Préambule
La présente Politique de confidentialité et de protection des données personnelles définit la manière dont Yoopies et sa filiale Worklife Benefits (ci-après désignées ensemble « Worklife ») recueillent, utilisent, conservent et transmettent les données personnelles des Restaurateurs Affiliés.
Worklife s'engage à recueillir et à utiliser les données des Restaurateurs Affiliés dans le strict respect de la loi française sur la protection des données, notamment les dispositions de la Loi Informatique et Libertés et celles du Règlement européen relatif à la protection des données personnelles (ci-après le « RGPD »).
En acceptant les paiements effectués au moyen de la Carte Worklife, le Restaurateur Affilié accepte que ses données soient traitées de la manière et aux fins indiquées dans les présentes. Le Restaurateur Affilié est présumé avoir pris connaissance de la présente Politique de confidentialité et de protection des données personnelles préalablement à l’acceptation de tels paiements.
Coordonnées du Délégué à la Protection des Données (DPO) :
dpo@worklife.io
Worklife Benefits – DPO
10 Rue la Vacquerie, 75011 Paris
Définitions
« Affiliation » : désigne l’acceptation par les Restaurateurs Affiliés du paiement de Repas au moyen de la Carte Worklife dans leur établissement ;
« Carte Worklife » : désigne la carte de paiement distribuée par Worklife permettant aux salariés du Partenaire de procéder au règlement de leurs Repas. La Carte Worklife est utilisable uniquement en France ;
« Contrat d’Affiliation » : désigne l’accord signé par Worklife et le Restaurateur Affilié par lequel Worklife s’engage à ne pratiquer aucune commission pendant une durée de quatre-vingt-dix-neuf (99) ans sur les ventes réalisées au sein de l’établissement du Restaurateur Affilié au moyen de la Carte Worklife ;
« Conditions Générales d'Utilisation : désigne les conditions générales d’utilisation de la Plateforme Worklife ;
« Plateforme Worklife » : désigne le site web et l’application mobile accessible sur l’AppStore® ou Google Pay Store® réalisés, gérés et animé par Worklife ;
« Repas » : désigne toute substance alimentaire, commercialisée par un Restaurateur Affilié ;
« Responsable de traitement » : désigne, au sens du RGPD, la personne qui détermine les moyens et les finalités du traitement de données. Lorsque deux responsables de traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement ;
« Restaurateurs Affiliés » : désigne, sans que cette liste ne soit exhaustive, les personnes physiques ou morales affiliées au réseau CNTR (Commission Nationale des Titres-Restaurant) et acceptant les cartes bancaires Visa, proposant, à titre principal ou à titre secondaire, dans le cadre de leur activité, des prestations de type alimentaires, tels que les commerces de distribution alimentaires (notamment les grandes et moyennes surfaces), les établissements de restauration, les hôteliers restaurateurs ou tout autre activité similaire, les boulangers, les traiteurs ou les charcuteries ;
« Partenaire » : désigne l’entité juridique cliente de Worklife, bénéficiant d’un accès à la Plateforme Worklife et à la Carte Worklife pour chacun de ses salariés ;
« Service Juridique » : désigne le service juridique de Worklife que le Restaurateur Affilié peut joindre par email à l’adresse dpo@worklife.io pour toute question relative à la confidentialité et à la protection de ses données personnelles ;
« Services Worklife » : désigne l’ensemble des services proposés par la Plateforme Worklife ;
« Sous-traitant » : désigne, au sens du RGPD, la personne traitant des données à caractère personnel pour le compte du Responsable de traitement et sur instruction de celui-ci ;
« Titres-Restaurant » : désigne les titres-restaurant commandés par le Partenaire et émis par Worklife, destinés au paiement de Repas et utilisables au moyen de la Carte Worklife ;
« Worklife » : désigne la société Worklife SAS, société par actions simplifiée, au capital social de 26.237,00€, dont le siège social est situé au 10 Rue la Vacquerie, 75011, Paris, France, immatriculée au Registre du Commerce et des Sociétés de Paris sous le numéro 533 592 051, et sa filiale Worklife Benefits SAS, société par actions simplifiée, au capital social de 100,00€, dont le siège social est situé au 10 Rue la Vacquerie, 75011, Paris, France, immatriculée au Registre du Commerce et des Sociétés de Paris sous le numéro 890 843 998.
Article 1 - Statut de Worklife dans les opérations de traitement
Worklife est responsable de traitement pour l'ensemble des données collectées auprès des Restaurateurs Affiliés dans le cadre de leur Affiliation.
Article 2 – Données collectées par Worklife
2.1 Les données collectées auprès du Restaurateur Affilié le concernant sont les suivantes :
- Raison sociale ;
- Numéro de RCS ;
- Adresse du siège social (optionnel).
2.2 Lorsque le Restaurateur Affilié et Worklife se sont engagés aux termes d’un Contrat d’Affiliation, Worklife collecte également les données suivantes s’agissant du représentant légal de la personne morale :
- Nom - prénom ;
- Email.
Pour l’ensemble de ces données, Worklife intervient en qualité de responsable de traitement, c'est-à-dire qu’elle définit seule les finalités de traitement de ces données.
Article 3 – Finalités et bases légales de traitement
L‘objectif de la collecte des données est de permettre aux utilisateurs de la Carte Worklife de payer leurs Repas au sein des établissements des Restaurateurs Affiliés et de permettre à ces derniers de recevoir ces paiements.
Lorsque le Restaurateur Affilié et Worklife se sont engagés aux termes d’un Contrat d’Affiliation, la collecte des données permet également de garantir au Restaurateur Affilié qu’il ne sera tenu au versement d’aucune commission sur les ventes réalisées au moyen de la Carte Worklife pendant quatre-vingt-dix-neuf (99) ans suivants la signature dudit Contrat d’Affiliation.
3.1. Les bases légales de traitement
Les données sont collectées :
- Sur la base du contrat de partenariat conclu entre Worklife et le Partenaire ; - Sur la base du Contrat d’Affiliation conclu entre Worklife et le Restaurateur Affilié, le cas échéant ;
- Sur la base d’un intérêt légitime ; ou
- Sur la base d’obligations légales.
3.2. Les finalités de traitement réalisés sur la Plateforme Worklife
Les données sont collectées pour les raisons suivantes :
- L’exécution du contrat conclu entre le Partenaire et Worklife ;
- L'exécution du Contrat d’Affiliation, le cas échéant ;
- La transmission au Restaurateur Affilié d’informations sur les Services Worklife ; - La transmission au Restaurateur Affilié d’informations sur les Services Worklife par du marketing ciblé ;
- La gestion des réclamations ;
- La gestion des éventuels problèmes techniques ;
- La prévention contre toute activité potentiellement interdite ou illégale ; - La réalisation de statistiques sur l’utilisation de la Carte Worklife à des fins de recherches et de développements.
3.4. Pour aller plus loin
Voici les finalités de traitement et les bases légales concernant chaque donnée personnelle traitée par Worklife.
Article 4 – Durée de conservation des données
4.1. Données relatives à l’utilisation de la Plateforme Worklife
Worklife conserve les données des Restaurateurs Affiliés aussi longtemps que ceux-ci acceptent les paiements réalisés au moyen de la Carte Worklife ou de tout autre moyen de paiement qui serait mis à disposition par Worklife.
A l’issue de cette période, les données sont anonymisées.
4.2. Données relatives aux opérations de paiement au moyen de la Carte Worklife
Conformément à l’article L. 133-24 du Code monétaire et financier, les données collectées dans le cadre d’opérations de paiement par carte bancaire ou au moyen de la Carte Worklife peuvent être conservées pour une finalité de preuve, en cas d’éventuelles contestations de la transaction ou de réclamations, pendant une durée de treize (13) mois suivant la date de débit (durée portée à quinze (15) mois pour les cartes de paiement à débit différé).
La trace comptable des paiements est conservée pour une durée de dix (10) ans en archivage intermédiaire à compter de la réalisation effective du paiement (cf. art. L.123-22 du Code de commerce).
4.3. Données relatives à la gestion de la relation entre le Restaurateur Affilié et Worklife
Les données utilisées dans le cadre de la gestion de la relation d’affiliation sont conservées pendant toute la durée d’exécution du Contrat d’Affiliation.
Ces données sont ensuite archivées pour une durée de cinq (5) ans à des fins probatoires. 4.4. Données relatives aux opérations marketing
Les données utilisées pour la réalisation d’opérations marketing sont conservées pour une durée de trois (3) ans à compter de leur collecte.
Article 5 - Destinataires des données
Dans la limite de leurs attributions respectives et pour les finalités rappelées à l’article 3 des présentes, certaines personnes chez Worklife sont susceptibles d’avoir accès aux données, il s’agit des membres des équipes technique, juridique et commerciale.
Worklife peut être amenée à transmettre les données des Restaurateurs Affiliés si la loi l’exige ou le permet ou que la transmission est jugée nécessaire, afin de respecter les obligations légales lui incombant, de répondre à toute réclamation à l’encontre de Worklife, de répondre à toute demande judiciaire ou dans le cas d’enquêtes et d’investigations, de se conformer aux Conditions Générales d’Utilisation, ou encore d’assurer et garantir les droits, les biens et la sécurité de Worklife, de ses employés et de tout tiers.
Worklife ne vend ou ne loue pas les données à des tiers à des fins marketing sans le consentement formel des Restaurateurs Affiliés.
En cas de vente ou d’achat d’une entreprise ou d’actifs, Worklife se réserve le droit de partager les données avec le potentiel vendeur ou acheteur de cette entreprise ou de ces actifs.
Article 6 – Transferts des données
Les données personnelles des Restaurateurs Affiliés sont conservées sur les serveurs de notre hébergeur Amazon Web Services situés en France.
Des données peuvent être accessibles par nos prestataires de service situés en dehors de l’Union européenne (UE) et plus largement de l’Espace Économique Européen (EEE).
Dans ce cas, Worklife s’assure que ces sous-traitants sont situés dans un pays considéré comme apportant un niveau de protection adéquate selon l’Union Européenne, ou, dans le cas ou le sous traitant est situé aux Etats Unis, qu'ils respectent des dispositions contractuelles garantissant un niveau de protection équivalent des données (telles que les clauses contractuelles types établies par la Commission européenne).
Article 7 – Droits du Restaurateur Affilié
Conformément à la Loi Informatique et Libertés et au RGPD, le Restaurateur Affilié peut exercer tout droit décrit ci-dessus auprès de Worklife en contactant le Service Juridique :
- Le droit d’accès autorise le Restaurateur Affilié, sur justification d’identité et si les conditions d’exercice de ce droit sont remplies, à obtenir la communication des données le concernant ;
- Le droit de rectification autorise le Restaurateur Affilié à demander que les données les concernant soient modifiées, mises à jour ou effacées quand elles sont inexactes ou incomplètes ;
- Le droit d’effacement autorise le Restaurateur Affilié à exiger l’effacement des données qui le concernent, dans la limite des obligations légales qui incombent à Worklife ; - Le droit à la portabilité permet au Restaurateur Affilié de recevoir les données qu’il a fournies dans un format structuré, couramment utilisé et lisible par une machine et de le transmettre à un autre responsable de traitement ;
- Le droit à l’opposition permet au Restaurateur Affilié de s’opposer au traitement de ses données pour des motifs légitimes ;
- Le droit de déterminer le sort des données après le décès du représentant légal du Restaurateur Affilié ou après la disparition de la personne morale permet au Restaurateur Affilié de définir des directives relatives au sort de ses données après ledit décès ou ladite disparition ;
- Le droit d’introduire une réclamation auprès des services de la CNIL (https://www.cnil.fr/fr/webform/adresser-une-plainte) permet au Restaurateur Affilié d’engager une action devant les tribunaux s’il considère que ses droits n’ont pas été respectés.
Article 8 – Sécurité
Worklife met en œuvre toutes les mesures techniques et organisationnelles nécessaires afin d’assurer la sécurité et la confidentialité des traitements des données.
8.1. Hébergement
Les données sont stockées et hébergées sur des serveurs virtuels (dit « cloud ») chez Amazon AWS (Amazon Web Services). Le centre d'hébergement des données est situé en France.
8.2. Protocoles de sécurité
Le transfert d'informations vers les serveurs de Worklife est protégé par une connexion sécurisée (SSL sur HTTP (HTTPS)).
Worklife ne transmet pas les informations en clair afin d'éviter toute trace dans les logs serveurs. Les données sont chiffrées suivant le protocole SSL SHA256 (avec RSA 2048bits).
8.3. Accès aux environnements de production
Seule l’équipe technique de Worklife a accès à la base de données via un réseau privé sécurisé.
Les bases de données sont anonymisées lors du backup afin de produire pour les développeurs des bases “similaires” à celles de production.
L’accès aux environnements de production est strictement limité et nominatif. Une connexion VPN à un serveur (avec IP publique) permet ensuite de se connecter au réseau privé. Les accès aux bases de données sont impossibles en dehors de la Plateforme Worklife et des outils de rapprochement de données, présents sur le réseau privé également.
8.4. Accès aux outils internes
Les accès aux outils internes sont nominatifs et gérés via Google Suite (SSO avec autres outils).
Les outils internes possèdent leurs propres journaux de logs avec des informations plus ou moins importantes. Les logs serveurs sont hébergés par Amazon Web Services et conservés pendant une durée maximum d’un (1) an. Worklife supprime régulièrement les données afin de libérer de l’espace. Pour des raisons de sécurité, l’accès est limité à un nombre restreint de membres de l’équipe technique.
Worklife utilise Lastpass afin de sécuriser les mots de passe, de procéder à des audits de force et de péremption afin de renforcer sa protection interne.
8.5. Accès aux serveurs
Une authentification à deux facteurs est nécessaire pour se connecter aux serveurs de Worklife.
8.6. Accès aux dispositifs de réseau
Worklife a seulement un réseau privé pour accéder à l’internet public et à une imprimante réseau. L’accès au réseau privé est par Wifi avec mot de passe sécurisé sur un applicatif Cisco professionnel.
8.7. Sauvegarde des données sur les postes de travail
Worklife a choisi d’utiliser Google Suite afin de protéger les données des Restaurateurs Affiliés et qu’aucune donnée ne soit stockée sur les postes de travail.
8.8. Logiciels pare-feu utilisés pour protéger les données et les serveurs
Aucune donnée n’est physiquement stockée sur l’intranet de Worklife. Le personnel de Worklife utilise Google Suite et ses outils afin de stocker les fichiers. Le contrôle d’accès et la sécurité des données sont ainsi assurés. Une solution antivirus est incluse.
Un firewall est disponible au niveau de la couche de routage de l’intranet. Les sites référencés publiquement sont filtrés. L'application Cisco s’en occupe. Le navigateur web par défaut utilisé est Google Chrome qui bloque également par défaut la navigation sur des sites réputés malveillants.
8.9. Système de prévention/détection de toute tentative d’intrusion
Worklife utilise Sqreen, une plateforme de gestion de la sécurité des applications empêchant les violations de données, en arrêtant les rachats de comptes et en bloquant les attaques de logique d'entreprise.
8.10.Politique interne en matière de confidentialité et de protection des données
Worklife dispense régulièrement des sessions de formation de RGPD à son personnel afin de lui rappeler les obligations lui incombant en matière de protection et de confidentialité des données. Une documentation RGPD est consultable à tout moment sur l’intranet de Worklife.