Nouveau : Indy lance l’option expert-comptable 
1 – Quelles sont les notions-clés du Règlement Général sur la Protection des Données (RGPD) ?
Aux notions déjà définies à l’article 1. des Conditions Générales, s’ajoutent les termes suivants dont le sens est défini par le “Règlement Général sur la Protection des Données” (RGPD), Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE :
Données Personnelles : toutes informations qui permettent, sous quelque forme que ce soit, l’identification des personnes physiques auxquelles elles s’appliquent. Est réputée identifiable une personne physique qui peut être identifiée notamment par référence à un nom, un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Personnes concernées : personnes qui peuvent être identifiées, directement ou indirectement dans le cadre des activités de la Société (activité commerciale, marketing, relation client, etc.), c’est-à-dire l’ensemble des Utilisateurs, Clients et prospects d’Indy.
Responsable de traitement : organisme qui – seul ou conjointement avec d’autres – détermine le “pourquoi” et le “comment” de traitement de données, c’est-à-dire sa finalité (objectifs poursuivis) et ses moyens (conditions de mise en œuvre, notamment sur le plan technique, matériel et organisationnel).
Sous-traitant : organisme qui traite des données pour le compte et sur instruction d’un autre organisme, Responsable de traitement.
Traitement de Données Personnelles : toute opération appliquée à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
2 – Qui est le Responsable de traitement de vos Données Personnelles ?
La Société Indy.fr détermine les finalités et les moyens de traitement de Données Personnelles dans le cadre de l’édition du Site et de la gestion des Comptes. La Société intervient alors en qualité de Responsable de traitement au sens de l’article 4 du RGPD.
3 – Quelles sont les catégories de Données Personnelles concernées ?
Données d’identification : nom et prénom ; adresse mail ; mot de passe ; numéro de téléphone ; profession ; entreprise (nom, raison sociale et SIRET).
Données de connexion : pays de connexion ; adresse IP ; log ; User ID, etc.
Données web : cookies et données de navigation, questionnements, avis et commentaires sur de multiples canaux tels que le Site, les réseaux sociaux ou le tchat.
Données financières : données relatives à la carte de crédit de la Personne concernée dans le cadre du paiement de l’abonnement effectué par l’intermédiaire d’un prestataire.
Données bancaires : données relatives au compte bancaire de la Personne concernée dans le cadre de la synchronisation bancaire effectuée par l’intermédiaire de nos prestataires.
Le cas échéant, Données associées à l’ouverture d’un compte professionnel et à la souscription aux services de paiement ou de monnaie électronique associés notamment les données nécessaires à l’Authentification Forte du Client (SCA), la Vérification de son Identité (KYC) et la détection des fraudes, lesquelles sont collectées par l’intermédiaire d’un prestataire.
Bien que présentant une certaine sensibilité ou un enjeu fort, l’ensemble de ces données ne font pas partie des données dites “sensibles” du point de vue des libertés et des droits fondamentaux (article 9.1 du RGPD). Si ces données doivent faire l’objet de garanties appropriées en raison de leur nature particulière ou de leur caractère confidentiel, leur traitement n’est néanmoins pas soumis à des règles spécifiques dans le cadre de la réglementation européenne sur la protection des données.
4 – Quelles sont les finalités associées à ces traitements de Données Personnelles ?
Pour quelles raisons collectons-nous vos Données Personnelles ? | Quelles sont les Données Personnelles concernées par ce traitement ? | Sur quelle base juridique se fonde le traitement de vos Données Personnelles ? |
• Créer et gérer un Compte en fonction d’un régime fiscal déterminé. | Données du Compte Client notamment les données d’identification et données de connexion. | • Consentement pour les données qui ne sont pas strictement nécessaires à l’exécution du contrat. • Exécution du contrat |
• Gérer, suivre et traiter le cas échéant, la souscription à une offre. • Déployer les services de synchronisation et de paiement en cas de souscription à une offre et ce, via une vérification, authentification et identification des données transmises par la Personne concernée. • Déployer, le cas échéant, d’autres services et notamment ceux d’ouverture de compte professionnel et la souscription aux services de paiement ou de monnaie électronique associés. | Données de Souscription notamment les données financières, données bancaires et données associées à l’ouverture d’un compte professionnel et à la souscription aux services de paiement ou de monnaie électronique associés. | • Exécution du contrat |
• Gérer et mettre en oeuvre un support technique, traiter les demandes et réclamations, y compris via de l’intelligence artificielle ; • Mettre en place et adresser des conseils et astuces autour des services par voie électronique (blog et centre d’aide) | Données de Fidélisation notamment les données d’identification, données de connexion et données web. | • Exécution du contrat |
• Constituer et mettre à jour ses bases de Personnes concernées (statistiques et mesures d’audience). • Mettre en place et adresser à des professionnels (par voie électronique, postale ou téléphone) des informations commerciales et publicitaires adaptées à leurs préférences et besoins éventuels (newsletters, sollicitations et messages promotionnels ciblés). | Données de Prospection notamment les données d’identification, données de connexion et données web. | • Consentement • Intérêt légitime de l’organisme à viser des professionnels avec opt-out sur simple demande. |
• Gérer la gestion des avis et retours des Personnes concernées sur les services ou contenus. • Optimiser le fonctionnement de Indy via une amélioration des services et du Site en fonction de l’expérience des Personnes concernés. | Données liées à l’Expérience Utilisateur et l’Expérience Client notamment les données d’identification, données de connexion et données web. | • Consentement • Intérêt légitime du Responsable de traitement à améliorer ses services |
• Assurer la continuité des services et maintenir un environnement sécurisé via la détection de logiciels malveillants et la gestion des incidents de sécurité. | Toutes données confondues | • Intérêt légitime du Responsable de traitement à assurer la sécurité informatique de son Site |
5 – Qui sont les destinataires de vos Données Personnelles ?
L’accès aux Données personnelles est strictement encadré. La Société s’assure que les données ne soient accessibles qu’à des destinataires internes ou externes autorisés.
Destinataires internes :
Le personnel habilité des services marketing, commercial, relations client, administratif et techniques ainsi que leurs responsables hiérarchiques.
Le personnel habilité des services chargés du contrôle (commissaire aux comptes, service chargé des procédures internes du contrôle, etc.).
Les destinataires de Données Personnelles au sein de la Société sont soumis à une obligation de confidentialité spécifique. La Société décide quel destinataire est habilité, en interne, à recevoir ce type de données. La politique d’habilitation est régulièrement mise à jour et tient compte des arrivées et des départs des salariés de la Société ayant accès aux données. Si un salarié se rend compte qu’il dispose d’un accès à des données auxquelles il ne devrait pas avoir accès, il a pour obligation de prévenir sans délai le service compétent. Tous les accès concernant des traitements relatifs aux Données Personnelles des Personnes concernées font l’objet d’une mesure de traçabilité.
Destinataires externes : les partenaires et sous-traitants de la Société et, plus particulièrement, leur personnel habilité à accéder aux seules données nécessaires à la mise en œuvre d’un certain nombre de services (synchronisation de transactions bancaires, services de paiement, plateforme de messagerie client, publicité, statistiques, gestion et hébergement de données, etc.). Chaque prestataire dispose d’un accès limité aux données des Personnes concernées, dans le cadre de la stricte exécution de prestations soumis à convention spécifique.
Dans ce contexte, la Société peut transférer vos données personnelles à la fois dans l’Espace Économique Européen et en dehors de l’Espace Économique Européen (“EEE”). La Société va alors s’assurer que la sécurité de vos Données est préservée via un contrôle strict :
Dans le cas où des informations personnelles sont transférées au sein de l’EEE, la Société s’assure de l’adhésion de ces fournisseurs de services tiers aux principes du “Règlement général de la protection des données” (RGPD).
Dans le cas où des informations personnelles sont transférées en dehors de l’EEE, la Société s’assure que le prestataire concerné dispose d’un niveau de protection jugé adéquat par la réglementation européenne. Lorsque le destinataire est américain, il s’assure notamment de sa certification au titre du “EU–US Data Privacy Framework (DPF)”.
Des Données Personnelles pourront aussi être communiquées à toute autorité légalement habilitée à en connaître. La Société peut notamment effectuer la transmission de données pour donner suite aux réclamations présentées contre elle et se conformer aux procédures administratives et judiciaires. Dans ce cas, la Société n’est pas responsable des conditions dans lesquelles les personnels de ces autorités ont accès et exploitent vos données.
6 – Quelle est la durée de conservation de vos Données Personnelles ?
La Société conserve les données pendant une certaine durée pour vous fournir ses services ou son assistance. La Société peut également conserver certaines informations si nécessaire, même après que vous ayez fermé votre compte ou qu’elle n’en ait plus besoin pour vous fournir ses services.
La durée de conservation des données est définie par la Société au regard des contraintes légales et contractuelles qui pèsent sur elle et en fonction de ses besoins et ce, pour chaque catégorie de Données Personnelles concernés :
Données relatives aux Utilisateurs et Clients (données d’identification, données web, suivi de la relation client) : les données relatives aux Utilisateurs et Clients sont conservées toute la durée d’ouverture du Compte, puis pendant 30 jours supplémentaires en base active. Sauf indication contraire, elles peuvent ensuite être conservées pendant une durée supplémentaire de 5 ans (durée de prescription de droit commun) en archive intermédiaire à compter de la suppression du Compte ou désabonnement.
Données relatives aux Prospects (données d’identification et données web) : les données relatives aux Prospects sont conservées tant qu’il n’y a pas eu retrait du consentement pour une durée maximum de 3 ans à compter de leur collecte ou du dernier contact émanant du prospect.
Données techniques (données de connexion et cookies) : les données de connexion (adresses IP et logs des Personnes concernées) sont conservées pour une durée d’un an à compter de la dernière connexion ou de dernière utilisation du Compte. Les cookies peuvent être conservés pour une durée de 13 mois à compter de la dernière manifestation du consentement.
Données financières (données et modalités de paiement) : les transactions financières relatives au paiement des frais d’abonnement via le Site, sont confiées à un prestataire de services de paiement qui en assure l’hébergement, le bon déroulement et la sécurité. Destinataire de vos Données Personnelles relatives à vos modalités de paiement, il les recueille et conserve en notre nom et pour notre compte pendant le temps de l’exécution des opérations de paiement. Vos coordonnées de paiement sont conservées pendant toute la durée d’une souscription à une offre puis le cas échéant et sauf demande contraire, dans les limites prévues légalement.
Données bancaires (données de connexion, synchronisation des comptes et reprises d’historiques) : la collecte des transactions bancaires est confiée à l’un de nos prestataires de synchronisation bancaire qui en assurent l’hébergement, le bon déroulement et la sécurité. Chacun recueille et conserve en notre nom et pour notre compte les données de connexion et les données relatives aux transactions bancaires pendant le temps de votre utilisation du Compte. Le cas échéant, vos données bancaires sont conservées pendant toute la durée d’une souscription à une offre puis le cas échéant et sauf demande contraire, dans les limites prévues légalement.
Données associées à l’ouverture d’un compte bancaire professionnel et la souscription aux services de paiement ou de monnaie électronique associés : la collecte des données nécessaires à l’Authentification Forte du Client (SCA), la Vérification de son Identité (KYC) et la détection des fraudes est confiée à une société fournissant une plateforme permettant à des tiers comme la Société de proposer des services de paiement ou de monnaie électronique. Ces données seront traitées pour toute la durée de la souscription aux services puis le cas échéant et sauf demande contraire, conservées des fins d’archivage.
Les données permettant d’établir la preuve d’un droit ou d’un contrat (Données Clients, etc.) ou conservées au titre du respect d’une obligation légale (données de facturation, etc.), font l’objet d’une politique d’archivage intermédiaire pour une durée conforme aux dispositions en vigueur.
Passé les délais fixés, les données sont soit supprimées, soit conservées après avoir été anonymisées, notamment pour des raisons d’usages statistiques. Il est rappelé aux Personnes concernées que la suppression ou l’anonymisation des données stockées dans ses systèmes sont des opérations irréversibles et que la Société n’est plus, par la suite, en mesure de les restaurer.
7 – Quelles sont les mesures de sécurité appliquées sur vos Données Personnelles :
La Société s’engage à aligner ses pratiques pour respecter la réglementation européenne et garantir un niveau de sécurité adapté au risque (article 32.1 du RGPD).
Les mesures organisationnelles de sécurité prises par la Société dans le cadre de ses traitements de Données Personnelles comprennent, de manière non-exhaustive, les mesures suivantes :
l’ensemble du personnel est formé et régulièrement informé des évolutions en matière de sécurité des données et de protection des Données Personnelles ;
afin de protéger la confidentialité des Données Personnelles, figure, au sein des contrats de travail signés par les membres du personnel, une clause les obligeant à reconnaître leur devoir de protéger la confidentialité de l’ensemble des données auxquelles ils ont accès dans le cadre de leurs missions ;
seuls les membres du personnel autorisés peuvent avoir accès aux Données Personnelles, pourvu que cet accès soit nécessaire. Des mesures de prévention d’accès aux Données Personnelles par des personnes non-autorisées sont mises en place ;
une méthode d’accès aux Données Personnelles a été développée en interne pour qu’un niveau d’autorisation adéquat soit requis ;
aucune Donnée personnelle n’est revendue par la Société, même de façon anonyme et pour quelque but que ce soit.
Les mesures techniques de sécurité prises par la Société dans le cadre de ses traitements de Données Personnelles comprennent, de manière non-exhaustive, les mesures suivantes :
les mots de passe et les noms d’utilisateurs sont demandés avant d’accéder à tout environnement électronique dans lequel des Données Personnelles sont stockées et un journal des accès est tenu ;
tout support électronique et tout logiciel sur lequel des Données Personnelles sont stockées est régulièrement mis à jour et protégé contre les malware et l’accès non-autorisé ;
des mesures de sécurité adéquates (ex : pare-feu etc..) sont mises en place à l’interface entre les environnements accessibles aux tiers et les zones de stockage de l’entreprise, ainsi que des mesures de lutte contre les attaques virtuelles menaçant la sécurité des données (IDS/IPS etc.) ;
la transmission des Données Personnelles est toujours réalisée par l’intermédiaire de services de communications cryptés (email, FTP, partage de fichier, mode de sécurisation HTTPS) ;
l’environnement (serveurs, etc.) de stockage des Données Personnelles pour le compte du Responsable de traitement fait l’objet d’une protection physique et l’accès à celui-ci doit être contrôlé et limité aux seuls membres du personnel autorisés ;
les Données Personnelles peuvent être anonymisées ou supprimées à l’aide de méthodes adéquates. La suppression des Données Personnelles stockées dans un environnement électronique a pour effet de rendre impossible toute récupération des données.
8 – Quels sont vos droits sur vos Données Personnelles et comment les exercer ?
Afin de permettre l’utilisation des services, la Société se réserve le droit de solliciter les Personnes concernées en vue de l’éventuelle mise à jour de certaines données à caractère personnel collectées (données Client, données de paiement, etc.). En application de la réglementation en matière de données à caractère personnel, les Personnes concernées disposent quant à elles des droits suivants :
Droit d’accès (article 15 du RGPD) : elles peuvent exercer leur droit d’accès, pour connaître les Données Personnelles les concernant.
Droit de rectification (article 16 du RGPD) : si les Données Personnelles détenues par la Société sont inexactes, une demande de mise à jour de ces informations est possible. L’essentiel des modifications peuvent être directement réalisées depuis l’onglet “Profil” dans la section “Paramètres” du Compte par l’Utilisateur. Seules des modifications substantielles sur l’état civil, l’identité, la profession et les coordonnées de la personne concernée peuvent nécessiter le recours spécifique de la Société.
Droit de suppression (article 5 du RGPD portant sur la “purge” de données et article 17 du RGPD concernant l’effacement des données ou encore “droit à l’oubli”) : les Personnes concernées peuvent demander la suppression (totale ou partielle) de leurs Données Personnelles, conformément aux réglementations applicables en matière de protection des données.
Droit à la limitation du traitement (article 18 du RGPD) : les Personnes concernées peuvent demander à la Société de limiter le traitement de leurs Données Personnelles conformément aux hypothèses prévues par le RGPD.
Droit de s’opposer au traitement des données (article 21 du RGPD) : les Personnes concernées peuvent s’opposer à ce que leurs données soient traitées conformément aux hypothèses prévues par le RGPD.
Droit à la portabilité (article 20 du RGPD) : elles peuvent réclamer que la Société leur remette les Données Personnelles qu’elles ont fournies pour les transmettre à une nouvelle entité, dans le cadre strict des réglementations applicables en matière de protection des données.
Droit de retirer son consentement : les Personnes concernées peuvent retirer leur consentement à n’importe quel moment pour les traitements basés sur le consentement, sans que cela remette en question la licéité du traitement préalablement à ce retrait.
Droit post-mortem : Les Personnes concernées ont le droit de donner des instructions concernant la communication de ces données (ou non) par la Société à un tiers désigné au préalable à compter de leur mort.
Vous pouvez exercer un ou plusieurs de ces droits en nous contactant via le module d’assistance technique, en nous envoyant un email à [email protected] ou en nous écrivant à l’adresse de notre siège social. Une réponse vous sera adressée au plus tard dans le mois suivant la réception de la demande. Ce délai d’un mois pourra être prolongé de deux mois si la complexité de la demande et/ou le nombre de demandes l’exigent. En cas de doute sur votre identité, nous pourrons vous demander des informations supplémentaires, y compris dans certains cas un titre d’identité en cours de validité.
Le cas échéant, vous avez également le droit de saisir la Commission nationale de l’informatique et des libertés (CNIL) pour toute plainte ou réclamation en lien avec le traitement de vos données personnelles.
9 – Comment contacter notre Déléguée à la protection des données ?
Un délégué à la protection des données est disponible pour toute question ou demande de précision complémentaire portant sur la Politique de confidentialité d’Indy. Vous pouvez le contacter par mail à l’adresse [email protected].
Pour toute autre information plus générale sur la protection des Données Personnelles, vous pouvez consulter le site web de la CNIL disponible à l’adresse suivante : cnil.fr
10 – Dans quelles conditions notre Politique de confidentialité peut-elle être modifiée ?
Notre politique sur les Données Personnelles (en matière de confidentialité et Cookies) peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la CNIL ou des usages. Toute nouvelle version de la présente Politique sera portée à la connaissance des Personnes concernées par tout moyen défini par la Société, en ce compris la voie électronique (diffusion par courrier électronique ou en ligne par exemple).