RGPD : Cake et le traitement de vos données 👍

La transparence est une des valeurs clés de Cake, sous la devise « lead in the open ». Il est donc logique que nous vous expliquions comment Cake traite vos données et les protège.

Vos données n’appartiennent qu’à vous

La réglementation européenne PSD2 stipule que vous êtes l’unique propriétaire de vos données bancaires. Jusqu’il y a peu, les banques avaient le monopole du trafic des paiements. Pour briser l’hégémonie des banques et encourager l’innovation dans le secteur financier, l’Europe a fait glisser partiellement le contrôle des données bancaires de la banque vers le client.

Les consommateurs européens peuvent donc désormais obliger leur banque à partager leurs données avec d’autres entreprises telles que Cake. Il s’agit en effet de vos données et vous seul en décidez.

Comme il s’agit de données bancaires, la sécurité est renforcée et les banques ont uniquement le droit de communiquer ces données à des entreprises agréées par l’autorité de surveillance financière, en l’occurrence la Banque Nationale de Belgique (BNB) en Belgique.

Au terme d’un intense travail, Cake a obtenu cet agrément de la BNB le 9 juillet 2019 et nous sommes donc nous aussi régulés et contrôlés par celle-ci. Cela signifie concrètement que nous devons nous conformer à la législation financière en vigueur pour les organismes de paiement. Nous avons dès lors engagé un Compliance Officer et sommes contrôlés à intervalles réguliers par un auditeur interne agréé ainsi qu’un réviseur agréé.

Votre part du… cake

Outre la création de la meilleure application bancaire au monde et la volonté de vous donner une meilleure vision et une plus grande maîtrise de vos finances, Cake entend aussi faire en sorte que votre compte en banque vous rapporte à nouveau. 

Comment ? En transformant les données des utilisateurs de Cake en des statistiques totalement anonymes que nous vendons ensuite à des sociétés. Nous trouvons important que vous receviez aussi votre part du gâteau – ou du cake si vous préférez - pour l’utilisation de vos données. Il s’agit après tout de vos données et elles ont de la valeur. Voilà pourquoi nous partagerons avec vous les revenus que nous en retirerons auprès des sociétés. (Un certain Mark Zuckerberg ferait bien de s’en inspirer, mais c’est une autre histoire...).

Il est bien sûr aussi important que vous compreniez bien comment nous procédons. Et quoi de mieux qu’un exemple pour illustrer notre propos ?

Prenons donc Sandra Peeters, 38 ans.

Sandra veut son Cake

Sandra télécharge l’application Cake et y saisit son nom, son prénom et sa date de naissance. Ces données sont envoyées dans notre base de données IDsécurisée où nous conservons ses données d’identification. 

Ensuite, Sandra relie son compte à vue à l’application Cake sous la forme d’une connexion sécurisée entre Cake et la banque de Sandra. 

Entre les deux, se trouve ce qu’on appelle un Agrégateur PSD2. Pour les comptes belges comme celui de Sandra, il s’agit de notre partenaire Ibanity. Ibanity a pour mission de veiller à ce que les données des transactions relatives au compte à vue de Sandra soient reliées de manière sécurisée à la base de données de Cake. Ces données-là sont conservées dans une autre base de données appelée base de données de transaction.

Nous avons donc 2 bases de données distinctes: la base de données ID et la base de données de transaction.

Pour établir un lien entre ces deux bases de données, nous utilisons une clé sécurisée (on dit aussi «cryptée»). Cette clé est nécessaire pour que Sandra soit la seule à voir ses transactions dans l’application Cake téléchargée sur son téléphone.

Utilisateurs de Cake tous réunis

Notre priorité absolue est de protéger vos informations personnellement identifiables. Comment ? Rien de tel à vrai dire, pour cacher un arbre, que de le planter au milieu d’une forêt d’arbres semblables. C’est pourquoi notre base de données de transaction ne contient pas seulement les données de transaction de Sandra, mais aussi celles de tous les autres utilisateurs de Cake, sans leurs données d’identification.

En compilant toutes ces données, nous pouvons ensuite établir des statistiques qui peuvent intéresser certaines entreprises. Comme les données de tous les utilisateurs ont été rassemblées dans cette base de données et que celle-ci ne contient par ailleurs aucune donnée d’identification, il est impossible d’en déduire les transactions provenant de Sandra. C’est ce que nous appelons des statistiques anonymisées.

Un exemple d’entreprise intéressée est celui d’AVA, le spécialiste des décorations de table, du matériel scolaire et de bureau et des articles de bricolage. AVA voudrait par exemple savoir dans quels autres magasins ses clients font majoritairement leurs courses. Grâce à Cake, AVA peut savoir quel pourcentage de ses clients a récemment effectué des achats dans d’autres chaînes de magasins. À partir de là, AVA pourra notamment déterminer les autres produits qui intéressent également ses clients et ainsi apporter des modifications à son assortiment. AVA entrera donc en possession de précieux renseignements sans pour autant savoir qui se trouve derrière les statistiques. Et pour cela, AVA est prêt à rémunérer Cake, car ces informations l’aideront à améliorer l’expérience de ses clients. Et pour vous remercier, nous vous payons aussi une part du… cake.

Donnant-donnant

Revenons à Sandra. Il y a trois mois, Sandra a effectué un achat chez AVA. Les données de transaction de Sandra ont donc été intégrées dans les statistiques anonymisées transmises à AVA pour le mois concerné. 

AVA a payé Cake pour ces statistiques. Et comme dans ce cas précis, les données de Sandra sont comprises dans les statistiques, nous estimons que Sandra est en droit de recevoir une partie du montant payé. Par conséquent, nous reverserons automatiquement à Sandra (ainsi qu’à tous les autres utilisateurs de Cake dont les données ont été traitées ce mois-là) une partie de la somme reçue d’AVA pour le mois concerné. Chez Cake, les paiements en faveur des utilisateurs sont appelés «Rewards».

Grâce à notre clé sécurisée, nous sommes capables de voir combien d’utilisateurs ont été analysés et qui a droit à des Rewards. Le partenaire commercial n’a quant à lui jamais accès aux données individuelles de Sandra.

Tout le monde y gagne

Imaginons maintenant qu’AVA souhaite ré-attirer dans ses magasins tous les clients qui n’ont rien acheté chez AVA le mois précédent en leur proposant une récompense Cake supplémentaire de 10 % sur leur prochain achat. Dans ce cas, notre système informatique utilisera à nouveau la clé sécurisée pour chercher les utilisateurs de l’application qui auront droit à un Reward éventuel de 10 % sur leur prochain achat chez AVA. 

Sandra se trouve dans ce groupe cible. Le message porteur de cette annonce s’affichera dans son application Cake. Si Sandra utilise la carte bancaire liée à son application Cake pour payer chez AVA, notre base de données le remarquera tout de suite et nous verserons à Sandra le montant qui lui est dû. 

AVA n’aura donc jamais connaissance du fait que Sandra fait partie du groupe cible. Cela étant dit, AVA sera satisfait dans la mesure où un utilisateur de Cake aura de nouveau acheté quelque chose dans son enseigne, et Sandra sera contente de récupérer 10 % du montant de son achat. Conclusion : tout le monde y gagne !

Paiement des Rewards

Avant de payer ses Rewards à Sandra, nous devrons nous assurer qu’elle est bien la personne qu’elle dit être. Pour cela, nous lui demanderons de nous transmettre une photo de sa carte d’identité sur l’application. C’est ce que nous appelons l’identification et la validation de l’utilisateur.

Après avoir identifié Sandra, nous serons ensuite tenus de vérifier qu’elle ne figure pas sur une liste de terroristes ou autres criminels. Ce n’est pas que nous ne lui faisons pas confiance, mais cette vérification est une obligation légale. Si Sandra ne figure sur aucune de ces listes, nous pourrons la valider et payer ses Rewards sur son compte à vue lié à Cake. La prochaine fois que Sandra aura gagné des Rewards, nous pourrons les verser immédiatement sur son compte. Les données provenant de la carte d’identité de Sandra seront également stockées dans la base de données ID sécurisée.

Plus envie de Cake ?

Même si cela nous paraît presque impossible, imaginons que Sandra ne veuille plus de Cake. Elle pourra alors supprimer son compte Cake à tout moment. Cette suppression entraînera la rupture de la liaison Ibanity entre le compte à vue de Sandra et l’application Cake. Bien sûr, cela signifie que Cake ne recevra plus aucune des nouvelles transactions effectuées par Sandra. La clé sécurisée de Sandra sera elle aussi supprimée dès cet instant et nous ne serons donc plus en mesure d’établir un lien entre les données de la base de données de transaction et les données d’identité de Sandra figurant dans la base de données ID. 

Les données de transaction de Sandra seront retirées de nos statistiques dès que Sandra aura supprimé son compte Cake. Cela signifie que nous ne traiterons plus les transactions de Sandra dans nos statistiques anonymisées à destination de nos partenaires commerciaux. 

Les données d’identification de Sandra seront ensuite conservées, avec une copie de ses données de transaction, dans des archives distinctes protégées et indépendantes de toute statistique ou autre base de données de Cake. En tant qu'organisme de paiement, Cake est régi par la législation financière, ce qui nous oblige à conserver ces données pendant 10 ans en prévision d’éventuels contrôles par l’autorité de surveillance financière en cas de soupçons de blanchiment d’argent ou de fraude financière. Toute institution financière est soumise à cette obligation et nous ne dérogeons pas à la règle. Nous ne toucherons plus du tout à ces données par la suite et elles dormiront donc dans nos archives protégées pendant 10 ans. Passé cette période, ces données seront détruites. 

En tout état de cause, nous garantissons qu’aucune entreprise ne pourra jamais, au grand jamais, en déduire l’identité de Sandra. Ni pendant que Sandra utilise l’application Cake, ni par la suite.

De nouveau envie de Cake ?

Si, plus tard, Sandra souhaite de nouveau utiliser Cake et rouvre un compte, elle sera considérée comme nouvelle utilisatrice dans la mesure où nous aurons supprimé la clé sécurisée et ne saurons dès lors pas qu’il s’agit de Sandra. Nous ne serons donc plus en mesure d’établir un lien entre son identité et ses anciennes données de transaction et créerons dès lors une nouvelle clé, avec un nouveau lien vers son compte. 

Vous aimeriez relire tout cela plus en détail ? Consultez ici nos conditions générales et notre politique de confidentialité

fr_BEFR
en_USEN nl_NLNL fr_BEFR