Politique de confidentialité

Notice simplifiée

Avec Capital Koala et PayLead, gardez le contrôle sur vos données !

Pour offrir son service « Magasins partenaires » (ci-après dénommé « le Service »), Capital
Koala s’appuie sur des technologies développées par la société PayLead. Cette société est
spécialisée dans le développement de programmes de cashback respectueux de la vie privée
des consommateurs.

Pour que vous puissiez participer au programme « Magasins partenaires » de Capital Koala,
nous avons besoin d'accéder à votre historique bancaire, en nous connectant à votre banque.

Ces données peuvent concerner des dépenses d’ordre privé, par exemple les associations
auxquelles vous donnez de l'argent ou le médecin qui vous soigne. Nous appliquons donc des
règles de sécurité informatique strictes.

Ces données sont nécessaires afin de calculer et vous verser automatiquement les
remboursements sur vos achats auxquels votre participation à Capital Koala « Magasins
partenaires » vous donne droit.

Les offres commerciales proposées sur www.capitalkoala.com sont celles des Magasins
partenaires. Ces derniers peuvent choisir à quelle catégorie de consommateurs ils adressent
leurs offres, mais n'accèdent à aucune donnée personnelle vous concernant. C’est la société
PayLead qui sert d'intermédiaire et assure un niveau élevé de protection des données, en vertu
du Règlement général de protection des données (RGPD).

Vous gardez à tout moment le contrôle sur vos données : vous disposez d'un droit d'accès, de
rectification et d'opposition, et pouvez à tout moment retirer votre consentement à l’utilisation de
vos données.

Pour plus d'informations, consultez notre politique de protection des données ou écrivez à notre
délégué à la protection des données : dpd(at)capitalkoala(point)com.

Nos engagements pour protéger votre vie privée

  • PayLead et Capital Koala sont co-responsables et garantissent ensemble le respect de
    votre privée et de vos données personnelles.
  • Nous ne collectons pas vos données sans avoir d'abord votre consentement.
  • Nous ne revendons pas vos données : les Magasins partenaires ne pourront pas y
    accéder.
  • Vous restez libres de quitter le programme à tout moment et de partir avec vos données,
    sans que cela n’affecte les montants qui vous ont déjà été versés.
  • Nos algorithmes utilisent votre historique de paiement pour déterminer les segments de
    marché auxquels vous appartenez.
  • Vous pouvez visualiser à tout moment, depuis l'interface, toutes les données qui vous
    concernent.
  • Capital Koala ne communiquera pas à Paylead votre nom ou votre e-mail.
  • Nous sommes pleinement engagés dans la lutte contre le blanchiment d'argent et le financement du terrorisme. Nous vous informons que, conformément à la législation en vigueur, nous sommes tenus en cas d'activité suspecte de votre part à transmettre des déclarations de soupçon aux autorités compétentes.


Information aux personnes concernées

CAPITAL KOALA « Magasins partenaires »

Notice d'information complète

Pour offrir son service « Magasins partenaires » (ci-après dénommé « le Service »), Capital Koala s’appuie sur des technologies développées par la société PayLead. Cette société est spécialisée dans le développement de programmes de cashback respectueux de la vie privée des consommateurs.

Paylead et Capital Koala s'engagent dans une démarche de conformité aux règles de protection des données à caractère personnel. Nos sociétés mettent en œuvre une démarche d'amélioration continue de leur conformité au Règlement général de protection des données (RGPD), à la Directive ePrivacy, ainsi qu'à la loi n° 78-17 du 6 janvier 1978 dite Informatique et Libertés.

Pour plus d'information sur le cadre légal applicable, ou pour signaler tout manquement, il est possible de se tourner vers la Commission nationale de l'informatique et des libertés (CNIL). Cette autorité est l'autorité compétente pour les entreprises Capital Koala et PayLead en vertu de l'art. 55 du RGPD. Toute requête déposée auprès d'une autre autorité de protection des données sur le territoire de l'Union européenne sera transmise à la CNIL.

  1. Identification des responsables du traitement

Les responsables du traitement sont :

  • Capital Koala, dont le siège est 18 rue Yvonne Le Tac 75018 PARIS FRANCE (immatriculée au RCS de Paris sous le numéro 527 474 696)
  • La société PayLead, dont le siège est 24 avenue du Maréchal Foch 33000 BORDEAUX FRANCE (immatriculée au R.C.S. de Bordeaux sous le numéro 821 725 579)
  1. Coordonnées du délégué à la protection des données

Le délégué à la protection des données de Capital Koala peut être contacté par mail à : dpd@capitalkoala.com

Capital Koala est le point de contact pour les clients ayant opté pour participer au programme de fidélité « Magasins partenaires » proposé en partenariat avec la société PayLead. Cependant, pour toute demande d'information sur la technologie de PayLead et le rôle de cette entreprise dans le traitement des données à caractère personnel des utilisateurs du Service il est possible de contacter la société PayLead à l'adresse postale suivante :

PayLead

Data Protection Officer

53 rue la Boétie

75008 Paris

 

Il est également possible de contacter son délégué à la protection des données par messagerie électronique : dpo@paylead.fr

 

  1. Objet et finalités du traitement

Finalités fondées sur l'art. 6 (1) sous a) du RGPD (consentement)

L'utilisateur s'est vu présenter, avant de souscrire à ce service, les conditions générales d'utilisation (CGU) de Capital Koala et la protection des données. L'utilisateur a alors été informé du type de données qui allaient être traitées afin de lui fournir le Service, et a pu valablement consentir au sens des articles 4 et 7 du RGPD et de l’article L34-5 du Code des postes et des communications électroniques, à ce que ses données fassent l'objet d'un traitement à des fins de prospection commerciale et de recevoir des offres publicitaires de la part des commerçants  partenaires via www.capitalkoala.com. Il peut retirer son consentement à tout moment. Ce retrait du consentement n'entraîne pas l'annulation des montants versés ou dus jusqu'à la date du retrait du consentement.

Aucun utilisateur ne peut être enrôlé dans Capital Koala fidélité « Magasins partenaires » sans son consentement express, libre et éclairé, qu'il peut à tout moment retirer par simple demande depuis la rubrique . Les logiciels mis en œuvre sont programmés de sorte à ne pas permettre de collecte de données à caractère personnel, dans le cadre des traitements décrits dans la présente politique de confidentialité, sur une personne n'ayant pas encore donné son consentement et adhéré aux CGU.

Finalités fondées sur l'art. 6 (1) sous b) du RGPD (exécution du contrat)

L'objet principal du présent traitement de données à caractère est personnel est la mise en œuvre des CGU pour le service Capital Koala « Magasins partenaires » auquel l'utilisateur a souscrit. Les modalités de ce programme sont décrites de façon détaillée dans les CGU.

 

Finalités fondées sur l'art. 6 (1) sous c) du RGPD (obligations légales)

PayLead et Capital Koala, dans le cadre du paiement des remboursements sur les achats , le sous-traitant MangoPay, sont soumis à des obligations légales en matière de lutte contre le blanchiment d'argent. Dès lors, et en vertu des obligations découlant de la Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (DSP2) et des articles L561-15 à L561-22-1 et R561-1 à R561-22 du Code monétaire et financier (CMF), ces entreprises sont soumises à des obligations de vigilance en matière de lutte contre le blanchiment d'argent et le financement du terrorisme.

Elles doivent donc conserver pour une durée de cinq ans des informations sur les transactions qui ont été réalisées sous sa responsabilité. Elles suivent les recommandations de l'Autorisation unique AU-003 de la CNIL pour cet aspect de son activité.

Finalités fondées sur l'art. 6 (1) sous f) du RGPD (intérêt légitime)

Aucune prospection à des fins commerciales ne peut être réalisée sans le consentement préalable de la personne concernée. Dans le cadre de ce service, pour lequel l'utilisateur a donc donné son accord, les marchands partenaires peuvent choisir des segments de marché auxquels ils souhaitent faire parvenir leurs annonces, ce qui permet à PayLead d'être rémunéré, et représente à ce titre un intérêt légitime. Ces marchands ne sont toutefois en aucun cas destinataire de données à caractère personnel d’utilisateurs du Service. Ils ne font que participer à définir la façon dont les offres commerciales seront ciblées à des segments spécifiques d’utilisateurs dans le cadre du Service auquel ils ont souscrit.

Par ailleurs, PayLead comme Capital Koala ont un intérêt légitime à garantir la sécurité de leurs systèmes d'information, qui est également une obligation en vertu l'article 32 du RGPD. Chaque connexion à www.capitalkoala.com ou aux API de PayLead est journalisée dans un fichier technique contenant notamment l'adresse IP d'où parvient la requête sur leurs serveurs. Ces fichiers sont conservés exclusivement aux fins de l'intérêt légitime de la sécurisation de leurs systèmes d'information, et notamment de détection d'intrusions informatiques ou d'attaques visant à perturber la disponibilité, la confidentialité ou l’intégrité de leurs services. Ils peuvent également faire l'objet d'un accès par les services de police ou de justice compétents dans le cas d'une enquête pénale, dans le strict respect des dispositions législatives en vigueur et des garanties procédurales que celles-ci prescrivent.

 

  1. Données collectées

Une fois que l'utilisateur a souscrit aux CGU et donné son consentement, PayLead récupère via une API ou bien par technique de web scrapping l'historique des transactions bancaires sur les comptes bancaires qu'il détient auprès de Capital Koala

Les nom et prénoms de l'utilisateur ne sont pas transmis à PayLead, qui n'aura connaissance que d'un numéro technique. Seul Capital Koala est capable de faire le lien entre ce numéro et la personne concernée, et PayLead s'engage à ne pas chercher à réidentifier les personnes concernées, sauf dans le cadre de sa collaboration à une éventuelle enquête pénale ou de ses obligations de vigilance anti-blanchiment.

L'algorithme de segmentation du marché et de catégorisation des utilisateurs est configuré de sorte à ne pas traiter ou révéler d'informations sensibles au sens de l'article 9 du RGPD, comme l'origine "raciale" ou ethnique, l'état de santé, l'orientation et la vie sexuelles, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale. L'algorithme ne traite que des informations relatives à la localisation de ses derniers achats, à sa catégorie socio-professionnelle, et à son sexe (homme ou femme).

 

  1. Destinataires des données

Peuvent accéder aux données, parmi les employés des sociétés PayLead et Capital Koala, de façon journalisée, et sans accéder aux noms :

  • Les administrateurs de base de données ayant droit d'en connaître après validation du besoin par les équipes compétentes (Direction Technique, direction de la Sécurité) ;
  • Opérateurs de service après-vente de niveau trois ;
  • Les équipes de sécurité en cas d'investigation d'un incident.

 

Les marchands partenaires ne sont destinataires d'aucune donnée à caractère personnel. Ils ne peuvent qu'indiquer à PayLead les catégories de personnes à qui ils souhaitent faire parvenir leurs annonces. PayLead se charge alors de transmettre les offres commerciales du marchand aux utilisateurs appartenant aux segments indiqués par les marchands.

 

  1. Mesures de sécurité

Afin de garantir le plus haut niveau de sécurité possible, PayLead met en œuvre une politique stricte et exigeante de sécurité des systèmes d'information.

Tous les accès à la base de données contenant les données à caractère personnel des utilisateurs font l'objet d'une journalisation.

Les communications entre Capital Koala, PayLead, et l'ensemble des sous-traitants sont chiffrées par l’intermédiaire d’API respectant le protocole TLS dans sa version v1.2, ou ultérieure en fonction des évolutions des standards de sécurité. Aucune communication entre les API de PayLead et le Système d’Information de Capital Koala ne peuvent se faire en clair.

Dans le cas d’échanges de données personnelles entre PayLead et Capital Koala ne se faisant pas de manière automatisée ou via les API de PayLead, Capital Koala et PayLead s’engagent à maintenir la confidentialité et la sécurité des informations par l’intermédiaire de mécanismes de chiffrement adéquats.

PayLead et Capital Koala s’engagent à maintenir un niveau de sécurité de leurs systèmes d’information respectant les standards actuels en termes de sécurité et s’engagent à mettre à jour, dans les meilleurs délais, leurs systèmes contre les dernières vulnérabilités connues.

Paylead et Capital Koala ont contractualisé la possibilité de s'auditer mutuellement ou mandater un cabinet d'audit spécialisé en sécurité informatique pour le faire.

Des sauvegardes régulières des données sont effectuées.

 

  1. Durée de conservation des données

En vertu des dispositions en vigueur sur la lutte contre le blanchiment et le financement du terrorisme précédemment visée, PayLead, Capital Koala et MangoPay conservent chacun des informations sur les transactions de cashback pour une durée de cinq ans, même dans les cas où l'utilisateur ne participe plus à Capital Koala « Magasins partenaires ».  Ces données sont archivées de façon sécurisée. Chaque acteur de la chaîne de paiement conserve une partie des données, qui peuvent être combinées pour réidentifier la personne concernée si cela s'avère nécessaire en vue de la réalisation des finalités de lutte contre le blanchiment et le financement du terrorisme.

En dehors de ces cas et de l’intérêt légitime de Paylead à traiter les données, toute donnée personnelle d'un client traitée dans le cadre de Capital Koala « Magasins partenaires », vieille de plus de cinq ans, sera supprimée, sauf si, entre temps, des obligations légales entrent en vigueur nous contraignant à garder ces données plus longtemps. Dans ce cas, la présente politique de confidentialité sera mise à jour et client en sera tenu informé.

Dans le cadre de la sécurité de leurs systèmes d’information et du maintien en opération de ses services, PayLead et Capital Koala conservent les données techniques pendant une durée de un an, conformément à l’art. L 34-1 et R 10-13 du Codes des postes et des communications électroniques.

Hormis celles qui relèvent de la lutte contre le blanchiment et le financement du terrorisme, les données relatives à des personnes ayant retiré leur consentement à participer au programme Capital Koala « Magasins partenaires » sont supprimées de la base de données de PayLead immédiatement, sans attendre le délai de cinq ans.

 

  1. Droits des personnes concernées

Les personnes concernées peuvent s'adresser au délégué à la protection des données de Capital Koala depuis le formulaire de Contact pour exercer leurs droits. Elles devront pouvoir, au besoin , justifier de leur identité.

En se connectant à www.capitalkoala.com avec son nom d'utilisateur et son mot de passe, la personne concernée peut accéder à l'intégralité des données personnelles collectées à son sujet.

En cas de problème pour se connecter, et accéder ainsi à ses données, elle peut contacter le service après-vente de Capital Koala qui, au besoin, contactera PayLead pour l’assister dans sa demande.

Elle peut exercer son droit de rectification et son droit d'opposition en s'adressant par courrier électronique au délégué à la protection des données de Capital Koala.

Elle peut demander la suppression de ses données depuis l’interface www.capitalkoala.com, sauf celles relatives à des transactions bancaires initiées dans le cadre d'un cashback. La suppression de ses données entraînera la résiliation des CGU.

 

  1. Directives particulières sur le devenir des données après la mort de la personne concernée

Les héritiers et parents de la personne concernée peuvent demander la suppression des données personnelles relatives à la personne décédée. Dans ce cas, il peut être demandé des éléments justifiants de l’identité des personnes et de la confirmation du décès de la personne concernée. Ce jeu de justificatifs peut se composer, sans s’y limiter, de

  • Acte de décès officiel ;
  • Livret de famille ;
  • Pièce d’identité

Cette demande s’effectue en premier ressort auprès de Capital Koala avec l’assistance, le cas échéant, de PayLead.

 

  1. Dispositions particulières relatives à la lutte contre le blanchiment et le financement du terrorisme

Les données relatives à la lutte contre le blanchiment et le financement du terrorisme, selon les dispositions législatives et réglementaires précédemment visées dans la présente politique de confidentialité détaillée, telles que définies dans la norme AU-003 de la CNIL, sont conservées cinq ans même si la personne concernée décide de supprimer son compte.  

Par ailleurs, en vertu de l'art. L561-45 du CMF, l'utilisateur est informé qu'il ne peut demander directement à PayLead ou à Capital Koala des informations sur les activités de vigilance anti-blanchiment s'exerçant à son égard, en particulier lorsqu'elles portent sur d'éventuelles déclarations de soupçons transmises aux autorités compétentes. Cependant, il peut se tourner vers la CNIL pour exercer un droit d'accès indirect à ces informations.

PayLead ne conserve pas le nom de la personne concernée ou ses coordonnées, mais seulement un numéro technique pseudonymisé qui peut être recoupé, en cas de besoin pour répondre aux obligations légales, avec les données conservées par Capital Koala et / ou MangoPay.

  1. Sous-traitants

PayLead fait appel pour certains aspects de son fonctionnement aux sous-traitants suivants, choisis pour leur expertise en matière de sécurité et de protection des données, et qui se sont engagés vis-à-vis de PayLead et de Capital Koala à respecter leurs obligations de l'art. 28 du RGPD.

Il s'agit des sous-traitants suivants :

Pour l'hébergement et le traitement des données par les API :

  • OVH.
  • LeaseWeb

Pour la prestation de services de paiement (pour le cashback) :

  • MangoPay

Pour récupérer les données de transaction bancaires (scrapping) :

  • Budget-Insight
  • Linxo

  1. Révisions

En cas de révision, la nouvelle version de la présente politique de confidentialité devra être présentée aux personnes concernées. Le cas échéant, leur consentement devra de nouveau être sollicité pour continuer à traiter leurs données à caractère personnel une fois la nouvelle version de la politique de confidentialité entrée en vigueur.