Politique de confidentialité

Date d’entrée en application : 25 mai 2018 

Date de dernière mise à jour : 15 novembre 2024

Introduction

En tant que teneur de registre délégué engagé envers la confidentialité, la sécurité et la protection des données qui nous sont confiées, nous avons élaboré la présente Politique de Protection des Données pour définir nos engagements envers les épargnants dont les données personnelles sont collectées, traitées et conservées dans le cadre de nos activités en matière d'épargne salariale et d'épargne retraite. Notre engagement repose sur le respect des normes les plus strictes en matière de confidentialité et de sécurité des données, conformément aux lois et réglementations applicables. 

Cette politique vise à fournir une transparence totale sur la manière dont nous collectons, utilisons, partageons et protégeons les données des épargnants, tout en soulignant notre engagement à minimiser les risques et à garantir l'intégrité des informations que nous gérons. Nous invitons tous nos épargnants à prendre connaissance de cette politique et à comprendre les mesures mises en place pour protéger leurs données personnelles et financières tout au long de leur participation à nos plans d'épargne. Nous nous engageons à mettre à jour régulièrement cette politique pour refléter les évolutions légales et technologiques, et à informer nos épargnants de toute modification importante.

Si vous cherchez des informations sur la manière dont vos données personnelles sont traitées par EPSOR dans le cadre de la plateforme d'épargne salariale, vous êtes au bon endroit. Cette politique détaille les pratiques de collecte, d'utilisation et de protection de vos données.

Toutefois, si vous souhaitez en savoir plus sur les traitements de données mis en œuvre par EPSOR en qualité de sous-traitant pour le compte de votre employeur, nous vous invitons à vous référer au correspondant d'entreprise chargé du projet relatif à l'épargne salariale. Ce dernier pourra vous fournir les informations spécifiques concernant les traitements réalisés pour le compte de votre entreprise.

Sujets abordés dans cette politique :

  • Les données collectées et les finalités de leur traitement.
  • Le recours à des sous-traitants et les mesures mises en œuvre pour garantir la protection des données.
  • Les durées de conservation des données.
  • Les droits des épargnants concernant leurs données personnelles.
  • Les mesures de sécurité mises en place pour protéger les données.
  • Les transferts de données en dehors de l'UE.
  • Les informations de contact pour toute question ou exercice de droits.
  • Les recours possibles en cas de non-respect de la protection des données.

1. Les principes que nous respectons

Collecte et Utilisation des Données

Finalités de la Collecte

Nous collectons vos données personnelles uniquement dans le but de gérer efficacement les plans d'épargne salariale et les régimes de retraite conformément à vos choix d'investissement et aux obligations légales et en l’exécution de nos obligations au titre du contrat conclu entre nous, votre entreprise et le teneur de compte. 

Consentement

Nous obtenons votre consentement préalable pour la collecte et l'utilisation de vos données personnelles lorsque cela est nécessaire.

Conservation des Données

Vos données seront conservées conformément aux exigences légales en vigueur. Nous nous engageons à ne pas conserver vos données plus longtemps que nécessaire pour atteindre les objectifs pour lesquels elles ont été collectées.

Sécurité des Données

Nous mettons en place des mesures de sécurité robustes pour protéger vos données contre tout accès non autorisé, perte ou altération. Vos informations personnelles sont traitées avec le plus grand soin pour garantir leur confidentialité.

Partage de Données avec des Tiers

Vos données ne seront partagées qu'avec des tiers autorisés, notamment les employeurs, le teneur de compte et les organismes réglementaires, conformément à la législation applicable. Nous avons par ailleurs recours à des sous-traitants qui nous assistent dans l’exécution de nos engagements de services. Vous en trouverez la liste ci-dessous ainsi que les garanties que nous avons mises en place afin de nous assurer qu’ils protègent vos données avec la même exigence que nous. 

Vos Droits en Tant que Personne Concernée

Vous avez le droit d'accéder à vos données, de les rectifier, de vous opposer à leur traitement ou de demander leur suppression. Ces droits sont plus ou moins étendus selon la situation dans laquelle vous vous trouvez et nous nous tenons à votre disposition pour vous aider à les exercer. Vous pouvez exercer ces droits en nous contactant selon les modalités précisées dans la présente politique.

Communication et Transparence

Nous nous engageons à vous informer de manière transparente sur notre utilisation de vos données, sur les droits dont vous disposez, ainsi que sur toute modification importante de cette politique.

Formation et Sensibilisation

Nous nous engageons à sensibiliser notre personnel à la protection des données et à assurer une formation continue pour garantir une gestion responsable et conforme de vos informations.

Contact et Demandes

Pour toute question, demande d'information ou exercice de vos droits, veuillez nous contacter à l'adresse dpo@epsor.fr ou par courrier postal à EPSOR, PROTECTION DES DONNEES, 66 rue de Rome, 75008 Paris. 

10. Révision de la Politique

Cette politique sera régulièrement révisée pour refléter les évolutions légales et technologiques. Toute modification importante vous sera communiquée.

Nous vous remercions de votre confiance

2. Responsable de traitement

La SAS FREMAVI, dont le nom commercial est « EPSOR » met en œuvre la plateforme d'épargne salariale et gère votre compte épargnant en qualité de responsable de traitement des données personnelles collectées et traitées dans le cadre de l'utilisation de cette plateforme. Lorsque nous agissons sous les instructions de l’entreprise dont vous êtes salarié, dirigeant ou mandataire social, nous agissons en qualité de sous-traitant.

3. Données Collectées et Finalités de Traitement

Nous collectons et traitons vos données personnelles pour les finalités suivantes : 

En qualité de responsable de traitement : 

Finalité

Données traitées

Fondement Légal

Durée de Conservation

Organisation des conditions d'utilisation des Services de paiement

Identifiants utilisateur, historique des transactions
Exécution du contrat
Durée de la relation contractuelle + 5 ans

Connexion au compte utilisateur

Nom, prénom, adresse email, identifiant utilisateur, mot de passe, numéro de téléphone et, pour l’authentification du détenteur du compte, titre d’identité 
Exécution du contrat (CGU)
Durée de la relation contractuelle + 5 ans

Gestion de votre compte épargnant

Nom, prénom, adresse email, identifiant utilisateur, choix d'investissements, transactions, soldes, coordonnées postales, coordonnées téléphoniques Informations financières (RIB/IBAN), relevés de compte
Exécution du contrat (CGU)
Durée de la relation contractuelle + 5 ans

Gestion des opérations menées par l'épargnant sur son compte d'épargne

Historique des transactions, types d'opérations effectuées
Exécution du contrat (CGU)
Durée de la relation contractuelle + 5 ans

Gestion du conseil en investissement financier au bénéfice des épargnants qui en font le choix (CIF)

Profil d'investisseur, recommandations effectuées, placements effectués
Consentement/lettre de mission
Durée de la relation contractuelle + 5 ans

Gestion de la sécurité de la plateforme (traces applicatives et techniques)

Identifiants de connexion, adresses IP, logs de connexion
Intérêt légitime
12 mois

Prévention et détection des fraudes, malwares et gestion des incidents de sécurité

Identifiants de connexion, historique des transactions, alertes de sécurité, adresses IP, logs de connexion 
Intérêt légitime
5 ans

Lutte contre le blanchiment d'argent

Identifiants de connexion, transactions financières suspectes et toutes données liées à l’obligation de vigilance
Obligation légale
5 ans

Lutte contre l'usurpation d'identité -  Vérification, identification et authentification des données transmises par l’utilisateur

Identifiants de connexion, alertes de sécurité, documents justificatifs
Obligation légale
5 ans

Communication avec les Epargnants

Informations sur l'épargne salariale, performances des investissements, relevés de comptes
Intérêt légitime
Durée de la relation contractuelle + 5 ans

Gestion du fonctionnement et optimisation de la Plateforme

Données de navigation, adresses IP, logs
Intérêt légitime
12 mois

Mise en œuvre d'une assistance utilisateurs

Identifiants utilisateur, contenu des demandes d'assistance et traitement de toute donnée personnelle nécessaire pour répondre à la demande
Exécution du contrat
Durée de la relation contractuelle + 5 ans

Personnalisation des services en affichant des propositions de service en fonction de l'historique de navigation de l'utilisateur

Données de navigation, préférences utilisateur
Consentement
12 mois

Gestion des réclamations et éventuels litiges avec les utilisateurs

Identifiants utilisateur, historique des interactions, demande et suivi de la demande/du litige et toutes données nécessaires au traitement de la demande
Intérêt légitime
Durée du litige + 5 ans

Envoi d'informations commerciales et publicitaires

Adresse email, préférences utilisateur
Consentement
Durée de la relation contractuelle + 5 ans

Audit et Vérification

Informations nécessaires pour audits internes et externes, conformité réglementaire
Obligation légale
10 ans

Pris en compte et transmission à notre partenaire Société Générale de vos ordres de virements volontaires sur le PER obligatoire

Données d’identification, données financières (détail du versement, de la fiscalité du versement, RIB dont IBAN, BIC, SWIFT), données de connexion
Durée de la relation contractuelle + 5 ans

En qualité de sous-traitant de votre entreprise  

Le teneur de registre délégué (TRD) d'épargne salariale joue un rôle clé dans la gestion des plans d'épargne salariale au sein des entreprises. Voici les principales finalités poursuivies par EPSOR à ce titre :

Finalité

Données traitées

Fondement Légal

Durée de Conservation

Tenue du rôle de teneur de registre délégué

Le  numéro  d’inscription  au  répertoire  national  d’identification  des  personnes  physiques (numéro de Sécurité Sociale) ou l’équivalent pour les Bénéficiaires étrangers,La civilité, les noms et prénoms,La date et le lieu de naissance,L’adresse postale,Si le Bénéficiaire est résident ou non-résident fiscal et l’adresse de la résidence fiscale pour le non-résidents fiscaux français,Le  cas  échéant,  si  le  Bénéficiaire,  résident  fiscal  français,  n’est  pas  à  la  charge  d’un  régime obligatoire français de sécurité sociale et qu’il est rattaché à un régime de sécurité sociale d’un autre État membre de l’Union Européenne, de l’Espace économique européen ou en SuisseLe régime social (salarié / non salarié),La  catégorie  socioprofessionnelle  (salarié  /  travailleur  non  salarié  /  conjoint  ou  partenaire  liépar un pacte civil de solidarité collaborateur ou associé),La  situation  :  présent  dans  l’Entreprise  /  parti  de  l’Entreprise  et  le  motif  de  départ  (retraite  /préretraite / décès / autre),Le cas échéant, la date de départ de l'entreprise.
Exécution de la prestation de service de teneur de registre délégué et du contrat entre EPSOR et le teneur de compte. 
Durée de la relation contractuelle + 5 ans (avec mise à jour au fil de la relation contractuelle avec l’entreprise)

Gestion des campagnes d'épargne salariale sur instruction des entreprises clientes

Nom, prénom, données relatives aux campagnes (montants, dates)
Exécution du contrat
Durée de la campagne + 5 ans

Opérations de transferts des comptes d’épargne salariale d’un prestataire à EPSOR

Toutes données nécessaires au transfert extraites de votre ancien compte d’épargne salariale ainsi que toutes données que vous renseignez dans votre compte EPSOR au moment de son activation. 
Exécution du contrat
Durée de la relation contractuelle + 5 ans

Traitement des Opérations Collectives

Informations relatives aux arbitrages groupés, autres opérations collectives
Exécution du contrat
Durée de la relation contractuelle + 5 ans

Rapports et Suivi

Performances des comptes individuels, mouvements de fonds, informations pertinentes
Intérêt légitime
Durée de la relation contractuelle + 5 ans

Assistance aux Employeurs

Conseils sur les réglementations, communication aux employés, assistance technique
Exécution du contrat
Durée de la relation contractuelle + 5 ans

Conformité Réglementaire

Registres conformes aux exigences légales, données financières, informations d'identification
Obligation légale
10 ans

Gestion des Opérations de Fin de Plan

Liquidation des avoirs, informations sur la cessation du plan
Exécution du contrat
Durée de la relation contractuelle + 5 ans

Note : L'adresse email personnelle pourra être communiquée à l'employeur afin qu'il puisse continuer de communiquer avec le collaborateur après son départ de l'entreprise, s'il continue de bénéficier du plan d'épargne salariale.

4. Recours à des Sous-Traitants

Dans le cadre de l'exécution des services offerts par notre plateforme d'épargne salariale, nous faisons appel à des sous-traitants pour certaines opérations spécifiques liées à la gestion et à la sécurité de notre plateforme d'épargne salariale. Ces sous-traitants sont sélectionnés pour leur expertise et leur capacité à respecter les normes de sécurité et de confidentialité les plus strictes. Nous mettons en œuvre des mesures appropriées pour garantir que ces sous-traitants traitent les données personnelles conformément aux réglementations en vigueur.

Nous nous assurons que chaque sous-traitant :

  • Respecte les Réglementations en Vigueur : Nos sous-traitants sont contractuellement tenus de respecter les lois et réglementations en matière de protection des données, notamment le Règlement Général sur la Protection des Données (RGPD).
  • Met en Œuvre des Mesures de Sécurité Appropriées : Ils doivent mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre les accès non autorisés, les pertes, les altérations ou les divulgations.
  • Limite l'Usage des Données aux Finalités Contractuelles : Les sous-traitants ne peuvent traiter les données personnelles que pour les finalités spécifiquement définies dans le contrat les liant à nous, et uniquement selon nos instructions.

Nous procédons régulièrement à des audits et des contrôles pour nous assurer que nos sous-traitants respectent leurs obligations en matière de protection des données. En cas de manquement, nous prenons les mesures correctives nécessaires pour garantir la sécurité et la confidentialité de vos données personnelles.

Nous faisons le choix, dès lors qu’il est possible, de demander à ce que les données traitées par nos sous-traitants soient hébergées au sein de l’Espace économique européen. Si certains sous-traitants ne proposent pas ce type d’hébergement et si les données personnelles que vous nous confiez sont transférées vers des pays non-membres de l'Espace Économique Européen (EEE), nous nous assurons que ces transferts sont effectués avec un niveau de protection adéquat, conformément aux exigences du RGPD. Les données peuvent être transférées sur la base de clauses contractuelles types approuvées par la Commission Européenne ou de tout instrument de transfert reconnu comme valide tel que le Data Privacy Framework. 

Voici la liste de nos sous-traitants et les traitements effectués :

Nom du Sous-Traitant

Finalités / Traitement de Données

Données Concernées

Localisation des Données

Transfert hors UE

AWS

Hébergement et Base de donnée
Toutes données communiquées par l’Entreprise dans le cadre de son utilisation de l’application EPSOR
EEE
Non

Metabase

Stockage des données à des fins d'analyse et visualisation et remise de dashboards/reporting
UUID de l’épargnant et entreprise concernée
EEE
Non mais clauses contractuelles types en place à toutes fins utiles

Mailjet

Envoyer les opérations automatiquement réalisées à la SGSS
Opérations réalisées ainsi que l’identifiant des salariés concernés
EEE
Non

BOX

Stockage des fichiers clients
Tout fichier communiqué par l’entreprise dans le cadre de la mise en place du service
EEE
Non

Usecollect

Portail sécurisé pour collecter et gérer les documents clients
Toutes données nécessaires à l’initialisation des comptes des salariés du Responsable du traitement sur Epsor et toute donnée communiquée dans ce contexte
France (UE)
Non

Intercom

Support utilisateurs
Toutes données partagées par le demandeur dans le cadre de sa demande de support
EEE
Non

BRAZE

Communication utilisateurs (mails, push notifications, SMS, in-app)
Identification, contact et toute donnée transmise à l’utilisateur par EPSOR dans le cadre de la prestation de ses services
EEE
Non

5. Partage de Données avec des Tiers

Dans le cadre de la gestion de la plateforme d'épargne salariale, nous pouvons être amenés à partager certaines de vos données personnelles avec des tiers. Ces partages se font dans le respect des réglementations en vigueur et uniquement lorsque cela est nécessaire pour l'exécution des services proposés.

  • Teneur de compte : Vos données peuvent être communiquées au teneur de compte dans le cadre de l'exercice de sa mission. Cela inclut des informations nécessaires à la gestion de votre compte d'épargne salariale ou de votre plan d'épargne retraite.
  • Entreprise cliente : Certaines données seront partagées avec l'entreprise à l'origine du plan d'épargne salariale ou du plan d'épargne retraite dans le cadre du compte rendu de l'exécution des instructions ou pour fournir des informations nécessaires à l'administration du plan d'épargne conformément aux Conditions générale de la Convention de tenue de compte - conservation en vigueur. 

Nous nous assurons que les tiers avec lesquels nous partageons vos données respectent les mêmes standards de sécurité et de confidentialité que nous, et qu'ils utilisent vos données uniquement pour les finalités pour lesquelles elles ont été collectées.

6. Durées de Conservation des Données

Les données personnelles sont conservées aussi longtemps que nécessaire pour remplir les finalités pour lesquelles elles ont été collectées, conformément aux exigences légales applicables. Par exemple :

  • Les données relatives à la gestion du compte utilisateur sont conservées pendant la durée de la relation contractuelle, puis archivées pendant 5 ans après la clôture du compte.
  • Les traces techniques et applicatives sont conservées pendant 12 mois.

7. Droits des Épargnants

Conformément au RGPD, vous disposez des droits suivants concernant vos données personnelles :

  • Droit d'accès : Vous pouvez demander l'accès aux données personnelles que nous détenons à votre sujet.
  • Droit de rectification : Vous pouvez demander la correction de données personnelles inexactes ou incomplètes.
  • Droit à l'effacement : Vous pouvez demander la suppression de vos données personnelles dans certaines circonstances.
  • Droit à la limitation du traitement : Vous pouvez demander la limitation du traitement de vos données personnelles.
  • Droit d'opposition : Vous pouvez vous opposer au traitement de vos données personnelles pour des motifs légitimes.
  • Droit à la portabilité des données : Vous pouvez demander à recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine.
  • Droit de déposer plainte auprès de la CNIL : Vous avez le droit de déposer une plainte auprès de la CNIL si vous estimez que vos droits ne sont pas respectés.

Si vous souhaitez exercer vos droits, veuillez nous contacter à l'adresse suivante :

  • Email : dpo@epsor.fr
  • Adresse postale : DPO EPSOR, 66 rue de Rome, 75008 Paris 

8. Sécurité des Données

Nous mettons en place des mesures physiques, techniques et organisationnelles appropriées pour protéger les données personnelles contre les accès non autorisés, les altérations, les divulgations ou les destructions. Cela inclut :

  • Chiffrement des Données : Utilisation de technologies de chiffrement pour protéger les données pendant leur transmission et leur stockage.
  • Authentification : double authentification des utilisateurs et vérification de l’identité des utilisateurs épargnants au moment de la création du compte. 
  • Pare-feu et Systèmes de Détection des Intrusions : Déploiement de pare-feu et de systèmes de détection des intrusions pour prévenir les accès non autorisés.
  • Traçabilité des Actions : Journalisation des actions menées sur la plateforme pour garantir la traçabilité et permettre l’investigation en cas d’incident de sécurité. Les traces incluent les identifiants de connexion, les adresses IP, les logs de connexion et les actions spécifiques réalisées par les utilisateurs.
  • Contrôles d'Accès : Mise en place de contrôles d'accès stricts pour s'assurer que seules les personnes autorisées peuvent accéder aux données personnelles.
  • Supervision et Audit : Intégration des systèmes de journalisation dans un outil de supervision et réalisation d'audits réguliers pour vérifier l'intégrité et la disponibilité des journaux.

9. Contact

Si vous avez des questions ou des préoccupations concernant cette politique de protection des données ou si vous souhaitez exercer vos droits, veuillez nous contacter à l'adresse suivante :

  • Email : dpo@epsor.fr
  • Adresse postale : DPO EPSOR, 66 rue de Rome, 75008 PARIS

10. Mise à Jour de la Politique

Nous nous réservons le droit de réviser cette politique de protection des données personnelles de manière régulière pour refléter les changements dans nos pratiques de traitement des données, les évolutions législatives ou réglementaires, ainsi que les progrès technologiques. En cas de modifications importantes affectant vos droits ou la manière dont nous traitons vos données personnelles, nous vous en informerons par des moyens appropriés, tels qu'un avis sur notre site web ou un courrier électronique. Nous vous recommandons de consulter régulièrement cette politique pour être au courant des éventuels changements mineurs. Votre utilisation continue de notre plateforme après l'entrée en vigueur de ces modifications constitue votre acceptation de la politique mise à jour.

Conclusion

Nous nous engageons à protéger la confidentialité et la sécurité de vos données personnelles. Cette politique est régulièrement mise à jour pour refléter les changements dans nos pratiques et les exigences légales.

Prêts à revaloriser l’épargne de vos salariés ?

Demander une démo
L’épargne des salariés
©  Copyright 2024 Epsor All Rights Reserved
Mentions légales
Politique de confidentialité
Cookies

Epsor, marque exploitée par Fremavi - SAS au capital de 263 071 EUR immatriculée au RCS d’Angers sous le numéro 832 966 956 - Siège social : 66 rue de Rome 75008 Paris, Adhérent à la Chambre Nationale des Conseillers en Investissements Financiers sous le numéro D018950, association agréée par l’Autorité des Marchés Financiers Immatriculé auprès de l’ORIAS sous le numéro 18000088 en tant que Conseillers en Investissements Financiers et Courtiers d’Assurance ou de Réassurances - Index égalité homme / femme : 86/100