Protection des Données à caractère personnel
Django / LBPCF
1. Qui sommes-nous ? Etes-vous concernés par la présente Politique ?
a) Qui nous sommes nous ?
La Banque Postale Consumer Finance (« LBPCF »), SA à directoire et conseil de surveillance, ayant son siège social 1-3 avenue François Mitterrand, 93210 Saint-Denis et immatriculée au Registre du Commerce et des Sociétés de Bobigny sous le numéro 487 779 035, est Prêteur agréé en qualité de société de financement et d’établissement de paiement (CIB : 16178) et soumise à la supervision de l’Autorité de Contrôle Prudentiel et de Résolution (« ACPR ») (www.regafi.fr)
Django, SA, ayant son siège social 64 rue de Saintonge, 75003 Paris et immatriculée au Registre du Commerce et des Sociétés de Paris sous le numéro 904 540 358, est Intermédiaire en Opérations de Banque et Services de Paiement (« IOBSP ») pour la distribution de l’offre de crédit Django Later. La société Django est enregistrée à l’ORIAS en qualité d’IOBSP sous le numéro d’immatriculation 21009410 (www.orias.fr).
Django intervient également en qualité de prestataire technologique en mettant à disposition de LBPCF son application mobile pour la distribution de la Solution de crédit Django Later (ci-après dénommée l’Application) et en qualité de délégataire de LBPCF, pour la réalisation des opérations de gestion de la Solution de crédit Django Later proposée par LBPCF, distribuée par La Banque Postale.
L’offre de crédit Django Later sera dénommée dans le reste de la Politique « Solution de Paiement ».
Les Solutions de Paiement peuvent vous être octroyées par LBPCF en sa qualité de Prêteur par l’intermédiaire de Django dans le cadre de l’achat de biens ou de services éligibles auprès d’un de nos partenaires marchands (« Marchand »), par l’intermédiaire de La Banque Postale ou dans le cadre de l’utilisation de l’Application Django.
La présente Politique de Protection des Données à Caractère Personnel (ci-après « la Politique ») a pour objet de vous informer des traitements de données à caractère personnel mis en œuvre par Django ainsi que des traitements mis en œuvre par LBPCF concernant exclusivement les Solutions de Paiement et l’ensemble des services y afférents en ce qui concerne par exemple les traitements liés aux marchands prospects et partenaires.
En conséquence, la présente Politique ne couvre pas les autres offres et solutions que LBPCF peut distribuer (notamment elle ne concerne pas l’offre Prêt Personnel de LBPCF). Si vous êtes concernés par ces autres offres et solutions (par exemple l’offre Prêt Personnel LBPCF), nous vous conseillons de consulter votre contrat ou les conditions générales qui vous lient à LBPCF et dans lesquels vous pourrez trouver des informations sur le traitement de vos données personnelles ainsi qu’une ou plusieurs adresses de contact.
b) Êtes-vous concernés par la présente Politique ?
La présente Politique s’adresse donc aux particuliers personnes physiques qui peuvent être des clients ou des prospects des Solutions de Paiement mais également des utilisateurs du site internet Django (à travers par exemple l’utilisation des formulaires de contact) ou encore des utilisateurs de l’Application mobile Django.
La présente Politique peut également s’adresser à des personnes physiques représentant des personnes morales avec lesquelles Django et LBPCF peuvent avoir des relations commerciales concernant les Solutions de Paiement. Il peut ainsi s’agir des personnes physiques (dirigeants, bénéficiaires effectifs, signataires ou encore salariés) représentants de partenaires ou de Marchands.
LBPCF agit en qualité de Prêteur pour l’offre de Solutions de Paiement. A ce titre, LBPCF met en œuvre un certain nombre de traitements de données à caractère personnel en qualité de Responsable de Traitement. La présente Politique a pour objet de vous informer sur ces traitements.
En qualité d’Intermédiaire pour la distribution et délégataire pour la réalisation des opérations de gestion des Solutions de Paiement, Django intervient essentiellement en qualité de Sous-traitant pour le compte de LBPCF. Néanmoins, pour certaines activités spécifiques, Django peut également intervenir en qualité de Responsable de Traitement. La présente Politique a également pour objet de vous informer sur ces traitements.
Forts de leurs valeurs de proximité, de confiance et de modernité au service de tous, Django et LBPCF (ci-après dénommées ensemble « Django/LBPCF » ou individuellement « Django » et « LBPCF ») respectent l’ensemble des points de conformité précisés dans la présente Politique et la réglementation en vigueur en matière de traitement de données personnelles et notamment le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « RGPD ») ainsi que toute réglementation applicable (ci-après « la Réglementation »).
2. Quelles données personnelles sont traitées par Django/LBPCF ?
Une Donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.
Django/LBPCF respectent le principe de minimisation des données à savoir que seules sont traitées les données personnelles adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la réalisation de l’objectif pour lequel elles ont été collectées. Dans cette démarche, Django/LBPCF s’attachent également à maintenir vos données personnelles exactes et à jour.
Django/LBPCF traitent des données personnelles qu’ils collectent directement auprès de vous ou indirectement par le biais de partenaires notamment nos partenaires Marchands (lors de l’entrée en relation, une partie des informations demandées peut être recueillie directement auprès du Marchand auprès duquel vous effectuez un achat afin d’être intégrée automatiquement dans l’outil de collecte de demande de crédit de LBPCF).
Les catégories de données listées ci-dessous peuvent varier en fonction notamment de la Solution de Paiement retenue (par exemple : Paiement Fractionné, Paiement différé), du canal de souscription utilisé (par exemple : souscription de la Solution de Paiement en magasin ou sur le site web d’un Marchand ou depuis l’Application Django) ou encore du montant de l’achat financé par la Solution de Paiement.
Les catégories de données que Django/LBPCF sont amenés à traiter sont les suivantes :
• Données d’identification : par exemple, nom, prénom, date et lieu de naissance, adresse postale, adresse de messagerie électronique, numéros de téléphone, image, ID de transaction.
• Données de vie professionnelle : par exemple, catégorie socio-professionnelle.
• Données d’ordre économique et financier : par exemple, revenus et charges récurrentes.
• Informations bancaires : par exemple, informations de la carte bancaire, banque., historique de transactions*, opérations générées sur vos comptes* (*spécifique à la Solution de paiement accessible depuis l’Application DJANGO).
• Données liées à l’achat financé grâce à une Solution de Paiement : par exemple, canal de souscription, montant de l’achat.
• Données de connexion et informations techniques : par exemple, données recueillies grâce aux cookies en ligne déposés depuis le site internet Django. Pour en savoir plus sur la gestion des cookies, vous pouvez cliquer ici.
Nous pouvons également collecter des données sensibles telles que des données biométriques à des fins de reconnaissance faciale, dans le respect des conditions strictes définies par la règlementation en matière de protection des données.
3. Pourquoi Django/LBPCF traitent-t-ils vos données personnelles ?
Django/LBPCF s’engagent à traiter vos Données personnelles, pour des finalités déterminées, explicites et légitimes, et à ne pas les traiter ultérieurement d’une manière incompatible avec ces finalités.
Base juridique
Chaque traitement de données personnelles effectué par Django/LBPCF reposent sur l’un des fondements juridiques prévus par la Réglementation en vigueur, à savoir :
• Le recueil du consentement de la personne concernée pour une ou plusieurs finalités spécifiques,
• L’exécution d’un contrat auquel la personne concernée est partie, ou l’exécution de mesures précontractuelles prises à la demande de celle-ci,
• Le respect d’obligations légales et réglementaires auxquelles Django/LBPCF sont soumis,
• Les intérêts légitimes poursuivis par Django/LBPCF dans le cadre du respect des intérêts, libertés et droits fondamentaux de la personne concernée,
• La sauvegarde des intérêts vitaux de la personne concernée, ou d’une autre personne physique,
• L’exécution d’une mission d’intérêt public.
Finalités
Chacun en leur qualité de Responsable de traitement, Django et LBPCF traitent vos Données personnelles pour les finalités suivantes et sur la base de fondements juridiques présentés ci-après :
LBPCF Responsable de traitement
Dans le cadre de votre demande de crédit, LBPCF peut prendre des décisions vous concernant, sur la base de traitements automatisés à partir d’outils d’aide à la décision fondés notamment sur le calcul de votre score de risque, de votre solvabilité et l’interrogation des fichiers réglementaires (FICP). Une intervention humaine peut être demandée dans le processus de décision après analyse de votre profil de risque et des justificatifs fournis. Dans le cas d’un refus d’accès à un produit ou un service, vous pouvez vous rapprocher de LBPCF, afin d’obtenir un réexamen de votre situation, d’exprimer votre propre point de vue, d’obtenir une explication sur la décision prise ou de la contester.
Pour l’ensemble des traitements listés ci-dessus, LBPCF agit en qualité de Prêteur et Responsable de traitement. Pour autant, LBPCF confie une partie de la réalisation de ces traitements à Django en qualité d’Intermédiaire et Sous-traitant RGPD. C’est la raison pour laquelle vous pouvez avoir des interactions régulières avec Django.
Pour certaines activités spécifiques, Django peut également collecter et traiter vos Données personnelles en qualité de Responsable de traitement :
Django Responsable de traitement
4. A qui Django/LBPCF communiquent-ils vos Données personnelles ?
Compte tenu de la relation de Prêteur/Intermédiaire pour les Solutions de Paiement existant entre LBPCF et Django, ces derniers peuvent échanger, dans la limite de leurs habilitations, des Données personnelles vous concernant.
Par ailleurs, vos Données personnelles sont susceptibles d’être communiquées aux destinataires suivants, dans le cadre des finalités énoncées à l’article 2 :
• Aux sociétés du Groupe La Poste auquel Django/LBPCF appartiennent,
• Aux sous-traitants qui réalisent des prestations pour le compte de Django/LBPCF. Ces derniers sont tenus par contrat de respecter la confidentialité et la sécurité des données auxquelles ils ont accès et de les utiliser exclusivement dans le cadre des prestations qui leur sont confiées. Il peut ainsi s’agir de prestataires techniques qui réalisent pour notre compte par exemple des services informatiques incluant l’hébergement, des services de vérification d’identité à distance, des services de lutte contre la fraude ou encore des services de télécommunication, de recouvrement, de conseil et de distribution …
• Aux partenaires bancaires et commerciaux avec qui nous avons des liens si un tel transfert est nécessaire pour vous fournir des produits ou services ou pour satisfaire à nos obligations contractuelles ou mener à bien des transactions (par exemple des banques, des opérateurs de système de paiement, des émetteurs ou des intermédiaires de cartes de paiement) ;
• Aux autorités administrative ou judiciaire habilitées ou plus généralement à tout tiers autorisé (avocats, commissaires aux comptes, médiateur compétent…), pour satisfaire aux obligations légales ou réglementaires auxquelles Django/LBPCF sont soumis.
5. Vos Données personnelles peuvent-elles être transférées en dehors de l’Union Européenne ?
Vos Données personnelles sont prioritairement traitées sur le territoire de l’Union européenne (UE).
Toutefois, pour certaines prestations spécifiques, Django/LBPCF peuvent être amenés à avoir recours à des sous-traitants établis hors territoire de l’UE. Dans ce cas, vos données personnelles leur sont communiquées pour les stricts besoins de la réalisation de leurs missions. Par ailleurs, Django/LBPCF s’engagent à mettre en place toutes les garanties appropriées disponibles, au regard de la réglementation en vigueur, pour assurer l’encadrement et la sécurité de ces transferts. Pour en savoir plus sur les destinataires de vos Données personnelles, vous pouvez exercer vos droits dans les conditions définies à l’Article 8 de la présente Politique.
6. Combien de temps Django/LBPCF conservent vos Données personnelles ?
La durée de conservation de vos données personnelles est déterminée en fonction des finalités des traitements et des services souscrits. Django/LBPCF s’engagent à ne pas conserver vos Données personnelles au-delà de la durée nécessaire à l’accomplissement de la finalité concernée. Ainsi, à titre d’exemple, si vous êtes prospect des Solutions de paiement, vos Données personnelles collectées à des fins de prospection commerciale sont conservées à ce titre pour une durée de 3 ans à compter de leur collecte ou du dernier contact avec vous.
D’une manière générale, si vous entretenez une relation contractuelle avec nous, vos Données collectées sont conservées par Django/LBPCF pendant une durée correspondant à celle de la relation contractuelle augmentée des délais légaux de conservation, de prescription et de recours auxquels ils sont tenus.
Parmi les délais légaux applicables :
• Au regard de la lutte contre le blanchiment et le financement du terrorisme les délais de conservation des documents et informations relatifs à votre identité sont de cinq (5) ans à compter de la fin de la relation contractuelle,
• Les délais de conservation pour les documents comptables et pièces justificatives sont de dix (10) ans,
• Conformément au délai de prescription de droit commun en matière civile et commerciale, les délais de conservation sont de cinq (5) ans.
Ces délais sont susceptibles d’évolutions si les obligations légales et réglementaires l’exigeaient. Au terme de ces délais, Django/LBPCF procèdent à leur destruction ou les rend anonymes, pour les utiliser à des fins statistiques.
Les Données personnelles qui du fait de leur usage, pour divers traitements, sont assujetties à plusieurs durées de conservations, sont soumises à la durée de conservation la plus longue.
7. Comment Django/LBPCF protègent vos Données personnelles ?
Conformément à la réglementation en vigueur, Django/LBPCF s’engagent à mettre en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir à vos données personnelles un niveau de sécurité adapté et proportionné au risque.
Ces mesures (ex : cloisonnement, anonymisation, chiffrement, restriction d’accès…) visent à garantir la confidentialité, l’intégrité, la disponibilité et la résilience de vos Données personnelles.
Django/LBPCF notifient les violations de données personnelles à l’autorité de contrôle compétente, à savoir la Commission Nationale de l’Informatique et des Libertés (CNIL), dans les meilleurs délais et, dans la mesure du possible soixante-douze (72) heures après avoir pris connaissance de toute violation de données personnelles susceptible d’engendrer un risque pour vos droits et libertés.
Toute violation de vos données personnelles susceptible d’engendrer un risque élevé pour vos droits et libertés vous sera notifiée dans les meilleurs délais conformément à la réglementation en vigueur.
8. Comment exercer vos droits ?
Pour l’ensemble des traitements de vos données personnelles, vous disposez des droits suivants :
• Droit d’accès : vous pouvez obtenir les informations concernant le traitement de vos données personnelles ainsi qu’une copie de ces données ;
• Droit de rectification : vous pouvez demander à modifier vos données personnelles qui sont inexactes ou incomplètes ;
• Droit à l’effacement : vous pouvez demander la suppression de vos données personnelles.
• Droit à la limitation du traitement : vous pouvez d’obtenir du Responsable du Traitement la limitation de vos données. Lorsqu’ une telle limitation est demandée, le Responsable de Traitement ne pourra plus que stocker les données. Aucun traitement ne pourra, en principe, avoir lieu sur vos données personnelles.
• Droit d’opposition : vous avez le droit de vous opposer à tout moment, pour des raisons tenant à votre situation, à un traitement des données à caractère personnel fondé sur l’intérêt légitime du Responsable de Traitement. Vous avez également le droit de vous opposer à ce que vos données soient traitées à des fins de prospection commerciale.
• Droit de ne pas être soumis à une décision individuelle automatisée : vous avez le droit de ne pas être soumis à une décision résultant exclusivement d’un traitement automatisé (tel que le profilage) produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire.
• Droit de retirer votre consentement : si vous avez donné votre consentement pour le traitement de vos données personnelles, vous pouvez retirer ce consentement à tout moment.
• Droit à la portabilité de vos données : lorsque que ce droit est applicable, vous pouvez demander la communication des données personnelles que vous nous avez fournies, ou, lorsque cela est techniquement possible, le transfert de celles-ci à un tiers.
• Vous pouvez donner des instructions relatives à la conservation, à l’effacement et à la communication de ces données après votre décès.
Vous pouvez exercer vos droits en prouvant votre identité par tout moyen et notamment en produisant une pièce d’identité lorsqu’elle cela est jugé nécessaire par Django/LBPCF pour vous authentifier.
En cas de traitement de vos données personnelles par LBPCF, Responsable de traitement, vos droits peuvent être exercés en adressant un courrier à : La Banque Postale Consumer Finance, Service clientèle - 93812 Bobigny CEDEX 9.
En cas de traitement de vos données personnelles par Django, Responsable de traitement, vos droits peuvent être exercés en adressant un courrier à :
- Par voie postale en écrivant à Django Service Client, 64 rue de Saintonge, 75003 PARIS,
- Par voie électronique à l’adresse suivante : contact@django.eu.
Vous pouvez également vous opposer au traitement de vos Données à des fins de prospection commerciale par voie téléphonique en vous inscrivant sur Bloctel, par courrier : Worldline - Service Bloctel CS 61311 - 41013 Blois Cedex ou sur internet : www. bloctel.gouv.fr.
Pour toute information complémentaire, vous pouvez également contacter le Délégué à la Protection des Données (DPD) en lui adressant un courrier à DPD, La Banque Postale - 115 rue de Sèvres 75275 Paris.
En cas de difficulté en lien avec la gestion de ses données à caractère personnel, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL).
9. Comment suivre les évolutions de la présente Politique de protection des Données personnelles ?
Dans un monde où les technologies évoluent en permanence, nous revoyons régulièrement la Présente Politique et la mettons à jour si besoin. Nous vous invitons à prendre connaissance de la dernière version de ce document en ligne, et nous vous informerons de toute modification.