Politique de Confidentialité

Dernière mise à jour : Mai 2024

1. Qui sommes-nous et comment nous contacter ? 

SlimPay, société anonyme dont le siège social est situé au 12 rue Godot de Mauroy 75009 Paris, immatriculée au RCS Paris sous le n° 518 991 336 (ci-après “SlimPay”, “nous”) est un prestataire de services de paiement spécialisé dans les paiements compte à compte. SlimPay est agréé et supervisé par l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) en qualité d’établissement de paiement. Dans le cadre de la présente Politique de Confidentialité (ci-après “la Politique”), SlimPay est le Responsable de traitement.

Vous pouvez contacter à tout moment notre Délégué à la protection des données à l’adresse suivante : dpo@slimpay.com.

2. L’objet de la Politique de confidentialité

La protection des Données à caractère personnel est une priorité pour nous, c’est pourquoi nous nous engageons à respecter la réglementation applicable et notamment le Règlement général sur la protection des données (UE) 2016/679 et la loi “Informatique et Libertés” du 6 janvier 1978 modifiée (ci-après la “Réglementation applicable”). La présente Politique vise ainsi à informer les personnes concernées sur les traitements de Données à caractère personnel effectués par SlimPay. 

3. Définitions

Les termes utilisés dans la présente Politique ont la signification suivante :

Affiliée : désigne toute société qui, directement ou indirectement, contrôle SlimPay, est contrôlée par SlimPay ou est sous le même contrôle que SlimPay, la notion de contrôle étant celle définie par l’article L. 233-3 du Code de commerce. 

Données à caractère personnel : désigne toutes les données à caractère personnel telles que définies par le Règlement général (UE) 2016/679 sur la protection des données (RGPD).

Bénéficiaire effectif : désigne un représentant légal chez un Marchand de SlimPay.

Marchand : désigne une entreprise cliente de SlimPay.

Partenaire : désigne toute entreprise avec qui SlimPay a contractualisé (hors Marchand) dans le cadre d’un partenariat ou d’une prestation de service.

Personne contact du Marchand ou du Partenaire : désigne une personne employée chez le Marchand ou chez le Partenaire. 

Prospect : désigne une entreprise potentiellement intéressée par les services de SlimPay ou un visiteur du site internet de SlimPay.

Responsable de Traitement : en accord avec la réglementation (UE) 2016/679 signifie la personne morale ou physique qui détermine les finalités et les moyens du traitement des Données à caractère personnel.

Sous-traitant : en accord avec la réglementation (UE) 2016/679 signifie la personne physique ou morale qui traite des données pour le compte d’un autre organisme (« le Responsable de Traitement »), dans le cadre d’un service ou d’une prestation.

Utilisateur : désigne le client final du Marchand qui souhaite acheter des biens ou des services offerts par le Marchand.

4.  Comment traitons-nous vos Données à caractère personnel ? 

Vous interagissez avec nous si vous êtes dans une catégorie suivante :  

  • un Utilisateur
  • un Bénéficiaire effectif d’un de nos Marchands ou d’un de nos Partenaires
  • une Personne contact d’un de nos Marchands ou d’un de nos Partenaires
  • un Prospect 

Si vous postulez à un emploi chez nous, vous trouverez la politique à l’égard des candidats à l’emploi lors de l’envoi de votre candidature. 

Vous trouverez, ci-après, des détails concernant la collecte, les finalités, les bases légales et les catégories de Données à caractère personnel traitées par SlimPay en fonction de chaque catégorie de personne concernée. 

4.1 Si vous êtes un Utilisateur de nos services

Ce paragraphe vous concerne si vous êtes client d’un Marchand qui utilise les services de SlimPay. 

Comment les données sont-elles collectées ? Vos Données à caractère personnel nous sont transférées par l’intermédiaire du Marchand qui vous fournit les biens et services souhaités, par l’intermédiaire d’un partenaire de SlimPay ou par l’intermédiaire de l’API de votre banque dans le cas de notre service SlimCollect. 

Vos Données à caractère personnel sont traitées de la manière ci-dessous. En fonction des services auxquels votre Marchand a souscrit chez nous, certains traitements peuvent ne pas vous être applicables.

4.1.1 Fourniture des services 

Finalité du traitementBase légaleDonnées à caractère personnel traitées
Fourniture du service de signature des mandats SEPA et/ou documents (y compris gestion via le dashboard SlimPay)*

Intérêt légitime à fournir nos services aux MarchandsDonnées d’identification (nom, prénom, adresse email, numéro de téléphone, adresse postale, référence client)
Données financières (BIC, IBAN)
Fourniture du service de préparation des mandats SEPA auprès de la banque du Marchand (y compris gestion via le dashboard SlimPay)*Intérêt légitime à fournir nos services aux MarchandsDonnées d’identification (nom, prénom, adresse email, numéro de téléphone, adresse postale, référence client)
Données financières (BIC, IBAN)
Fourniture du service de collecte (acquiring) des prélèvements SEPA (y compris gestion via le dashboard SlimPay)*Intérêt légitime à fournir nos services aux MarchandsDonnées d’identification (nom, prénom, adresse email, numéro de téléphone, adresse postale, référence client)
Données financières (BIC, IBAN)
Données de transaction (nom du Marchand, date, description et montant de la transaction, référence de la transaction)
Fourniture du service d’information sur les comptes (SlimCollect Verify) (y compris gestion via le dashboard SlimPay)*
Exécution d’un contrat avec l’UtilisateurDonnées d’identification (nom, prénom, adresse email, numéro de téléphone, adresse postale, référence client)
Données financières (nom de votre banque, BIC, IBAN)
Données de transaction (nom du Marchand, date, description et montant de la transaction, référence de la transaction)
Fourniture du service d’initiation de paiement (SlimCollect Pay) (y compris gestion via le dashboard SlimPay)
Exécution d’un contrat avec l’utilisateurDonnées d’identification (nom, prénom, adresse email, numéro de téléphone, adresse postale, référence client)
Données financières (nom de votre banque, BIC, IBAN)
Données de transaction (nom du Marchand, date, description et montant de la transaction, référence de la transaction)
Partage des informations aux sociétés Affiliées de SlimPay
SlimPay peut être amené à transférer vos données à ses sociétés Affiliées dans le cadre de l’amélioration de nos produits et services
Intérêt légitime à améliorer nos produits et servicesDonnées d’identification (nom, prénom, adresse email, numéro de téléphone, adresse postale, référence client)
Données financières (nom de votre banque, BIC, IBAN)
Données de transaction (nom du Marchand, date, description et montant de la transaction, référence de la transaction)

* Pour toute utilisation du service d’information sur les comptes suivi du service de signature, de préparation des mandats SEPA puis de prélèvements SEPA après le 30 avril 2024 via la plateforme de SlimPay, SlimPay collectera et traitera vos données en tant que Responsable de Traitement conjoint avec la société Trustly Group AB. Plus d’informations sur cette responsabilité conjointe sont disponibles à l’article 5.4 ci-dessous. 

4.1.2. Analyse des transactions

Finalité du traitementBase légaleDonnées à caractère personnel traitées
Analyse des mandats avant importIntérêt légitime à ce que les mandats soient conforme au rulebooks de l’EPC et cohérents avec le KYCDonnées d’identification (nom, prénom, adresse email, numéro de téléphone, adresse postale, référence client)
Données financières (BIC, IBAN)
Surveillance et analyse des transactions atypiques de paiement (Transaction Monitoring)Obligation légale
Article L561-6 du Code monétaire et financier
Données d’identification (nom, prénom, adresse email, numéro de téléphone, adresse postale, référence client)
Données financières (BIC, IBAN)
Données de transaction (nom du Marchand, date, description et montant de la transaction, référence de la transaction)
Analyse de vos transactions dans le cadre de la lutte anti-fraude
Intérêt légitime à prévenir la fraudeDonnées d’identification (nom, prénom, adresse email, numéro de téléphone, adresse postale, référence client)
Données financières (BIC, IBAN)
Données de transaction (nom du Marchand que vous payez, date, description et montant de la transaction, référence de la transaction)

4.2 Si vous êtes un Bénéficiaire effectif d’un de nos Marchands ou Partenaire 

Ce paragraphe vous concerne si vous êtes un Bénéficiaire effectif d’un Marchand ou Partenaire direct de SlimPay ou si vous signez des actes en lieu et place d’un Bénéficiaire effectif. En tant qu’établissement de paiement français agréé par l’Autorité de contrôle prudentiel et de résolution (ACPR), nous sommes soumis à des obligations réglementaires s’inscrivant notamment dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT). Dans ce cadre, nous sommes tenus de recueillir et d’analyser les éléments nécessaires à la connaissance de notre clientèle avant d’entrer en relation d’affaires et pendant toute la durée de celle-ci.

Comment les données sont-elles collectées ? Nous collectons directement vos Données à caractère personnel via la complétion d’un formulaire ou indirectement grâce à nos outils de contrôle (cf. article 5.3) ou par l’intermédiaire d’une société Affiliée de SlimPay. 

Vos Données à caractère personnel sont traitées de la manière suivante : 

Finalité du traitementBase légaleDonnées à caractère personnel traitées
Procédure de “Know Your Business” (KYB) 
Conformément à nos obligations réglementaires, nous procédons à la vérification de votre identité y compris une identification des Personnes Politiquement Exposées (PPE) et une vérification que votre nom n’apparait pas sur des listes de sanctions ou sur une liste de gel des avoirs. 
Obligation légaleArticles L561-5 et suivants et article R561-12 du Code monétaire et financier
Dans la mesure où les informations constituent des données sensibles, la base juridique est que le traitement est nécessaire pour des raisons d’intérêt public (article 9, paragraphe 2, point g), du RGPD).
Données d’identification (nom, prénom, date de naissance, document d’identité, adresse postale, adresse email professionnelle, numéro de téléphone professionnel)
Données relatives à la vie professionnelle (nom de l’entreprise dans laquelle vous travaillez et fonction que vous occupez)
Données sensibles (le cas échéant, informations sur les opinions politiques et/ou croyances religieuses contenues dans les listes PEP et des données relatives à des condamnations pénales ou  infractions si vous apparaissez sur une liste de sanctions)
Partage des informations du KYB aux sociétés Affiliées de SlimPay
Dans le cas où le Marchand souhaite souscrire aux services d’une société du groupe Trustly auquel SlimPay appartient, SlimPay partagera vos informations de KYB à cette société.
Intérêt légitime des sociétés Affiliées à obtenir les informations du KYB pour réaliser leurs propres diligences KYB obligatoires
Dans la mesure où les informations constituent des données sensibles, la base juridique est que le traitement est nécessaire pour des raisons d’intérêt public (article 9, paragraphe 2, point g), du RGPD).
Données d’identification (nom, prénom, date de naissance, document d’identité, adresse postale, adresse email professionnelle, numéro de téléphone professionnel)
Données relatives à la vie professionnelle (nom de l’entreprise dans laquelle vous travaillez et fonction que vous occupez)
Données sensibles (le cas échéant, informations sur les opinions politiques et/ou croyances religieuses contenues dans les listes PEP et des données relatives à des condamnations pénales ou  infractions si vous apparaissez sur une liste de sanctions)

4.3 Si vous êtes une Personne contact d’un de nos Marchands ou Partenaire

Ce paragraphe vous concerne si vous êtes une personne employée d’un Marchand ou Partenaire direct de SlimPay avec qui nous échangeons dans le contexte de la relation d’affaires qui lie SlimPay et le Marchand ou le Partenaire. 

Comment les données sont-elles collectées ? Nous pouvons être amenés à collecter directement vos Données à caractère personnel auprès de vous.

Vos Données à caractère personnel sont traitées de la manière suivante :  

Finalité du traitementBase légaleDonnées à caractère personnel traitées
Gestion de la relation d’affaire (suivi du contrat, réclamations)Exécution du contratDonnées d’identification (nom, prénom, adresse email professionnelle, numéro de téléphone professionnel)
Données relatives à la vie professionnelle (nom de l’entreprise dans laquelle vous travaillez et fonction que vous occupez)
Réalisation d’enquêtes et de sondages sur nos produits et services et évaluation de la satisfaction clientIntérêt légitime à améliorer nos produits et servicesDonnées d’identification (nom, prénom, adresse email professionnelle, numéro de téléphone professionnel)
Données relatives à la vie professionnelle (nom de l’entreprise dans laquelle vous travaillez et fonction que vous occupez)
Envoi de campagnes marketing B2BIntérêt légitime à réaliser de la prospection commercialeDonnées d’identification (nom, prénom, adresse email professionnelle, numéro de téléphone professionnel)
Données relatives à la vie professionnelle (nom de l’entreprise dans laquelle vous travaillez et fonction que vous occupez)
Partage des informations aux sociétés Affiliées de SlimPay
Intérêt légitime à partager vos données aux sociétés Affiliées de SlimPay pour des fins de prospection commercialeDonnées d’identification (nom, prénom, adresse email professionnelle, numéro de téléphone professionnel)
Données relatives à la vie professionnelle (nom de l’entreprise dans laquelle vous travaillez et fonction que vous occupez)

4.4 Si vous êtes un Prospect

Ce paragraphe vous concerne si vous êtes un potentiel futur client de SlimPay ou un visiteur de notre site internet. 

Comment les données sont-elles collectées ? SlimPay a collecté vos données grâce aux formulaires présents sur notre site internet, par l’intermédiaire d’une liste de contacts professionnelles obtenue licitement, directement en ligne grâce à un service de vérification d’adresses emails, à partir du nom de domaine d’adresse email de votre entreprise, ou par l’intermédiaire d’une société Affiliée de SlimPay.

Finalité du traitementBase légaleDonnées à caractère personnel traitées
Proposer du contenu sur nos services (guides, livres blanc, webinar …)Intérêt légitime à vous fournir les contenus demandés et à vous envoyer des campagnes marketing B2BDonnées d’identification (nom, prénom, adresse email professionnelle, numéro de téléphone professionnel)
Données relatives à la vie professionnelle (nom de l’entreprise dans laquelle vous travaillez et fonction que vous occupez)
Envoi de campagnes marketing B2BIntérêt légitime à réaliser de la prospection commerciale
Afin de respecter la réglementation sur la prospection commerciale en B2B, nous nous engageons à ne contacter que des adresses emails professionnelles avec des sollicitations en rapport avec la profession de la personne démarchée, ainsi que d’informer les personnes du traitement réalisé et de la possibilité de s’y opposer.
Données d’identification (nom, prénom, adresse email professionnelle, numéro de téléphone professionnel)
Données relatives à la vie professionnelle (nom de l’entreprise dans laquelle vous travaillez et fonction que vous occupez)
Mise en relation avec nos équipesIntérêt légitime à vous mettre en relation avec nos équipes et à vous envoyer des campagnes marketing B2BDonnées d’identification (nom, prénom, adresse email professionnelle, numéro de téléphone professionnel)
Données relatives à la vie professionnelle (nom de l’entreprise dans laquelle vous travaillez et fonction que vous occupez)
Partage des informations aux sociétés Affiliées de SlimPay
Intérêt légitime à partager vos données aux sociétés Affiliées de SlimPay pour des fins de prospection commercialeDonnées d’identification (nom, prénom, adresse email professionnelle, numéro de téléphone professionnel)
Données relatives à la vie professionnelle (nom de l’entreprise dans laquelle vous travaillez et fonction que vous occupez)
Cookies et autres traceurs 
Pour en savoir plus sur les cookies, vous pouvez consulter notre politique dédiée
Consentement (à travers le module cookies en bas à gauche de l’écran)Données de connexion (adresse IP, logs, type d’appareil, système d’exploitation et informations relatives au navigateur)

Si vous ne souhaitez plus être contactés par SlimPay, vous pouvez vous désinscrire à tout moment en cliquant sur le lien « Se désinscrire » en bas de nos emails.

4.5 Autres traitements de Données à caractère personnel 

Selon les circonstances, ces traitements peuvent potentiellement concerner toutes les catégories de personnes dont SlimPay traite les Données à caractère personnel. 

Finalité du traitementBase légaleDonnées à caractère personnel traitées
Répondre à vos demandes d’exercice de droit
Dans ce cadre et au regard de la nature des données que nous traitons, nous pouvons être amenés dans certains cas à vérifier votre identité pour nous assurer de ne pas divulguer des Données à caractère personnel à la mauvaise personne.
Obligation légaleDonnées d’identification (nom, prénom, adresse email professionnelle, numéro de téléphone professionnel, copie d’une pièce d’identité si nécessaire)
Défense des intérêts de SlimPayIntérêt légitime à défendre les intérêts de SlimPayDonnées d’identification (nom, prénom, adresse email, numéro de téléphone, adresse postale, référence client)
Données relatives à la vie professionnelle (nom de l’entreprise dans laquelle vous travaillez et fonction que vous occupez)
Données financières (BIC, IBAN)
Données de transaction (nom du Marchand que vous payez, détail et montant de la transaction, référence de la transaction)

5. Les destinataires des Données à caractère personnel

Dans le cadre des traitements identifiés ci-dessus, SlimPay transfère vos Données à caractère personnel aux destinataires suivants : 

5.1 Les équipes de SlimPay

Vos Données à caractère personnel ne sont disponibles en interne chez SlimPay qu’aux équipes spécialement habilitées. SlimPay veille également à ce que toutes les personnes impliquées dans le traitement des Données à caractère personnel chez SlimPay soient liées par une obligation de confidentialité appropriée et aient suivi une formation adéquate à la protection et au traitement des Données à caractère personnel.

5.2 Les sociétés Affiliées de SlimPay

SlimPay peut partager vos données à ses sociétés Affiliées pour améliorer nos produits et services si vous êtes un Utilisateur (voir article 4.1.1 ci-dessus), à des fins de KYB si vous êtes un Bénéficiaire effectif (voir article 4.2 ci-dessus) ou pour des fins de prospection commerciale si vous êtes une Personne Contact ou un Prospect (voir articles 4.3 et 4.4 ci-dessus).

5.3 Les sous-traitants de SlimPay

SlimPay fait également appel à des Sous-traitants dans le cadre des finalités détaillées à l’article 4 ci-dessus. SlimPay garantit qu’il a sélectionné ses Sous-traitants en fonction, en particulier, des garanties suffisantes qu’ils offrent en termes de sécurité et de protection des données. SlimPay s’engage à conclure un contrat de sous-traitance avec chacun de ses sous-traitants et veille à ce que chaque sous-traitant s’acquitte de toutes les obligations imposées par le RGPD. Pour retrouver la liste des sous-traitants de SlimPay, cliquez ici.

5.4 Le Responsable de Traitement conjoint

Pour toute utilisation du service d’information sur les comptes suivi du service de signature, de préparation des mandats SEPA puis de prélèvements SEPA après le 30 avril 2024 via la plateforme de SlimPay, SlimPay collectera et traitera vos Données à caractère personnel en tant que Responsable de Traitement conjoint avec la société Trustly Group AB (société à responsabilité limitée dont le siège social est situé à Rådmansgatan 40, 113 57 Stockholm, Suède, immatriculée sous le n°556754-8655).

SlimPay et la société Trustly Group AB sont tenus de déterminer et de répartir leurs responsabilités respectives en ce qui concerne le respect des obligations prévues par le RGPD. Nous sommes également tenus de vous communiquer l’essentiel de cet accord. Vous trouverez ces informations ci-dessous.

SlimPay est responsable, en vertu du RGPD, de vous fournir des informations sur la manière dont vos données personnelles sont traitées dans le cadre du service visé au présent article. SlimPay est également le destinataire principal des demandes liées à vos droits en vertu du RGPD (voir article 9 ci-dessous), tels que votre droit d’accès aux Données à caractère personnel que SlimPay et/ou Trustly Group AB traitent à votre sujet. Toutefois, vous êtes libre d’exercer vos droits à l’égard de Trustly Group AB si vous le souhaitez.

Vous pouvez trouver plus d’informations sur la façon dont Trustly Group AB traite vos Données à caractère personnel, comme la base juridique sur laquelle Trustly Group AB s’appuie et les moyens d’exercer vos droits à l’encontre de Trustly Group AB, ici.

5.5 Les Responsables de Traitement distincts

SlimPay peut être amené à transmettre vos Données à caractère personnel au Marchand dans le cadre de la fourniture des services.

Dans le cadre de la fourniture de nos services de paiement, SlimPay partage également vos Données à caractère personnel à un autre partenaire, BNP Paribas, participant direct auprès dans le cadre des systèmes d’échanges interbancaires européens et qui agit en tant que Responsable de Traitement distinct. Pour en savoir plus sur le traitement de vos Données à caractère personnel par la BNP Paribas, vous pouvez consulter cette notice.

5.6 Les autorités publiques compétentes

Dans certaines situations, vos Données à caractère personnel peuvent être communiquées aux autorités publiques compétentes, sur réquisition judiciaire, et aux organismes de lutte contre le blanchiment de capitaux et le financement du terrorisme en vertu de dispositions légales ou réglementaires.

6. Localisation des Données à caractère personnel

Les serveurs de SlimPay sont entièrement localisés au sein de l’Union Européenne par notre hébergeur Amazon Web Services.

Comme précisé à l’article 5.3 de la présente Politique, SlimPay transmet vos Données à caractère personnel à ses Sous-traitants dans le cadre de la fourniture de ses services. 

Certains Sous-traitants sont localisés dans un pays en dehors de l’Union Européenne. SlimPay s’engage à ce que ces transferts hors UE soient couverts :

– Par une décision d’adéquation par la Commission Européenne reconnaissant au Pays tiers un niveau adéquat de protection des Données à caractère personnel, conformément à l’article 45 du RGPD ; ou

– Par des garanties appropriées, conformément à l’article 46 du RGPD, telles que les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne.

7. Conservation des Données à caractère personnel

SlimPay conserve vos Données à caractère personnel pendant la durée nécessaire à la fourniture de nos services de paiement ou pendant la durée de la relation d’affaires. SlimPay peut également être amené à conserver vos Données à caractère personnel ultérieurement afin de respecter des délais légaux et réglementaires notamment en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme, pour respecter les délais de conservation à titre probatoire ou comptable. Les durées de conservation applicables à SlimPay sont détaillées ci-dessous. Une fois ces durées de conservation écoulées, SlimPay s’engage à supprimer ou anonymiser vos Données à caractère personnel.

Catégorie de Personne ConcernéeCatégories de Données à caractère personnelDurée de conservationJustification de la conservation
UtilisateursDonnées d’identification Données financièresDonnées de transaction
Cinq (5) ans à compter de l’exécution de l’opération     Lutte contre le blanchiment des capitaux/ Fraude/Financement du terrorisme (Article L.561-12 du Code Monétaire et Financier)
UtilisateursDonnées contenues dans les mandats SEPA (Données d’identification ; Données financières)Cinq (5) ans à compter de la fin du mandat : – soit à compter de sa révocation par le débiteur ;- soit à compter de la caducité du mandat (lorsqu’aucun ordre de prélèvement SEPA n’a été présenté pendant une période de 36 mois). Conservation à titre probatoire (Article 2224 du Code civil)     
UtilisateursDonnées contenues dans les mandats SEPA (Données d’identification ; Données financières)  Dix (10) ans à compter de la création du fichier de preuve    Conservation des fichiers de preuve dans le cadre d’une prestation annexe d’archivage sur demande du Marchand (Article L.123-22 du Code de commerce ; Exigences générales ETSI 319 411-1)
Bénéficiaires effectif des MarchandsDonnées d’identificationDonnées relatives à la vie professionnelleDonnées sensiblesCinq (5) ans à compter de la fin de la relation d’affaireLutte contre le blanchiment des capitaux/ Fraude/Financement du terrorisme (Article L.561-12 du Code Monétaire et Financier ; Article L110-4 du Code de commerce)
Personnes contacts du MarchandDonnées d’identificationDonnées relatives à la vie professionnelleTrois (3) ans à compter de la fin de la relation d’affaireGestion de la relation d’affaire (Recommandations de la CNIL)
ProspectsDonnées d’identificationDonnées relatives à la vie professionnelleTrois (3) ans à compter du dernier contact actifProspection commerciale (Recommandations de la CNIL)

8. Sécurité et confidentialité

Pendant toute la durée de conservation de vos Données à caractère personnel, SlimPay met en place tous les moyens aptes à assurer leur confidentialité et leur sécurité, de manière à empêcher leur endommagement, effacement ou accès par des tiers non autorisés.

Considérant l’état de la technique, les coûts de mise en œuvre, la nature, la portée, le contexte et les finalités du traitement ainsi que le risque et l’étendue des droits et libertés des personnes physiques, SlimPay s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité approprié à ce risque conformément à l’article 32 du RGPD.

Ces mesures de sécurité comprennent notamment les éléments suivants:

  • Mesures d’authentification et gestion des accès : Toute personne accédant aux données se voit attribuer un identifiant unique (non générique) et un mot de passe généré à partir d’un générateur de mot de passe permettant de lui associer avec certitude l’ensemble des actions réalisées sur ce système. Le mot de passe est renouvelé obligatoirement chaque 90 jours. Tout mouvement de personnel donne lieu à une réévaluation des droits d’accès.
  • Journalisation et traçabilité des connexions : Toutes les actions sur la plateforme d’hébergement des services SlimPay sont tracées et remontées au niveau de nos outils de centralisation de logs et agrégées sur nos outils de monitoring/dashboarding.
  • Sécurité des équipements :  Tous les équipements des utilisateurs sont équipés d’une protection automatiquement tenue à jour contre les logiciels malveillants.  (antivirus, pare-feu). Une technologie de type VPN doit être utilisée pour sécuriser et authentifier l’accès des utilisateurs à travers des connexions externes.
  • Cloisonnement des réseaux : Les réseaux de développement/exploitation, validation, pré-production/production sont logiquement disjoints. 
  • Mesures cryptographiques et sauvegarde des données : Toutes les données sauvegardées sont chiffrées avec un algorithme de chiffrement AES-256 standard. Une sauvegarde complète des données est effectuée quotidiennement avec les critères de date et d’heure de la sauvegarde.
  • Contrôle des accès physiques aux locaux : Les locaux professionnels sont tous fermés au public grâce à un système de sécurité d’accès par badge et supervisés par des caméras qui conservent les enregistrements conformément à la réglementation en vigueur. 

9. Exercice des droits

Conformément aux dispositions de la Réglementation applicable (et notamment au chapitre III du RGPD), vous pouvez exercer les droits suivants : 

  • Le droit d’accès : vous pouvez obtenir une copie de vos Données à caractère personnel traitées par SlimPay et d’autres informations sur les traitements. 
  • Le droit de rectification : vous pouvez demander la modification de vos données lorsque celles-ci sont incorrectes ou incomplètes afin de limiter l’utilisation ou la diffusion d’informations erronées. 
  • Le droit à l’effacement :  vous pouvez demander à ce que SlimPay supprime vos Données à caractère personnel si un des motifs de l’article 17 du RGPD s’applique.
  • Le droit à la limitation du traitement : vous pouvez demander à ce que le traitement de vos données soit bloqué pendant un certain temps lorsqu’un des éléments de l’article 18 du RGPD s’applique. 
  • Le droit à la portabilité des données : vous disposez du droit de récupérer vos données dans un format lisible par machine pour votre propre usage ou pour les fournir à un autre organisme. 
  • Le droit d’opposition : vous disposez du droit à vous opposer à tout moment à un traitement de vos données fondé sur la base de l’intérêt légitime. Vous pouvez également vous opposer à tout moment au traitement de vos données à des fins de prospection.
  • Le droit de retirer votre consentement : vous pouvez revenir sur votre consentement à tout moment pour les traitements qui sont fondés sur cette base légale . 
  • Le droit à la mort numérique : vous avez le droit de définir des directives relatives à la conservation, à l’effacement et à la communication de vos Données à caractère personnel après votre décès. 

Pour exercer ces droits et pour toute demande relative aux Données à caractère personnel, vous pouvez contacter notre Délégué à la protection des données à l’adresse suivante : dpo@slimpay.com.

Nous vous rappelons également que conformément à l’article 77 du RGPD vous pouvez introduire une réclamation auprès d’une autorité de contrôle.

10. Modification de la Politique de Confidentialité

La présente Politique pourra être modifiée par SlimPay à tout moment, notamment en cas de nouvelles recommandations de la CNIL, de changement des traitements des Données à caractère personnel ou d’évolution de la loi applicable.

SlimPay s’engage à publier sa Politique de confidentialité sur son site internet selon sa dernière version disponible et vous fournit la date de dernière mise à jour.

This post is also available in English.