Politique de protection des données à caractère personnel YAPLA France

Il est indiqué à toutes fins utiles que les termes utilisés dans la présente Politique des données personnelles avec une majuscule ont la même signification que dans le cadre des Conditions Générales.
 
Cette politique de protection des données à caractère personnel fixe la manière dont les données des Utilisateurs Autorisés sont traitées dans le cadre de ce site.
 
Les Utilisateurs Autorisés du présent site sont susceptibles de communiquer, à Yapla France, éditeur du site, des données à caractère personnel les concernant en utilisant les différents supports de collecte, outils et services mis à leur disposition sur le site.
 
Les données collectées pourront faire l’objet de traitement, automatisé ou non, conformément au Règlement Général n°2016/679 sur la protection des données « RGPD » du 27 avril 2016 et dans les conditions attachées à chaque support de collecte ou service, décrites dans les Conditions Générales d’Utilisation du Site yapla.fr et la présente politique de protection des données à caractère personnel.

 Article 1. YAPLA France agit en qualité de responsable de traitement 

Article 1.1. Traitement et finalités

Les données à caractère personnel collectées via les différents services ou supports de collecte de données figurant sur le présent site le sont par Yapla France agissant en qualité de responsable du traitement au sens du RGPD, sauf lorsqu’il sera expressément mentionné sur le support de collecte des données que le responsable de traitement est un tiers. Dans ce cas, conformément à la loi, le responsable de traitement précisera à l’Utilisateur Autorisé les caractéristiques du traitement qu’il met en œuvre sous sa seule responsabilité.
Dans le cadre de l’utilisation du site et de ses services, les données à caractère personnel que l’Utilisateur Autorisé communique sont collectées et traitées par Yapla France pour une obligation contractuelle ou précontractuelle, respecter ses obligations légales et/ou satisfaire la poursuite de son intérêt légitime ou d’un tiers sans méconnaître les droits de l’Utilisateur Autorisé.
Sur la base de ces fondements, des données personnelles sont récupérées et traitées pour fournir le service suivant :

  • permettre à l’Utilisateur Autorisé ainsi qu’à toute personne physique agissant au nom et pour le compte de l’Association, d’accéder à la Plateforme Yapla ;
  • permettre à l’Association, représentée par un Utilisateur Autorisé, d’envoyer ses informations requises au titre de la connaissance client et bénéficier de tarifs avantageux.

La nature des opérations réalisées sur les données est :

  • consolidation de ces données en interne de l’outil et dans certains cas, anonymisation et transmission d’une partie à un service tiers. 

La ou les finalité(s) du traitement sont :

  • l’accès à la Plateforme Yapla ;
  • l’utilisation des Services par l’Association et l’Utilisateur Autorisé ;
  • la collecte des informations obligatoires (« connaissance client ») et leur transmission aux Caisses régionales du Crédit Agricole exclusivement lorsque le compte bancaire de l’Association y est détenu ;
  • permettre à l’Utilisateur Autorisé de créer le site internet de son association ;
  • permettre le bon fonctionnement de la Plateforme Yapla et l’analyse des incidents.

Les données collectées sont :

  • les données d’identification (par exemple : nom, prénom, date de naissance,…) ;
  • les coordonnées (par exemple : téléphone, adresse e-mail, adresse postale,…) ;
  • les informations financières (par exemple :  moyens de paiement, identité bancaire) ;
  • les données de connexion (par exemple logs, adresse IP,…).

Les données à caractère personnel des Utilisateurs Autorisés sont conservées uniquement pendant la durée de la relation contractuelle entre l’Association et Yapla France. Les données des Utilisateurs Autorisés sont effacées à compter de la suppression du compte de l’Association sur la Plateforme, à l’exception de données qui sont archivées et anonymisées pour une durée postérieure à la rupture de la relation contractuelle, telle qu’indiquée ci-dessous (point 1.3. Durée de conservation des données).

Article 1.2. Caractéristiques sur l'usage et la collecte de données

L’Utilisateur Autorisé n'est pas obligé de répondre à toutes les questions qui lui sont posées.
Le caractère obligatoire de la communication des informations est indiqué par la présence d'un astérisque sur le site yapla.fr. Le défaut de communication de ces données aura pour conséquence l'impossibilité pour Yapla France de traiter la demande de l’Utilisateur Autorisé ou pour lui de pouvoir utiliser l’outil ou le service.

Article 1.3. Durée de conservation des données

Les données personnelles de l’Utilisateur Autorisé sont conservées et traitées pour la durée nécessaire à la réalisation de la finalité poursuivie et au maximum pour les durées mentionnées dans la présente politique de protection des données :

  • les contrats conclus dans le cadre de cette relation commerciale, pendant cinq (5) ans ;
  • les documents bancaires, pendant cinq (5) ans ;
  • les informations relatives à la gestion des commandes, pendant dix (10) ans ;
  • les informations relatives à la gestion de la facturation, pendant dix (10) ans.

En cas de procédure contentieuse, toutes informations et pièces, et tout document contenant des données personnelles des Utilisateurs Autorisés tendant à établir les faits litigieux peuvent être conservés pour la durée de la procédure, y compris pour une durée supérieure à celle indiquée ci-dessus.
 
Certaines données pourront être archivées au-delà des durées indiquées pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales dans le seul but de permettre, en tant que besoins, la mise à disposition de ces données à l’autorité judiciaire.

Article 1.4. Modalités d'exercice de vos droits

L’Utilisateur Autorisé dispose de droits sur ses données personnelles, que Yapla collecte et traite dans le cadre de l’utilisation du site, de ses services et des demandes. Ces droits sont les suivants :
un droit d'accès, de rectification et d’effacement des données (inexactes, incomplètes, équivoques, ou périmées) ;
un droit d’opposition au traitement des données à tout moment dans le cadre de la prospection commerciale ;

  • un droit à la limitation du traitement des données dans les conditions prévues par la réglementation ;
  • un droit à la portabilité des données ;
  • un droit de retirer votre consentement à tout moment ;
  • un droit d'introduire une réclamation auprès d'une autorité de contrôle ;
  • un droit de communiquer au responsable de traitement les instructions concernant les données en cas de décès

L’Utilisateur Autorisé peut exercer ces droits en contactant Yapla France :

  • par e-mail : dpo@yapla.com 
  • par adresse postale : Yapla France, 50 rue de la Boétie, Paris, 75008 ; ou
  • par téléphone : 01 75 58 23 22

 Le Délégué à la Protection des Données à caractère personnel (DPO) est Monsieur Jérôme Bascoul.

L’Utilisateur Autorisé peut, en cas de contestation, former une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) dont le site internet est accessible à l'adresse suivante https://www.cnil.fr et le siège est situé 3 Place de Fontenoy, 75007 Paris.

Article 1.5. Destinataires des données

Yapla France peut être amenée à transférer de manière temporaire et sécurisée à des tiers avec qui elle sera, au préalable, entré en relations contractuelles, certaines données à caractère personnel des Utilisateurs Autorisés, seulement lorsque cela est nécessaire :
 
à l’exploitation et à la maintenance de la Plateforme Yapla (p. ex. hébergeur du site Internet) ;
pour la gestion du Compte de Paiement ;
à la lutte contre le blanchiment de capitaux et le financement du terrorisme (p. ex caisse régionale du crédit agricole dont dépend l’Association - Les conditions de ce traitement par la banque sont détaillées dans la convention de compte et la politique de protection des données de la caisse régionale concernée) ;
à l’utilisation de l’Application Tierce utilisée par l’Association ;
afin de répondre à toute demande des autorités légales.
 
A ce titre, Yapla France veille à ce que l’ensemble des tiers destinataires de données à caractère personnel des Utilisateurs Autorisés placent la protection des données à caractère personnel au cœur de leur mission et s’engagent à prendre toutes mesures afin d’assurer la sécurité et la confidentialité des données personnelles.
 
Certains de ces tiers agissent en tant que responsable de traitement. Dans cette hypothèse, ce tiers communiquera à la personne concernée (c’est-à-dire Association, Adhérent, Utilisateur, Contributeur) les informations s’agissant des conditions de la collecte et du traitement des données qu’il réalise.
 
En sus, lorsque le tiers concerné est situé en dehors de l’Union européenne, ou dans un pays ne disposant pas d’une réglementation adéquate au sens du RGPD, Yapla France encadre sa relation avec ce tiers en adoptant un dispositif contractuel approprié.

Article 2. L’Association agit en qualité de responsable de traitement

L’Association intervient en qualité de responsable de traitement lorsqu’elle collecte et traite les données à caractère personnel de ses Adhérents, de ses Contributeurs et de tout internaute qui visite son Site Internet.

Article 2.1 Engagements de l’Association

Dans le cadre des traitements de données à caractère personnel que l’Association met en œuvre via la Plateforme Yapla, l’Association s’engage à :

  • respecter les dispositions applicables à la protection des données à caractère personnel, notamment de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et du RGPD ;
  • traiter les données à caractère personnel de manière licite, loyale et transparente au regard de la personne concernée ;
  • collecter les données à caractère personnel pour des finalités déterminées, explicites et légitimes, et ne pas traiter lesdites données ultérieurement d’une manière incompatible avec ces finalités ;
  • ne pas collecter des données dites « sensibles » au sens du RGPD ;
  • s’assurer qu’il existe une base légale aux traitements de données à caractère personnel qu’elle met en œuvre ;
  • collecter des données à caractère personnel adéquates, pertinentes, nécessaires au regard des finalités pour lesquelles elles sont traitées, maintenir leur exactitude et, si nécessaire, les mettre à jour ;
  • conserver les données à caractère personnel traitées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • procéder à la suppression des données à caractère personnel collectées au-delà de la période nécessaire pour laquelle elles sont traitées ;
  • à ne pas transférer les données à caractère personnel des personnes susmentionnées à un responsable de traitement ou un sous-traitant situé dans un pays tiers n’assurant pas un niveau adéquate de protection des données personnelles au sens du RGPD. Dans l’hypothèse où un tel transfert devrait intervenir, celui-ci ne peut avoir lieu que si les conditions définies aux articles 45 et 50 du RGPD sont respectées ;
  • traiter de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques et organisationnelles appropriées ;
  • se conformer, vis-à-vis des personnes concernées auprès desquelles les données à caractère personnel sont collectées à l’obligation d’information telle que prévue à l’article 13 du RGPD et faire figurer dans ses conditions générales ainsi qu’au pied de tout questionnaire ou formulaire, y compris électronique, les mentions légales imposées par ledit article ;
  • donner suite, par écrit, aux demandes d’exercice des droits des personnes concernées, à savoir, droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée et droit de définir le sort de ses données après son décès ;
  • tenir un registre des activités de traitement recensant les traitements de données à caractère personnel réalisés ;
  • disposer d’un délégué à la protection des données ;
  • ne désigner que des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, conclure avec ces sous-traitants le contrat reproduit en Annexe A et s’assurer de sa bonne exécution ;
  • accomplir auprès de la CNIL les démarches requises, en particulier en vue de mener une analyse d’impact lorsque le traitement de données à caractère personnel envisagé sera susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées tel qu’identifié par la CNIL ;
  • mettre en place une procédure interne, afin d’identifier les cas de violation des données à caractère personnel pour lesquels une notification à l’autorité nationale de protection compétente et/ou aux personnes concernées est requise.

L’Association, en sa qualité de responsable de traitement, est responsable du respect des obligations susvisées et est en mesure de démontrer, à tout moment, que celles-ci sont respectées. Yapla France ne pourra voir sa responsabilité engagée pour un manquement par l’Association à la législation applicable ou à l’une des stipulations du présent Article 9.2.2 sauf lorsque la loi prescrit expressément le contraire.

Annexe A : Contrat sous-traitant

Dans le cadre de l’exécution du Contrat, Yapla France est amenée à traiter, parmi les Données de l’Association, des données personnelles. Yapla France (ci-après dénommée le « sous-traitant ») intervient à ce titre en qualité de sous-traitant, l’Association (ci-après dénommée le « responsable de traitement ») étant le responsable de traitement de la collecte et du traitement desdites données personnelles.
 
Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.
 
Les présentes clauses entrent en vigueur à compter de la conclusion du Contrat entre l’Association et Yapla France pour la durée de ce Contrat.
 
Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après le « règlement européen sur la protection des données » ou le « RGPD »).

1.Description du traitement faisant l’objet de la sous-traitance

Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les Service(s).
 
Les catégories de personnes concernées sont les membres de l’Association responsable de traitement, ses Adhérents, ses Contributeurs et les internautes consultant son Site Internet.
 
Les finalités du traitement sont les suivantes :

  • la réalisation d’opérations et de communications relatives à la gestion des membres et clients participants adhérents ou donateurs (l’ensemble de ces personnes étant ci-après désigné les « contacts ») concernant : les contrats ; les adhésions, les dons, l’inscription à des événements, les commandes ; les livraisons ; les factures ; le paiement ; la comptabilité et en particulier la gestion des comptes contacts ; le suivi de la relation avec les contacts tel que la réalisation d'enquêtes de satisfaction, la gestion des réclamations et du service après-vente ; la sélection de contacts pour réaliser des études ; 
  • la lutte contre le blanchiment de capitaux et le financement du terrorisme ;
  • l’élaboration de statistiques ;
  • la gestion des demandes de droits des contacts tels que le droit d'accès, de rectification, de suppression, d'opposition, d’effacement, de limitation, de portabilité, et concernant le sort des données personnelles après le décès des personnes ;
  • la gestion des impayés, à condition qu'elle n'entraîne pas une exclusion de la personne du bénéfice d'un droit, d'une prestation ou d'un contrat ;
  • la gestion des avis des personnes sur des produits, services ou contenus. 

Sauf consentement des personnes concernées recueilli dans les conditions prévues conformément aux dispositions en vigueur, ces opérations ne doivent pas conduire à l'établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes).
 
En toute hypothèse, le responsable de traitement est tenu d’informer préalablement le sous-traitant de tout autre traitement envisagé et de garantir le respect de la réglementation en vigueur. Notamment le responsable de traitement est tenu de réaliser si nécessaire une analyse d’impact des traitements envisagés sur la protection des données dans les conditions prévues à l’article 35 du règlement européen relatif à la protection des données personnelles.
 
Les données à caractère personnel traitées sont ou peuvent le cas échéant être les suivantes si cela est nécessaire au regard de la finalité du traitement concerné :

  • l’identité des contacts : numéro de membre, titre, prénom, nom, numéro de téléphone, adresse postale, adresse e-mail, langue parlée, photographie ;
  • le statut des contacts (membre actif, inactif) ;
  • le mot de passe des contacts ;
  • les données relatives aux moyens de paiement : étant précisé que ces données collectées via le Site Internet et sont directement transmises aux établissements bancaires sans être conservées par Yapla France ;
  • les données relatives à la transaction telles que le numéro de la transaction, le détail de l’achat, de l’abonnement, du bien ou du service ;
  • la situation familiale, économique et financière : vie maritale, nombre de personnes composant le foyer, nombre et âge du ou des enfant(s) au foyer, profession, domaine d'activité, catégorie socioprofessionnelle, présence d'animaux domestiques ;
  • les données relatives au suivi de la relation commerciale : demandes de documentation, demandes d'essai, produit acheté, service ou abonnement souscrit, quantité, montant, périodicité, adresse de livraison, historique des achats et des prestations de services, retour des produits, origine de la vente (vendeur, représentant, partenaire, affilié) ou de la commande, correspondances avec le client et service après-vente, échanges et commentaires des clients et prospects, personne(s) en charge de la relation client ; 
  • les données relatives aux règlements des factures : modalités de règlement, remises consenties, reçus, soldes et impayés n'entraînant pas une exclusion de la personne du bénéfice d'un droit, d'une prestation ou d'un contrat ;
  • les données nécessaires à la réalisation des actions de fidélisation, de prospection, d’étude, de sondage, de test produit et de promotion ;
  • les données relatives à l'organisation et au traitement des jeux concours, de loteries et de toute opération promotionnelle telles que la date de participation, les réponses apportées aux jeux concours et la nature des lots offerts ;
  • les connaissances client ; 
  • les données relatives aux contributions des personnes qui déposent des avis sur des produits, services ou contenus, notamment leur pseudonyme.

Pour l’exécution du Service objet du présent Contrat, le responsable de traitement met à la disposition du sous-traitant les informations garantissant le respect des dispositions légales en vigueur et notamment le règlement européen relatif à la protection des données personnelles. 

2. Engagements du responsable de traitement

Le responsable de traitement s’engage dans le cadre de l’exécution du Contrat à :

  • ne transmettre via la Plateforme Yapla France que des données strictement nécessaires à la réalisation des Services ;
  • documenter par écrit toute instruction concernant le traitement des données à caractère personnel par le sous-traitant ;
  • se conformer aux dispositions de la Loi n° 78-17, du RGPD et plus généralement à la réglementation applicable en France ;
  • superviser le traitement des données à caractère personnel, y compris en réalisant des audits selon les modalités préalablement définies d’un commun accord avec le sous-traitant ;
  • obtenir le consentement des personnes concernées au traitement et/ou au transfert de leurs données à caractère personnel ;
  • fournir toutes informations pertinentes aux personnes concernées par les opérations de traitement au moment de la collecte des données.

Le sous-traitant ne pourra voir sa responsabilité engagée pour un manquement par le responsable de traitement à la législation applicable sauf lorsque la loi prescrit expressément le contraire.

3. Engagements du sous-traitant
 

Conformément aux articles 28 et 32 du RGPD, le sous-traitant s’engage à :

  • prendre et à maintenir toutes mesures utiles, et notamment les mesures techniques et d’organisation appropriées, pour préserver la sécurité et la confidentialité des données personnelles qui lui sont confiées par le responsable de traitement pour la fourniture des Services, afin d’empêcher qu’elles ne soient déformées, altérées, endommagées, diffusées ou que des personnes non autorisées y aient accès ;
  • veiller à ce que les personnes autorisées à traiter les données à caractère personnel pour son compte, en plus d’avoir reçu la formation nécessaire en matière de protection des données à caractère personnel, respectent la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ; 
  • respecter les dispositions légales applicables et relatives aux conditions de traitement et/ou à la destination des données qui lui ont été communiquées par le responsable de traitement ou auxquelles il aura accès dans le cadre de la fourniture des Services ;
  • n’agir que sur la seule instruction documentée du responsable de traitement pour la réalisation du traitement des données personnelles concernées ;
  • exploiter les informations nominatives collectées ou auxquelles il aura pu avoir accès pour les seuls besoins de la fourniture au responsable de traitement des Services ;
  • ne pas exploiter pour des finalités contraires au Contrat les informations nominatives collectées ou auxquelles il aura pu avoir accès dans le cadre de l’exécution du Contrat conformément aux dispositions légales applicables, et à ne les transférer qu’à un tiers indiqué ou autorisé par le responsable de traitement ; 
  • ne pas revendre ou céder de données qui ont un caractère strictement confidentiel sauf à ce que les données utilisées par le sous-traitant ne puissent permettre à aucun moment d’identifier une personnes concernée et dès lors que ces données soient utilisées afin de réaliser des statistiques anonymes ;
  • le responsable de traitement, dans la mesure du possible, par la mise en place de mesures techniques et organisationnelles appropriées, ainsi qu’à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits d’accès, de rectification, d’effacement, d’opposition, de limitation et à la portabilité des données ;
  • aider le responsable de traitement, dans la mesure du possible et compte tenu des informations qui lui ont été communiquées par ce dernier, à respecter son obligation de : (a) notifier à l’autorité de contrôle une violation de données à caractère personnel ; (b) communiquer à la personne concernée une violation de données à caractère personnel ; (c) réaliser une étude d’impact relative à la protection des données. 

Le sous-traitant peut faire appel à un autre sous-traitant pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Le responsable de traitement dispose d’un délai minimum de sept (7) jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n'a pas émis d’objection pendant le délai convenu.