Politique de confidentialité

1. Principes généraux

Chacune des Parties (les Vendeurs , la société One Shot Pay et NordPay) s’engage à respecter la réglementation en vigueur en matière de données personnelles telle qu’elle résulte de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et, après son entrée en vigueur, du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ensemble la « Réglementation Applicable aux Données à Caractère Personnel »).

One Shot Pay, Société par Actions Simplifiée immatriculée au RCS de Chambéry sous le numéro 484 894 399 dont le siège social est situé Rue Antoine de Saint Exupéry, 73300 Saint-Jean de Maurienne, agit dans le cadre de la présente politique de confidentialité en qualité :

  • de sous-traitant de la société NordPay, établissement de paiement agréé par la Financial Conduct Authority enregistrée sous le numéro 535688 dont le siège social est situé Holland House 4 Bury Street London EC3A 5AW Royaume Uni enregistrée sous le numéro 7329550 (ci-après l’ « EP ») s’agissant des traitements de données à caractère personnel des Acheteurs et du Vendeur dans le cadre de la fourniture des services de paiement et de la lutte contre le blanchiment d’argent et le financement du terrorisme ;
  • de responsable des traitements de données à caractère personnel des Vendeurs mis en œuvre dans le cadre de la gestion de son système d’information client, de sa comptabilité et de la prospection commerciale des Vendeurs.

Les traitements de données à caractère personnel, en particulier d’Acheteurs, que le Vendeur pourrait être amené à mettre en œuvre pour son propre compte le seront sous sa seule et exclusive responsabilité.

Le Vendeur s’engage à informer les personnes concernées par les données personnelles traitées dans le cadre de la présente politique de confidentialité du contenu de la présente politique de confidentialité et garantit One shot Pay et l’EP à cet effet.

2. Traitements des données à caractère personnel du Vendeur

Le Vendeur est informé que les traitements de données à caractère personnel décrits ci-dessous sont mis en œuvre par One Shot Pay et/ou Nord Pay (ci-après « nous ») :

Responsable du traitement Finalité du traitement Données du Vendeur collectées Base légale du traitement
L’EP Fourniture des services de paiement au Vendeurs incluant la gestion des transactions (paiement, remboursement, échecs de paiement), la gestion des comptes marchands (création de comptes, implémentation des modules, paramétrage, facturation..) et lutte contre le blanchiment d’argent et le financement du terrorisme (procédure de Know Your Customer) Données d’identification (notamment le nom, prénom, adresse, civilité, numéro de téléphone, adresse email, autres données figurant sur la pièce d’identité, le justificatif de domicile) Données d’ordre économique et financier (notamment IBAN, BIC et autres données figurant sur le RIB, numéro de carte bancaire, date de fin de validité, cryptogramme visuel Exécution du contrat et respect des obligations légales de l’EP
One Shot Pay Vérification de l’existence d’un compte sur la Market Place, association des solutions ONE SHOT PAY aux comptes Vendeur sur la Market Place, confirmation d’activation des comptes Vendeurs Données d’identification (notamment le nom, prénom, adresse, civilité, numéro de téléphone, adresse email) Exécution du contrat
One Shot Pay Conception, gestion et suivi de campagnes d’emailing commerciales et informatives Données d’identification (notamment le nom, prénom, civilité, adresse email) L’intérêt légitime de One Shot Pay de réaliser et de suivre ses campagnes d’emailing commerciales et informatives
One Shot Pay Gestion de la comptabilité générale de One Shot Pay Données d’identification (notamment le nom, prénom, adresse) Données d’ordre économique et financier (notamment IBAN et, BIC) Obligation légale de tenir une comptabilité.

3. Transferts internationaux de données à caractère personnel

One Shot Pay et l’EP peuvent être amenés à transférer les données à caractère personnel au sein de leurs groupes ou à des partenaires tiers situés en dehors de la France.

Dans la mesure où le degré de protection des données personnelles varie à travers le monde, One Shot Pay et l’EP transfèrent les données à caractère personnel au sein de leurs groupes ou à des partenaires tiers seulement si ces sociétés offrent un niveau de protection égal ou similaire à celui appliqué par One Shot Pay et l’EP.

Les transferts vers des partenaires tiers sont gouvernés par des mécanismes contractuels appropriés tels que les clauses contractuelles types de la Commission ou Européenne ou l’engagement d’adhésion au Privacy Shield.

4. Destinataires des données à caractère personnel

Les destinataires des données à caractère personnel sont limités exclusivement aux personnes qui ont un besoin d’accéder aux informations dans le cadre de leurs missions.

Nous pouvons être amenés à partager vos données à caractère personnel comme suit :

  • au sein des sociétés du groupe de One Shot Pay et du groupe de Nord Pay : Nous pouvons être amenés à divulguer les données à caractère personnel aux membres de ces groupes, ce qui signifie à leurs filiales, leurs sociétés mères et leurs différentes filiales dans la limite de ce qui est nécessaire à la poursuite de la finalité concernée, telle qu’identifiée dans le présent document ;
  • aux sous-traitants avec lesquels One Shot Pay et Nord Pay peuvent être amenés à travailler pour mettre en œuvre les traitements identifiés dans le présent document. Ces sous-traitants sont contractuellement engagés de prendre les mesures nécessaires les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque et de n’agir que sur les seules instructions des responsables concernés.

5. Durée de conservation des données à caractère personnel

Par principe, nous ne conserverons pas les données à caractère personnel plus longtemps qu’il est nécessaire pour poursuivre les finalités concernées, y compris le respect d’obligations légales, comptables ou déclaratives.

Pour déterminer la durée appropriée de conservation, nous tenons compte de la quantité, la nature et la sensibilité des données personnelles, le potentiel risque de dommage en cas d’accès ou divulgation non autorisée, la finalité poursuivie, le fait que nous puissions poursuivre ces finalités par d’autres moyens, ainsi que les exigences légales.

Dans certaines circonstances, la personne concernée peut solliciter que ses données soient effacées.

Dans certaines circonstances, nous pouvons être amenés à anonymiser les données personnelles (pour qu’elles ne puissent plus être associées à la personne concernée) à des fins de recherches ou pour des finalités statistiques. Dans ce cas, nous pourrons être amenés à conserver les informations sans limitation de durée et ce, sans notification complémentaire.

6. Droits des personnes concernées en vertu de la Réglementation Applicable aux Données à Caractère Personnel

Les personnes concernées bénéficient, dans les conditions prévues par la loi, d’un droit d’interrogation, d’accès, de rectification, d’un droit à la portabilité, à la limitation du traitement et d’opposition pour raisons légitimes, ainsi que du droit de définir des directives relatives au sort de ses données après sa mort. Le Vendeur peut exercer les droits dont il dispose en s’adressant aux responsables respectifs de ces traitements :

  • ONE SHOT PAY, Service Client, Rue Antoine de Saint Exupéry, 73300 Saint-Jean de Maurienne, France ;
  • NORD PAY, situé Holland House 4 Bury Street London EC3A 5AW Royaume Uni

La personne concernée peut en cas de contestation former une réclamation auprès de la CNIL dont les coordonnées figurent à l’adresse internet https://www.cnil.fr.

7. Mesures de sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles destinées à protéger la confidentialité, la sécurité et l’intégrité des données à caractère personnel que nous traitons. L’accès aux données à caractère personnel est limité aux employés et prestataires qui ont besoin d’y accéder dans le cadre de leurs missions et qui ont été formés pour se conformer aux règles de confidentialité.

Les données bancaires seront traitées dans le cadre de la fourniture d’un service de paiement effectif, légal et sécurisé. Ces mesures peuvent consister dans les mesures suivantes :

  • sécurisation physique des locaux, Data Centers et serveurs ;
  • cryptages des mots de passe des Vendeurs et inaccessibilité par les administrateurs One Shot Pay ;
  • impossibilité pour les administrateurs One Shot Pay d’accéder au back-office des Vendeurs ;
  • certificat SSL pro wildcard HTTPS pour tous les domaines des modules de l’application (exposés ou locaux) ;
  • engagement par nos sous-traitants de production de justificatifs d’habilitations ou attestations des organismes certificateurs encadrant les services fournis :
    • PCI DSS (Payment Card Industry Data Security Standard) : Attestation de conformité pour les évaluations sur place
    • PCI DSS (Payment Card Industry Data Security Standard) : Attestations de l’organisme certificateur certifiant la mise en place effective des mesures relevées lors de l’audit de conformité.

Nous nous assurons que les données personnelles ne soient pas altérées, endommagées et que des tiers non autorisés n’y aient pas accès.

8. Mises à jour

Nous pouvons être amenés à modifier le présent document et en informerons, le cas échéant, le Vendeur.