Politique de confidentialité

1. Champ d’application
M-iTrust accorde la plus grande importance et le plus grand soin à la protection de la vie privée et des données à caractère personnel, que ce soit pour ses clients, partenaires ou pour ses employés, ainsi qu’au respect des dispositions légales en la matière.

Le Règlement Européen relatif à la protection des données personnelles retient que les données personnelles doivent être traitées de façon licite, loyale, et transparente. Ainsi, cette politique de confidentialité (ci-après « Politique ») a pour objectif de vous fournir une information simple, claire sur les traitements de données à caractère personnel vous concernant, dans le cadre de votre navigation et des opérations réalisées sur notre site Internet.

2. Définitions

Tous les termes relatifs à la protection des données à caractère personnel utilisés dans le présent document et identifiés par des majuscules, employés au singulier ou au pluriel, doivent être interprétés conformément au Règlement Général sur la Protection des Données 2016/679 du 27 avril 2016 abrogeant la directive 95/46/CE (ci-après « le Règlement européen »).

Le terme « Donnée », employé au singulier ou au pluriel, fait référence aux Données à caractère personnel dont le traitement est réalisé par les Responsables conjoints ou le Responsable et le Sous-Traitant, dans le cadre du Service MiTrust.

• Identifiants de connexion : identifiants et mots de passe pour accéder aux comptes en ligne de l’Utilisateur chez les Sources de données ;
• Données Partageables : données de l’Utilisateur à caractère personnel, qui peuvent faire référence à des données (adresse par exemple) ou à des documents (justificatif de domicile par exemple) et qui font l’objet du Service ;
• Service : Ensemble des services rendus par MiTrust aux Utilisateurs, en particulier le partage de Données Partageables ;
• Service en ligne : Fournisseur de services partenaire de MiTrust et qui sollicite l’obtention de Données • Personnelles de l’Utilisateur via MiTrust ;
• Source de données : Fournisseur de services avec lequel l’Utilisateur a une relation commerciale existante, tels que des banques, des opérateurs téléphoniques, des distributeurs d’énergie ou des services publics, et qui dispose de Données Personnelles de l’Utilisateur ;

3. Responsable de traitement

Dans le cadre de votre activité sur le site https://mitrust.eu/ ou sur notre parcours utilisateur, nous collectons et utilisons, des données personnelles en lien avec vous, personnes physiques (ci-après « personne concernée »).

Le Service M-iTrust est assuré par M-iTrust SAS, immatriculée au RCS de Nanterre sous le numéro 842 232 878, ayant son siège social 73 rue du Château, 92100 Boulogne-Billancourt.

Lorsqu’un Service en Ligne propose le Service M-iTrust à ses utilisateurs, trois situations sont possibles au regard de la réglementation relative aux données personnelles, et notamment RGPD :

Soit M-iTrust agit en tant que responsable du traitement,

Soit le Service en Ligne agit en tant que responsable du traitement et M-iTrust est sous-traitant,

Soit le Service en Ligne et M-iTrust agissent en tant que co-responsables du traitement.

Cette situation dépend de la relation contractuelle historique définie entre le Service en Ligne et M-Itrust.

Quelle que soit la situation contractuelle, c’est M-iTrust qui sera votre unique point d’entrée pour l’exercice de vos droits (cf. chapitre « Quels sont vos droits »).

4. Quelles données collectons-nous et comment ?

En utilisant notre site internet, ou notre service, vous nous transmettez des informations à votre sujet dont certaines sont de nature à vous identifier (« Données Personnelles »). C’est le cas lorsque vous naviguez sur notre site ou que vous utilisez notre Service à partir de Services en Ligne.

La nature et la qualité des données personnelles collectées à votre sujet varient, il s’agit principalement de :

Identifiants de connexion à des Sources de Données : par exemple, identifiant et mot de passe ou one-time-password; nous collectons ces données pour accéder, avec votre accord, aux données personnelles de votre compte auprès de la Source de Données ;

Documents capturés et preuve de vie : photo ou video d’un document que vous uploadez ou que vous capturez en temps réel, ainsi qu’une preuve de vie (ex. : selfie) ; nous collectons ces données avec votre accord afin d’en extraire certaines données en vue de les partager et d’en vérifier l’authenticité ;

Données Partageables : données personnelles auxquelles nous accédons sur votre compte auprès de la Source de Données ou que nous extrayons d’un document que vous nous avez confié, pour pouvoir les partager, avec votre accord, aux Services en Ligne qui en ont besoin ; cf. exemples de catégories de données partageables ci-dessous ;

Informations relatives à votre navigation : nous collectons certaines informations concernant votre équipement à des fins de maintenance et de statistiques. Par ailleurs, en navigant sur notre site web, vous interagissez avec lui et certaines informations relatives à votre navigation sont collectées.

Catégories de données partageables

Les cas d’usage de MiTrust sont multiples ; voici quelques exemples de données que MiTrust peut vous permettre de partager en toute sécurité :

• Données de profil d’utilisateur : nom, prénom, adresse postale, téléphone…
• Données bancaires : nom et prénom du titulaire de compte, IBAN, RIB, BIC, relevé
de compte, indicateur de solvabilité…
• Données d’identité : nom, prénom, sexe, date de naissance, lieu de naissance… et informations
de capture associées (photo/vidéo de la pièce d’identité, du visage de l’utilisateur…)
• Données administratives : attestation de droits, avis d’imposition…
• Données techniques : informations de session permettant d’établir, avec votre
accord, une synchronisation automatique de vos données depuis une Source
de Données.

5. Pourquoi collectons-nous vos données personnelles et comment ?

Nous collections vos données personnelles pour des finalités déterminées et sur différents fondements juridiques.

Finalités

Données personnelles collectées

Legal bases

Durées de conservation

Navigation sur le site web et le Service

Gestion des statistiques de trafic sur le site internet et le Service (IP anonymisées)

Consentement etIntérêt légitime

13 mois pour les cookies

Formulaire de contact

Demandes envoyées à partir du formulaire en ligne

Consentement

Généralement 6 mois (et jamais plus de 2 ans)

Utilisation de notre Service

Transmission de vos Données Partageables à un Service en Ligne dans le cadre de l’utilisation de notre Service

Traitement des Identifiants de Connexion afin d’établir la connexion avec la Source de Données

Consentement

Les Données Partageables sont effacées juste après la transaction

Les Identifiants de Connexion sont effacés dès que la connexion est établie

Maintenance de notre Service et suivi des demandes des utilisateurs

Source de Données, trace pseudonymisée (hash) des Identifiants de Connexion, Données d’identité (uniquement dans le cadre de la vérification d’identité), Données de relevés
bancaires (uniquement dans le cadre de la vérification de solvabilité), Service en Ligne, données de navigation, date de la transaction.

Consentement

13 mois
15J dans le cadre de la vérification de solvabilité
72h dans le cadre de la vérification d’identité

Maintenance corrective liée à la collecte web (rapport d’erreur ou programme de maintenance)

Identifiants de connexion à la Source de Données (ex. : login, mot de passe)

Consentement, en cas d’erreur liée à la collecte web ou de contribution volontaire au programme de maintenance

120 jours

Gestion des cookies

Un témoin de connexion (ou « cookie ») est un petit fichier stocké sur votre ordinateur qui permet le passage d’une page Internet à une autre en conservant vos paramètres de navigation.

Le site de MiTrust utilise le cookie Matomo (ex Piwik). Ce témoin de connexion, appelé cookie de mesure d’audience, nous permet d’avoir des informations que la navigation des utilisateurs.

Nous recueillons et conservons uniquement les informations liées au trafic sur le site de manière anonyme, notamment : le nombre de visiteurs uniques, le nombre de pages vues, le pays d’origine de la connexion sur le site, le service d’origine qui en a fourni l’accès (en direct, par un moteur de recherche ou un réseau social), le type d’appareil utilisé (ordinateur, mobile ou tablette), l’heure et la date de fréquentation.

Lors de la navigation sur le site et le service de MiTrust, vous pouvez décider d’autoriser ou non le dépôt de cookies sur votre ordinateur.

Le paramétrage des cookies se fait directement via votre navigateur Internet et, selon le type de navigateur employé, permet au choix le refus systématique des cookies lors de la navigation ou de leur autorisation au cas par cas. Pour en savoir plus sur la configuration à suivre, consultez la page dédiée sur le site de la CNIL (https://www.cnil.fr/fr/cookies-les-outils-pour-les-maitriser).

6. Partageons-nous vos données personnelles ?

Nous pouvons être amenés, pour certaines finalités de traitement, à partager vos données avec les prestataires auxquels nous faisons appel pour réaliser un ensemble d’opérations et tâches, en notre nom :

• Microsoft Azure pour l’hébergement de notre service,
• Un service de normalisation d’adresses postales (anonymisées).

Ce partage de données est nécessaire à l’exécution de la prestation, et mentionné dans les conditions générales.

Seules les informations dont ils ont besoin pour la réalisation du Service sont communiquées à ces prestataires. Ils s’interdisent d’utiliser les données pour des finalités autres que celles initialement prévues. Nous mettons tout en œuvre pour nous assurer que ces tiers préservent la confidentialité et la sécurité de vos données.

Dans le cadre de l’utilisation de notre Service, vos Identifiants de Connexion sont utilisées pour se connecter aux Sources de Données pour et permettre votre identification sur leurs sites.

Enfin, vos données peuvent aussi être transmises aux autorités légales ou réglementaires, afin de respecter nos obligations légales. Dans ce cas, seules les données nécessaires sont fournies. Nous mettons tout en œuvre pour conserver leur confidentialité et leur sécurité.

Nous ne vendons pas vos données.

7. Vos données sont-elles transférées vers des pays tiers ?

La Plateforme de MiTrust qui procède au traitement des Données Personnelles pour les besoins du Service est hébergée sur des serveurs en France avec la possibilité de transfert de certaines données en dehors de France par l’hébergeur lors d’opérations de maintenance ou pour des raisons techniques, et par le service de normalisation d’adresses postales (anonymisées).

En cas de transfert de ce type, nous garantissons que le transfert est effectué :
• Soit vers un pays assurant un niveau de protection adéquat, c’est-à-dire un niveau de protection équivalent à ce que les réglementations européennes exigent ;

• Soit qu’il est encadré par des clauses contractuelles types ;

• Soit qu’il est encadré par des règles internes d’entreprise.

8. Combien de temps conservons-nous vos données ?

Nous conservons vos données à caractère personnel uniquement le temps nécessaire à la réalisation de la finalité pour laquelle nous détenons ces données, afin de répondre à vos besoins ou pour remplir nos obligations légales.

• Les durées de conservation varient en fonction de plusieurs facteurs, tels que :

• Les besoins des activités de M-iTrust

• Les exigences contractuelles

• Les obligations légales

• Les recommandations des autorités de contrôle

Se reporter au tableau de l’article 5 pour plus de détail sur les durées de conservation par type de données.

9. Comment garantissons-nous la sécurité de vos données ?

M-iTrust s’engage à protéger les données personnelles que nous collectons, ou ce que nous traitons, contre une perte, une destruction, altération, accès ou divulgation non autorisée.

Ainsi, nous mettons en œuvre toutes les mesures techniques et organisationnelles appropriées, selon la nature des données et des risques que leur traitement comporte. Ces mesures doivent permettre de préserver la sécurité et la confidentialité de vos données personnelles. Ces mesures peuvent comprendre des pratiques telles que des accès limités aux données personnelles par des personnes habilitées, en raison de leurs fonctions.

De plus, nos pratiques et nos politiques et/ou des mesures de sécurité physiques et/ou logiques (accès sécurisé, procédé d’authentification, copie de sauvegarde, logiciel, etc) seront régulièrement vérifiées et mises à jour si nécessaire.

Toutes les données personnels sont encryptés avec le protocole RSA et une clé de 4096 bits. Les clés privées sont stockés dans un HSM (Hardware Security Module) hébergé chez un fournisseur Cloud de premier rang. Afin de protéger au maximum les données personnelles des utilisateurs de M-iTrust, les identifiants sont cryptés dans le browser, et ne sont jamais ni stockés en clair, ni décryptés, si ce n’est au dernier moment pour la collecte effective des données personnelles.

En cas de session anonyme (i.e. sans création d’un compte M-iTrust), les données personnelles sont automatiquement supprimées au bout de 1 heure maximum.

La plateforme M-iTrust est hébergée chez un fournisseur Cloud de premier rang. Tous les composants de la plateforme sont sécurisés individuellement par une couche d’authentification et de filtrage réseau. La plateforme est auditée régulièrement par un acteur de renom dans la sécurité des systèmes d’informations. Les échanges réseaux sont protégés par un certificat SSL appuyé sur une clé RSA de 4096 bits.

10. Quels sont vos droits ?

Sur les données à caractère personnel que nous collectons/traitons, vous pouvez exercer les droits suivants :

• Un droit d’accès : vous avez le droit de demander l’accès aux données personnelles que nous détenons vous concernant, et vous pouvez en demander une copie ;

• Un droit de rectification : vous pouvez demander une rectification de toute donnée inexacte vous concernant ;

• Un droit de suppression : vous pouvez demander la suppression de vos données personnelles dans certaines circonstances ;

• Un droit à la portabilité : dans certaines conditions vous pouvez recevoir toutes les données personnelles vous concernant que vous nous avez fournies, dans un format structuré. Vous avez aussi le droit d’exiger que nous les transmettions, dans la mesure du possible, à un autre contrôleur ;

• Un droit de s’opposer au traitement en invoquant des intérêts légitimes ;

• Un droit de retirer son consentement à tout moment ;

• Un droit à la limitation du traitement : vous avez le droit d’apporter des restrictions au traitement de vos données si :

• Vous contestez l’exactitude de vos données, jusqu’à ce que nous vérifiions leur exactitude ;

• Le traitement est illégal mais vous ne souhaitez pas que nous supprimions vos données ;

• Nous n’avons plus besoin de vos données personnelles aux fins du traitement mais vous avez besoin de ses données afin d’intenter, de faire valoir ou de vous défendre contre des demandes en justice ;

• Vous êtes opposés au traitement en vous fondant sur des motifs liés en attendant de vérifier si nos motifs légitimes et impérieux pour poursuivre le traitement priment sur ces intérêts ;

Si ces données personnelles sont soumises à des limitations de ce type, nous ne traiterons vos données qu’avec votre consentement, ou en vue d’intenter, de faire valoir ou de nous défendre contre des demandes en justice ;

• Un droit à la détermination du sort de vos données personnelles après votre mort.

Pour exercer vos droits, vous pouvez contacter le délégué à la protection des données (DPO) de M-iTrust : dpo@m-itrust.com ou DPO Consulting, Service DPO externalisé, 18 rue Pasquier, 75008 Paris. Dans certains cas, afin de pouvoir donner suite à votre demande, M-iTrust la transmettra au Service en ligne.

Lorsque vous nous transmettez une demande d’exercice de droit, il vous est demandé de préciser autant que possible le périmètre de la demande, le type de droite exercé, le traitement de données personnelles concerné, et tout autre élément utile, afin de faciliter l’examen de votre demande. En outre, il peut vous être demandé de justifier de votre identité.

11. Mise à jour de la présente Politique

La présente politique peut régulièrement être mise à jour afin de tenir compte des évolutions de la réglementation relative aux données personnelles.

Date de dernière mise à jour : 03/04/2024