Politique de Confidentialité

Activités Interdites
Conditions Générales
Formes Juridiques Autorisées
Mentions légales
Politique de Confidentialité
Politique de Gestion des Cookies
Sécurité
CONTACTS
Confidentialité
dpo@qileo.com
Service clients
help@qileo.com
Sécurité
securite@qileo.com
Example H2

Résumé

La politique de confidentialité de Qileo a pour but de garantir la confidentialité et la sécurité des informations des clients. 

Cette politique établit les principes et les mesures que Qileo met en place pour collecter, traiter et stocker les données de manière transparente et sécurisée. Elle inclut le chiffrement des données, l'accès restreint aux informations, des protocoles rigoureux de gestion des consentements et des audits réguliers pour assurer la conformité aux régulations telles que le RGPD. 

La présente politique sera revue annuellement et ponctuellement en cas de nécessité réglementaire, sécuritaire ou organisationnelle.

Introduction

Qileo

Qileo a rédigé cette politique de respect de la vie privée et de la protection des données personnelles applicable au site internet et à l’application mobile. Elle vise à garantir la confidentialité, l'intégrité et la disponibilité des données personnelles conformément à la loi nᵒ 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et au Règlement Général sur la Protection des Données (RGPD) entré en application le 25 mai 2018.

Cette politique a pour but d’ informer les utilisateurs (clients, prospects, candidat à un poste et visiteurs du site web) sur les catégories de données personnelles que Qileo pourrait recueillir ou détient sur eux, comment Qileo les collecte, dans quels buts, quels en sont les destinataires, la durée pendant laquelle Qileo les conserve, les mesures de sécurité appliquées et enfin les droits dont disposent ces utilisateurs.

Qileo invite chaque utilisateur à consulter régulièrement la présente politique de respect de la vie privée et de la protection des données personnelles, les mentions légales et la politique de gestion des cookies pour connaître ses modifications éventuelles.

Les sources juridiques françaises et européennes 

La politique de confidentialité de Qileo s’appuie sur plusieurs sources juridiques pour assurer la conformité avec les réglementation en vigueur en matière de protection des données personnelles. Les principales sources juridiques incluent : 

  • le Règlement Général sur la Protection des Données (RGPD) UE 2016/679 : le RGPD est la législation principale de l’Union Européenne en matière de protection des données personnelles. Il établit des normes strictes pour le traitement des données et assure la protection des droits des individus. 
  • La Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : cette loi, modifiée par la loi n°2018-493 du 20 juin 2018, encadre le traitement de données personnelles en France. Elle complète et précise les dispositions du RGPD dans le contexte français. 
  • Le code de consommation : certaines dispositions de ce code peuvent s’appliquer au traitement des données personnelles des consommateurs, notamment en matière de consentement et de protection des droits des consommateurs. 
  • Autorité de contrôle - la Commission Nationale de l’Informatique et des Libertés (CNIL) : Créée par la loi Informatique et Libertés du 6 janvier 1978,  la Commission nationale de l’informatique et des libertés est une autorité administrative indépendante. Elle veille à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papier, aussi bien publics que privés. Elle fournit des recommandations, des lignes directrices et des décisions qui influencent la mise en œuvre des politiques de confidentialité. 

Au quotidien, la CNIL s’assure que l’informatique est au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Dans l’univers numérique, la Commission nationale de l'informatique et des libertés (CNIL) est le régulateur des données personnelles (Informer les personnes et protéger leurs droits, Anticiper et innover, Accompagner la conformité et conseiller et Contrôler et sanctionner). Elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.

1. Définitions 

Qileo se base sur les termes et les définitions présents dans le glossaire d’Edenred relatif à la protection des données personnelles. 

Donnée personnelle à caractère personnel : Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable, directement (exemple : nom et prénom) ou indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image), des données de localisation, un identifiant en ligne ou un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne.

Traitement de données personnelles : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, la modification, l'extraction, la consultation, l'utilisation, la divulgation, la diffusion, la limitation, l'effacement ou la destruction

Un traitement de données doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation.

Personnes vulnérables : Si les personnes concernées sont moins à même de comprendre comment leurs données sont utilisées, d'anticiper la manière dont elles pourraient être affectées ou de se protéger contre toute conséquence indésirable, elles peuvent être considérées comme des personnes vulnérables. Par exemple, les personnes vulnérables peuvent être des enfants, des personnes âgées ou des personnes souffrant de certains handicaps.

Les personnes peuvent également être vulnérables lorsque les circonstances peuvent limiter leur capacité à consentir librement ou à s'opposer au traitement de leurs données à caractère personnel. Par exemple, les employés peuvent être considérés comme des personnes vulnérables en raison de la nature de leur relation avec leur employeur (lien de subordination).

Il incombe au responsable du traitement de s'assurer qu'il existe des garanties suffisantes pour éviter de créer ou de maintenir un déséquilibre de pouvoir avec les personnes concernées vulnérables.

Responsable de traitement : Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c'est-à-dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.

Sous-traitant : Le sous-traitant est une personne physique ou morale ou une autorité publique qui traite des données à caractère personnel pour le compte du responsable du traitement.

L'élément essentiel est que le sous-traitant n'agit que « pour le compte » du responsable du traitement et ne suit donc que ses instructions et doit collaborer avec ce dernier en cas de violation de données.

Destinataire des données : Personne physique ou morale ou une autorité publique habilitée à obtenir communication de données enregistrées dans un fichier ou un traitement en raison de ses fonctions.

Un "tiers autorisé" : est une personne ou un organisme qui peut accéder à certaines données contenues dans des fichiers publics ou privés parce qu'une loi l'y autorise expressément. Ces "tiers autorisés" sont des autorités publiques ou des auxiliaires de justice (L'administration fiscale, Les organismes de sécurité sociale, dans le cadre de la lutte contre la fraude, et les organismes chargés de l'instruction, du versement et du contrôle du RSA, Les administrations de la justice, de la police et de la gendarmerie et Les commissaires de justice)

Délégué à la protection des données (DPO) : En vertu du RGPD, certaines organisations doivent obligatoirement désigner un délégué à la protection des données qui est chargé de les informer et de les conseiller sur leurs obligations en matière de protection des données et qui les aide à définir et à contrôler leur conformité.

Données sensibles : Ce sont des informations (ou catégories spéciales de données personnelles) qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Le traitement de ces informations est en principe interdit, sauf dans des circonstances spécifiques. Il est possible de traiter des données sensibles, par exemple si le traitement est nécessaire à des fins de diagnostic médical, ou avec des garanties spécifiques dans le domaine du droit du travail, ou avec le consentement explicite de la personne concernée.

Données à caractère personnel relatives aux condamnations pénales et aux infractions : Couvre toutes les données à caractère personnel liées à des infractions pénales ou spécifiquement utilisées pour apprendre quelque chose sur le casier judiciaire ou le comportement d'une personne.

L’anonymisation des données personnelles : L'anonymisation des données est un processus qui consiste à utiliser un ensemble de techniques afin qu'une personne (personne concernée) ne soit pas ou plus identifiable par quelque moyen que ce soit. Le processus est irréversible et permanent et la réidentification doit être impossible par corrélation, inférence ou individualisation. Il convient de faire la distinction avec un processus de « pseudonymisation ».

Lorsque le processus est exécuté correctement, les données anonymes ne relèvent pas du champ d'application du règlement sur la protection des données.

La pseudonymisation des données personnelles : la pseudonymisation est un traitement de données à caractère personnel tel que les données ne peuvent plus être attribuées à une personne physique sans l'utilisation d'informations supplémentaires.

Le fait de conserver les données dépersonnalisées séparément des « informations supplémentaires » permet aux responsables du traitement d'utiliser les données à caractère personnel de manière plus libérale sans craindre de porter atteinte aux droits des personnes concernées, puisque les données ne deviennent identifiables que lorsque les deux éléments sont conservés ensemble.

Données chiffrées : Le chiffrement est une méthode qui consiste à protéger ses documents en les rendant illisibles par toute personne n’ayant pas accès à une clé dite de déchiffrement.

Il s'agit d'un moyen de protection contre le traitement non autorisé ou illégal des données à caractère personnel et d'un moyen de démontrer le respect du principe de sécurité.

Le chiffrement protège les informations stockées sur des appareils numériques et lors de leur transmission, et il existe un certain nombre d'options de chiffrement différentes (par exemple, l'utilisation de l'AES-256 est une bonne pratique).

Droits des personnes concernées : L'un des objectifs de la protection des données est de responsabiliser les individus et de leur donner le contrôle de leurs données personnelles.

Les droits des personnes concernées comprennent le droit d'être informé, le droit d'accès, le droit de rectification, le droit d'effacement, le droit de restreindre le traitement, le droit à la portabilité des données, le droit d'opposition et le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé.

Les responsables du traitement sont tenus de répondre à toute demande valable d'une personne concernée dans un délai d'un mois (qui peut être étendu à trois mois au total à compter de la réception de la demande, en fonction de sa complexité).

Informations (à fournir à la personne concernée) : Les personnes concernées ont le droit d'être informées de l'identité du responsable du traitement, des finalités du traitement de leurs données à caractère personnel, de la base juridique de ce traitement, de la période de conservation des données, de leurs droits et d'autres informations pertinentes nécessaires pour garantir un traitement équitable et transparent des données à caractère personnel. Ces informations doivent être communiquées par le biais d'une note d'information (politique de confidentialité).

Base juridique : La base légale est la justification juridique sur laquelle repose un traitement de données.

Les données à caractère personnel ne doivent être traitées que s'il existe une base légale applicable, qui peut comprendre : 

- Exécution d'un contrat : nécessité de traiter les données à caractère personnel pour la conclusion ou l'exécution d'un contrat conclu avec la personne concernée ;

- Consentement : consentement libre, spécifique, éclairé et explicite d'une personne par une déclaration ou une action signifiant qu'elle accepte le traitement de ses données à caractère personnel ;

- Respect d'une obligation légale : nécessité de traiter les données à caractère personnel pour garantir le respect d'une obligation légale ;

- Intérêt légitime : nécessité de traiter les données à caractère personnel pour les intérêts légitimes poursuivis par le responsable du traitement (ou par un tiers), sauf lorsque les intérêts du responsable du traitement l'emportent sur les intérêts, les droits fondamentaux ou les libertés des personnes concernées, qui nécessitent une protection ;

- La sauvegarde des intérêts vitaux : nécessité de traiter les données à caractère personnel afin de protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique ; et

- Intérêt public : nécessité de traiter les données à caractère personnel pour l'exécution d'une mission d'intérêt public ou dans l'exercice de l'autorité publique dont est investi le responsable du traitement.

Le consentement représente l'accord de la personne concernée à ce que ses données soient collectées et utilisées. ​​Pour être invoqué, le consentement doit être

- librement donné par l'utilisateur (c'est-à-dire qu'il ne doit pas avoir été obtenu sous la contrainte ou l'influence, qu'il doit avoir un choix réel et qu'il ne doit pas y avoir de conséquences négatives en cas de refus)

- spécifique (valable uniquement pour une finalité spécifique, et non pour plusieurs finalités, et ne pas être mélangé avec les conditions générales de vente)

- éclairé (l'utilisateur doit être clairement informé du traitement sous-jacent)

- univoque, c'est-à-dire obtenu par un acte positif (l'option de refus n'est pas valable). Le consentement doit être traçable pour prouver sa collecte (date de collecte) et son retrait.

En cas de retrait du consentement, celui-ci doit être facilité (retiré aussi facilement qu'il a été donné et sans conséquences négatives).

Analyse d’impact relative à la protection des données (AIPD) : Un PIA, également connu sous le nom de DPIA (Data Protection Impact Assessment), est un processus conçu pour vous aider à analyser systématiquement vos opérations de traitement des données, à identifier les risques pour les individus (personnes concernées) et à atténuer ces risques par le biais d'un plan d'action. Il s'agit d'un élément clé de vos obligations en matière de responsabilité, qui consiste à démontrer aux autorités comment vous vous conformez à vos obligations en matière de protection des données.

Une analyse d'impact ne doit pas nécessairement éliminer tous les risques, mais doit vous aider à les atténuer et à déterminer si le niveau de risque est acceptable compte tenu des circonstances de votre projet et des avantages que vous souhaitez en retirer.

Violation des données : Une violation de données se produit lorsque les données à caractère personnel dont l'entreprise est responsable sont confrontées à un incident de sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à celles-ci, de manière accidentelle ou illicite.

Il peut en résulter une violation de la confidentialité (par exemple, envoi de données à caractère personnel au mauvais destinataire, piratage de données à caractère personnel), de la disponibilité (par exemple, serveurs verrouillés par cryptage) ou de l'intégrité (par exemple, altération ou modification non autorisée de données à caractère personnel).Si une telle violation se produit et qu'il est probable qu'elle présente un risque pour les droits et libertés d'une personne, l'entreprise peut être tenue d'en informer : 

  • l'autorité chargée de la protection des données dans les meilleurs délais, au plus tard 72 heures après avoir pris connaissance de la violation. Si l'entreprise est un sous-traitant, elle doit notifier chaque violation de données au responsable du traitement ; 
  • PPS EU dans les 36h au plus tard ; et
  • aux personnes concernées par la violation de données.

Il est donc essentiel de mettre en œuvre des mesures techniques et organisationnelles appropriées pour éviter d'éventuelles violations de données. Si vous pensez qu'une violation de données s'est produite, veuillez contacter votre correspondant local pour la protection des données dans les plus brefs délais.

2. Identité et coordonnées de Qileo

Les données personnelles sont collectées par Qileo. Elle intervient principalement en qualité de responsable de traitement au sens de la Réglementation applicable pour le traitement des données personnelles aux fins de fourniture de notre application mobile, nos services et lors de la navigation sur son site web.

Qileo a désigné un délégué à la protection des données, dont le rôle et la mission sont définis comme suit : 

  • Rôle du délégué à la protection des données (DPD) : le DPD, également connu sous le titre de Responsable de la conformité/Head of compliance, est chargé de superviser la protection des données personnelles au sein de Qileo. Il veille à ce que toutes les activités de traitement de données soient conformes aux réglementations en vigueur, notamment le Règlement Général sur le Protection des Données (RGPD). 
  • Mission du DPD : some text
    • conseil et information : fournir des conseils à Qileo et à ses employés sur leurs obligations en matière de protection des données ; 
    • contrôle de la conformité : surveiller le respect des politiques de protection des données de Qileo et des réglementations applicables ; 
    • Coopération avec les autorités de contrôle : agir en tant que point de contact avec la CNIL et collaborer avec celle-ci sur des questions relatives au traitement des données ; 
    • gestion des demandes : traiter les demandes des personnes concernées par leurs droits en matière de protection des données (droits d’accès, de rectification, d’effacement.

L’outil RGPD permettant à Qileo de suivre le traitement des données  est : Witik (en cours de finalisation). Le Délégué à la Protection des données chez Qileo peut être contacté via l’adresse mail suivante : dpo@qileo.io

3. Catégorisation des données personnelles collectées

  • Des données d’identification: nom, prénom, adresse postale, email, numéro de téléphone, date et lieu de naissance, numéro d’identité fiscale, document d’identité (passeport, carte nationale d’identité, titre de séjour), justificatif de domicile, résidence fiscale, le pays de résidence et l’identifiant national associé du bénéficiaire, déclaration d’impôts et de patrimoine.
  • Des données d’authentification : les identifiants, le code d’accès et la biométrie, les coordonnées relatives aux utilisateurs supplémentaires, accès unique pour mener certaines tâches par les utilisateurs supplémentaires.
  • Des données relatives à votre activité professionnelle: la profession, les numéros de SIRET et de TVA, le secteur d’activité, les actifs, les opérations à réaliser, l’attente en terme de CA, les statuts de l’entreprise, les liasses fiscales, la déclaration URSSAF, compte de résultat et bilan.
  • Des données relatives aux moyens de paiement: autre RIB détenu par le client, IBAN, coordonnées des comptes Qileo et carte virtuelle et physique de paiement Qileo
  • Des données relatives aux opérations bancaires: les dates et heures des opérations sur le compte du client, historique de l’utilisation de nos services
  • Des données relatives à la connexion: adresse IP, les logs de connexion, le nombre de connexions, leur durée et leur historique
  • Des données relatives à la navigation sur le site ou l’application: identifiant unique, des statistiques de navigation et des données comportementales relatives aux interactions avec les contenus, le type et la version du navigateur, fuseau horaire, les plug-ins installés, le type de terminal, le système d’exploitation, les durées de connexion et les recherches effectuées.
  • Des données issues des enregistrements des appels téléphoniques ou par visioconférences et échanges par mail ou chats  entre le client et notre service de  relation client, le contenu des appels,vidéos, échanges écrits et leurs dates.

4. Moyen de la collecte des données personnelles

📋Les données personnelles sont collectées directement auprès des utilisateurs par le biais d’un formulaire d’inscription, lorsqu'il contacte Qileo.

🍪Les données collectées automatiquement via les cookies - traceurs lors de la navigation sur le site de Qileo

Les données collectées de manière indirecte via des bases de données publiques.

5. Utilisation des données personnelles

Qileo utilise les données collectées aux fins ci-dessous :

Lors de la collecte des données, l’utilisateur est informé si certaines Données doivent être obligatoirement renseignées (Données identifiées par un astérisque au sein du formulaire de collecte) ou si elles sont facultatives. 

Qileo collecte uniquement les données personnelles nécessaires à la prestation de ses services financiers.

6. Traitement des données personnelles et des consentements

Les données Personnelles sont traitées conformément aux finalités spécifiques pour lesquelles elles ont été collectées ci-dessus.

Qileo assure la qualité et la précision des données personnelles, et encourage les utilisateurs à les mettre à jour régulièrement. Les utilisateurs sont informés de manière transparente sur la finalité de la collecte et du traitement de leurs données.

Les consentements sont obtenus de manière explicite pour chaque type de traitement de données, conformément à la politique de gestion des cookies

La politique de gestion des cookies prévoit, lors de la première visite sur le site internet de Qileo, que l’utilisateur a la possibilité de consentir au dépôt des cookies ou traceurs dont l’information est communiquée en cochant la case “j'accepte tout” qui figure sur le bandeau de préférence.

NB: il existe des cookies obligatoires qui ne requièrent pas l’accord de nos utilisateurs mais sont mentionnés dans le widget.

Le recueil du consentement des utilisateurs ne concerne que les cookies qui ne sont pas strictement nécessaires. La fonctionnalité est désactivée par défaut.

L’utilisateur a également la possibilité de refuser l’enregistrement de cookies ou traceurs sur son terminal en cliquant sur le bouton “Non merci” ou en paramétrant ses choix dans le bandeau de gestion des cookies en cliquant sur la case “Je choisis”.

Il sera toujours possible pour l’utilisateur de modifier ses préférences à tout instant.

Qileo s’est associé à AXEPTIO, société Française par actions simplifiée au capital de 77 280,00€ située 15 rue du Général Campredon 34000 Montpellier et respectueuse du RGPD et du CCPA, pour gérer le consentement de ses utilisateurs.

7. Partage des données personnelles

Données traitées par Qileo

Qileo ne cède pas, ne loue pas ou n’échange pas ses fichiers clients.

Données Personnelles partagées aux autorités

Conformément à la réglementation en vigueur, les données personnelles collectées par Qileo, (incluant : les données d’identification, les données d'authentification, les données relatives à l’activité professionnelle, les données relatives aux moyens de paiement, les données relatives aux opérations bancaires, les données relatives à la connexion, les données relatives à la navigation sur le site ou l’application, les données issues des enregistrements des appels téléphoniques ou par visioconférence et échanges par mail ou chat) peuvent être transmises aux autorités compétentes sur requête et notamment aux organismes publics, aux les organismes fiscaux et sociaux, les officiers munistériels, aux autorités et auxiliaires de justice, aux organismes chargés d’effectuer le recouvrement de créances, exclusivement pour répondre aux obligations légales, ainsi que dans le cas de la recherche des auteurs d’infractions financières.

Données Personnelles partagées à nos partenaires (sous-traitants)

Qileo travaille en étroite collaboration avec des sous-traitants qui gèrent nos services externalisés. Ces partenaires sont des transformateurs/ processeurs de données, traitant les données personnelles conformément aux instructions de Qileo. Qileo travaille et notamment avec :

Qileo transmet uniquement les Données Personnelles dont ses prestataires ont besoin pour effectuer les tâches qu’elle externalise, et exige que ces derniers n’utilisent pas les Données Personnelles de nos utilisateurs à d’autres fins. 

Nos prestataires n'agissent que conformément à nos instructions et sont contractuellement tenus d’assurer un niveau de sécurité et de confidentialité des Données Personnelles de nos utilisateurs et de se conformer à la réglementation applicable sur la protection des données à caractère personnel. 

8. Les mesures de sécurité des Données Personnelles

Des mesures techniques et organisationnelles robustes sont mises en place pour assurer la sécurité, pour interdire l’accès non autorisé ou la modification, la divulgation, la perte ou destruction des Données Personnelles de nos utilisateurs. 

  • verrouillez votre ordinateur lorsqu'il n'est pas utilisé
  • utilisez des mots de passe forts et changez-les régulièrement
  • ne cliquez pas sur les liens reçus d'un expéditeur inconnu
  • Vérifiez deux fois que vous envoyez le fichier au bon destinataire lorsque vous envoyez des données à caractère personnel par courrier électronique.
  • Soyez très prudent lors des conversations dans les lieux publics et les bureaux à aire ouverte
  • ne laissez pas traîner de copies papier de vos données personnelles
  • N'utilisez pas une poubelle ordinaire pour vous débarrasser des copies papier contenant des données à caractère personnel.
  • n'utilisez que des clés USB fortement cryptées pour conserver vos données personnelles
  • Garder les portes de sécurité fermées
  • Prendre des précautions supplémentaires avec les appareils mobiles
  • utiliser des câbles antivol pour verrouiller votre équipement informatique
  • assurez-vous que toutes les données personnelles que vous utilisez sont sauvegardées.

Les opérations financières et les données personnelles de nos clients sont protégées par des protocoles d' authentification forte :  

  • l'utilisation de la 3DS : la 3-D Secure est un protocole de sécurité conçu pour renforcer la sécurité des paiements en ligne. Lorsqu’un client effectue une transaction en ligne, il est redirigé vers une page sécurisée où il doit entrer un code de vérification unique, généralement envoyé par SMS pour confirmer la transaction ;
  • la biométrie : cette méthode ajoute un niveau de sécurité supplémentaire car elle est difficile à falsifier et assure que seuls les utilisateurs autorisés peuvent accéder aux données sensibles ; 
  • l’identifiant unique : chaque utilisateur se voit attribuer un identifiant unique pour accéder aux systèmes de Qileo. Cet identifiant aide à suivre et à contrôler l’accès aux données, permettant ainsi une gestion plus sécurisée et traçable des informations personnelles ; 
  •  le chiffrement de données en transit ou au repos: les données personnelles et les informations financières sont chiffrées lorsqu’elles sont transmises entre les systèmes (chiffrement en transit) et lorsqu’elles sont stockées (chiffrement au repos). Cela garantit que les données sont protégées contre l’accès non autorisé. 

9. Durée de conservation des données personnelles

Les données personnelles collectées auprès de nos utilisateurs ne seront pas conservées au-delà de la durée strictement nécessaire aux finalités poursuivies telles qu’énoncées dans la présente politique et ce conformément au Règlement et aux lois applicables.

Lorsque les durées de conservation arrivent à leur terme, les données personnelles sont effacées ou anonymisées de manière à pouvoir les exploiter sans porter atteinte aux droits de nos clients. 

Néanmoins, les Données Personnelles pourront être archivées au-delà des durées prévues pour les besoins de la poursuite des infractions pénales dans le seul but de permettre, en tant que de besoin, la mise à disposition des Données Personnelles aux autorités judiciaires.

10. Hébergement

Les données collectées par Qileo via son application mobile sont conservées et stockées, pendant toute la durée de leur conservation sur les serveurs de Scaleway situé au 8 rue de la VILLE L'EVEQUE, 75008 PARIS. Les données sont hébergées en France, au Pays-Bas et en Pologne.Les données collectées par Qileo via son site web sont conservées et stockées en France sur les serveurs de notre prestataire OVH, une entreprise française qui garantit un niveau élevé de sécurité située au 2 rue KELLERMANN, 59100 ROUBAIX. Les données sont hébergées en France. 

11. Transfert des données personnelles

Les données personnelles ne font pas l’objet de transfert hors du territoire de l’Union européenne. Cas exceptionnel : demande des autorités hors UE + reprise article français de réquisition (article 77-1-1 du code de procédure pénale français).

12. Droits des Utilisateurs

Conformément à la réglementation applicable en matière de protection des Données Personnelles, l’utilisateur bénéficie d’un certain nombre de droits relatifs à ses Données, à savoir :

  • Un droit d’accès : l’utilisateur doit pouvoir savoir si ses données font bien l’objet d’un traitement et si oui, en obtenir une copie dans un format compréhensible. Ce droit permet également à l’utilisateur de contrôler l'exactitude de ses données et, au besoin, de les faire rectifier ou effacer.
    Pour cela, l’équipe conformité vérifie la validité de la demande, escalade le cas au DPO pour traitement qui apporte une réponse dans un délai d’un mois maximum.
  • Un droit d’information : l’utilisateur a le droit d’être informé de manière concise, transparente, intelligible et facilement accessible de la manière dont ses données personnelles sont traitées. 
  • Un droit de rectification : l’utilisateur a le droit d’obtenir la rectification de ses données personnelles inexactes, de compléter ses données personnelles incomplètes, en fournissant une déclaration complémentaire. 

Qileo s’engage à communiquer cette rectification à l’ensemble des destinataires de la ou des données rectifiées.

  • Un droit à l’oubli/d’effacement : dans certains cas, l’utilisateur a le droit d’obtenir l’effacement de ses Données Personnelles. Cependant, ceci n’est pas un droit absolu et Qileo peut pour des raisons légales ou légitimes conserver ses Données Personnelles.
  • Un droit à la limitation du traitement : dans certains cas, l’utilisateur a le droit d’obtenir la limitation du traitement sur ses Données Personnelles.
  • Un droit à la portabilité : l’utilisateur a le droit de recevoir les Données Personnelles qu’il a fournies, au format PDF, couramment utilisé et lisible par une machine, à usage personnel ou pour les transmettre à un tiers de son choix.  Ce droit ne s’applique que lorsque le traitement de ses Données Personnelles est fondé sur son consentement, sur un contrat et que ce traitement est effectué par des moyens automatisés.
  • Un droit rétractation/d’opposition au traitement : l’utilisateur a le droit de s’opposer à tout moment au traitement de ses Données Personnelles pour les traitements basés sur un intérêt légitime, une mission d’intérêt public et ceux à des fins de prospection commerciale. Ceci n’est pas un droit absolu et Qileo peut pour des raisons légales ou légitimes refuser votre demande d’opposition.

Pour exercer ces droits, l’utilisateur peut : 

  • cliquer sur le lien de désabonnement disponible au bas des newsletters et emails marketing s’il ne souhaite plus en recevoir
  • contacter le DPO à l’adresse suivante : dpo@qileo.com
  • Recours à la CNIL : si la demande adressée au DPO n’aboutit pas ou n’est pas satisfaisante, l’utilisateur peut s’adresser directement à la CNIL pour déposer une plainte concernant la protection de ses données personnelles et l’exercice de ses droits
    NB: un justificatif d’identité est demandé systématiquement dans l’exercice de droits pour les cas d’usurpation d’identité et sera supprimé après satisfaction de la demande.

13. Données Personnelles

La gestion et le traitement des Données Personnelles du Client est encadrée par les dispositions du présent Contrat tel décrit dans les conditions générales, ses Annexes, ainsi que par la Politique de Protection des Données de la Société, consultable dans notre politique de confidentialité.

En adhérant au présent Contrat, le Client consent à ce que la Société partage ses Données Personnelles avec des partenaires ou sous-traitants à qui certaines activités ont été externalisées, dans le cadre de l'exécution des Services permettant de lui proposer les offres de compte de Qileo.

14. Convention de preuve

Les présentes dispositions ont pour objet de définir les règles applicables à la recevabilité des preuves dans le cadre de l’exécution des Services. À ce titre, le Client et la Société conviennent que la preuve des ordres de paiement effectués après une Authentification forte pourra être établie à l’aide de la reproduction sur support informatique de l’Authentification enregistrée par la Société. En l’absence de preuve contraire apportée par le Client, les données détenues par la Société feront foi.

La Société pourra également certifier que Vos Données de paiements ayant permis de réaliser Vos Transactions sur un Compte grâce à un procédé d’horodatage, lequel constituera une preuve des Informations qu’il contient. Par les présentes, le Client accepte l’enregistrement de toutes les communications électroniques effectuées avec la Société, à des fins probatoires et pour l’amélioration des Services.

Enfin, le Client reconnaît qu’il est présumé avoir pris connaissance de tout mail qui lui ont été adressés par la Société, de toute notification publiée sur son Espace personnel, sauf dans les cas où la loi exige clairement un autre mode de notification.

15. Révision de la politique de protection des données personnelles

Afin de garantir que la présente politique de protection des données personnelles reste conforme aux exigences légales et aux meilleures pratiques, Qileo a mis en place un processus de révision régulier et basé sur des éléments déclencheurs spécifiques : 

  • Révision annuelle : la politique sera revue et, si nécessaire, mise à jour une fois par an. Cette révision annuelle vise à assurer que la présente politique reste alignée avec les dernières évolutions réglementaires et les pratiques du secteur ; 
  • Révisions exceptionnelle, basée sur des éléments déclencheurs : outre la révision annuelle, des révisions supplémentaires pourront être effectuées en réponse à des événements spécifiques, tels que :
    • des nouvelles réglementations : toute modification des lois ou réglementations applicables en matière de protection des données personnelles ; 
    • changements organisationnels : toute modification significative de la structure organisationnelle de Qileo, de ses processus internes ou de ses pratiques commerciales ; 
    • incidents de sécurité ; tout incident de sécurité majeur ou toute violation de données qui nécessiterait une mise à jour de la politique pour renforcer les mesures de protection ; 
    • retours d'expérience : toute recommandation issue des audits internes ou externes, ou des retours d'expérience des utilisateurs ou des employés. 

Lorsque cela est nécessaire, notamment mais pas exclusivement en cas de modification substantielle ou d’évènement particulier requérant la modification de la présente politique, Qileo informera et/ou sollicitera l’accord de ses utilisateurs.

16. Échange avec nos différents services

La Société propose une page de questions régulièrement posées (FAQs/Centre d’aide) accessible depuis le site internet ou l’application, dans le but d'assister le Client dans ses interrogations. Cependant, en cas de divergence entre les informations contenues dans le Centre d’aide et les dispositions du présent Contrat, ce dernier sera considéré comme le seul document juridiquement valable.

La procédure relative à l'envoi des réclamations est détaillée à l'article 29 « Procédure des réclamations » des Conditions Générales.

Ci-dessous les différents moyens pour contacter nos services.

CONTACTS

Confidentialité : dpo@qileo.com

Service clients : help@qileo.com

Sécurité : securite@qileo.co

Par voie postale : 120 RUE JEAN JAURES, 92300 LEVALLOIS-PERRET

Par le Centre d'aide de l'Application et/ou du Site internet