD) |
Le(s) nom(s), les adresses (e-mail) et le(s) numéro(s) de téléphone indiqués dans vos messages qui nous sont envoyés, le contenu de tout message qui nous est envoyé, toute autre information que vous avez choisi de nous communiquer à notre demande, par exemple le justificatif de votre identité |
Durée nécessaire au traitement de votre demande |
|
Gestion et résolution des litiges concernant les opérations non autorisées ou exécutées de manière incorrecte, et traitement de toute autre réclamation par des utilisateurs de services de paiement (USP), dans le strict respect de l’article 101 de la Directive sur les services de paiement 2 (DSP2) (obligation légale - art. 6.1.c du RGPD) |
Toutes les données nécessaires à la gestion des signalements, des plaintes et des réclamations, y compris les données relatives aux opérations |
Cinq (5) ans à compter du signalement, de la plainte ou de la réclamation |
|
Gestion de toutes les procédures contentieuses et précontentieuses, afin de défendre nos droits (intérêt légitime – art. 6.1.f du RGPD) |
Données nécessaires relatives à toute procédure contentieuse et précontentieuse |
Durée du litige et tout délai de prescription légale/forclusion |
|
Respect de nos obligations légales, y compris la Connaissance de la clientèle (KYC), la Lutte contre le blanchiment de capitaux et le financement du terrorisme, les lois en matière de lutte contre la corruption et les sanctions économiques, et autres lois ou réglementations applicables au secteur financier (mission d’intérêt public - art. 6.1.e du RGPD) |
Informations communiquées par votre PSPGC éligible : identifiant externe, nom, date de naissance, lieu de naissance, lieu de résidence. Nous sommes susceptibles de collecter des données supplémentaires directement auprès de vous lorsque la loi l’exige. |
Durée de conservation conformément aux obligations légales et réglementaires (10 ans aux fins de la lutte contre le blanchiment de capitaux) |
|
Rapports de crash, analyses et sécurité de l’application Wero (intérêt légitime – art. 6.1.f du RGPD) |
État de la batterie, connexion internet, connexion réseau, vue actuelle de l'application, étapes effectuées par l'utilisateur, hiérarchie des vues lors de la déclaration d'un bug, trace complète de l'erreur, adresse IP de l'utilisateur, date et heure de la requête, titre de la page, URL de la page, URL de référence, résolution d'écran utilisée, heure dans le fuseau horaire local de l'utilisateur, fichiers cliqués et téléchargés, liens vers un domaine externe cliqués, temps de génération des pages, en-tête Accept-Language, en-tête User-Agent. |
1 an à compter de la collecte |
Pour lever toute ambiguïté, EPI ne collecte et ne traite aucune de vos catégories particulières de Données à caractère personnel lorsque vous choisissez d’autoriser l’utilisation de votre identifiant biométrique sur votre appareil mobile (par exemple votre empreinte digitale ou votre visage), pour authentifier vos paiements dans l’application Wero.
Nous avons besoin de certaines de vos Données à caractère personnel pour exécuter nos obligations légales ou le contrat que nous avons conclu avec vous (à savoir les Conditions générales d’utilisation de Wero). Si vous ne nous fournissez pas vos Données à caractère personnel, vous ne pourrez pas utiliser certaines fonctionnalités de notre application. Vous ne pourrez pas, par exemple, vous inscrire sans nous fournir les informations concernant votre identité indiquées ci-dessus, ou nous pourrions ne pas être en mesure d’exécuter le contrat que nous avons conclu avec vous.
Seuls les membres du personnel d’EPI et de ses sociétés affiliées dûment autorisés à cet effet sont susceptibles d’avoir accès à vos Données à caractère personnel, et uniquement sur la base du « besoin d’en connaître ». Ces destinataires internes sont soumis à des obligations strictes en matière de sécurité et de confidentialité.
En outre, nous ne communiquons vos Données à caractère personnel qu’aux destinataires externes suivants :
les prestataires de services et les prestataires qui fournissent des services en notre nom en qualité de Sous-traitants et uniquement conformément à nos instructions documentées, y compris nos prestataires de services d’hébergement de données et d’évaluation du risque de fraude ;
les institutions financières, y compris votre PSPGC éligible (tel que ce terme est défini dans les Conditions générales d’utilisation de Wero) et les commerçants impliqués dans l’opération, afin de traiter les opérations de paiement et d’effectuer d’autres activités à votre demande ;
les autorités répressives, ou l’autorité administrative ou judiciaire compétente, soit pour se conformer à une obligation légale, réglementaire, judiciaire ou administrative (par exemple pour signaler une activité illégale), soit dans le cadre d’un litige pour nous protéger contre toute violation de nos droits.
EPI s’efforce de ne transférer aucune Donnée à caractère personnel hors de l’Espace économique européen (EEE). Toutefois, si vous nous le demandez ou dans le cadre d’une opération avec une personne située hors de l’EEE (dans le cadre de l’envoi ou de la réception de fonds), nous pouvons être amenés à transférer vos données à l’étranger.
Si tel est le cas, le transfert de données à caractère personnel hors de l’EEE est régi par la réglementation applicable et est soumis à des conditions strictes afin de garantir leur protection (et en particulier grâce à l’utilisation des clauses contractuelles types de la Commission européenne, dont une copie peut être obtenue en contactant notre délégué à la protection des données).
Chez EPI, la sécurité de vos Données à caractère personnel est notre priorité. Nous prenons ainsi plusieurs mesures afin de garantir leur sécurité et leur confidentialité. Voici comment de quelle manière nous les protégeons :
La prise de mesures de sécurité exhaustives : nous mettons en œuvre tout un éventail de mesures techniques, administratives et organisationnelles conçues pour protéger nos systèmes informatiques et vos Données à caractère personnel contre l’accès, la modification, la divulgation ou la destruction non autorisés.
Le chiffrement : nous utilisons des technologies de chiffrement de pointe pour protéger vos Données à caractère personnel, surtout pendant la transmission, afin d’empêcher tout accès non autorisé.
Des protocoles de confidentialité : notre équipe est formée et bénéficie régulièrement de mises à niveau sur les meilleures pratiques afin de préserver la confidentialité et la sécurité des données.
Grâce à ces méthodes, nous nous efforçons de protéger vos Données à caractère personnel et de préserver leur intégrité à chaque instant.
En tant que Personne concernée, vous disposez de divers droits eu égard à vos Données à caractère personnel que nous traitons en qualité de Responsable du traitement. Vous pouvez exercer ces droits à tout moment selon les conditions prévues par la réglementation applicable. Voici un résumé de vos principaux droits dans ce domaine :
Droit d’accès : vous pouvez demander à EPI de vous confirmer si des Données à caractère personnel vous concernant sont traitées ou non et, le cas échéant, vous pouvez demander à y accéder ;
Droit de rectification : si vos Données à caractère personnel sont inexactes, incomplètes ou obsolètes, vous pouvez demander à EPI de les rectifier, de les mettre à jour ou de les compléter ;
Droit à l’effacement : dans certaines situations prévues à l’article 17 du RGPD, vous pouvez demander à EPI de supprimer vos Données à caractère personnel ;
Droit à la limitation du traitement : dans certaines situations prévues à l’article 18 du RGPD, vous pouvez demander à EPI de limiter le traitement de vos Données à caractère personnel à certaines finalités et sous plusieurs conditions ;
Droit d’opposition : lorsque le traitement est effectué en vertu d’un intérêt légitime d’EPI, vous pouvez vous opposer à ce traitement, sauf si nous avons des motifs légitimes impérieux de le poursuivre.
Droit à la portabilité des données : lorsque les Données à caractère personnel sont nécessaires à l’exécution d’un contrat conclu avec vous ou sont traitées sur la base de votre consentement, vous pouvez demander à EPI de vous communiquer vos Données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine ; et/ou de les transmettre à un autre Responsable du traitement ;
Retrait de votre consentement (le cas échéant) : lorsque vos Données à caractère personnel sont traitées sur la base de votre consentement, vous pouvez retirer ce consentement à tout moment ;
Droit de définir des directives après le décès : lorsque la législation nationale le permet, vous pouvez définir des directives sur la manière dont vos Données à caractère personnel doivent être traitées après votre décès.
Vous pouvez exercer vos droits en adressant un e-mail à notre Délégué à la protection des données à l’adresse suivante : dpo@epicompany.eu. Nous sommes susceptibles de vous demander un justificatif d’identité en cas de doute.
Si vous pensez que vos droits ont été violés, vous avez le droit d’introduire une réclamation auprès d’une autorité de contrôle. Les autorités de contrôle compétentes à notre égard sont en particulier l’autorité belge de protection des données et, si vous résidez dans l’UE, l’autorité européenne de protection des données dans votre pays de résidence, dont vous trouverez les coordonnées ici à l’aide des options de contact : https://edpb.europa.eu/about-edpb/about-edpb/members_fr.
Nous nous engageons à répondre à vos préoccupations et à garantir la protection de vos droits.
La présente politique sera mise à jour à tout moment afin de tenir compte de l’évolution de la réglementation et/ou du progrès technologique et de l’évolution et la mise en œuvre des services dans l’application Wero. Ces modifications prendront effet sur-le-champ dès la publication de la politique mise à jour sur notre site Internet et dans l’application Wero. Nous vous encourageons à régulièrement consulter cette politique pour rester informé de la manière dont nous protégeons vos informations.
Si nous apportons des modifications significatives à la présente Politique, nous vous en informerons par e-mail ou en publiant un avis sur notre site Internet avant la date de prise d’effet des modifications. À moins que votre consentement ne soit requis par la réglementation applicable, en continuant à utiliser nos services après la publication de ces modifications, vous êtes réputé avoir accepté ces modifications.
Dernière mise à jour : 1er Novembre 2024