Spendesk, société par actions simplifiée immatriculée au RCS de Paris sous le n°821 893 286 et ayant son siège social 51, rue de Londres - 75008 Paris (France), propose une solution intuitive qui aide les entreprises à mieux gérer, payer et suivre leurs dépenses professionnelles disponible sur web et application mobile (ci-après la « Solution Spendesk ») et édite les sites internet accessibles à l’adresse www.spendesk.com et www.cfoconnect.eu (ci-après le « Site Internet »).
Sommaire
- A. Généralités / Introduction
- B. Délégué à la Protection des Données de Spendesk
- C. Statuts et responsabilités de Spendesk
- D. Détail des Données personnelles traitées par Spendesk
- E. Recours à des sous-traitants ultérieurs
- F. Mesures de sécurité
- G. Hébergement et transferts de Données personnelles
- H. Vos droits sur Vos Données personnelles
A. Généralités / Introduction
Dans le cadre de ses activités, Spendesk est amenée à traiter des Données personnelles appartenant à différentes catégories de personnes. Ces Données personnelles peuvent être collectées à partir du Site Internet, de la Solution Spendesk, grâce à des partenaires tiers eux-mêmes responsables de traitement (partenaires évènementiels, plateformes de recrutement, etc.) et sont traitées pour les finalités indiquées ci-dessous.
On entend par Donnée personnelle toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant notamment : un nom, un numéro de téléphone, une adresse email, des données de localisation, un identifiant en ligne.
En souscrivant et/ou utilisant le Site Internet et/ou la Solution Spendesk, Vous reconnaissez et acceptez que Spendesk traite certaines Données personnelles Vous concernant, ainsi que certaines informations sur les dépenses effectuées avec les outils et/ou enregistrées via la Solution Spendesk. Par ailleurs, Spendesk met en place des mesures de sécurité visant à garantir la confidentialité, l’intégrité et la disponibilité de Vos Données personnelles et d’en limiter l’accès uniquement aux personnes ayant besoin d’en connaître.
Cette Politique de confidentialité vise à décrire comment Spendesk traite Vos Données personnelles dans le cadre des finalités indiquées ci-dessous, et Vous informer de Vos droits à ce titre. Elle peut faire l’objet de mises à jour, notamment en cas de modifications de la Réglementation sur les Données personnelles ou en cas de mise à jour des traitements. La version applicable est celle accessible sur le Site internet au jour de Votre utilisation de celui-ci et/ou de la Solution Spendesk.
Vous trouverez ci-après les principales réponses aux questions que Vous pouvez Vous poser sur les engagements de Spendesk en matière de protection des Données personnelles.
B. Délégué à la Protection des Données de Spendesk
Pour assurer la supervision des engagements de Spendesk et sa conformité à la Réglementation sur les Données personnelles, Spendesk a désigné un délégué à la protection des données (DPD), qui peut être contacté par email (privacy@spendesk.com).
C. Statuts et responsabilités de Spendesk
Dans le cadre des traitements de Vos Données personnelles, Spendesk peut revêtir le statut de responsable de traitement ou de sous-traitant. Les modalités spécifiques à ces statuts sont indiqués ci-dessous.
1. Spendesk, responsable de traitement
Conformément à la Réglementation sur les Données personnelles, le responsable de traitement est la personne morale ou physique qui détermine les moyens et les finalités de traitement des Données personnelles.
En qualité de responsable de traitement, Spendesk traite notamment Vos Données personnelles si vous êtes :
Candidat(s), employé(s) de Spendesk ;
Prospect(s), contact(s) marketing, contact(s) commercial chez le Client de Spendesk ;
Bénéficiaire(s) effectif(s), représentant(s) légal(aux) du Client de Spendesk ;
Utilisateur(s) de la Solution Spendesk ;
Membre(s) des communautés gérées par Spendesk (notamment CFO Connect) ;
Internaute(s) naviguant sur le Site Internet.
Vos Données personnelles sont collectées soit directement auprès de Vous, soit indirectement notamment dans le cadre d’accords de partenariat, de prestations de services mandatées par Spendesk, dans le cadre des Données personnelles que Vous choisissez de rendre publiques sur des réseaux sociaux tiers ou grâce à l’utilisation de cookies, pixels et autres traceurs. Pour plus d’informations sur les cookies et autres traceurs, Spendesk Vous invite à consulter la Politique Cookies.
Vos Données personnelles sont traitées par Spendesk, en sa qualité de responsable de traitement, pour les finalités suivantes :
Gestion et suivi du processus de recrutement du candidat (notamment vérification des antécédents) ;
Gestion de la relation de travail et paiement des cotisations sociales liés à l’employé ;
Gestion de la relation marketing et gestion des communautés de Spendesk (notamment CFO Connect) ;
Prospection commerciale ;
Vérifications réglementaires imposées en matière de lutte contre le blanchiment d’argent et financement du terrorisme (LCB-FT) en lien avec l’ouverture et l’utilisation du compte du Client ;
Gestion commerciale et contractuelle avec le Client de Spendesk ;
Recherche et développement autour de la Solution Spendesk et du Site Internet (notamment par la conduite d’ A/B tests) ;
Enregistrement vidéo et audio des appels à des fins d’amélioration des services de Spendesk, de formation et de suivi des performances du personnel de Spendesk ;
Notification des incidents après souscription aux emails de notification via la page https://spendesk.statuspage.io/ ;
Supervision du compte des Utilisateurs sur la Solution Spendesk pour la fourniture du support technique au Client et à des fins de formation du personnel de Spendesk habilité à traiter les informations du Client ; et
Détection, prévention et atténuation des activités frauduleuses ou autres activités illégales.
2. Spendesk, sous-traitant
Conformément à la Réglementation sur les Données personnelles, le sous-traitant est la personne morale ou physique qui traite les Données personnelles pour le compte et sur instructions du Responsable de traitement.
En qualité de sous-traitant, Spendesk traite notamment Vos Données personnelles si vous êtes :
Utilisateur(s) de la Solution Spendesk dans ses versions gratuite et/ou payante.
Vos Données personnelles sont collectées soit directement auprès de Vous, soit indirectement notamment dans le cadre d’intégration API de plateformes tierces dans la Solution Spendesk ou dans le cadre des Données personnelles que Vous choisissez de rendre publiques sur des réseaux sociaux tiers.
Vos Données personnelles sont traitées par Spendesk, en sa qualité de sous-traitant, pour les finalités suivantes :
Fourniture d’une Plateforme SaaS pour la gestion des paiements, des factures et des flux d’autorisation des dépenses professionnelles des Utilisateurs ;
Fourniture de Services de Paiement au Client et aux Utilisateurs, y compris :
ouverture d’un compte au nom du Client
émission des cartes pour chaque Utilisateur à la demande du Client
gestion des opérations de paiements (y compris par carte et virements)
gestion des demandes et des réclamations du Client ou d’un ou plusieurs Utilisateurs
Gestion des dépenses professionnelles : paiement et/ou remboursement des frais professionnels de l’Utilisateur, analyse et conservation des factures et reçus dans le respect de la réglementation comptable et fiscale ;
Mise à disposition de données anonymisées sur les tendances de l'industrie en matière de dépenses professionnelles selon des critères prédéterminés en fonction du domaine d'activité du Client.
D. Détail des Données personnelles traitées par Spendesk
1. Spendesk - responsable de traitement
Finalité(s) de traitement | Catégorie(s) de personnes concernées | Nature des données traitées | Base(s) légale(s) | Durée(s) de conservation |
---|---|---|---|---|
Suivi du processus de recrutement | Candidats | Nom, prénom, numéro de téléphone, adresse email, CV, données sur l’immigration | Intérêt légitime de Spendesk, Consentement, Respect d’une obligation légale | Si consentement, jusqu’à deux (2) ans après la fin du recrutement |
Gestion de la relation de travail et paiement des cotisations sociales liés à l’employé | Employés | Nom, prénom, numéro de téléphone, adresse email, documents d’identité et d’affiliation à la sécurité sociale, informations bancaires, données sur l’immigration | Intérêt légitime de Spendesk, Exécution du contrat de travail, Respect d’une obligation légale | Pendant la durée du contrat de travail et pendant les durées de conservation imposées par la réglementation applicable en droit social |
Suivi de la navigation sur le Site Internet (voir détail dans Politique Cookies) | Internautes | Identifiant cookie, adresse IP, informations de navigation | Intérêt légitime de Spendesk, Consentement | Détail des durées de conservation dans la Politique Cookies |
Gestion de la relation marketing : invitation à des événements, newsletters, requalification en prospect | Contact marketing | Nom, prénom, numéro de téléphone, adresse email | Intérêt légitime de Spendesk, Consentement | Jusqu’à trois (3) ans après le dernier contact |
Gestion de la relation au sein des communautés de Spendesk | Membre(s) de la communauté | Nom, prénom, adresse email, numéro de téléphone, société, fonction, identifiant Slack | Intérêt légitime de Spendesk, Consentement | Jusqu’à trois (3) ans après le dernier contact |
Prospection commerciale | Prospects | Nom, prénom, adresse email, numéro de téléphone, société, fonction | Intérêt légitime de Spendesk, Consentement | Durée de la prospection et jusqu’à trente-six (36) mois en cas de refus d’être prospecté |
Vérifications LCB-FT liées à l’ouverture et l’utilisation du compte du Client | Utilisateur Principal (ou mandataire du Compte Spendesk), bénéficiaire(s) effectif(s), représentant(s) légal(ux) du Client, Utilisateurs | Pour tous : nom, prénom, date de naissance, lieu et pays de naissance, nationalité, transactions financières // Pour l’Utilisateur Principal uniquement : adresse email professionnelle, adresse postale // Pour l’Utilisateur Principal, le(s) bénéficiaire(s) effectif(s) et les représentant(s) légal(aux) uniquement : pièce d'identité et tout autre justificatif nécessaire à la validation du Client pour l’entrée en relation d'affaires // Pour le(s) bénéficiaire(s) effectif(s) uniquement : nature de la relation avec le Client | Respect d’une obligation légale, Intérêt légitime de Spendesk | Pendant la durée de la relation contractuelle avec le Client et jusqu’à cinq (5) ans après la fin de la relation d’affaires |
Gestion commerciale et contractuelle avec le Client de Spendesk | Contact commercial du Client | Nom, prénom, numéro de téléphone, adresse email, société, fonction | Intérêt légitime de Spendesk | Pendant la durée de la relation contractuelle et jusqu’à cinq (5) ans après la fin de la relation d’affaires |
Recherche et développement | Internautes, Utilisateurs | Données de navigation, identifiant Cookie ou autre(s) traceur(s), identifiant(s) de l’appareil (adresse IP, IDFA, ADID, etc.) | Intérêt légitime de Spendesk, Consentement | Suivant le projet |
Enregistrement vidéo et audio des appels à des fins d’amélioration des Services, de formation et de suivi des performances du personnel de Spendesk | Employé, Prospect, Client, Utilisateur | Nom, prénom, numéro de téléphone, adresse email, voix, image | Intérêt légitime de Spendesk, Consentement | Jusqu’à six (6) mois après la date de l’enregistrement |
Notification des incidents via la page https://spendesk.statuspage.io/ | Personne ayant souscrit à la notification | Numéro de téléphone, adresse email, identifiant Slack | Consentement | Jusqu’à désinscription aux notifications |
Supervision du compte des Utilisateurs | Utilisateurs | Nom, prénom, société, fonction, transactions financières | Intérêt légitime de Spendesk, Consentement | Pendant la supervision du compte |
Sécurité des systèmes | Candidats, employés, Utilisateurs | Données de connexion (identifiant d’Utilisateur, identifiant de l’appareil, logs), adresse IP | Intérêt légitime de Spendesk | Jusqu’à trois cent soixante-cinq (365) jours après collecte des logs de connexion |
2. Spendesk - sous-traitant
Finalité(s) de traitement | Catégorie(s) de personnes concernées | Nature des données traitées | Base(s) légale(s) | Durée(s) de conservation |
---|---|---|---|---|
Ouverture du Compte du Client | Utilisateur Principal (ou mandataire du Compte Spendesk) | Nom, prénom, adresse postale, date de naissance, nationalité, adresse email | Intérêt légitime de Spendesk, Respect d’une obligation légale | Pendant la durée de la relation contractuelle avec le Client et jusqu’à deux (2) ans après fin de l’utilisation de la Solution Spendesk par l’Utilisateur Principal |
Gestion de l’utilisation de la Solution Spendesk par l’Utilisateur | Utilisateur(s) | Nom, prénom, adresse email, numéro de téléphone, adresse postale (uniquement en cas d’envoi de carte de paiement physique), genre, photo (facultatif), fonction, IBAN (facultatif), données de connexion (nom d’utilisateur, mot de passe, adresse IP) | Consentement, Respect d’une obligation légale | Jusqu’à deux (2) ans après fin de l’utilisation de la Solution Spendesk par l’Utilisateur |
Gestion des dépenses professionnelles | Utilisateur(s) | Nom, prénom, identifiant utilisateur, adresse email, transaction(s) financière(s), facture(s) et reçu(s) | Respect d’une obligation légale | Jusqu’à deux (2) ans après fin de l’utilisation de la Solution Spendesk par l’Utilisateur // Jusqu’à cinq (5) ans après la fin de la relation d’affaires // Dix (10) ans, à partir de la fin de l’année civile durant laquelle les factures/reçus ont été reçus |
E. Recours à des sous-traitants ultérieurs
Dans le cadre de certains traitements de Vos Données personnelles, Spendesk peut avoir recours à des sous-traitants ultérieurs.
Spendesk choisit ses sous-traitants avec la plus grande précaution et n’a recours qu’à des sous-traitants qui présentent des garanties suffisantes en matière de sécurité.
Pour en savoir plus sur les sous-traitants intervenant dans le cadre de la fourniture de la Solution Spendesk, vous pouvez consulter la page suivante : https://www.spendesk.com/fr/legals/subprocessors.
F. Mesures de sécurité
Spendesk accorde la plus haute importance à la sécurité des Données personnelles qui lui sont confiées. Conformément à la Réglementation sur les Données Personnelles, Spendesk s’engage à prendre toutes les précautions nécessaires afin de préserver la sécurité des Données personnelles et, en particulier, les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, corruption, diffusion ou accès non autorisé, ainsi que contre toute autre forme de traitement illicite ou divulgation à des personnes non autorisées.
À ce titre, Spendesk :
met en œuvre des pratiques et mesures de sécurité conformes aux normes de notre industrie afin de garantir l’intégrité, la disponibilité et la confidentialité de Vos Données personnelles ;
met en place une politique de gestion des droits d’accès à Vos Données personnelles sur la base du principe du moindre privilège, du besoin d’en connaître et de la fonction (Role based Access Control) ;
met en place les procédures électroniques, physiques et de gestion appropriées en vue de sauvegarder et préserver les données traitées ;
s’assure de mettre en place des mesures de confidentialité suffisantes et conformes avec les personnes ayant accès à Vos Données personnelles ;
s’assure de ne faire appel qu’à des partenaires et/ou sous-traitants qui répondent aux exigences de sécurité demandées par Spendesk ;
réalise régulièrement des contrôles tests et audits de sécurité sur ses systèmes afin de pouvoir attester de la robustesse de ceux-ci.
Spendesk ne divulgue pas autrement Vos Données personnelles à des tiers, sauf si : (1) Vous (ou le titulaire de Votre compte agissant en Votre nom) en demandez ou en autorisez la divulgation ; (2) la divulgation est nécessaire pour traiter les transactions ou fournir les services que Vous avez demandés ; (3) Spendesk est obligée de transmettre Vos Données personnelles à une autorité administrative ou judiciaire ; ou si (4) la divulgation est nécessaire pour respecter des obligations juridiques et/ou réglementaires.
G. Hébergement et transferts de Données personnelles
Les Données personnelles traitées par Spendesk sont hébergées sur des serveurs sécurisés au sein de l’Union européenne.
Dans l’éventualité d’un transfert de Données personnelles en dehors de l’Union européenne, Spendesk s’engage à mettre en place les mesures requises par la Réglementation sur les Données personnelles (mesures de sécurité, mécanisme de transfert adéquat, etc.).
H. Vos droits sur Vos Données personnelles
Conformément à la Réglementation sur les Données personnelles, Vous disposez à tout moment d’un droit d’accès, de rectification, de limitation, d’effacement et de suppression des Données personnelles Vous concernant, ainsi que d’un droit d’opposition et d’un droit à la portabilité.
Vous pouvez également nous adresser vos directives liées au sort de Vos Données personnelles après Votre décès.
Pour exercer Vos droits, ou en savoir plus à ce sujet, Vous pouvez Vous adresser à notre Délégué à la protection des données :
par courrier postal : Spendesk SAS - Délégué à la protection des données (DPD) - 51 rue de Londres, 75008 Paris, France;
par email : privacy@spendesk.com
Nous répondrons à Votre demande dans un délai de trente (30) jours, éventuellement renouvelable, et pouvons demander une copie de Votre pièce d’identité uniquement pour vérification.
Toutefois, nous ne pourrions pas donner suite à certaines de Vos demandes d’exercice de droits notamment lorsque le traitement de Vos Données personnelles est nécessaire pour l’exécution du contrat en cours ou le traitement est effectué en vertu d’une obligation légale applicable à Spendesk.
S’agissant des demandes relatives aux Données personnelles traitées dans le cadre de la Solution Spendesk, Vous pouvez à tout moment modifier Vos Données personnelles d’identification (titre, prénom, nom, email, numéro de téléphone, mot de passe) en Vous connectant dans la rubrique "Mon profil" de Votre compte, dans le respect de la politique d’identification et d’utilisation de la Solution Spendesk éventuellement mise en place par Votre employeur.
Vous pouvez demander à exercer Vos droits auprès de Votre employeur (responsable de traitement), mais également en nous écrivant directement à : privacy@spendesk.com. Nous informerons Votre employeur de la nature de Votre demande et des suites à donner.
Si Vous considérez que Spendesk ne respecte pas ses obligations en matière de protection des Données personnelles ou ne répond pas à Vos demandes de manière satisfaisante, Vous pouvez saisir la Commission Nationale de l’Informatique et des Libertés (CNIL) via son site internet (www.cnil.fr) ou par courrier postal (CNIL, Service des Plaintes, 3 place de Fontenoy - TSA 80715 -75334 Paris Cedex 07).
Enfin, conformément aux dispositions de l’article L.561-45 du Code Monétaire et Financier, Vous devez adresser Votre demande de droit d’accès relative aux traitements mis en oeuvre dans le cadre de nos obligations relatives à la LCB-FT de manière indirecte à la Commission Nationale de l’Informatique et des Libertés (CNIL).
Pour en savoir plus sur Vos droits en matière de protection des Données personnelles, Vous pouvez consulter le site internet de la CNIL : www.cnil.fr.
Information additionnelle sur la protection des données chez Spendesk:
- Liste des sous-traitants ultérieurs de Spendesk
Traitements de Données personnelles réalisés dans le cadre des services de paiement :
- 🇪🇺 Clients EEE : Notice d’information de Spendesk Financial Services SAS
- 🇬🇧 Clients Royaume-Uni : Politique de confidentialité Adyen
- 🇺🇸 Clients Etats-Unis : Politique de confidentialité Sutton Bank et Politique de confidentialité Dwolla