Spendesk, société par actions simplifiée immatriculée au RCS de Paris sous le n°821 893 286 et ayant son siège social 51, rue de Londres - 75008 Paris (France), propose une plateforme de gestion des dépenses pour les entreprises, disponible sur web et application mobile (ci-après la « Plateforme ») et édite les sites internet accessibles à l’adresse www.spendesk.com et www.cfoconnect.eu (ci-après le « Site Internet »).
A. Généralités / Introduction
Les termes de la présente politique commençant par une majuscule, ont le sens qui leur est attribué (a) dans les Conditions Générales ou (b) à défaut, dans le Règlement Général de Protection des Données (RGPD).
Dans le cadre de ses activités, Spendesk est amenée à traiter des Données Personnelles appartenant à différentes catégories de personnes.
On entend par Donnée Personnelle toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant notamment : un nom, un numéro de téléphone, une adresse email, des données de localisation, un identifiant en ligne.
En souscrivant et/ou utilisant le Site Internet et/ou la Plateforme vous reconnaissez et acceptez que Spendesk traite certaines Données Personnelles vous concernant, ainsi que certaines informations sur les dépenses effectuées avec les outils et/ou enregistrées via la Plateforme. Par ailleurs, Spendesk met en place des mesures de sécurité visant à garantir la confidentialité, l’intégrité et la disponibilité de vos Données Personnelles et d’en limiter l’accès uniquement aux personnes ayant besoin d’en connaître.
Cette Politique de protection des Données Personnelles vise à décrire comment Spendesk traite vos Données Personnelles dans le cadre des finalités indiquées ci-dessous, et vous informer de vos droits à ce titre. Elle peut faire l’objet de mises à jour, notamment en cas de modifications de la Réglementation sur les Données Personnelles ou en cas de mise à jour des traitements. La version applicable est celle accessible sur le Site internet au jour de votre utilisation de celui-ci et/ou de la Plateforme.
Vous trouverez ci-après les principales réponses aux questions que vous pouvez vous poser sur les engagements de Spendesk en matière de protection des Données Personnelles.
B. Délégué à la Protection des Données de Spendesk
Pour assurer la supervision des engagements de Spendesk et sa conformité à la Réglementation sur les Données Personnelles, Spendesk a désigné un délégué à la protection des données (DPD), qui peut être contacté par email (privacy@spendesk.com).
C. Description des Traitements
Dans le cadre des traitements de vos Données Personnelles, Spendesk peut revêtir le statut de Responsable de Traitement ou de Sous-Traitant. Les modalités spécifiques à ces statuts sont indiquées ci-dessous :
1. Spendesk, en tant que Responsable de Traitement indépendant
Conformément à la Réglementation sur les Données Personnelles, le Responsable de traitement est la personne morale ou physique qui détermine, seul, les moyens et les finalités de traitement des Données Personnelles.
Spendesk réalise les Traitements de Données Personnelles suivants en qualité de Responsable de Traitement :
| Finalité(s) de traitement | Catégorie(s) de personnes concernées | Nature des données traitées | Base(s) légale(s) | Durée(s) de conservation |
|---|---|---|---|---|
| Gestion du recrutement | Candidats | Nom, prénom, numéro de téléphone, adresse email, CV | Intérêt légitime de Spendesk, Consentement | Si consentement, jusqu’à deux (2) ans après la fin du processus de recrutement |
| Suivi de la navigation sur le Site Internet (voir détail dans Politique Cookies*) | Internautes | Identifiant cookie, adresse IP, informations de navigation | Consentement | Détail des durées de conservation dans la Politique Cookies* |
| Gestion de la relation marketing : invitation à des événements, newsletters, requalification en prospect | Contact marketing | Nom, prénom, numéro de téléphone, adresse email | Intérêt légitime de Spendesk, Consentement | Jusqu’à trois (3) ans après le dernier contact |
| Gestion de la relation au sein des communautés de Spendesk (CFO Connect) | Membre(s) de la communauté | Nom, prénom, adresse email, numéro de téléphone, société, fonction, identifiant Slack | Intérêt légitime de Spendesk, Consentement | Jusqu’à trois (3) ans après le dernier contact |
| Prospection commerciale | Prospects | Nom, prénom, adresse email, numéro de téléphone, société, fonction | Intérêt légitime de Spendesk, Consentement | Jusqu’à trois (3) ans après le dernier contact |
| Gestion commerciale et contractuelle avec le Client de Spendesk | Contact commercial du Client | Nom, prénom, numéro de téléphone, adresse email, société, fonction | Intérêt légitime de Spendesk, Exécution de mesures pré-contractuelles | Pendant la durée de la relation contractuelle et jusqu’à cinq (5) ans après la fin de la relation d’affaires |
| Recherche et développement autour de la Plateforme et du Site Internet (A/B tests) | Internautes, Utilisateurs | Données de navigation, identifiant Cookie ou autre(s) traceur(s), identifiant(s) de l’appareil (adresse IP, IDFA, ADID, etc.) | Intérêt légitime de Spendesk, Consentement | Suivant le projet |
| Enregistrement vidéo et audio des appels à des fins d’amélioration des Services, de formation et de suivi des performances du personnel de Spendesk | Employé, Prospect, Client, Utilisateur | Nom, prénom, numéro de téléphone, adresse email, voix, image | Intérêt légitime de Spendesk, Consentement | Jusqu’à six (6) mois après la date de l’enregistrement |
| Notification des incidents via la page https://spendesk.statuspage.io/ | Personne ayant souscrit à la notification | Numéro de téléphone, adresse email, identifiant Slack | Consentement | Jusqu’à désinscription aux notifications |
| Supervision du compte des Utilisateurs à des fins de support technique et de formation du personnel de Spendesk | Utilisateurs | Nom, prénom, société, fonction, transactions financières | Intérêt légitime de Spendesk, Consentement | Pendant la supervision du compte |
| Sécurité des systèmes / Détection, prévention et atténuation des activités frauduleuses ou autres activités illégales | Candidats, employés, Utilisateurs | Données de connexion (identifiant d’Utilisateur, identifiant de l’appareil, logs), adresse IP | Intérêt légitime de Spendesk | Jusqu’à trois cent soixante-cinq (365) jours après collecte des logs de connexion |
*Politique Cookies : https://www.spendesk.com/fr/legals/cookies-policy/.
Concernant la gestion de la communauté de Spendesk (CFO Connect), les membres autorisent Spendesk à utiliser leurs Données à des fins de prospection commerciale et de ciblage publicitaire, dans le respect de leurs droits prévus dans la présente Politique de protection des Données.
Les Données Personnelles traitées dans ce cadre sont collectées soit directement auprès de vous, soit indirectement notamment dans le cadre d’accords de partenariat, de prestations de services mandatées par Spendesk, via les réseaux sociaux (Données Personnelles que vous avez rendu publiques) ou via l’utilisation de cookies, pixels et autres traceurs. Pour plus d’informations sur les cookies et autres traceurs, Spendesk vous invite à consulter la Politique Cookies.
2. Spendesk en tant que Responsable conjoint de Traitement avec Spendesk Financial Services (Clients et Utilisateurs de l’EEE)
Conformément à la Réglementation sur les Données Personnelles, les Responsables conjoints du Traitement sont les entités qui déterminent conjointement les finalités et les moyens d’un Traitement.
Pour la fourniture des Services de Paiement et conformément à la réglementation applicable, Spendesk et Spendesk Financial Services SAS (établissement de paiement) traitent également les Données Personnelles en qualité de Responsables conjoints de Traitement. Les rôles respectifs de chacun des Responsables conjoints sont définis dans un contrat de responsabilité conjointe conformément à la réglementation applicable, dont les informations utiles pour le Client sont mises à disposition dans la Notice d’information de Spendesk Financial Services SAS.
3. Spendesk en tant que Sous-Traitant
Conformément à la Réglementation sur les Données Personnelles, le Sous-Traitant est la personne morale ou physique qui traite les Données Personnelles pour le compte et sur instructions du Responsable de traitement.
Concernant les Traitements opérés dans le cadre et pour les besoins de l’utilisation de la Plateforme, Spendesk traite les Données Personnelles des Utilisateurs en qualité de Sous-Traitant de son Client agissant en qualité de Responsable de Traitement. Le détail des Traitements effectués par Spendesk en tant que Sous-Traitant est disponible en Annexe A de l’Accord sur le Traitement des Données conclu avec le Client accessible ici.
Les Données Personnelles sont collectées soit directement auprès de l’Utilisateur lorsqu’il complète ses informations personnelles dans son compte Utilisateur, soit indirectement via le Client, en tant que Responsable de Traitement, qui importe les Données Personnelles des Utilisateurs pour leur permettre l’accès à leur compte Utilisateur (notamment dans le cadre d’intégration API de plateformes tierces dans la Plateforme).
D. Destinataires des Données Personnelles
Dans le cadre de l’exécution des services que nous vous proposons, Spendesk peut être amenée à transmettre certaines de vos Données personnelles à des tiers.
1. Transmission de vos Données Personnelles à des Sous-traitants
Vos Données Personnelles peuvent être transmises à des prestataires de services auxquels Spendesk fait appel pour sous-traiter tout ou partie des Traitements décrits ci-avant.
Spendesk choisit ses Sous-Traitants avec la plus grande précaution et n’a recours qu’à des Sous-Traitants qui présentent des garanties suffisantes en matière de conformité au RGPD et de sécurité. Les Sous-Traitants n'ont accès qu'aux Données Personnelles strictement nécessaires pour accomplir leurs tâches et ne sont pas autorisés à utiliser vos Données Personnelles à d'autres fins. De plus, nous avons conclu des accords avec chacun d'eux pour assurer la protection et la confidentialité de vos Données Personnelles, ainsi que leur Traitement en conformité avec le RGPD.
En tant que Client et Utilisateur de la Plateforme, vous pouvez consulter la liste des Sous-Traitants intervenant dans le cadre de la fourniture des services, sur la page suivante : https://www.spendesk.com/fr/legals/subprocessors.
2. Transmission de vos Données Personnelles à des Responsables de Traitement indépendants
Certaines de vos Données Personnelles peuvent également être transmises à des prestataires qui agissent en tant que Responsable de Traitement indépendant, lorsque vous souhaitez accéder à certains services.
Ces Responsables de Traitement sont des entités distinctes de notre organisation, qui déterminent de manière autonome les finalités et les moyens du Traitement des Données Personnelles que nous leur transmettons pour assurer la fourniture des services. Lorsque nous partageons vos Données Personnelles avec ces entités, nous nous assurons que cette transmission est effectuée de manière sécurisée.
Vous trouverez ci-dessous la liste des prestataires agissant en tant que Responsables de Traitement indépendants pour certains services :
Prestataires de services de paiement :
Clients et Utilisateurs Royaume-Uni : Adyen (https://www.adyen.com/privacy-policy) ;
Clients et Utilisateurs États-Unis : Sutton Bank (https://suttonbank.com/_/kcms-doc/85/84421/PrivacyPolicy2024.pdf) ou Dwolla (https://www.dwolla.com/legal/privacy) ;
Prestataires de portefeuille numérique :
Clients et Utilisateurs Royaume-Uni : Apple Pay (https://support.apple.com/fr-fr/101554).
Nous vous invitons à consulter leurs politiques de protection des données (liens ci-dessus) pour en savoir plus sur les Traitements réalisés par ces partenaires.
3. Transmission de vos Données Personnelles à Spendesk Financial Services, en tant que Responsable conjoint de Traitement (Clients et Utilisateurs de l’EEE)
Dans le cadre de l’utilisation de la Plateforme, Spendesk SAS et Spendesk Financial Services SAS sont amenées à traiter ensemble, en qualité de Responsables conjoints de Traitement, certaines Données Personnelles pour fournir les Services de Paiement et satisfaire à leurs obligations légales et contractuelles.
Nous vous invitons à consulter la Notice d’information sur les Traitements de Données Personnelles réalisés par Spendesk Financial Services SAS et Spendesk SAS pour en savoir sur ces Traitements de Données.
4. Transmission de vos Données Personnelles aux autorités
Spendesk peut être amenée à communiquer tout ou partie de vos Données Personnelles aux autorités publiques, organismes gouvernementaux ou autres établissements financiers, conformément à une loi, un règlement ou une décision d'une autorité réglementaire ou judiciaire compétente.
Nous nous engageons à nous conformer à toutes les obligations légales susceptibles d'empêcher, de restreindre ou de réglementer la divulgation d'informations ou de Données, notamment en nous conformant à la législation en vigueur sur la protection des Données.
E. Mesures de sécurité
Spendesk accorde la plus haute importance à la sécurité des Données Personnelles qui lui sont confiées. Conformément à la Réglementation sur les Données Personnelles, Spendesk s’engage à prendre toutes les précautions nécessaires afin de préserver la sécurité des Données Personnelles et, en particulier, les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, corruption, diffusion ou accès non autorisé, ainsi que contre toute autre forme de traitement illicite ou divulgation à des personnes non autorisées.
À ce titre, Spendesk :
met en œuvre des pratiques et mesures de sécurité conformes aux normes de notre industrie afin de garantir l’intégrité, la disponibilité et la confidentialité de vos Données Personnelles ;
met en place une politique de gestion des droits d’accès à vos Données Personnelles sur la base du principe du moindre privilège, du besoin d’en connaître et de la fonction (Role based Access Control) ;
met en place des mesures et procédures techniques et organisationnelles en vue de sauvegarder et préserver les Données traitées et assurer la confidentialité des Données Personnelles, en lien avec la politique de gestion des accès ;
s’assure de ne faire appel qu’à des partenaires et/ou Sous-Traitants qui répondent aux exigences de sécurité demandées par Spendesk ;
réalise régulièrement des contrôles tests et audits de sécurité sur ses systèmes afin de pouvoir attester de la robustesse de ceux-ci.
F. Hébergement et transferts de Données Personnelles
Les Données Personnelles traitées par Spendesk sont hébergées sur des serveurs sécurisés au sein de l’Union européenne.
Dans l’éventualité d’un transfert de Données Personnelles en dehors de l’Union européenne, Spendesk s’engage à mettre en place les mesures requises par la Réglementation sur les Données Personnelles (transfert vers un pays considéré comme adéquat par la Commission Européenne, signature de Clauses Contractuelles Types de la Commission Européenne, mesures de sécurité complémentaires, etc.).
G. Vos droits sur vos Données Personnelles
Conformément à la Réglementation sur les Données Personnelles, vous disposez à tout moment d’un droit d’accès, de rectification, de limitation, d’effacement et de suppression des Données Personnelles vous concernant, ainsi que d’un droit d’opposition et d’un droit à la portabilité. Vous pouvez également nous adresser vos directives liées au sort de vos Données Personnelles après votre décès.
Pour exercer vos droits, ou en savoir plus à ce sujet, vous pouvez vous adresser à notre Délégué à la Protection des Données :
par courrier postal : Spendesk SAS - Délégué à la Protection des données (DPD) - 51 rue de Londres, 75008 Paris, France;
par email : privacy@spendesk.com
Nous répondrons à votre demande dans un délai de trente (30) jours, éventuellement renouvelable, et pouvons demander une copie de votre pièce d’identité uniquement pour vérification.
Toutefois, nous ne pourrions pas donner suite à certaines de vos demandes d’exercice de droits notamment lorsque le traitement de vos Données Personnelles est nécessaire pour l’exécution du contrat en cours ou le traitement est effectué en vertu d’une obligation légale applicable à Spendesk.
S’agissant des demandes relatives aux Données Personnelles traitées dans le cadre de la Plateforme, vous pouvez à tout moment modifier vos Données Personnelles d’identification (titre, prénom, nom, email, numéro de téléphone, mot de passe) en vous connectant dans la rubrique "Mon profil" de votre compte, dans le respect de la politique d’identification et d’utilisation de la Plateforme éventuellement mise en place par votre employeur.
Vous pouvez demander à exercer vos droits auprès de votre employeur (responsable de traitement), mais également en nous écrivant directement à : privacy@spendesk.com. Nous informerons votre employeur de la nature de votre demande et des suites à donner.
Si vous considérez que Spendesk ne respecte pas ses obligations en matière de protection des Données Personnelles ou ne répond pas à vos demandes de manière satisfaisante, vous pouvez saisir la Commission Nationale de l’Informatique et des Libertés (CNIL) via son site internet (www.cnil.fr) ou par courrier postal (CNIL, Service des Plaintes, 3 place de Fontenoy - TSA 80715 -75334 Paris Cedex 07).
Enfin, conformément aux dispositions de l’article L.561-45 du Code Monétaire et Financier, vous devez adresser votre demande de droit d’accès relative aux traitements mis en oeuvre dans le cadre de nos obligations relatives à la LCB-FT de manière indirecte à la Commission Nationale de l’Informatique et des Libertés (CNIL).
Pour en savoir plus sur vos droits en matière de protection des Données Personnelles, vous pouvez consulter le site internet de la CNIL : www.cnil.fr.