Chargement...
Protection des données

Politique de confidentialité

Collecte et traitement des données à caractère personnel

Lemonway, en qualité de responsable de traitement, répond à ses obligations à l’égard des utilisateurs du présent site web (ci-après le « Site ») et des utilisateurs des services de Lemonway, conformément au Règlement Général sur la Protection des Données (UE) 2016/679 du 27 avril 2016 (ci-après RGPD) et de la Loi modifiée n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. À cet effet, Lemonway informe ses utilisateurs des points suivants :

1. Responsable des traitements. Le responsable des traitements mis en œuvre est la société LEMONWAY, ayant son siège social au 8 Rue du Sentier, 75002 Paris – France. Tel : +33 1 76 44 04 60

2. Finalités des traitements.

a. Dans le cadre de l’exploitation du Site, les traitements de données personnelles ont pour finalités : la gestion du Site, l’élaboration de statistiques dans le but d’améliorer l’approche marketing de Lemonway, la gestion des demandes concernant les droits des personnes, la gestion des contacts via le Site, la gestion du support. 

b. Dans le cadre de l’exploitation des services de Lemonway, les traitements de données personnelles ont pour finalités la gestion des clients, la création et la gestion des comptes, la gestion des contrats, la gestion des résiliations, la gestion des litiges, le mailing, les communications, les vérifications en matière de lutte contre le blanchiment de capitaux et de lutte contre le financement du terrorisme, la gestion de la connaissance par Lemonway de ses Partenaires et le cas échéant des clients de ses Partenaires, l’élaboration de statistiques dans le but d’améliorer les outils de Lemonway, la gestion des demandes concernant les droits des personnes, l’implémentation des outils de Lemonway avec ses partenaires, la gestion du support. Lorsque Lemonway collecte et utilise des données personnelles de représentants de ses Partenaires en se fondant sur l’intérêt légitime, celui-ci a pour finalité la prospection de nouveaux Partenaires.

Quel qu’en soit le cadre d’exploitation, Lemonway ne met en œuvre ni ne fait mettre en œuvre aucun traitement de « profilage » à partir des données à caractère personnel collectées à des fins statistiques. Un scoring est mis en place uniquement en matière de lutte contre le blanchiment de capitaux, de lutte contre le financement du terrorisme et de lutte contre la fraude.

3. Sources des données. Lemonway collecte les données à caractère personnel de manière directe par le biais d’un contrat, d’une obligation légale, du consentement de la personne ou de l’intérêt légitime de la société.

Lemonway collecte également les données à caractère personnel de manière indirecte afin de respecter la règlementation en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT). Cette collecte de données dans le cadre LCB-FT résulte d’obligations réglementaires de Lemonway et constitue un prérequis à la fourniture des services par Lemonway.

4. Nature des données collectées. Lemonway collecte de manière directe et indirecte les catégories de données suivantes :

  • Concernant les données des utilisateurs de son Site :
    • Données de connexion (adresses IP, journaux d’événements…) et de statistiques d’usage ;
    • Données déclaratives fournies par les utilisateurs pour contacter Lemonway.
  • Concernant les données des utilisateurs des services (ci-après les « Titulaires ») :
    • Données d’état-civil, d’identité, d’identification ;
    • Données relatives à la vie professionnelle (CV, scolarité, formation professionnelle, distinctions…) ;
    • Données d’ordre économique et financier (revenus, situation financière, situation fiscale…) ;
    • Données de connexion (adresses IP, journaux d’événements…) et de statistiques ;
    • Données permettant la gestion des demandes de droit d’accès, de rectification, et d’opposition.

5. Destinataires des données collectées. Les destinataires des données collectées sont :

  • Concernant les données des utilisateurs du Site :
    • les collaborateurs habilités au sein de Lemonway pour mettre en œuvre les traitements aux fins d’accomplir les finalités énumérées au point 2.a. ;
    • Les sous-traitants habilités de Lemonway, tels que l’hébergeur du Site, pour mettre en œuvre tout ou partie des traitements aux fins d’accomplir finalités énumérées au point 2.a. ;
  • Concernant les données des Titulaires :
    • les collaborateurs habilités au sein de Lemonway pour mettre en œuvre les différents traitements relevant des finalités énumérées au point 2.b., les autorités de contrôle, les partenaires de Lemonway et ses sous-traitants.

6. Consentement. Lorsque la personne a donné son consentement pour la collecte de ses données personnelles, celle-ci peut retirer son consentement, si le fondement juridique pour la collecte des données n’existe plus. En ce qui concerne l’utilisation des services fournis par Lemonway, le Titulaire peut retirer son consentement via l’adresse [email protected], ce qui entraînera la clôture du compte du Titulaire.

7. Sources des obligations de traitement et conséquences en cas d’absence ou de retrait du consentement. La nécessité pour Lemonway de recueillir des données à caractère personnel de la part des utilisateurs résulte :

  • D’obligations légales pour les traitements de données à caractère personnel destinés à permettre aux personnes physiques d’exercer leurs droits tels que résultant du point 8. L’absence ou le retrait du consentement pour ces traitements a pour conséquence l’impossibilité pour Lemonway de permettre aux personnes concernées d’exercer leurs droits ;
  • D’obligations contractuelles pour les traitements de données à caractère personnel à des fins commerciales ou marketing. L’absence ou le retrait du consentement pour ces traitements a pour conséquence d’exclure les personnes concernées du champ des offres commerciales de Lemonway ;
  • D’obligations contractuelles pour les traitements de données à caractère personnel à des fins statistiques. L’absence ou le retrait du consentement pour ces traitements n’a pas de conséquence pour les personnes concernées.

La nécessité pour Lemonway de recueillir des données à caractère personnel de la part des Titulaires résulte :

    • D’obligations légales pour les traitements de données à caractère personnel destinés à permettre aux personnes physiques d’exercer leurs droits tels que résultant du point 8. L’absence ou le retrait du consentement pour ces traitements a pour conséquence l’impossibilité pour Lemonway de permettre aux personnes concernées d’exercer leurs droits ;
    • D’obligations réglementaires pour les traitements de données à caractère personnel destinés à des finalités LCB-FTL. L’absence ou le retrait du consentement pour ces traitements a pour conséquence l’absence de fourniture du service par Lemonway ;
  • D’obligations contractuelles pour les traitements de données à caractère personnel à des fins commerciales ou marketing. L’absence ou le retrait du consentement pour ces traitements a pour conséquence d’exclure les personnes concernées du champ des offres commerciales de Lemonway ;
  • D’obligations contractuelles pour les traitements de données à caractère personnel à des fins de gestion et d’exécution des contrats entre Lemonway, le Partenaire et un Titulaire. L’absence ou le retrait du consentement des personnes concernées pour ces traitements a pour conséquence d’empêcher toute exécution du contrat et toute fourniture du service.

8. Droits des personnes.Les personnes physiques dont des données à caractère personnel ont été collectées par Lemonway disposent de droits dans les limites prévues par la réglementation applicable, qu’elles peuvent exercer en écrivant à [email protected]. Lemonway s’engage à répondre aux demandes relatives aux données à caractère personnel d’accès ou à l’exercice d’un droit dans un délai d’un (1) mois à compter de la réception de la demande. Les droits dont disposent les personnes concernées sont les suivants :

  • Droit d’accès aux données à caractère personnel. La personne concernée a le droit d’accéder aux données personnelles la concernant. Cependant, pour des motifs de sécurité et de confidentialité, une demande émanant d’un Titulaire ne pourra être traitée que si celui-ci apporte la preuve de son identité. Lemonway peut s’opposer ou mettre en place une facturation pour les demandes manifestement abusives (nombre important de demandes, caractère répétitif ou systématique).
  • Droit à rectification des données personnelles fournies. La personne concernée a le droit de demander la rectification de ses données personnelles lorsque celles-ci sont inexactes, erronées, incomplètes ou obsolètes ;
  • Droit à l’effacement des données à caractère personnel. La personne concernée a la faculté de demander l’effacement de ses données dans les meilleurs délais si l’un des motifs du paragraphe 1 de l’article 17 du Règlement Général sur la Protection des Données s’applique. Si les données ont été transmises à d’autres entités, le mécanisme du « droit à l’oubli » s’enclenche : Lemonway devra prendre toutes les mesures raisonnables pour informer les autres entités que la personne concernée a demandé l’effacement de tout lien vers ses données personnelles, ou de toute copie ou reproduction de celles-ci.
  • Droit de demander une limitation du traitement relatif à sa personne. Lorsque le droit à limitation est demandé, Lemonway pourra seulement stocker les données personnelles de la personne concernée. Aucune autre opération ne pourra avoir lieu ;
  • Droit d’opposition en cas de motif légitime ou d’utilisation à des fins commerciales ;
  • Droit à la portabilité des données. La personne concernée conserve la faculté de demander de récupérer les données personnelles qu’elle a fourni à Lemonway, dans un format structuré, couramment utilisé et lisible par machine afin de les transmettre à un autre responsable de traitement. Ce droit ne peut être utilisé que si le traitement des données est basé sur le consentement de la personne concernée ou sur un contrat ;
  • Droit post mortem. La personne concernée a la faculté de définir des directives concernant ses données personnelles après son décès. Le cas échéant, les héritiers de la personne concernée peuvent exiger de prendre en considération le décès ou procéder aux mises à jour ;
  • Droit d’introduire une réclamation auprès d’une autorité de contrôle (CNIL). Si la personne concernée considère que Lemonway ne respecte pas ses obligations au regard de Loi Informatique et Libertés ou du Règlement Général sur la Protection des Données, elle pourra adresser une plainte ou une demande auprès de l’autorité compétente. Le siège social de Lemonway se situant en France, l’autorité compétente est la Commission Nationale Informatique et Libertés. La personne concernée a la possibilité de s’adresser à la Commission Nationale Informatique et Libertés par voie électronique via le lien suivant : www.cnil.fr/fr/plaintes/internet.

9. Communication à des tiers. Les données personnelles des utilisateurs peuvent être divulguées en application d’une loi, d’un règlement ou en vertu d’une décision d’une autorité réglementaire ou judiciaire compétente.

10. Durée de conservation des données. Les données à caractère personnel que Lemonway collecte sont conservées le temps nécessaire à la finalité du traitement. Au-delà de cette durée de conservation, elles deviennent des archives intermédiaires ou elles sont anonymisées et conservées dans un but statistique ou historique.

Des purges concernant les données à caractère personnel recueillies sont mis en place afin de vérifier la suppression effective dès lors que la durée de conservation ou d’archivage nécessaire à l’accomplissement des finalités déterminées ou imposées est atteinte.

11. Transfert de données. Lemonway a recours à des prestataires habilités se situant dans  et en dehors de l’Espace Économique Européen. A cet égard, les pays destinataires de ces transferts de données sont :

  • Concernant les données des utilisateurs du Site :
    • France ;
    • Etats-Unis ;
  • Concernant les données des Titulaires :
    • France ;
    • Etats-Unis ;
    • Royaume-Uni ;
    • Singapour ;
    • Israël.

En cas de transfert vers un pays tiers à l’Espace Économique Européen, Lemonway :

  • Informe préalablement et demande le consentement préalable des utilisateurs dont les données personnelles sont concernées ;
  • Respecte le Règlement Général sur la Protection des Données en ayant recours à des partenaires ou sous-traitants présentant des garanties adéquates par le biais d’une procédure d’adéquation, de clauses contractuelles types ou de règles internes d’entreprise.

Les transferts de données vers des tiers sont mis en œuvre de manière sécurisée selon les modalités présentées dans la section « Mesures techniques mises en place pour la conformité RGPD ».

12. Cookies. Un cookie est un fichier texte qui peut être déposé sur un terminal à l’occasion de la consultation d’un site internet. Un fichier cookie permet à son émetteur d’identifier le terminal dans lequel il est enregistré.

Dans le cadre du dépôt d’un cookie sur le terminal d’un utilisateur lors de sa consultation du Site, Lemonway s’engage à ne conserver les cookies que 12 mois au maximum après le premier dépôt dans le terminal de l’Utilisateur. La durée de validité du consentement de l’Utilisateur est également de 12 mois. La loi prévoit une durée maximale de conservation des cookies de 13 mois.

Lemonway utilise les cookies à des fins techniques pour garantir le bon fonctionnement de son Site. Les cookies peuvent être utilisés pour des fins statistiques notamment pour optimiser les services rendus à l’utilisateur, à partir du traitement des informations concernant la fréquence d’accès, la personnalisation des pages ainsi que les opérations réalisées et les informations consultées :

Fournisseur : PLEZI

Nom du cookie : VISITOR

Finalité : Permet d’automatiser les actions marketing, de gérer la publication de contenus et de publier des formulaires. A cet égard, un consentement est demandé à l’utilisateur pour la soumission de formulaires pour la récolte des informations personnelles du Site. 

Les cookies de partage des réseaux sociaux sont émis et gérés par l’éditeur du réseau social concerné. Sous réserve du consentement de l’utilisateur, ces cookies permettent à ce dernier de partager facilement une partie du contenu publié sur le Site, notamment par l’intermédiaire d’un « bouton » applicatif de partage selon le réseau social concerné. 

13. Sécurité des données.Lemonway met en œuvre les mesures techniques et organisationnelles adéquates pour garantir un niveau de sécurité adapté. Les mesures techniques mises en œuvre par Lemonway pour assurer la sécurité des données et de leur transfert sont indiquées ci-dessous dans la section « Mesures techniques mises en place pour la conformité RGPD ».

14. Demandes. Pour toute question concernant la politique de protection des données personnelles des utilisateurs, ou pour exercer ses droits, chaque utilisateur peut contacter Lemonway à l’adresse courriel suivante : [email protected]

15. Violation des données personnelles. Lemonway s’engage à mettre en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au regard des risques d’accès accidentels, non autorisés ou illégaux, de divulgation, d’altération, de perte ou encore de destruction des données personnelles concernant les utilisateurs. Dans l’éventualité où Lemonway prendrait connaissance d’un accès illégal aux données personnelles concernant des utilisateurs stockées sur ses serveurs ou ceux de ses sous-traitants, ou bien d’un accès non autorisé ayant pour conséquence la réalisation des risques identifiés ci-dessus, Lemonway s’engage à :

  • Notifier l’incident dans les plus brefs délais ;
  • Prendre les mesures nécessaires dans la limite du raisonnable pour supprimer ou amoindrir les effets négatifs et les préjudices pouvant résulter dudit incident.

16. Limitation de la responsabilité. En aucun cas les engagements définis au point ci-dessus relatif à la violation de données à caractère personnel ne peuvent être assimilés à une quelconque reconnaissance de faute ou de responsabilité quant à la survenance de l’incident en question.

17. Modification de la politique de confidentialité. En cas de modification de la présente politique de confidentialité, Lemonway s’engage à ne pas baisser le niveau de confidentialité de manière substantielle sans l’information préalable des personnes concernées et sans obtenir leur consentement.

Veuillez noter que la politique de confidentialité est susceptible d’être modifiée ou complétée à tout moment, notamment en vue de se conformer à toute évolution législative, règlementaire, jurisprudentielle ou technologique. Ces modifications engagent l’Utilisateur dès leur mise en ligne. Il convient par conséquent que l’Utilisateur consulte régulièrement la politique de confidentialité afin de prendre connaissance de ses éventuelles modifications.

 

Mesures techniques mises en place pour la conformité RGPD

Conformément au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données et notamment à son article 32 ainsi qu’à la Loi modifiée n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, Lemonway assure la sécurité des données à caractère personnel de ses utilisateurs par les mesures techniques et organisationnelles suivantes :

Chiffrement des données confidentielles

Toutes les données (documents, données numérique) sont stockées sur des systèmes de fichier automatiquement chiffrées à la volée (AES-256) et compatibles avec le Règlement Général sur la Protection des Données grâce au logiciel certifié FIPS 140-2.

L’hébergement des données est localisé en France dans des centres de données répondant à la norme ISO 27001 et au standard PCI DSS.

La gestion des droits d’accès

Les droits d’accès sont soumis au respect des procédures d’attribution interne et répondent aux exigences suivantes :

  • Surveillance des groupes et des répertoires avec une politique de sécurité renforçant le contrôle des données
  • Réduction des droits d’accès avec un principe « a minima », c’est-à-dire maintenir le principe du moindre privilège. S’il n’est pas réellement nécessaire, le droit d’accès n’est pas autorisé ;
  • Gestion fine des autorisations et révocation en cas de départ ou de mutation des utilisateurs.

La surveillance des droits d’accès est soumise à un contrôle interne permanent assuré par notre équipe conformité.

Les outils de lutte contre les intrusions extérieures dans le réseau

Lemonway a choisi depuis de nombreuses années de faire confiance à l’éditeur de solution antivirus et anti-malware McAfee avec sa suite VirusScan Enterprise, celle-ci est déployée sur l’ensemble du système d’information. Des solutions de protection du réseau sont également en place avec l’utilisation de pare-feu de dernière génération équipés de fonctionnalités avancées de type UTM (Unified Threat Management – Gestion Unifiée des Menaces), de solutions de protection DDOS automatique (DPS) ainsi qu’un WAF (Web Application Firewall) opéré par la société Imperva.

Le système d’information est continuellement analysé par des agents Nessus de la société Tenable afin de remonter en temps réel toute nouvelle vulnérabilité détectée, un SIEM (Security Information and Event Management) vient compléter l’ensemble afin de collecter et d’analyser toutes les activités sensibles intervenant sur l’ensemble des composants du SI.

La politique des mots de passe

Une politique de gestion de mot de passe robuste est en place (identifiant unique, complexité, taille, changement régulier, limitation des tentatives, etc.), des politiques de sécurité ont été définies et mise en place. La bonne application de ces politiques est régulièrement et automatiquement surveillée sur l’ensemble des machines du SI à l’aide d’agents de monitoring spécifique et toute anomalie est remontée à l’équipe sécurité.

La protection via des flux sécurisés

Lemonway sécurise toutes les communications vers ses applicatifs et tous les transferts de données à caractère personnel vers ses sous-traitants via l’utilisation de liaisons chiffrées de point à point de type SSL – TLS 1.2 (utilisation HTTPS systématique, certificats SHA-2). Un cloisonnement réseau des différents environnements est mis en place, DMZ (Demilitarized Zone) ainsi que des systèmes de détection des intrusions IDS (Intrusion Detection System).