Politique de confidentialité de l’application Wero

1.0 Introduction
2.0 Qui est responsable du traitement de vos Données à caractère personnel ?
3.0 De quelle manière sommes-nous susceptibles d’utiliser vos Données à caractère personnel ?
4.0 Êtes-vous tenu de fournir vos Données à caractère personnel ?
5.0 Comment partageons-nous vos Données à caractère personnel ?
6.0 De quelle manière conservons-nous vos Données à caractère personnel au sein de l’Espace économique européen (EEE) ? 
7.0 Comment protégeons-nous et sécurisons-nous vos Données à caractère personnel ?
8.0 Comment exercer vos droits ?
9.0 Modifications

1.0 Introduction

La présente politique de protection des données à caractère personnel (ci-après la « Politique ») s’applique spécifiquement à l’application Wero et décrit de quelle manière et dans quelle mesure vos données à caractère personnel sont traitées par EPI Company SE lorsqu’un utilisateur de l’application Wero (ci-après un « Utilisateur » ou « vous ») installe, active et utilise l’application Wero. Cette Politique complète les Conditions générales d’utilisation de Wero.

L’application Wero est une application de paiement électronique mobile détenue et exploitée par EPI Company SE (ci-après « EPI », « nous », « notre », « nos »), une société immatriculée en Belgique à la Banque-Carrefour des Entreprises sous le numéro 0755.811.726, dont le siège social est situé à l’adresse suivante : De Lignestraat 13, 1000 Bruxelles, Belgique.

La protection des Données à caractère personnel étant notre principale préoccupation, nous nous engageons à les traiter en faisant preuve de la plus grande transparence et dans le respect des réglementations européennes et nationales applicables en matière de protection des données (ci-après les « Réglementations applicables »), notamment le règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD ») et la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel. 

Cette politique décrit la manière dont nous, en tant que Responsable du traitement, traitons vos Données à caractère personnel dans le respect de la réglementation applicable et explique de quelle manière vous pouvez exercer vos droits en vertu de celle-ci. Pour veiller au strict respect de la Réglementation applicable et de la présente Politique lors du traitement de vos Données à caractère personnel et pour répondre à toutes les questions que vous pourriez vous poser concernant leur traitement par EPI, nous avons nommé un Délégué à la protection des données qui peut être contacté par e-mail à l’adresse suivante : dpo@epicompany.eu. 

Les termes « Données à caractère personnel », « Traitement », « Responsable du traitement », « Sous-traitant », « Destinataire » et « Personne concernée », lorsqu’ils sont utilisés dans la présente Politique, font référence aux termes définis à l’article 4 du RGPD.

2.0 Qui est responsable du traitement de vos Données à caractère personnel ? 

EPI assume la responsabilité du traitement des Données à caractère personnel en sa qualité de Responsable du traitement en vertu de la présente Politique. Celle-ci évoque spécifiquement la question du traitement des Données à caractère personnel par EPI dans le cadre du fonctionnement de l’application Wero.

La présente Politique ne prévoit pas les éléments suivants :

• Sites Internet d’EPI et de Wero : le traitement des Données à caractère personnel dans le cadre du fonctionnement des sites Internet d’EPI et de Wero est régi par des déclarations de confidentialité distinctes qui sont spécifiques à ces sites Internet.
• Traitement en qualité de sous-traitant : EPI traite des Données à caractère personnel dans le cadre du traitement des opérations de paiement et de l’authentification forte des clients au nom et conformément aux instructions de votre PSPGC (prestataire de services de paiement gestionnaire du compte) éligible (tel que ce terme est défini dans les Conditions générales d’utilisation de Wero). À ce titre, le PSPGC éligible agit en qualité de Responsable du traitement distinct et EPI en tant que Sous-traitant. Veuillez consulter leur déclaration de confidentialité pour en savoir plus sur la manière dont vos Données à caractère personnel sont traitées dans ces situations.

3.0 De quelle manière sommes-nous susceptibles d’utiliser vos Données à caractère personnel ? 

Dans le cadre des opérations de Traitement que nous réalisons, nous traitons les catégories de Données à caractère personnel suivantes :

Finalité (et base juridique): Inscription et provisionnement de l’application Wero (exécution d’un contrat – art. 6.1.b du RGPD)

Catégories de Personnes concernées: Informations concernant l’origine de votre paiement (nom du titulaire du compte, type de compte de paiement, identifiant technique lié à la source du paiement)

Acceptation de nos conditions générales d’utilisation, avec l’heure de l’acceptation

Durée de conservation: Durée du contrat (Conditions générales d’utilisation de Wero)

Finalité (et base juridique): Émission et confirmation d’une demande de paiement (exécution d’un contrat – art. 6.1.b du RGPD)

Catégories de Personnes concernées: Nom du titulaire du compte, montant, statut, horodatage, message de demande P2P, identifiants techniques liés à la source du paiement, à l’application Wero et à la demande P2P

Durée de conservation: 13 mois après l’exécution de l’opération

Finalité (et base juridique): Initiation et confirmation d’un Paiement P2P (exécution d’un contrat – art. 6.1.b du RGPD)

Catégories de Personnes concernées: Nom du titulaire du compte, montant, statut, horodatage, message de paiement P2P, IBAN masqué, identifiants techniques liés à la source du paiement, à l’application Wero et au paiement P2P

Durée de conservation: 13 mois après l’exécution de l’opération

Finalité (et base juridique): Initiation et confirmation d’une transaction commerciale (exécution d’un contrat – art. 6.1.b du RGPD)

Catégories de Personnes concernées: Nom légal de l’Accepteur (tel que ce terme est défini dans les Conditions générales d’utilisation de Wero), horodatage de la création, horodatage de l’expiration, type de transaction et paramètres de la transaction, date de naissance, adresse de livraison, IBAN masqué

Durée de conservation: 13 mois après l’exécution de l’opération

Finalité (et base juridique):  Affichage du nom du bénéficiaire (tronqué) au payeur afin d’empêcher les fraudes et les erreurs (intérêt légitime – art. 6.1.f du RGPD)

Catégories de Personnes concernées: Prénom et nom

Durée de conservation: Durée du contrat (Conditions générales d’utilisation de Wero)

Finalité (et base juridique): Affichage des informations de votre compte (exécution d’un contrat – art. 6.1.b du RGPD)

Catégories de Personnes concernées: Solde et historique des opérations sur votre compte de paiement

Durée de conservation: Durée du contrat (Conditions générales d’utilisation de Wero)

Finalité (et base juridique): Prévention de la fraude et notation du risque de fraude dans le cadre des opérations, y compris l’anonymisation des données afin d’améliorer le moteur de notation du risque de fraude (intérêt légitime – art. 6.1.f du RGPD)

Catégories de Personnes concernées: Informations concernant l’origine de votre paiement (nom du titulaire du compte, identifiant technique lié à la source du paiement) 

Informations vous concernant (nom et prénom, date de naissance) 

Données relatives à l’opération (montant, date de création et d’expiration de la demande de paiement ou de l’opération de paiement)

Données relatives à votre application Wero (identifiant unique et nom dans l’application)

Données relatives à votre appareil mobile (nom et numéro de modèle, résolution de l’écran, opérateur, localisation géographique, indicateur de fuseau horaire, identifiant, système d’exploitation, choix de la langue, heure, adresse IP, adresse IP du client, agent utilisateur, agent utilisateur du client)

Données relatives à la fraude (note de risque de fraude, vecteur de risque principal de cette note)

Durée de conservation: Au maximum vingt-quatre (24) mois à compter de la date de collecte. Au maximum cinq (5) ans pour les fraudes avérées

Finalité (et base juridique):  Traitement de toute demande que vous pourriez faire à notre service client et information concernant les modifications apportées à l’application Wero ou toute autre question se rapportant à Wero (intérêt légitime – art. 6.1.f du RGPD)

Catégories de Personnes concernées: Le(s) nom(s), les adresses (e-mail) et le(s) numéro(s) de téléphone indiqués dans vos messages qui nous sont envoyés, le contenu de tout message qui nous est envoyé, toute autre information que vous avez choisi de nous communiquer à notre demande, par exemple le justificatif de votre identité

Durée de conservation: Durée nécessaire au traitement de votre demande

Finalité (et base juridique):  Gestion et résolution des litiges concernant les opérations non autorisées ou exécutées de manière incorrecte, et traitement de toute autre réclamation par des utilisateurs de services de paiement (USP), dans le strict respect de l’article 101 de la Directive sur les services de paiement 2 (DSP2) (obligation légale - art. 6.1.c du RGPD)

Catégories de Personnes concernées: Toutes les données nécessaires à la gestion des signalements, des plaintes et des réclamations, y compris les données relatives aux opérations

Durée de conservation: Cinq (5) ans à compter du signalement, de la plainte ou de la réclamation

Finalité (et base juridique):  Gestion de toutes les procédures contentieuses et précontentieuses, afin de défendre nos droits (intérêt légitime – art. 6.1.f du RGPD)

Catégories de Personnes concernées: Données nécessaires relatives à toute procédure contentieuse et précontentieuse

Durée de conservation: Durée du litige et tout délai de prescription légale/forclusion

Finalité (et base juridique): Respect de nos obligations légales, y compris la Connaissance de la clientèle (KYC), la Lutte contre le blanchiment de capitaux et le financement du terrorisme, les lois en matière de lutte contre la corruption et les sanctions économiques, et autres lois ou réglementations applicables au secteur financier (obligation légale - art. 6.1.c du RGPD)

Catégories de Personnes concernées: Informations communiquées par votre PSPGC éligible : identifiant externe, nom, date de naissance, lieu de naissance, lieu de résidence.

Nous sommes susceptibles de collecter des données supplémentaires directement auprès de vous lorsque la loi l’exige.

Durée de conservation: Durée de conservation conformément aux obligations légales et réglementaires (10 ans aux fins de la lutte contre le blanchiment de capitaux)

Finalité (et base juridique): Création des données anonymisées et agrégées afin d’exploiter et d’améliorer l’application Wero (intérêt légitime – art. 6.1.f du RGPD)

Durée de conservation: Conservation illimitée

Pour lever toute ambiguïté, EPI ne collecte et ne traite aucune de vos catégories particulières de Données à caractère personnel lorsque vous choisissez d’autoriser l’utilisation de votre identifiant biométrique sur votre appareil mobile (par exemple votre empreinte digitale ou votre visage), pour authentifier vos paiements dans l’application Wero.

4.0 Êtes-vous tenu de fournir vos Données à caractère personnel ? 

Nous avons besoin de certaines de vos Données à caractère personnel pour exécuter nos obligations légales ou le contrat que nous avons conclu avec vous (à savoir les Conditions générales d’utilisation de Wero). Si vous ne nous fournissez pas vos Données à caractère personnel, vous ne pourrez pas utiliser certaines fonctionnalités de notre application. Vous ne pourrez pas, par exemple, vous inscrire sans nous fournir les informations concernant votre identité indiquées ci-dessus, ou nous pourrions ne pas être en mesure d’exécuter le contrat que nous avons conclu avec vous.

5.0 Comment partageons-nous vos Données à caractère personnel (destinataire) ? 

• les prestataires de services et les prestataires qui fournissent des services en notre nom en qualité de Sous-traitants et uniquement conformément à nos instructions documentées, y compris nos prestataires de services d’hébergement de données et d’évaluation du risque de fraude ;

Seuls les membres du personnel d’EPI et de ses sociétés affiliées dûment autorisés à cet effet sont susceptibles d’avoir accès à vos Données à caractère personnel, et uniquement sur la base du « besoin d’en connaître ». Ces destinataires internes sont soumis à des obligations strictes en matière de sécurité et de confidentialité.

En outre, nous ne communiquons vos Données à caractère personnel qu’aux destinataires externes suivants :

• les institutions financières, y compris votre PSPGC éligible (tel que ce terme est défini dans les Conditions générales d’utilisation de Wero) et les commerçants impliqués dans l’opération, afin de traiter les opérations de paiement et d’effectuer d’autres activités à votre demande ;
• les autorités répressives, ou l’autorité administrative ou judiciaire compétente, soit pour se conformer à une obligation légale, réglementaire, judiciaire ou administrative (par exemple pour signaler une activité illégale), soit dans le cadre d’un litige pour nous protéger contre toute violation de nos droits.

6.0 De quelle manière conservons-nous vos Données à caractère personnel au sein de l’Espace économique européen (EEE) ?

EPI s’efforce de ne transférer aucune Donnée à caractère personnel hors de l’Espace économique européen (EEE). Toutefois, si vous nous le demandez ou dans le cadre d’une opération avec une personne située hors de l’EEE (dans le cadre de l’envoi ou de la réception de fonds), nous pouvons être amenés à transférer vos données à l’étranger.

Si tel est le cas, le transfert de données à caractère personnel hors de l’EEE est régi par la réglementation applicable et est soumis à des conditions strictes afin de garantir leur protection (et en particulier grâce à l’utilisation des clauses contractuelles types de la Commission européenne, dont une copie peut être obtenue en contactant notre délégué à la protection des données).

7.0 Comment protégeons-nous et sécurisons-nous vos Données à caractère personnel ?

Chez EPI, la sécurité de vos Données à caractère personnel est notre priorité. Nous prenons ainsi plusieurs mesures afin de garantir leur sécurité et leur confidentialité. Voici comment de quelle manière nous les protégeons :

• La prise de mesures de sécurité exhaustives : nous mettons en œuvre tout un éventail de mesures techniques, administratives et organisationnelles conçues pour protéger nos systèmes informatiques et vos Données à caractère personnel contre l’accès, la modification, la divulgation ou la destruction non autorisés.
• Le chiffrement : nous utilisons des technologies de chiffrement de pointe pour protéger vos Données à caractère personnel, surtout pendant la transmission, afin d’empêcher tout accès non autorisé.
• Des protocoles de confidentialité : notre équipe est formée et bénéficie régulièrement de mises à niveau sur les meilleures pratiques afin de préserver la confidentialité et la sécurité des données.

Grâce à ces méthodes, nous nous efforçons de protéger vos Données à caractère personnel et de préserver leur intégrité à chaque instant.

8.0 Comment exercer vos droits ?

En tant que Personne concernée, vous disposez de divers droits eu égard à vos Données à caractère personnel que nous traitons en qualité de Responsable du traitement. Vous pouvez exercer ces droits à tout moment selon les conditions prévues par la réglementation applicable. Voici un résumé de vos principaux droits dans ce domaine :

• Droit d’accès : vous pouvez demander à EPI de vous confirmer si des Données à caractère personnel vous concernant sont traitées ou non et, le cas échéant, vous pouvez demander à y accéder ;
• Droit de rectification : si vos Données à caractère personnel sont inexactes, incomplètes ou obsolètes, vous pouvez demander à EPI de les rectifier, de les mettre à jour ou de les compléter ;
• Droit à l’effacement : dans certaines situations prévues à l’article 17 du RGPD, vous pouvez demander à EPI de supprimer vos Données à caractère personnel ;
• Droit à la limitation du traitement : dans certaines situations prévues à l’article 18 du RGPD, vous pouvez demander à EPI de limiter le traitement de vos Données à caractère personnel à certaines finalités et sous plusieurs conditions ;
• Droit d’opposition : lorsque le traitement est effectué en vertu d’un intérêt légitime d’EPI, vous pouvez vous opposer à ce traitement, sauf si nous avons des motifs légitimes impérieux de le poursuivre.
• Droit à la portabilité des données : lorsque les Données à caractère personnel sont nécessaires à l’exécution d’un contrat conclu avec vous ou sont traitées sur la base de votre consentement, vous pouvez demander à EPI de vous communiquer vos Données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine ; et/ou de les transmettre à un autre Responsable du traitement ;
• Retrait de votre consentement (le cas échéant) : lorsque vos Données à caractère personnel sont traitées sur la base de votre consentement, vous pouvez retirer ce consentement à tout moment ;
• Droit de définir des directives après le décès : lorsque la législation nationale le permet, vous pouvez définir des directives sur la manière dont vos Données à caractère personnel doivent être traitées après votre décès.

Vous pouvez exercer vos droits en adressant un e-mail à notre Délégué à la protection des données à l’adresse suivante : dpo@epicompany.eu. Nous sommes susceptibles de vous demander un justificatif d’identité en cas de doute.

Si vous pensez que vos droits ont été violés, vous avez le droit d’introduire une réclamation auprès d’une autorité de contrôle. Les autorités de contrôle compétentes à notre égard sont en particulier l’autorité belge de protection des données et, si vous résidez dans l’UE, l’autorité européenne de protection des données dans votre pays de résidence, dont vous trouverez les coordonnées ici à l’aide des options de contact : https://edpb.europa.eu/about-edpb/about-edpb/members_fr. 

Nous nous engageons à répondre à vos préoccupations et à garantir la protection de vos droits.

9.0 Modifications 

La présente politique sera mise à jour à tout moment afin de tenir compte de l’évolution de la réglementation et/ou du progrès technologique et de l’évolution et la mise en œuvre des services dans l’application Wero. Ces modifications prendront effet sur-le-champ dès la publication de la politique mise à jour sur notre site Internet et dans l’application Wero. Nous vous encourageons à régulièrement consulter cette politique pour rester informé de la manière dont nous protégeons vos informations.

Si nous apportons des modifications significatives à la présente Politique, nous vous en informerons par e-mail ou en publiant un avis sur notre site Internet avant la date de prise d’effet des modifications. À moins que votre consentement ne soit requis par la réglementation applicable, en continuant à utiliser nos services après la publication de ces modifications, vous êtes réputé avoir accepté ces modifications.

Dernière mise à jour : 17/09/2024