Politique de confidentialité et données personnelles

1- Qui sommes-nous ? 

HelloCSE est une marque exploitée par la société par action simplifiée (SAS) SYLARELE, située au 10 rue Pierre Semard 69007 Lyon, immatriculée au Registre du Commerce et des Sociétés de Lyon sous le numéro 829 190 248, (ci-après dénommée « HelloCSE » ou « nous »). 

HelloCSE est une place de marché d’avantages préférentiels à destination des comités sociaux et économiques (« CSE ») ainsi que des entreprises et des associations (ensemble dénommés ci-après les « Clients »). Ainsi, le site internet www.hellocse.fr (le « Site ») permet aux salariés ou bénéficiaires désignés par les Clients (les « Utilisateurs » ou « vous ») de bénéficier d’avantages préférentiels sur les produits et services référencés sur le Site (ci-après les « Services »). 

La présente Politique de confidentialité s’adresse principalement aux Utilisateurs bénéficiant d’un compte personnel leur permettant d’accéder aux Services mais également, pour certaines données à caractère personnel traitées, à tout internaute se rendant sur le Site. Pour rappel, est une donnée personnelle (ci-après les « Données »), toute donnée se rapportant à une personne physique identifiée ou identifiable. Une personne est identifiable si elle peut être identifiée directement ou indirectement en recoupant plusieurs données. 

La présente Politique de confidentialité a pour objet d’informer les Utilisateurs et les internautes sur les mesures et principes mis en place par HelloCSE afin de garantir un traitement licite, loyal et transparent des Données.

Aussi, HelloCSE.fr assure une collecte et un traitement des Données conformément à la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés telle que modifiée par le Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après la « Réglementation applicable »). Les Données sont notamment traitées pour des finalités déterminées, dans le respect de la vie privée et selon le principe de minimisation : nous ne traitons que les Données pertinentes au regard de la finalité poursuivie.

Selon les cas et selon les Données traitées, nous pouvons être responsable de traitement c’est-à-dire que nous décidons des finalités et des moyens du traitement des Données, soit sous-traitant. Dans ce dernier cas, nous traitons les Données au nom et pour le compte de notre Client, responsable de traitement. Vos Données seront alors traitées exclusivement selon ses instructions.

Pour toute question relative à vos données personnelles et pour exercer vos droit d'accès, de rectification, de suppression, d'opposition et de portabilité de vos données personnelles, ainsi que le retrait de votre consentement ou la limitation du traitement de vos Données, il suffit de nous contacter : 

- par mail à rgpd@hellocse.fr ; 

- par voie postale à l’adresse suivante : « HelloCSE – Service Client, 10 rue Pierre Semard, 69007 Lyon ». 

Nous nous engageons à répondre dans les meilleurs délais et au plus tard 1(un) mois à compter de la réception de votre demande. En cas de difficulté pour l’exercice de vos droits ou pour toute réclamation concernant le traitement de vos données à caractère personnel, vous disposez du droit de saisir la CNIL.

2- Objectifs poursuivis par le traitement

HelloCSE ne traite que les Données strictement nécessaires à l’accomplissement des finalités poursuivies. 

Le traitement des données à caractère personnel a pour base légale :

  • Le consentement pour les données de connexion et de navigation des Utilisateurs et internautes ;
  • L’exécution du contrat pour les données d’identification des Utilisateurs, les données de livraison, les données bancaires, les données de facturation ;
  • Le respect d’une obligation légale concernant les données de facturation et les preuves d’identité ;
  • L’intérêt légitime d’HelloCSE pour le traitement :
    • Des données relatives à l’historique des achats des Utilisateurs, 
    • Des données d’identification pour la réalisation d’actions de fidélisation, de prospection, d’étude, de sondage, de test produit, d’opérations promotionnelles, d’organisation de jeu en lien avec les Services HelloCSE,
    • Des données d’identification et celles relatives aux achats pour la gestion des impayés,
    • Des contributions (avis) des Utilisateurs ;
    • Des Données de contact des internautes.

Les traitements ont les finalités suivantes :

  • Effectuer les opérations relatives à la gestion des Utilisateurs et Clients concernant : 
    • La création d’un compte, sa gestion, son historique ;
    • La gestion des commandes et des livraisons ; 
    • La gestion du paiement ;
    • La facturation ;
    • Le programme de fidélité ; 
    • Le suivi de la relation client tel que la réalisation d'enquêtes de satisfaction, la gestion des réclamations et du service après-vente ; 
    • La sélection de clients pour réaliser des études ou sondages.
  • Effectuer des opérations relatives à la prospection :
    • La gestion d'opérations techniques de prospection (ce qui inclut notamment le nettoyage des Données par la suppression des doublons et leur vérification afin d’utiliser des Données exactes et mises à jour) ;
    • La sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, et de promotion ;
    • La réalisation d'opérations de sollicitations.
  • Elaborer des statistiques commerciales ;
  • Organiser des jeux concours, loteries ou de toute opération promotionnelle en lien avec les Services proposés par HelloCSE;
  • Gérer des demandes de droit d'accès, de rectification, de suppression, de portabilité, de limitation du traitement, de retrait du consentement et d'opposition ;
  • Gérer des impayés et du contentieux ;
  • Respecter les obligations légales d’HelloCSE;
  • Publier des avis des personnes sur des produits, services ou contenus ;
  • Répondre aux demandes de contact.

3- Données personnelles concernées

Afin d’atteindre les finalités précitées, nous collectons les Données suivantes :

a) l'identité : civilité, nom, prénoms, adresse, numéro de téléphone (fixe et/ou mobile), adresse de courrier électronique, date de naissance, code interne de traitement permettant l'identification du client. Une copie d'un titre d'identité peut être demandée aux fins de preuve de l’identité du demandeur dans le cadre de l'exercice d'un droit sur ses données à caractère personnel ou pour répondre à une obligation légale ;

b) les données relatives aux moyens de paiement : relevé d'identité postale ou bancaire, numéro de carte bancaire (seuls les 4 derniers chiffres sont conservés au delà de la transaction), date de fin de validité de la carte bancaire ;

c) les données relatives à la transaction telles que le numéro de la transaction, le détail de l'achat, de l'abonnement, du bien ou du service souscrit ;

d) les données relatives au suivi de la relation commerciale : produits achetés, quantité, montant, périodicité, adresse de livraison, historique des achats, retour des produits, origine de la vente (vendeur, représentant, partenaire, affilié) ou de la commande, correspondances avec l’Utilisateur et service après-vente, échanges et commentaires des Utilisateurs et prospects, personne(s) en charge de la relation client ;

e) les données relatives aux règlements des factures : modalités de règlement, remises consenties, reçus, soldes et impayés;

f) les données nécessaires à la réalisation des actions de fidélisation, de prospection, d’étude, de sondage, de test produit et de promotion, la sélection des personnes ne pouvant résulter que de l’analyse des données listées précédemment, à savoir l’email. En ce qui concerne les données nécessaires à la prospection, elles sont majoritairement collectées directement lors de la demande de contact. Lorsqu’elles sont collectées indirectement, par le biais d’un prestataire, les présentes informations sont délivrées au prospect lors de l’envoi du premier email de prospection. Il peut s’opposer au traitement de ses Données en cliquant sur le lien prévu à cet effet dans l’email.

g) les données relatives à l'organisation et au traitement des jeux concours, de loteries et de toute opération promotionnelle telles que l’email, la date de participation, les réponses apportées aux jeux concours et la nature des lots offerts ;

h) les données relatives aux contributions des personnes qui déposent des avis sur des produits, services ou contenus, notamment leur prénom et le contenu de l’avis ;

i) les données de connexion (date, heure, adresse Internet, protocole de l'ordinateur du visiteur, page consultée) pourront être exploitées à des fins de mesure d'audience ;

k) les données traitées dans le cadre d’une demande de contact : nom, prénom, société, téléphone, email, objet de la demande.

4- Durée de conservation des Données

Concernant les Données relatives à la gestion des Utilisateurs, Clients et prospects :

Les données à caractère personnel relatives aux Clients et Utilisateurs ne sont pas conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale.

Toutefois, les Données permettant d’établir la preuve d’un droit ou d’un contrat, ou conservées au titre du respect d’une obligation légale, peuvent faire l’objet d’une politique d’archivage intermédiaire pour une durée n’excédant pas la durée nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur.

Par ailleurs, les Données des Clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (par exemple, à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services ou du dernier contact émanant du client).

Les données à caractère personnel relatives à un prospect non client peuvent être conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect.

Au terme de ce délai de trois ans, le responsable de traitement pourra reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales. En l’absence de réponse positive et explicite de la personne, les Données seront supprimées.

Concernant les pièces d’identité :

Les pièces d’identité peuvent être demandées dans le cadre de la réglementation bancaire contre le blanchiment d’argent et les procédures KYC (« Know Your Customer »).

Par ailleurs, en cas d'exercice des droits d'accès, de rectification, de suppression, de portabilité, de limitation du traitement, d’opposition au traitement ou de retrait du consentement, une pièce d’identité peut être demandée afin de s’assurer de l’identité de la personne à l’initiative de la demande. 

Les données relatives aux pièces d'identité peuvent être conservées pendant le délai prévu à l'article 9 du code de procédure pénale (soit un an). 

Concernant les données relatives aux cartes bancaires :

Les données relatives aux cartes bancaires sont supprimées une fois la transaction réalisée, c’est-à-dire dès son paiement effectif, qui peut être différé à la réception du bien, augmenté, le cas échéant, du délai de rétractation prévu pour les contrats conclus à distance et hors établissement, conformément à l’article L. 221-18 du code de la consommation.

Dans le cas d’un paiement par carte bancaire, le numéro de la carte (4 derniers chiffres) et la date de validité de celle-ci peuvent être conservés pour une finalité de preuve en cas d’éventuelle contestation de la transaction, en archives intermédiaires, pour la durée prévue par l’article L. 133-24 du code monétaire et financier, en l’occurrence treize mois suivant la date de débit. Ce délai peut être étendu à quinze mois afin de prendre en compte la possibilité d’utilisation de cartes de paiement à débit différé. Ces données seront utilisées uniquement en cas de contestation de la transaction.

Les données relatives aux cartes bancaires peuvent être conservées plus longtemps sous réserve d’obtenir le consentement exprès du client, préalablement informé de l’objectif poursuivi (notamment, faciliter le paiement des clients réguliers). La durée de conservation n'excédera alors pas la durée nécessaire à l’accomplissement de la finalité visée par le traitement. Il est possible de revenir à tout moment sur le consentement donné pour la conservation des données de la carte, afin de faciliter les achats ultérieurs, directement depuis la page de paiement hébergée par notre prestataire de paiement. 

De manière générale, les données relatives au cryptogramme visuel ne sont en aucun cas transmis ni stockés sur le Site. Lorsque la date d’expiration de la carte bancaire est atteinte, les données relatives à celles-ci sont supprimées.

Concernant les avis sur les produits ou services déposés par un Utilisateur, ces derniers sont collectés via un prestataire. Ils sont conservés en base active pendant 12 (douze) mois puis archivés pendant 3 (trois) ans avant leur suppression définitive. 

Concernant la gestion des listes d'opposition à recevoir de la prospection :

Lorsqu'une personne exerce son droit d'opposition à recevoir de la prospection, les informations permettant de prendre en compte son droit d'opposition sont conservées trois ans à compter de l'exercice du droit d'opposition. Ces données ne sont en aucun cas utilisées à d'autres fins que la gestion du droit d'opposition et seules les données nécessaires à la prise en compte du droit d’opposition sont conservées (par exemple, l’adresse électronique).

Concernant les statistiques de mesure d'audience :

Les informations stockées dans le terminal des Utilisateurs ou internautes (ex : cookies), ou tout autre élément utilisé pour identifier les Utilisateurs ou internautes et permettant leur traçabilité, ne sont pas conservés au-delà de treize mois. Les nouvelles visites ne prolongent pas la durée de vie de ces informations.
Les données de fréquentation brutes associant un identifiant ne sont pas conservées plus de treize mois. Au-delà de ce délai, les données sont soit supprimées, soit anonymisées. 

5- Destinataires des Données & Sous-traitants

Dans la limite de leurs attributions respectives, peuvent avoir accès aux données personnelles :

  • le personnel habilité du service marketing, du service commercial, des services chargés de traiter la relation client et la prospection, des services administratifs, des services logistiques et informatiques ainsi que leurs responsables hiérarchiques ;
  • le personnel habilité des services chargés du contrôle (commissaire aux comptes, services chargés des procédures internes du contrôle...) ;
  • le personnel habilité des sous-traitants dès lors que le contrat signé entre les sous-traitants et le responsable du traitement fait mention des obligations incombant aux sous-traitants en matière de protection de la sécurité et de la confidentialité des données (article 35 de la loi du 6 janvier 1978 modifiée) et précise notamment les objectifs de sécurité devant être atteints.
  • les organismes, les auxiliaires de justice et les officiers ministériels, dans le cadre de leur mission de recouvrement de créances ;
    l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique ;
  • Les paiements sont notamment traités via Mercanet (BNP Paribas) / Atos Worldline qui se conforme aux normes PCI DSS en vigueur.

HelloCSE fait appel à des sous-traitants qui réalisent les prestations informatiques suivantes : l’hébergement, le stockage et l’archivage, les campagnes promotionnelles, les services de paiement. 

HelloCSE s’engage à choisir des sous-traitants présentant toutes les garanties nécessaires au titre de la protection des données à caractère personnel. Ainsi, HelloCSE a mis en place les mesures contractuelles nécessaires afin d’engager ses sous-traitants à strictement respecter la sécurité et la confidentialité des données personnelles et à ne les utiliser que dans le strict cadre contractuel. 

Le traitement des Données par des sous-traitants concerne :

  • Le paiement, réalisé par les prestataires de paiement Mercanet (BNP Paribas) / Atos Worldline et Lemonway, établis en France et agréés par l’ACPR ;
  • Les prélèvements automatiques, effectués par l'intermédiaire de la société SlimPay, basée en France et agréé par l’ACPR ;
  • L'hébergement est assuré par Amazon Web Services, est basé en France (Paris). Un engagement contractuel existe auprès de notre entreprise afin de mettre en place les moyens appropriés à la préservation des données hébergées par leurs soins.
  • Nos sauvegardes contenant des Données Utilisateurs, stockées de manière sécurisée par Amazon Web Services en Irlande, en conformité avec le RGPD.
  • Les newsletters d'information périodiques envoyée aux Utilisateurs. Les données personnelles nécessaires sont alors transférées hors de l'UE (États Unis) à notre prestataire ActiveCampaign avec qui nous avons signé un accord de traitement des données (DPA) contenant des Clauses Contractuelles types selon le format préconisé par la Commission Européenne concernant les données strictement nécessaires à l'envoi et au suivi des campagnes, à savoir les nom, prénom et adresse email. En effet, depuis un arrêt de la Cour de Justice de l’Union Européenne du 16 juillet 2020, les données personnelles ne peuvent plus être transférées vers les Etats-Unis sur la base du Privacy Shield. Nous avons donc mis en place des Clauses Contractuelles Types et des mesures de sécurité associées.

6- Sécurité et confidentialité

Toutes précautions utiles sont prises pour préserver la sécurité et la confidentialité des Données et, notamment, empêcher qu'elles soient déformées ou endommagées ou que des tiers non autorisés y aient accès.

Les accès aux traitements de données nécessitent une authentification des personnes accédant aux Données, au moyen d'un code d'accès et d'un mot de passe individuels, suffisamment robustes et régulièrement renouvelés. Tous les mots de passes sont hachés au moyen d'algorithmes fiables et sécurisés et aucun mot de passe n'est stocké en clair.

Afin de se prémunir contre toute atteinte à la confidentialité des Données traitées, les Données transitant sur des canaux de communication non sécurisés font l'objet de mesures techniques (Notamment le protocole HTTPS) visant à rendre ces Données incompréhensibles à toute personne non autorisée.

Les accès aux données relatives aux moyens de paiement font l'objet de mesures de traçabilité permettant de détecter a posteriori tout accès illégitime aux données et de l'imputer à la personne ayant accédé illégitimement à ces données.

Lorsqu'un moyen de paiement à distance est utilisé, selon le Service concerné, le responsable de traitement Mercanet (BNP Paribas) ou le sous-traitant (Atos Worldline, Lemonway) ont mis en place les mesures organisationnelles et techniques appropriées afin de préserver la sécurité, l'intégrité et la confidentialité des numéros de cartes bancaires contre tout accès, utilisation, détournement, communication ou modification non autorisés en recourant à des systèmes de paiement sécurisés conformes à l'état de l'art et à la réglementation applicable (notamment le chiffrement des données par l'intermédiaire d'un algorithme réputé « fort »).

Lorsque le responsable de traitement conserve les numéros de carte bancaire pour une finalité de preuve en cas d'éventuelle contestation de la transaction, ces numéros font l'objet de mesures techniques visant à prévenir toute réutilisation illégitime, ou toute ré-identification des personnes concernées (stockage des numéros de carte bancaire sous forme hachée avec utilisation d'une clé secrète).

Concernant les pièces d’identité, celles-ci ne sont accessibles qu’à un nombre de personnes restreint, et des mesures de sécurité sont mises en œuvre afin d’empêcher toute réutilisation détournée de ces données.

7- Violation de données personnelles

Toute violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes concernées est notifiée à la CNIL dans les 72 heures. 

En cas de violation de données personnelles susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, ces dernières seront informées dans les meilleurs délais des éléments suivants :

  • la nature de la violation
  • les catégories et le nombre approximatif des personnes concernées
  • les catégories et le nombre approximatif de fichiers concernés
  • les conséquences probables de la violation
  • les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation

8- Procédure d’exercice des droits sur les données traitées par HelloCSE

Les données collectées lors de l’inscription sont indispensables pour accéder aux Services. 

Selon la base légale du traitement, toute personne dont les données à caractère personnel ont été collectées dispose d’un droit d’accès, de rectification, d’effacement, ainsi qu’un droit à la portabilité des données la concernant. Toute personne dispose également d’un droit d’opposition et de limitation du traitement. Ces droits peuvent être exercés sur simple demande à rgpd@hellocse.fr ou par voie postale à l’adresse suivante : « HelloCSE – Service Client, 10 rue Pierre Semard, 69007 Lyon » ;

Les Utilisateurs ont accès à leurs Données directement à partir de leur profil et peuvent les modifier. L’adresse email ne peut pas être modifiée directement et une demande doit être envoyée au référent désigné par le Client. De même, les données relatives aux historiques d’achat ne peuvent pas être supprimées par l’Utilisateur. 

Pour supprimer son compte, l’Utilisateur doit s’adresser au Client ayant souscrit aux Services ou à HelloCSE.

Lorsque la collecte est basée sur le consentement, les Utilisateurs, internautes et Clients peuvent retirer à tout moment leur consentement à l’adresse mentionnée ci-dessus.

En ce qui concerne les données dont la collecte repose sur l’intérêt légitime, HelloCSE s’est assuré de la stricte nécessité des données collectées au regard de son intérêt légitime. Ainsi, HelloCSE a opéré une mise en balance entre les droits et intérêts en cause, et vérifié dans ce cadre que ses intérêts ne créaient pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.

Conformément à l’article 40-1-II de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, toute personne concernée peut transmettre à HelloCSE des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès à l’adresse rgpd@hellocse.fr ou par voie postale à l’adresse suivante : « HelloCSE – Service Client, 10 rue Pierre Semard, 69007 Lyon ».

9- Politique relative aux cookies

Vous trouverez ci-dessous des informations sur les différents types de cookies que nous utilisons.

a/ Les cookies nécessaires

Ces cookies sont nécessaires au bon fonctionnement du Site. Les cookies nécessaires concernent notamment votre identification à votre espace client et l’utilisation des Services proposés. Les données collectées sont destinées exclusivement à HelloCSE. 

b/ Les cookies de mesure d'audience

Ils permettent d’établir des statistiques de fréquentation et d’utilisation de notre Site, nous permettant d’améliorer nos services et contenus selon les préférences des internautes. A cet effet, nous utilisons Google Analytics. Nous avons paramétré ce cookie afin que l’adresse IP soit anonymisée. Aussi, ce cookie ne permet pas de vous identifier directement ou indirectement.

c/ Les cookies émis par des tiers

Ces cookies sont liés aux opérations relatives à la publicité ciblée. Ils sont émis par des tiers (Google, Facebook, Microsoft) et nous permettent de vous présenter des publicités ou des informations adaptées à vos centres d'intérêts.

Vous pouvez à tout moment retirer votre consentement pour le dépôt de ces cookies. Vous pouvez également configurer votre logiciel de navigation afin que des cookies soient enregistrés dans votre terminal ou qu'ils soient rejetés.

Pour connaître les modalités applicables à la gestion des cookies stockés dans un navigateur, il convient de consulter le menu d'aide du navigateur ainsi que la rubrique du site de la Commission Nationale de l’Informatique & des Libertés disponible sur le lien suivant : http://www.cnil.fr/vos-libertes/vos-traces/les-cookies/ 

Contactez-nous

Nos conseillers vous répondent

Merci de renseigner vos coordonnées pour démarrer.