Procédure de contrôle et de protection des données à caractère personnel ou confidentielles
DATE : 20/06/2023
OBJET :
Cette procédure de contrôle et de protection des données à caractère personnel ou confidentielles (la « Procédure sur la protection des données ») a été mise en place par RAIZERS afin de se conformer aux nouvelles obligations réglementaires définies par le Règlement EU 2020/1503 du 7 octobre 2020 relatif aux prestataires européens de services de financement participatif pour les entrepreneurs (le « Règlement »), dont certaines dispositions ont été adaptées en droit français par l’ordonnance n° 2021-1735 du 22 décembre 2021 modernisant le cadre relatif au financement participatif.
CHAMP D’APPLICATION :
La Procédure sur la protection des données s’applique à RAIZERS SAS (« RAIZERS »).
I. APPLICATION DU RGPD
Pour toute collecte et/ou traitement des données à caractères personnelles, les règles posées par le Règlement général sur la protection des données 2016/679 du 27 avril 2016 (le « RGPD ») s’appliquent.
Il est rappelé que le terme « données à caractère personnel » est défini par le RGPD comme « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
Le terme « traitement » est défini par le RGPD comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
II. DONNES PERSONNELLES COLLECTEES ET TRAITEES PAR RAIZERS
1. Collecte des données
RAIZERS collecte les données personnelles de personnes qui visitent sa plateforme (les « Internautes ») ou qui s’y inscrivent (les « Utilisateurs »).
Les données personnelles collectées sur la plateforme sont celles permettant à RAIZERS d’identifier les Utilisateurs directement ou indirectement en vue de la fourniture des différents services proposés par la plateforme.
Il peut s’agir notamment de données nominatives comme le nom, prénom, l’adresse courriel, l’adresse postale, le numéro de téléphone, la date de naissance, le genre ou des données de connexion comme l’adresse IP et données de navigation comme les cookies. Des données doivent également être fournies par les Utilisateurs aux fins du versement d’une souscription ou d’un remboursement (IBAN, BIC, identité du titulaire du compte bancaire, titulaire du compte titre).
2. Traitement des données
Ces données sont utilisées pour l’exécution du contrat entre RAIZERS et l’Utilisateur, dans la poursuite d’un objectif légitime ou bien dans le cadre d’obligations réglementaires/légales pesant sur RAIZERS en tant que prestataire de services de financement participatif.
Elles sont utilisées par RAIZERS ou bien par des prestataires ou sous-traitants de RAIZERS.
La « Politique de confidentialité des Données Personnelles » de RAIZERS précise les droits d’accès, de rectification et d’opposition des Internautes et Utilisateurs de la plateforme. Elle est disponible à l’adresse suivante : https://raizers.com/conditions-generales-utilisation et est reproduite en Annexe 1.
III. PREVENTION CONTRE LA FRAUDE & PROTECTION DES DONNEES PERSONNELLES
1. Sécurisation des données personnelles par CAPSENS
Lors du développement de la plateforme, CAPSENS s’est assuré de la sécurisation de la plateforme qui est auditée de manière annuelle. Une société indépendante réalise ces audits.
Comme cela est mentionnée dans la procédure PSSI (« Politique de sécurité des systèmes d’informations »), un audit automatique est effectué à chaque évolution importante pour s’assurer qu’il n’y a aucune faille de sécurité connue dans les dépendances de l’application.
Les Utilisateurs sont déconnectés de manière automatique au bout d’une heure d’inactivité.
Tous les échanges entrant et sortant du serveur sont chiffrés grâce au protocole HTTPS et la robustesse du certificat SSL est auditée semestriellement.
2. Sécurisation des données personnelles par RAIZERS
Tous les outils web traitant de la donnée sensible, utilisés par les salariés de RAIZERS, sont sécurisés par des mots de passe forts et par une double authentification. Chaque salarié se voit former sur le sujet à son arrivée et une vérification des comptes est réalisée par un chef de projet technique. Les mots de passe de chaque outil web sont modifiés tous les trimestres par un chef de projet technique.
Dans un souci de confidentialité et de sécurité, tous les salariés de RAIZERS sont soumis à une clause de confidentialité qui encadre l’entièreté de leur travail.
Également, le Backoffice de RAIZERS se déconnecte au bout d’une heure.
IV. CONSERVATION ET ACCES AUX DONNEES
RAIZERS s’engage à conserver, sur un support durable, tous les enregistrements relatifs à ses services et transactions ainsi que tous les accords passés avec ses Internautes et Utilisateurs :
- Pour une durée de 10 ans au-delà de la date de l’opération pour tout investissement en actions et/ou obligations ;
- Pour une durée de 5 ans au-delà de la date de remboursement pour tout investissement en prêt ; et
- Pour une durée de 5 ans pour tous les autres cas après qu’il soit mis fin à la relation contractuelle.
RAIZERS s’engage à veiller à ce que ses Internautes et Utilisateurs puissent à tout moment accéder aux données confidentielles et personnelles qu’ils auront fournies à RAIZERS.
Une sauvegarde toutes les vingt-quatre (24) heures de la base de données de RAIZERS est assurée par CAPSENS. Cette sauvegarde est effectuée sur un serveur distinct de la base de données en production et remonte à sept (7) jours.
V. RESPONSABLE DE LA PROCEDURE ET REVISION
1. Responsable de la Procédure sur la protection des données
Amandine NAUDIN, Directrice juridique de RAIZERS, est désignée comme responsable de la Procédure sur la protection des données.
2. Révision de la Procédure sur la protection des données
La Procédure sur la protection des données fait l’objet d’une révision annuelle.
Annexe 1 : Politique de confidentialité des Données Personnelles
(2) Politique de confidentialité des Données Personnelles
En vigueur à compter du 20/06/2023
RAIZERS a mis à jour sa politique de confidentialité relative aux Données Personnelles (ci-après, la « Politique de Confidentialité ») afin de porter à la connaissance du public les moyens mis en œuvre pour protéger la vie privée des personnes qui visitent la Plateforme RAIZERS (ci-après, les « Internautes »), ou s’y inscrivent (ci-après, les « Utilisateurs ») en vue d’utiliser les services proposés sur celle-ci, ou toute autre personne physique amenée à fournir RAIZERS des informations ou Données Personnelles.
1 – Responsable du traitement des Données Personnelles
Le responsable de traitement est la société qui définit pour quel usage et comment vos Données Personnelles sont utilisées :
RAIZERS SA, Rue des Alpes 5, 1201 Genève, Suisse, ci-après dénommée « RAIZERS ».
2 – Nature des données collectées
Les données collectées sur la Plateforme RAIZERS sont celles permettant à RAIZERS d’identifier les Utilisateurs directement ou indirectement en vue de la fourniture des différents services proposés par la plateforme RAIZERS.
Il peut s’agir notamment de données nominatives comme le nom, prénom, l’adresse email, l’adresse postale, le numéro de téléphone, la date de naissance, le genre ou des données de connexion comme l’adresse IP et données de navigation comme les cookies. Des données doivent également être fournies par les Utilisateurs aux fins du versement d’une souscription ou d’un remboursement (IBAN, BIC, identité du titulaire du compte bancaire, titulaire du compte titre).
3 – Finalité du traitement
Les Données Personnelles seront utilisées aux fins de :
- Exécution du contrat entre RAIZERS et l’Utilisateur (voir les Conditions Générales d’Utilisation) :
- Enregistrer et identifier un Internaute ou l’Utilisateur et/ou vérifier la conformité de l’utilisation par ceux-ci de la Plateforme RAIZERS ;
- Protéger la Plateforme RAIZERS et/ou l’Utilisateur / un Internaute ;
- Assurer le bon traitement de la Souscription ;
- Confection de statistiques et de tests.
- Objectif légitime : les Données Personnelles collectées peuvent être nécessaires à la poursuite d’un objectif légitime tel que toutes formes de communication auprès des Internautes / Utilisateurs dans le cadre des services proposés sur la Plateforme RAIZERS étant précisé que si un Internaute / Utilisateur ne souhaitait plus recevoir de communications, il aurait la possibilité d’en informer RAIZERS qui le désinscrirait de toute communication.
- Obligation légale dans le cadre de l’activité de Prestataire de Services de Financement Participatif :
- Processus « Know Your Customer » ;
- Prévention des situations de conflits d’intérêt ;
- Prévention des abus, des fraudes ou actes contraires au Règlement ;
- Répondre à la demande d’une autorité administrative ou judiciaire ;
- Respecter ses obligations en matière de prévention du blanchiment d’argent et du financement du terrorisme ;
L’Utilisateur consent expressément à ce que ses Données Personnelles soient transmises entre les différentes sociétés du groupe RAIZERS.
Par ailleurs, pour les besoins du fonctionnement de la Plateforme RAIZERS, des Données Personnelles sont collectées automatiquement par RAIZERS par le biais de cookies et autres traceurs. C’est notamment le cas de l’adresse IP, la date et l’heure d’accès à la Plateforme RAIZERS, l’URL visitée, le site de provenance, le type de navigateur et le système d’exploitation. Ainsi, RAIZERS se réserve le droit d’utiliser l’adresse IP de l’Utilisateur ou d’un autre Internaute en coopération avec son fournisseur d’accès à internet.
4 – Moment de la collecte
Les données collectées par RAIZERS sont librement communiquées par l’Utilisateur.
Les données à caractère personnel sont collectées lors de l’utilisation de la Plateforme RAIZERS, notamment lorsque l’Utilisateur :
- Crée un compte sur la Plateforme RAIZERS ;
- Navigue sur les pages de la Plateforme RAIZERS ;
- Conclut un contrat et/ou rempli bulletin de souscription ;
- Adresse une demande à RAIZERS via le formulaire de contact.
5 – Consentement
La Politique de Confidentialité est systématiquement portée à la connaissance des Utilisateurs lors de leur inscription sur la Plateforme RAIZERS. En effet, la création d’un compte implique l’acceptation expresse, pleine et entière par l’Utilisateur de la présente Politique de Confidentialité.
IMPORTANT : NOTE AUX INTERNAUTES
TOUTE NAVIGATION SUR LA PLATEFORME RAIZERS APRES LA PUBLICATION DE LA PRESENTE POLITIQUE DE CONFIDENTIALITE VAUT ACCEPTATION DE CELLE-CI SANS RESERVE.
Si l’Utilisateur souhaite retirer son consentement quant au traitement de ses données, il peut en adresser la demande à RAIZERS selon le procédé décrit à l’article 8 ci-après.
6 – Destinataires des données à caractère personnel
Le destinataire des données à caractère personnel collectées sur la Plateforme RAIZERS est en tout premier lieu RAIZERS.
D’autres destinataires pourront avoir accès aux données à caractère personnel, tels que des prestataires ou sous-traitants de RAIZERS. La liste des destinataires peut être consultée à tout moment sur demande des Utilisateurs.
Les Données Personnelles transmises peuvent, à l’occasion de diverses opérations, faire l’objet d’un transfert dans un pays de l’Union européenne ou hors Union européenne.
Dans le cadre d’un changement de contrôle de RAIZERS, d’une acquisition, d’une procédure collective ou d’une vente des actifs de RAIZERS, les données collectées par RAIZERS pourront faire l’objet d’un transfert à des tiers.
7 – Durée de conservation
Pour assurer le bon traitement des transactions financières, vos données personnelles doivent être conservées et mises à jour régulièrement pendant toute la durée où vous êtes partie à un investissement.
Afin de répondre à des obligations légales et/ou réglementaires et/ou pour répondre à des demandes des autorités autorisées à en faire la demande, vos données personnelles seront conservées pour les durées suivantes conformément à votre situation :
- Pour une durée de 10 ans au-delà de la date de l’opération pour tout investissement en action ;
- Pour une durée de 5 ans au-delà de la date de remboursement pour tout investissement en prêt ; et
- Pour une durée de 5 ans pour tous les autres cas après qu’il soit mis fin à la relation contractuelle.
8 – Droit d’accès et de rectification
L’Utilisateur devra lui-même mettre à jour les informations le concernant et figurant sur son Espace Individualisé. Pour la suppression de son Espace Individualisé, l’Utilisateur pourra envoyer un e-mail comportant son nom d’utilisateur et son mot de passe à RAIZERS. L’Utilisateur peut à tout moment exercer ses droits concernant la collecte et le traitement de ses Données Personnelles :
- Droit à l’accès des Données Personnelles : accéder aux informations qui ont été fournies à Raizers ;
- Droit à la rectification des Données Personnelles : demander la correction de toute erreur, information obsolète ou omission dans les informations qui ont été fournies à Raizers ;
- Droit au retrait du consentement : demander que certaines des informations fournies par Raizers ne soient pas utilisées dans le cadre de traitement ou transferts futurs ;
- Droit à la portabilité des Données Personnelles : demander l’envoi par Raizers à un service tiers des informations qui ont été fournies à Raizers dans la limite des motifs légaux ayant justifié la collecte et le traitement de ces données ;
- Droit à la suppression des Données Personnelles : demander la suppression des informations qui ont été fournies à Raizers dans la limite des motifs légaux ayant justifié la collecte de ces données.
L’Utilisateur reconnait toutefois que les traitements effectués avant la révocation dudit consentement demeurent parfaitement valables.
L’Utilisateur dispose également d’un droit d’opposition sans motif à ce que RAIZERS procède à un profilage sur la base de ses données dans le cadre de l’envoi de contenus ou de communications à des fins de prospection commerciale. Toutefois, conformément à l’article 12.6 du RGPD, pour l’exercice de ces droits, RAIZERS, en tant que responsable de traitement, se réserve le droit de demander un justificatif d’identité au demandeur. Les Données Personnelles permettant de justifier l’identité de l’Utilisateur seront par la suite supprimées une fois la demande traitée.
L’Utilisateur peut exercer ces droits en adressant un email à contact@raizers.com ou à l’une des adresses postales suivantes :
Pour les Internautes résidant en France :
RAIZERS SAS
19, rue Michel Le Comte – 75003 Paris
Pour les Internautes résidant dans tout autre pays :
RAIZERS SA
Rue des Alpes 5
1201 Genève
Suisse
9 – Délai de réponse
RAIZERS s’engage à répondre à votre demande d’accès, de rectification ou d’opposition ou toute autre demande complémentaire d’informations dans un délai raisonnable qui ne saurait dépasser un (1) mois à compter de la réception de votre demande.
10 – Violation des Données Personnelles
En cas de violation de Données Personnelles (article 34 du RGPD), Raizers s’engage à informer, outre la CNIL, les Utilisateurs concernés (i.e. les propriétaires des Données Personnelles) dans les plus brefs délais, si celles-ci présentent un risque élevé pour les droits et libertés.