POLITIQUE DE CONFIDENTIALITÉ

V 3.1 à jour au 14 février 2022

 

Nous souhaitons répondre à vos questions concernant la gestion de vos données et informations personnelles et vous présenter les mesures que nous avons prises sur le sujet afin de vous assurer le meilleur niveau de protection de celles-ci. Nous avons donc rédigé la présente politique.

Elle a pour objet de vous informer sur ce que nous faisons des données et informations personnelles que vous voulez bien nous confier, ainsi que sur les raisons pour lesquelles nous les collectons et la sécurité que nous leur assurons.

 

1. Présentation générale

Nous (la société R’FinTech, nom commercial « Sapiendo ») sommes le « responsable de traitement » des données et informations personnelles au sens du RGPD (« Règlement Général sur la Protection des Données ») et de la loi du 6 janvier 1978 dite « Informatique et Libertés ». Rappelons que la société R’FinTech est une société par actions simplifiée au capital de 233 200 euros, dont le siège social est 32, rue des Archives – 75004 Paris, et qu’elle est immatriculée au registre du commerce et des sociétés de Paris sous le numéro RCS 812 843 894.

Lorsque vous utilisez les fonctionnalités de notre site et afin de pouvoir vous apporter le meilleur service possible, nous pouvons être amenés à vous demander de nous communiquer des données personnelles vous concernant.

Nous utilisons ce terme pour désigner les informations vous identifiant personnellement telles que par exemple vos noms, prénoms, adresses, numéros de téléphone, adresses e-mail, le cas échéant, les informations relatives aux moyens de paiement que vous utilisez, celles permettant de vous fournir les services souscrits (cf. ci-dessous), les données relatives au suivi de la relation commerciale (historiques des services fournis, échange avec notre service commercial, etc.), les informations relatives aux règlements des factures, ainsi que les données de connexion à notre site (adresse IP, date et heure de connexion) et les données de navigation.

Dans le cas de l’utilisation de nos services à titre professionnel pour le compte d’un ou plusieurs clients, ces informations personnelles intègrent également la fonction du représentant de l’entreprise utilisatrice de SAPIENDO.

La finalité de la plupart des services que nous vous proposons par le bais de notre site est de vous permettre de vous informer sur votre situation retraite de la façon la plus complète possible (vérification de la prise en compte effective des éléments de votre carrière, simulation du montant de votre retraite, optimisation de son montant, etc.). Vous trouverez plus d’information à ce sujet dans le § 3 ci-dessous.

Étant donné que certaines situations particulières peuvent avoir un impact sur votre retraite (montant ou âge de départ), il sera utile que nous puissions connaître d’autres données plus complètes telles que notamment votre sexe, votre date de naissance, votre situation de famille, si vous avez des enfants, leur âge ainsi que s’ils sont en situation de handicap, si vous avez fait votre service militaire, votre niveau et vos années d’étude, si vous avez travaillé à l’étranger et dans quel pays, si vous pouvez bénéficier de régimes spécifiques liés à la maladie, au handicap, à l’inaptitude, à l’invalidité, à la pénibilité, ainsi que des informations relatives à votre carrière professionnelle ou encore votre Relevé Individuel de Situation (« RIS ») si vous choisissez de nous l’adresser ou de nous faire part de ces informations.

Concernant ce RIS, nous vous précisons que la technologie que nous utilisons nous permet de n’extraire du document que votre sexe, mois et année de naissance, ainsi que les informations relatives à votre carrière professionnelle et à vos caisses de retraite (adresse de contact, voire vos numéros d’allocataire). Le document RIS en lui-même n’est pas conservé plus d’une journée, dans le cadre des traitements de reconnaissance automatique de caractères mis en œuvre.

Dans le cas d'un blocage technique au moment de transmettre votre RIS vers notre plateforme digitale, nous mettrons en œuvre une solution de secours sécurisée que nous vous demanderons d'appliquer pour cette transmission.

 

2. Sécurité et confidentialité

Dès la conception du service SAPIENDO, nous avons souhaité prendre à cœur la sécurité des données personnelles que vous serez amenés à nous confier.

Nous pouvons ainsi vous assurer que nous avons pris toutes les mesures organisationnelles et techniques appropriées, ainsi que toutes les précautions utiles pour préserver la sécurité des informations décrites ci-dessus et, notamment, empêcher qu'elles soient déformées ou endommagées ou que des tiers non autorisés y aient accès.

Lors de la mise en place du site, les processus mis en œuvre ont été étudiés afin de nous prémunir contre toute atteinte à la confidentialité des données traitées et de sécuriser les échanges lors de la transmission des données par le biais de solutions de chiffrement efficaces. Nos mesures de sécurité sont aussi constamment mises à jour pour suivre les meilleures pratiques en la matière. Ainsi, Sapiendo chiffre vos données personnelles en base dès la transmission pour vous garantir le meilleur niveau de sécurité contre la perte, le vol ou les accès et divulgations non-autorisés.

Que ce soit en interne ou au sein des infrastructures de nos sous-traitants, l’accès aux données nécessite une authentification des personnes accédant aux informations.

Nous ne sommes pas non plus responsables de la sécurité de vos informations personnelles après leur transfert, réalisé à votre demande, à des tiers tels que la Direction des Ressources Humaines de votre entreprise (cf. 7 ci-dessous).

 

3. Objectifs des traitements réalisés sur vos informations personnelles

Les informations personnelles que vous choisirez de nous communiquer seront seulement traitées dans les buts suivants :

- En se fondant sur la base légale contrat qui nous lie (CGU) :
• de vous permettre de simuler votre retraite et de vous informer sur votre situation retraite de façon plus globale (vérification de la prise en compte effective des éléments de votre carrière, simulation du montant de votre retraite, optimisation de son montant, etc.) ; 
• de vous permettre d’obtenir votre RIS dans l’hypothèse où vous nous auriez donné mandat de le faire ;
• d’effectuer les opérations relatives à la gestion de vos commandes et de suivre la relation commerciale avec vous (contrats, factures, comptabilité, gestion des éventuels impayés, etc.) ou, dans le cas d’un usage professionnel pour le compte d’un ou plusieurs clients, avec la société que vous représentez.

- En se fondant sur la base légale de votre consentement :
• de vous adresser les lettres d’information ou newsletters auxquelles vous aurez choisi de vous abonner ;
• avec votre consentement spécifique et préalable, de transmettre les résultats de votre simulation au(x) partenaire(s) de Sapiendo que vous aurez choisis afin de bénéficier des services, conseils, produits ou offres spécifiques, adaptés à votre situation individuelle, qu’il(s) pourrai(en)t vous proposer.

- En se fondant sur la base légale de notre intérêt légitime à vous proposer un service de qualité et sécurisé, allant toujours au plus près de vos attentes :
• de gérer votre accès à certains services accessibles sur le site et leur utilisation ;
• de faire fonctionner, de perfectionner et de sécuriser nos Services ;
• de vous adresser des propositions commerciales concernant les produits ou services qu’il nous semblerait utile de vous proposer (que nous vous le proposions directement, ou que des entités de notre groupe le fassent directement) ;
• d’élaborer des statistiques commerciales et de fréquentation de nos services ;
• de gérer à terme vos avis sur nos produits et services ;
• d’établir les statistiques d’utilisation du Service afin notamment de développer de nouvelles fonctionnalités.

- En se fondant sur la base légale nos obligations réglementaires, concernant celles-ci (obligations comptables le cas échéant, etc.), de satisfaire celles-ci.

 

4. Utilisation des réseaux sociaux auprès desquels vous avez un compte

Afin de vous apporter les services les plus complets, nous avons prévu pour vous la faculté de partager facilement les pages que vous consultez sur vos réseaux sociaux préférés. L'utilisation des boutons permettant d’accéder aux réseaux sociaux est en effet susceptible d'entraîner une collecte et un échange de certaines données entre les réseaux sociaux et le site SAPIENDO.

Notre site utilise ainsi des « plug-in » ou modules sociaux sur ses différentes pages (boutons « partager » des réseaux sociaux tiers tels que Facebook, Twitter, LinkedIn, etc.). Lorsque vous consultez une page de notre site contenant de tels modules sociaux, une connexion est automatiquement établie avec les serveurs des réseaux sociaux (Facebook, Twitter…) qui peuvent alors être informés que vous avez accédé à la page correspondante de notre site. Si vous souhaitez limiter les informations publiées ou connues par ces réseaux sociaux concernant vos actions sur le site SAPIENDO, nous vous conseillons de vous déconnecter de vos réseaux sociaux avant de visiter notre site.

Afin de protéger votre vie privée, nous avons toutefois limité les informations qui sont automatiquement transmises par ce biais.

Dans ce cadre :

• R’FinTech ne collecte que le fait que vous vous êtes connecté au réseau social en question ;

• Le réseau social en question collecte les informations qui sont précisées dans leur propre politique de protection des informations personnelles que nous vous invitons à consulter et sur lesquels vous pouvez agir au niveau du paramétrage de chaque réseau social.

R’FinTech n'est pas responsable de l'utilisation qui est faite de vos données par ces réseaux sociaux pour leur propre compte.

Par ailleurs, nous vous donnons la possibilité de vous connecter à votre compte SAPIENDO à l’aide de votre compte Facebook ou de votre compte LinkedIn. Lorsque vous vous connectez à notre site avec l’un de ces comptes, R’FinTech peut accéder à certaines informations que vous avez renseignées sur celui-ci afin de vous assister dans le pré-remplissage des informations de votre compte. Une autorisation d'accéder à vos données de profil et de partager vos activités avec ledit réseau social vous sera demandée. Les informations complémentaires renseignées par vous ne seront pas transmises audit réseau social sans votre autorisation expresse.

Nous vous précisons que ces autorisations d'accéder à vos données de profil et de partager vos activités sont limitées à ce qui est nécessaire à SAPIENDO pour la gestion facilitée de votre compte utilisateur SAPIENDO (pré-remplissage des informations, etc.).

Nous vous indiquons également que, du fait même de la finalité des réseaux sociaux et de l’utilisation de leurs identifiants pour vous connecter à SAPIENDO, vos connaissances et relations sur ce réseau social et qui sont également clients de SAPIENDO sont susceptibles de savoir que vous avez ouvert un compte sur SAPIENDO. Pour restreindre les informations auxquels vos amis et contacts peuvent avoir accès via le réseau social, nous vous incitons à paramétrer votre compte LinkedIn ou Facebook à cette fin.

Pour conclure sur cette question, nous vous informons que les informations transmises aux différents réseaux sociaux suivant les conditions que nous avons évoquées pourront être transmises et traitées par ces sociétés via leurs serveurs situés dans plusieurs pays dans le monde, dont les États-Unis, en accord avec leurs propres politiques de confidentialité que nous vous invitons à lire.

 

5. Informations lors de la collecte

Nous vous indiquerons, lors de la collecte de vos données à caractère personnel sur SAPIENDO, quelles données devront être renseignées obligatoirement et lesquelles restent purement facultatives. Nous vous informerons également des conséquences éventuelles d’un défaut de réponse.

 

6. Destinataires de ces informations

Les informations personnelles que vous êtes susceptibles de renseigner pourront être consultées par le personnel de notre société, ainsi que l’ensemble des filiales du groupe, les services chargés du contrôle (commissaire aux comptes notamment) et nos sous-traitants dans le strict cadre des finalités que nous vous avons présentées.

Nous vous précisons à ce titre que nous avons souscrit avec nos sous-traitants des clauses de sécurité strictes, conformes à l’article 28 du RGPD, en précisant notamment les objectifs de sécurité devant être atteints.

Nous avons rigoureusement sélectionné nos sous-traitants en fonction de la sécurité de l’hébergement qu’ils assurent (au niveau des normes parmi les plus strictes) et durci aussi bien les infrastructures que les contrats conclus avec eux pour vous permettre de nous confier vos informations sur la retraite en toute quiétude. Cela concerne notamment les technologies mises en œuvre pour le traitement automatique du RIS.

Nous nous sommes assurés, notamment par le biais de contrats stricts avec nos sous-traitants (cf. 2. « Sécurité et confidentialité »), que les informations personnelles que vous nous confiez sont traitées au plus proche de nous et, en particulier, en France et par exception au sein de l’Union Européenne.

Nous n’utilisons pas de sous-traitants situés en-dehors de l’Union Européenne, à l’exception d’Amazon Web Services (« AWS »), société d’origine américaine mais qui héberge le robot permettant la récupération de votre Relevé Individuel de Situation (« RIS ») sur ses data centers français. Pour encadrer l’hypothèse d’intervention de ses administrateurs depuis les États-Unis, AWS a mis en place les clauses contractuelles types de la Commission Européenne (« CCT ») avec ses clients, dont Sapiendo. En tout état de cause, les données concernées sont chiffrées de façon complètement volatile et ce sous-traitant n’a jamais accès à vos données personnelles en clair.

Il est également possible que vos données transitent aux États-Unis si vous utilisez la fonctionnalité de prise de rendez-vous en ligne disponible sur notre site internet par le biais de notre prestataire, Calendly. Nous nous sommes assurés que ces informations personnelles, en nombre très limitées, étaient protégées lors de leur éventuel transit, également par le biais de clauses contractuelles types de la Commission Européenne.

Sapiendo ne traite qu’avec les meilleurs partenaires. Ainsi, Sapiendo recourt aux services de tiers de confiance et d’autorités de certification reconnus aux niveaux français et européen, pour vous permettre de signer électroniquement en ligne vos contrats, devis, avenants et vos mandats.

Dans le cas d’utilisation de modules sociaux ou de votre compte Facebook ou LinkedIn, notez que les réseaux sociaux en question pourront avoir accès à une partie des informations (cf. ci-dessus 5. pour en savoir plus).

Enfin, les fichiers regroupant ces informations vous concernant pourront être loués ou cédés à des tiers, sous réserve bien entendu que les sociétés destinataires de ces données soient autorisées à les traiter, vous apportent un service que nous jugeons utile d’après nos critères stricts de sélection et protègent vos données avec autant d’efforts que nous le faisons.

Dans cette hypothèse, vous garderiez bien évidemment toujours la possibilité de vous y opposer et vous serez spécifiquement informés de l’identité du destinataire ainsi que de la finalité du transfert. Vous pourrez, bien sûr, refuser le transfert si vous ne souhaitez pas bénéficier de tels conseils ou offres et nous notifierons nos destinataires de tout exercice de vos droits de rectification ou d’effacement de vos données ou de limitation de leur traitement.

Dans l’hypothèse où nos Services vous seraient fournis en partie grâce aux choix et engagements qui ont été pris par la Direction des Ressources Humaines de votre entreprise, nous sommes susceptibles de leur transmettre certaines informations concernant vos conditions de départ à la retraite. Nous ne leur transmettrons en revanche jamais aucune information sans votre accord préalable. Cette transmission peut vous permettre de profiter d’une vision unifiée de vos avantages sociaux, de recevoir des informations supplémentaires de la part de votre employeur, voire un accompagnement supplémentaire en vue d’organiser votre départ à la retraite. Une fois ces informations transmises selon votre souhait, la responsabilité de leur traitement et de leur sécurisation repose sur votre employeur.

 

7. Relevé de carrière ou « Relevé Individuel de Situation » (RIS) et connexion France Connect

La solution technique que nous mettons en œuvre vous permet soit de nous mettre à disposition votre RIS, soit que nous le téléchargions en votre nom et pour votre compte, en accord avec nos CGU.

Dans ce cas, vous nous accordez un mandat pour utiliser vos données d’identification France Connect (notamment votre numéro fiscal pour l’accès à mon compte sur le site des impôts) afin de communiquer automatiquement avec les organismes de retraite en votre nom et pour votre compte et de récupérer votre RIS.

Ces éléments d’identification sont utilisés immédiatement et ne sont pas conservés par Sapiendo. Ils sont chiffrés en permanence par le biais d’un mécanisme complètement automatisé incluant un mécanisme de chiffrement spécifique à mot de passe aléatoire et temporaire.

Veuillez noter que, suite à la connexion de notre robot au site Info-retraite pour la récupération de votre RIS, vous ne pourrez plus vous y connecter par un mécanisme d’authentification autre que France Connect.

Si c’est la première connexion de votre compte, info-retraite demandera également communication de votre numéro de sécurité sociale afin de donner accès au RIS. Dans cette éventualité, un message sur Sapiendo vous demandera la communication de ce numéro pour transmission à info-retraite et donc permettre le téléchargement du RIS. Nous vous précisons que ce numéro sera chiffré avec un mot de passe aléatoire et temporaire et surtout qu’il ne sera en aucun cas conservé ou utilisé par Sapiendo.

Concernant le RIS en lui-même, celui-ci comporte de nombreuses informations dont ce numéro de sécurité sociale également (cf. article 9 ci-dessous pour plus de détails). Nous vous précisons que la technologie que nous utilisons nous permet de n’extraire de ce document que votre genre, mois et année de naissance, ainsi que les informations relatives à votre carrière professionnelle et à vos caisses de retraite (adresse de contact, voire vos numéros d’allocataire). Le document RIS en lui-même n’est pas conservé plus d’une journée, dans le cadre des traitements de reconnaissance automatique de caractères mis en œuvre.

 

8. Utilisation du numéro de sécurité sociale

Votre numéro « de sécurité sociale » ou « numéro d'inscription au répertoire des personnes physiques » (NIR)  figure malheureusement sur un grand nombre de justificatifs émis par les organismes sociaux ou d’autres entités (employeurs avec les fiches de paie, etc.). Il figure ainsi sur votre RIS (« Relevé Individuel de Situation »).

Nous prenons toutes les précautions dans son utilisation. Ainsi, nos outils de reconnaissance optique des données ne traitent que les cinq numéros indiquant le sexe, les mois et années de votre date de naissance et le numéro n’est pas conservé à l’issue de l’accomplissement de cette étape. En effet, votre numéro de sécurité sociale est composé de la sorte :

 

_1

Sexe (1 ou 2)

_2 _3

Année de naissance

_4 _5

Mois de naissance

_6 _7

Dépar-tement/p>

_8 _9 _10

Code commune INSE

 

_11 _12 _13

Ordre de naissance

_14 _15

Clé de contrôle

Plus de 60.000 bébés naissent, chaque mois, en moyenne, en France, et ont donc les quatre mêmes chiffres en positions 2, 3, 4 et 5, dont on peut présumer que la moitié d’entre eux sont des femmes. Ces cinq chiffres ne sont donc pas, à eux-seuls, identifiants. Ces cinq chiffres, seuls, ne sont pas soumis au régime de l’article 30 de la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978).

 

9. Durée de conservation

À l’exception des documents RIS qui ne sont pas en eux-mêmes conservés plus d’une journée, vos informations personnelles ne seront pas conservées au-delà de la durée strictement nécessaire :

• si vous êtes client de R’FinTech, à la gestion de notre relation commerciale, soit trois ans à compter de la dernière prestation de service effectuée ou du dernier envoi de newsletter non refusé – dans le cadre bien entendu d’un abonnement préalable à cette newsletter ;

• si vous n’êtes pas encore utilisateur de nos services, trois ans à compter du moment où les données vous concernant ont été collectées ou du dernier contact avec vous. Au terme de ce délai, nous nous permettrons de reprendre contact avec vous afin de savoir si vous souhaitez continuer à recevoir des sollicitations commerciales de notre part.

Toutefois, les données permettant d’établir la preuve d’un droit ou d’un contrat, devant être conservées au titre du respect d’une obligation légale, le seront pendant la durée prévue à la loi en vigueur.

Concernant vos données de connexion (adresse IP, date et heure de connexion, pages consultées), elles sont conservées pendant une durée maximale de 12 mois.

A l’issue de la clôture effective de votre compte, vos données seront irrémédiablement anonymisées. Elles serviront alors exclusivement à des fins statistiques (analyse de la fréquence d’utilisation de fonctionnalités du Service, etc.).

Votre numéro d’identification auprès des caisses de retraite est, en général, conservé seulement un jour ouvré par nos services, le temps d’effectuer la simulation de vos droits à la retraite. Dans le cadre de notre offre VIP de suivi de l’évolution de vos droits à la retraite, il sera conservé jusqu’à la clôture effective de votre compte ou pendant trois ans à compter de notre dernier contact avec vous ou de la dernière prestation réalisée pour votre compte.

 

10. Informations et respect de la loi

Vous disposez d'un droit d'accès, de rectification, de mise à jour et d’effacement sur les données vous concernant. Vous pouvez demander la portabilité des données vous concernant dans la mesure où le traitement réalisé serait fondé sur la base légale du contrat ou du consentement (cf. article 3). Vous avez également le droit de vous opposer aux traitements réalisés ou d’en demander la limitation et, pour les traitements fondés sur le consentement, vous pouvez retirer ce consentement à tout moment. Vous pouvez aussi émettre des directives sur le sort de vos données (conservation, suppression, communication) après votre décès.

Pour exercer ces droits et sous réserve de la justification de votre identité, vous pouvez :

- Vous adresser par courrier à R’FinTech, 32 rue des Archives – 75004 Paris, en précisant dans l’objet du courrier « Informatique et Libertés » ;

- Ou vous adresser, soit à notre délégué à la protection des données (« DPD » ou « DPO ») à dpo@sapiendo.fr, soit à notre société par le biais de l‘adresse contact@sapiendo.fr ou de notre formulaire de contact.

Vous pouvez vous adresser au Délégué à la Protection des Données (”DPO”) désigné par la société SAPIENDO, joignable à dpo@sapiendo.fr.

Si vous n’êtes pas satisfaits de notre réponse, vous avez à tout moment le droit d’adresser une réclamation à la CNIL (Commission Nationale de l’Informatique et des Libertés), par exemple sur son site internet : cnil.fr.

Par ailleurs, nous vous précisons que vous êtes vous-mêmes tenus de respecter la loi « Informatique et Libertés » et le RGPD précités, dont la violation est passible de sanctions pénales, ainsi que le droit français en général. Dans l’hypothèse par exemple où, agissant au nom d’un tiers, vous souhaitez nous adresser les données à caractère personnel le concernant, vous vous devez ainsi d’agir vis-à-vis de ces données dans le respect de la loi.

Vous devez notamment vous abstenir, s’agissant des données à caractère personnel auxquelles vous accédez, de toute collecte, de toute utilisation détournée, et d'une manière générale, de tout acte susceptible de porter atteinte à la vie privée ou à la réputation des personnes.

 

11. Consentement

Lorsque vous choisissez de nous communiquer vos informations personnelles, en remplissant nos formulaires ou en cochant les cases ou en sélectionnant les boutons radio qui vous sont proposés, vous marquez ce faisant expressément votre consentement pour la collecte et l’utilisation de celles-ci en accord avec les règles issues de la loi Informatique et Libertés et du RGPD et celles posées dans la présente politique de confidentialité.

 

12. Utilisation de témoins de connexion (« cookies ») 

Pour toute information s’agissant des cookies que nous utilisons, référez-vous à notre Politique de gestion des cookies.