Politique de protection des données à caractère personnel Lydia
Lydia Solutions (dénommée ci-après « Lydia ») est une société par action simplifiée enregistrée à Paris, sous le n° RCS 534 479 589 au capital social de 1.785.979 €, établi au 14 Avenue de l’Opéra, 75001 Paris.
Consciente de l’importance du respect de la vie privée et des libertés et droits fondamentaux de ses clients, Lydia réaffirme son engagement d’être un acteur de confiance dans le traitement des données personnelles de ses Clients Particuliers, en exposant ci-dessous sa politique de protection des données à caractère personnel.
1. OBJET DE LA PRÉSENTE POLITIQUE DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
La politique de protection des données à caractère personnel est applicable à l’ensemble de ses clients et prospects, consommateurs au sens de l’Article préliminaire du Code de la consommation, et pour la fourniture des produits et services liés aux comptes de monnaie électronique et de paiement tels que définis dans les Conditions Générales d'Utilisation de la Solution Lydia pour les Particuliers (dénommé ci-après le « Service »).
Elle est mise à jour régulièrement pour refléter les évolutions des pratiques de Lydia ainsi que les potentielles évolutions de la réglementation applicable aux données personnelles. Lydia invite ses Clients Particuliers à la consulter régulièrement afin de prendre connaissance des éventuelles modifications ou mises à jour apportées.
Lydia, en tant que société française, Lydia respecte l’ensemble des réglementations applicables, françaises et européennes relatives à la protection des données personnelles, en particulier le Règlement Européen 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit « RGPD » et la Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite « Loi Informatique et Libertés ».
2. PRINCIPES CLÉS
Par la présente Politique de protection des données à caractère personnel, Lydia, en sa qualité de responsable du traitement de données, souhaite informer ses Clients Particuliers des catégories de données personnelles collectées, des traitements réalisés et des raisons pour lesquelles ils sont réalisés, mais également de leurs droits et des voies de contacts ou de recours mis à votre disposition.
Attachant une grande importance à la protection et au respect de la vie privée de ses Clients Particuliers, Lydia souhaite également les informer de la mise en place de mesures organisationnelles et techniques appropriées et de la réalisation de contrôles continus afin d’assurer la confidentialité et la sécurité des données à caractère personnel de ses Utilisateurs.
Lydia s’efforce avec la plus grande vigilance de maintenir un haut standard de sécurité et de confidentialité des données personnelles de ses Clients Particuliers par la sensibilisation de ses collaborateurs et partenaires commerciaux et la formation de ses salariés à la protection des données, par l’implémentation d’outils et la mise en place de pratiques visant à l’obfuscation, l’anonymisation, le chiffrement et de le cryptage des données afin d’assurer la protection des données personnelles de ses Clients Particuliers face aux risques internes et externes de fuite de données.
3. RESPONSABLES DE TRAITEMENT
Lydia collabore, sous mandat, avec des établissements de paiement et de monnaie électronique et des prestataires de service d’information sur les comptes agréés auprès de l’ACPR, tous responsables conjoints du traitement des données personnelles des Clients Particuliers, suivant l’Article 26 du RGPD.
Ainsi, Lydia et ces établissements définissent conjointement les finalités et moyens de ces traitements. Les données personnelles des Clients Particuliers ne sont partagées avec ces co-responsables de traitement qu’aux fins d’exécution des contrats établis avec Lydia.
La liste de ces prestataires est énumérée ci-dessus :
- Budget Insight permet à Lydia de fournir ses services d’agrégation de comptes bancaires et d’informations sur les comptes liés des Clients particuliers Lydia. La Politique de confidentialité de Budget Insight est accessible ici.
- Tink AB permet également à Lydia de fournir des services d’agrégation de comptes bancaires et d’informations sur les comptes liés des Clients particuliers Lydia. La Politique de confidentialité de Budget Insight est accessible ici.
- Treezor est notamment l’émetteur des IBAN Lydia. La Politique de confidentialité de Treezor est accessible ici.
Lydia et ces entités sont liées par des obligations d'information mutuelle, notamment quant aux évènements suivants :
- Toute violation de données personnelles des Clients Particuliers ;
- Tout recours à un nouveau sous-traitant réalisant des traitements des données personnelles des Clients Particuliers en dehors de l’Espace économique européen (EEE) et pour le compte de Lydia.
Dans le cadre de la fourniture de services optionnels, Lydia est également amenée à communiquer vos données personnelles aux partenaires (tels que BitPanda, PayLead et Floa). A noter que PayLead analyse les données de transactions bancaires pour vous proposer des offres personnalisées, définies sur la base de votre historique de transactions et vos habitudes de consommation.
4. LES INFORMATIONS RECUEILLIES PAR LYDIA
En tant que responsable de traitement au sens du RGPD, Lydia collecte et réalise des traitements des données suivantes :
- Les informations transmises directement par le Client Particulier notamment, lors de son inscription au Service et de la vérification de son identité, lors d’achats de produits ou services supplémentaires dans l’Application ou lors de contacts avec le Service support de Lydia ;
- Des informations recueillies indirectement lors de l’utilisation du Service Lydia par le Client Particulier notamment lorsqu’il réalise des transactions de paiement, consulte certains contenus et souscrit à certains services additionnels dans l’application ou par renvoi vers les plateformes dédiées des partenaires commerciaux.
4.1 Les informations transmises directement par le Client Particulier
Création d’un compte Lydia
Dans le cadre de la création de son compte de paiement Lydia, le Client Particulier est invité à communiquer son numéro de téléphone, son nom et son prénom. Par la suite, le client peut préciser d’autres informations telles que ses adresses e-mail. Il choisit également son mot de passe et renseigne une question et réponse secrète en cas d’oubli de celui-ci. Il peut aussi associer une photo de profil à son compte.
Services complémentaires
Afin de lui permettre d’accéder aux services complémentaires de Lydia, le Client Particulier peut être amené à fournir à Lydia les informations relatives aux cartes de crédit ou aux cartes de fidélité qu’il souhaite associer à l’application Lydia ainsi que ses IBAN de comptes en banque. Dans le cadre de la création de cagnottes, il peut également ajouter un titre, une description et associer une photo à la cagnotte qu’il crée.
Vérification d’identité
Afin de vérifier l’identité du Client Particulier et de se conformer à la réglementation en vigueur, Lydia peut également collecter auprès du Client un justificatif d’identité, un document d’identité complémentaire ou encore une vidéo d’authentification.
Vidéo d’authentification
Le Client Particulier dispose de plusieurs moyens de justifier de son identité aux fins d’obtenir le statut « Profil Vérifié » et d’effectuer des requêtes relatives à la modification de ses données de sécurité de son compte Lydia (par exemple, en cas d’oubli de son mot de passe, de changement du numéro de téléphone ou de compte bloqué). Si la requête est jugée sensible et que le Client y consent expressément, elle peut être réalisée au moyen d'une vidéo d'authentification dite « selfie-video ».
Pour cela, le Client Particulier doit autoriser l’accès à Lydia, au microphone et à la caméra de son téléphone puis se filmer pendant quelques secondes pour énoncer sa requête. Les vidéos ainsi enregistrées sont visionnées par un Agent de Lydia habilité qui authentifie le Client Particulier. Après cette authentification, la vidéo n’est plus accessible par l’Agent : elle est conservée en archivage semi-intermédiaire.
Nota Bene : un traitement technique spécifique des données biométriques (au sens de l’Article 4.14 du RGPD), captées lors du selfie-vidéo, est réalisé par Lydia lorsque le Client Particulier souhaite obtenir le statut « Profil Vérifié ». Ce traitement technique spécifique des images faciales du Client Particulier, permet ou confirme l’identification unique de l’Utilisateur à partir de ses caractéristiques physiques, physiologiques ou comportementales. Il permet également la détection du caractère « vivant » de l’Utilisateur pour vérifier que celui-ci n’a pas fait l’objet d’altération physique ou numérique. Ces données biométriques sont considérées comme sensibles au sens du RGPD. Afin d’utiliser ce traitement conformément à l’Article 9 du RGPD, Lydia justifie donc d’un besoin spécifique d’identification de ses utilisateurs pour permettre l’accès au Service, sous contrôle de la Commission Nationale de l'Informatique et des Libertés (dénommée ci-après la « CNIL »).
Le Client Particulier reste toujours libre de choisir lors du parcours de vérification d’identité à distance, afin d’obtenir le statut « Profil Vérifié » (parcours de vérification d’identité dit « Know Your Customer ») ou lors du processus de récupération d’accès à son Compte Client (en cas de mot de passe oublié, de changement de numéro de téléphone ou de blocage de son Compte Client) de réaliser un selfie-vidéo ou non et peut choisir d’utiliser un autre mode d’authentification proposé par Lydia, sans contrainte additionnelle, ni incitation ou contrepartie particulière.
4.2 Les informations recueillies indirectement lors de l’utilisation du Service Lydia par le Client Particulier
Informations complémentaires d’identité
Lorsque le Client Particulier fournit à Lydia un justificatif d’identité, Lydia collecte sa date et son lieu de naissance ainsi que le pays d’émission de son justificatif d’identité.
Informations de géolocalisation
Lorsque le Client Particulier utilise certaines fonctionnalités du Service Lydia, Lydia peut recueillir des informations sur son emplacement, comme déterminé par des données telles que l’adresse IP ou le GPS de son ordinateur ou son téléphone portable, afin de lui offrir une meilleure expérience utilisateur et de renforcer la sécurité (la géolocalisation pouvant par exemple constituer un contrôle dans le cas d’un soupçon de fraude). La majorité des téléphones portables permettent de contrôler ou de désactiver l’utilisation des services de localisation dans les applications à partir du menu des paramètres de l’appareil.
Informations d’utilisation. Lydia recueille des informations concernant les interactions du Client Particulier avec l’application Lydia, comme ses consultations de contenu, ses transactions réalisées ou plus généralement son utilisation de l’application (par exemple la date à laquelle le Client a associé ses cartes de crédit à l’application).
Données de connexion et d’appareil
Lydia collecte automatiquement les données de connexion et d’appareil lorsque le Client Particulier utilise le Service Lydia. Ces informations comprennent notamment son adresse IP, ses dates et heures d’accès au Service Lydia, les données sur son matériel informatique ou téléphonique, les données associées à l’utilisation de son appareil, ses identifiants uniques, données de plantage ou encore cookies.
IBAN rattachés aux comptes associés
Lorsque le Client Particulier connecte son compte bancaire à l’application Lydia, en fournissant ses identifiants de connexion de compte bancaire, les IBAN et bénéficiaires qui y sont rattachés sont automatiquement importés dans l’application Lydia afin de pouvoir faciliter les virements entre le Compte Lydia du Client et les comptes externes enregistrés.
Contacts utilisant Lydia
Le Client Particulier peut relier ses répertoires de contacts à l’application Lydia afin de savoir lesquels de ses contacts utilisent l’application Lydia. Pour faire le lien entre un contact présent dans le carnet d’adresse du Client et un Client qui vient de s’inscrire à l’application, Lydia doit collecter les numéros et les adresses e-mail présentes dans le carnet d’adresses du Client. Lydia ne faisant pas d’autre usage de ces informations, Lydia a uniquement besoin d’une empreinte de ces données et non des données brutes. C’est pourquoi ces informations sont transmises et stockées chiffrées, par clé publique à sens unique. Cette fonction peut être désactivée par le Client depuis l’écran Paramètres de l’application.
Communications avec le Support de Lydia
Lydia conserve l’historique des communications que le Client Particulier a pu avoir avec le Support de Lydia, comme par exemple les échanges d’e-mail, les échanges téléphoniques, ou une synthèse des conversations téléphoniques.
Suivi des actions réalisées par les collaborateurs de Lydia
Les collaborateurs de Lydia peuvent être amenés à intervenir dans la gestion du Compte Lydia des Clients Particuliers. Dans ce cas, les actions réalisées sont également conservées sous la forme de commentaires (par exemple, un Compte Lydia peut être temporairement bloqué en cas de suspicion de fraude).
Informations relatives au service d’agrégation de compte(s) bancaire(s)
Dans le cas où le Client Particulier a recours au service d’agrégation de compte(s) bancaire(s) lui permettant d’agréger son/ses compte(s) bancaire(s) à l’application Lydia, les données relatives à ce/ces compte(s) agrégé(s) sont collectées par Lydia : nom de la banque, types de compte bancaire (compte courant, compte de crédit, compte épargne), opérations réalisées et solde du compte.
4.3 Durée de conservation des informations
Conformément à la réglementation relative à la lutte contre le blanchiment et le financement du terrorisme et comme indiqué dans ses Conditions Générales d’Utilisation, Lydia est légalement tenue par le législateur français de conserver en archivage intermédiaire (accès restreint, étape intermédiaire avant suppression) pendant cinq (5) ans à compter de la clôture des comptes de ses Clients ou de la cessation de leurs relations contractuelles :
- Les documents relatifs à l'identité des Clients habituels ou occasionnels ;
- Les documents et informations relatifs aux opérations faites par les Clients ;
- Toute information collectée dans le cadre de diligences de conformité (lutte contre la fraude, lutte contre le blanchiment d’argent ou le financement du terrorisme...).
Par ailleurs, comme indiqué dans les Conditions Générales d’Utilisation de la Solution Lydia pour les Particuliers, un Client Particulier n’est plus considéré comme un Client habituel ou occasionnel si aucune transaction n’est effectuée sur son compte Lydia pendant 24 mois consécutifs.
5. FINALITÉS DES INFORMATIONS RECUEILLIES PAR LYDIA
Lydia peut être amenée à traiter les données à caractère personnel de ses Clients Particuliers afin de :
- Les tenir informés sur leurs transactions en cours, réalisées et à venir et sur les services de Lydia ;
- Les informer que certains de leurs contacts utilisent l’application Lydia ;
- Évaluer l’efficacité des messages adressés par Lydia et les adapter aux utilisateurs ;
- Leur permettre de communiquer avec le Support Lydia afin d’avoir des réponses à leurs questions ou requêtes ;
- Gérer les programmes de récompenses, loteries, concours, ou autres activités ou événements promotionnels soutenus ou gérés par Lydia ou ses partenaires commerciaux ;
- Calculer les niveaux d'avancement et de droits à récompenses, sur la base de transactions de paiement réalisées avec le service de paiement Lydia ;
- Les identifier afin de leur permettre d'accéder aux services auxquels ils ont souscrit (par exemple en cas d'oubli de leur mot de passe) et authentifier leurs informations d’identité (par exemple comparer la photo de sa pièce d'identité avec une autre photo prise par le Client Particulier au moyen de son téléphone portable) ;
- Détecter et prévenir les fraudes, abus, incidents de sécurité et autres activités non autorisées par Lydia (par exemple les jeux d'argent, la vente de moyens de paiements) ;
- Assurer la protection des données personnelles de ses Clients Particuliers (par exemple en supprimant les données du client sur demande et/ou à l’issue du délai légal de détention des données) ;
- Leur fournir les services auxquels ils ont souscrit (par exemple la réalisation de virements entre deux Clients particuliers) ;
- Leur permettre de personnaliser certains éléments de leur profil ou des produits Lydia (par exemple lors de la création de cagnotte) pour améliorer leur expérience utilisateur ;
- Comprendre et analyser l’usage fait par les Clients Particuliers des services et de l'application Lydia afin de leur proposer et/ou de développer de nouvelles offres en phase avec leurs besoins ;
- Permettre à Lydia de s’assurer du respect de la réglementation en vigueur, de ses Conditions Générales d’Utilisation de la Solution Lydia pour les particuliers et de la présente Politique de protection des données ;
- Résoudre tous litiges que Lydia pourrait avoir avec ses utilisateurs et faire valoir les contrats établis avec les tiers.
6. TRANSFERT DES DONNÉES PERSONNELLES
6.1 Aux partenaires bancaires et fournisseurs de Lydia et à leurs prestataires opérationnels
L'ensemble des données à caractère personnel des Clients Particuliers de Lydia sont couvertes par le secret professionnel dans les conditions de l'Article L.511-33 du Code monétaire et financier.
Les données à caractère personnel du Client Particulier peuvent être transmises par Lydia à ses prestataires de services de paiements (Budget Insight, Treezor et Tink) ainsi qu'aux prestataires opérationnels (notamment des sociétés d’investissements, prestataire de service sur actifs numériques, sociétés de financement et établissements de crédit, et groupes d’assurances) avec lesquels Lydia a mis en place une relation contractuelle aux fins d'exécution des transactions et services proposés, sous réserve que ces tiers destinataires des données à caractère personnel soient soumis à une réglementation garantissant un niveau de protection suffisante tel que défini à l'Article 561-7 II b du Code monétaire et financier et en respect avec le RGPD.
Ces partenaires et prestataires n’ont accès qu'aux données qui leur sont strictement nécessaires aux fins d’exécution des contrats établis avec Lydia Solutions.
Lydia peut également être amenée à communiquer les données à caractère personnel de ses Clients Particuliers à l’un de ses fournisseurs ou autres partenaires, à condition que celles-ci aient été préalablement anonymisées. Cette anonymisation consiste à retirer les éléments suivants : nom et prénom, adresse e-mail, numéro de téléphone, adresse postale et tout autre élément permettant d’identifier ou de contacter directement le Client Particulier.
Lydia conserve les données à caractère personnel de ses Clients Particuliers dans l’Union Européenne. Toutefois, il est possible que les données recueillies lorsque le Client Particulier bénéficie du Service Lydia soient transférées dans d’autres pays, certains d’entre eux pouvant avoir une législation sur la protection des données personnelles moins protectrice que celle en vigueur dans le pays où le Client Particulier réside.
C’est notamment le cas en ce qui concerne les données transmises par Lydia à ses sous-traitants situés en dehors de l’Union Européenne, notamment aux Etats-Unis. Lydia peut faire appel à leurs services pour répondre aux demandes des Clients Particuliers, modérer les photographies publiées sur les plateformes de Lydia, fournir des outils de paiement en ligne, fournir des services commerciaux et publicitaires ou des services d’emailing et de SMS.
En cas de transfert de ce type, Lydia s’assure que le traitement soit effectué conformément à la présente politique et qu’il soit encadré par les dernières clauses contractuelles types de la Commission Européenne qui permettent de garantir un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes.
6.2 Aux autorités compétentes
Lydia peut divulguer les informations relatives à ses Clients Particuliers, y compris leurs données à caractère personnel, aux tribunaux, autorités gouvernementales ou chargées de l’application de la loi ou à des tiers autorisés, si la loi l’exige ou le permet, ou si une telle divulgation est raisonnablement jugée nécessaire :
(i) Pour respecter les obligations légales de Lydia ;
(ii) Afin de se conformer au processus judiciaire et de donner suite aux réclamations présentées contre Lydia ;
(iii) Pour répondre à des demandes vérifiées dans le cadre d’une enquête judiciaire ou d’une activité illégale prétendue ou soupçonnée ou de toute autre activité qui peut exposer Lydia ou ses Utilisateurs à une responsabilité légale ;
(iv) Aux fins d’exécuter et d’administrer les Conditions Générales d’Utilisation de Lydia ou (v) pour protéger les droits, les biens ou la sécurité personnelle de Lydia, de ses employés, de ses utilisateurs ou du public.
Si nécessaire, Lydia peut informer ses utilisateurs de ces demandes légales, excepté dans les cas suivants :
(i) lorsque toute notification est interdite par la procédure judiciaire elle-même, par ordonnance du tribunal rendue à notre effet ou conformément à la loi en vigueur, ou ;
(ii) Si Lydia estime que le fait d’informer le Client Particulier serait sans intérêt, inefficace, pourrait constituer un risque de blessure ou de préjudice corporel à un individu ou un groupe ou créer ou intensifier un risque de fraude concernant les biens de Lydia ou de ses utilisateurs.
7. PROSPECTION COMMERCIALE
Conformément à la législation applicable et avec le consentement du Client Particulier lorsqu’il est requis, Lydia peut utiliser les données à caractère personnel de ses Clients Particuliers à des fins de prospection commerciale (par exemple pour leur adresser des newsletters, leur envoyer des invitations à des événements ou toute autre communication susceptible de les intéresser et afficher des publicités ciblées sur les plateformes de médias sociaux ou sites tiers).
En ce qui concerne la newsletter communiquée par email, le Client Particulier peut à tout moment retirer son consentement à la recevoir en paramétrant ses préférences dans le dernier de l’application, en cliquant sur le lien de désinscription fourni dans chacune des communications de Lydia ou en contactant le support de Lydia par email à l’adresse : support@lydia-app.com.
En ce qui concerne la publicité ciblée sur les plateformes de réseaux sociaux (par exemple Facebook, Twitter), le Client Particulier peut s’opposer à tout moment à ce traitement en configurant les paramètres relatifs à la publicité de son compte depuis ses plateformes.
8. LES DROITS DES CLIENTS PARTICULIERS
8.1 Droit d'accès
Le Client Particulier a le droit d’obtenir de la part de Lydia la confirmation que ses données à caractère personnel sont traitées ou non et, le cas échéant, d’obtenir des informations sur lesdits traitements. Il a également le droit de demander une copie de ses données personnelles en cours de traitement. Afin de répondre à cette demande, Lydia est susceptible de vérifier son identité et de lui demander de fournir davantage d’informations sur cette demande. Lydia s’efforce de donner suite à ce type de demandes dans un délai raisonnable, conformément à la loi en vigueur.
8.2 Droit de rectification
Le Client Particulier a la possibilité, via l'Application Lydia, le Support Lydia, ou encore via une Application Partenaire, de rectifier, modifier, effacer ou compléter ses informations incorrectes ou incomplètes.
8.3 Droit à l’effacement (droit à l’oubli)
Le Client Particulier a le droit d’obtenir de la part de Lydia que celle-ci procède à l’effacement, dans les meilleurs délais, de ses données à caractère personnel notamment lorsque :
- Ces données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière ;
- Le Client Particulier retire son consentement ou s’oppose au traitement de ses données à caractère personnel ;
- Ses données à caractère personnel ont fait l'objet d'un traitement illicite ;
- Lydia n’est pas légalement tenue par le législateur français de conserver les données du Client dans le cadre de la lutte contre le blanchiment et le financement du terrorisme (cf. 2.3 Durée de conservation des informations).
8.4 Droit à la limitation du traitement et à l'opposition
Le Client Particulier a le droit d’obtenir de la part de Lydia la limitation du traitement de ses données à caractère personnel (par exemple s’il pense que ses données sont inexactes) ou de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement de ses données à caractère personnel.
Il a également le droit de refuser de faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage.
8.5 Droit à la portabilité
Le Client Particulier a le droit de recevoir ses données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine et de les transmettre à un autre responsable du traitement. Si cela est techniquement possible, il peut également demander à Lydia que ses données à caractère personnel soient transmises directement à un autre responsable de traitement.
8.6 Réclamation auprès de l’autorité de contrôle
Le Client Particulier dispose du droit d’introduire une réclamation auprès de l’autorité de contrôle compétente, la CNIL et du droit d’obtenir réparation auprès des tribunaux compétents s’il considère que Lydia n’a pas respecté ses droits à la protection des données personnelles
9. LIENS VERS D'AUTRES SITES INTERNET ET RÉSEAUX SOCIAUX
Les communications de Lydia peuvent occasionnellement contenir des liens vers les sites internet de ses partenaires ou de sociétés tierces.
Ces sites internet ont leur propre politique de confidentialité et Lydia décline toute responsabilité quant à l’utilisation faite par ces sites des informations collectées lorsque le Client Particulier clique ou suit ces liens vers du contenu externe.
10. CONTACT
Pour toute question relative à la présente politique de confidentialité des données à caractère personnel ou pour toute demande relative à ses données personnelles, le Client Particulier peut contacter le Délégué à la Protection des Données de Lydia :
- Par email à l’adresse dpo@lydia-app.com ;
- Par courrier à l’attention du Délégué à la Protection des Données, à l'adresse suivante : Lydia Solutions, 14 Avenue de l’Opéra, 75001 Paris.
