Réponses rapides 

Ta vie privée est très importante pour nous. Avant de passer aux détails de notre politique de confidentialité, on aimerait faire un résumé de nos pratiques de confidentialité.

Qui sommes-nous ? 

Cake SA est une société belge dont le siège social est établi à : Groenstraat 42A, 3381 Glabbeek, Belgique. Notre n° de TVA est BE 0723.581.891. Nous sommes responsables de la conservation et du traitement de tes données (« responsable du traitement »). Cela signifie que nous déterminons les finalités et modes de traitement. 

Nous détenons une «licence PSD2». C’est une autorisation de la Banque nationale de Belgique nous permettant de t’offrir des services de paiement. PSD2 signifie «Payment Services Directive 2», une loi européenne qui garantit que les consommateurs européens peuvent obliger leur banque à partager leurs données avec d'autres sociétés, comme la nôtre. 

Quand conservons-nous tes données ? 

Nous commençons à garder tes données au moment où tu télécharges notre App et où tu t’y inscris.

Après cela, nous collectons tes données aux occasions suivantes : 

• lors du couplage de ton compte bancaire à notre App
• lorsque tu utilises notre App
• lorsque tu nous envoies une copie de ta carte d’identité ou de ton passeport
• chaque fois que notre App se connecte à ton établissement de paiement ou à ta banque
• chaque fois que tu nous contactes ou nous poses des questions
• chaque fois que tu gagnes des Rewards

Quelles données conservons-nous et qu’en faisons-nous ? 

Nous conservons différentes données dans des buts divers. Par exemple, nous avons besoin de certaines de tes données pour t’identifier selon la réglementation et la législation financière d’application, et d’autres afin de pouvoir t’offrir nos fabuleux services.  

En premier lieu, nous conservons les données à caractère personnel que tu nous procures en les entrant dans notre App. Il s’agit des renseignements que tu nous communiques quand tu t’inscris sur l’App (nom, prénom, date et lieu de naissance) puis, dans un deuxième temps, des données qui figurent sur ta carte d’identité ou ton passeport. Dès que tu nous en fournis une copie, un scan ou une photo, nous entrons les données qui y figurent dans une base de données et les conservons. Si nous les conservons, c’est non seulement parce que c’est légalement obligatoire, mais aussi parce que cela nous permet de mieux cibler nos publics. En effet, t’offrir des Rewards pour un supermarché italien n’a aucun sens si tu vis aux Pays-Bas...   

Et puis, nous conservons aussi les données liées à ton compte et à tes transactions, car elles nous permettent de tirer des conclusions pertinentes sur la base desquelles nous t’offrons des Rewards. Cet aspect est donc également nécessaire pour une bonne fourniture de services de notre part. Ces données nous sont transmises par nos partenaires PSD2. Ce sont des sociétés spécialisées qui assurent que la connexion avec ta banque et le transfert de tes données de transaction se déroulent conformément aux normes de sécurité de la réglementation PSD2. Qui sont au juste ces partenaires ? Cela dépend du pays où est établie l’institution de ton compte bancaire. Tu trouveras une liste de ces partenaires sur notre site Web.

Il est possible, à l’occasion, que notre App te demande un complément d’information. Si, par exemple, nous constatons que tu paies des montants élevés d’électricité, nous pouvons te poser quelques questions sur ta situation familiale. Il est possible que tu paies trop sans le savoir. Tu n’es pas obligé de répondre à ces questions supplémentaires, mais nous ne pourrons t’aider que si tu le fais. Nous gardons les réponses que tu nous transmets et nous les traitons dans notre base de données afin de pouvoir t’informer au mieux. 

Nous pouvons aussi te poser des questions supplémentaires dans le cadre d’une enquête sur le blanchiment de capitaux ou le financement du terrorisme. C’est un sujet grave, et la législation à ce sujet est très sévère. Si jamais nous te posons des questions ou te demandons des documents dans ce cadre, sache que nous conservons et traitons ces données parce que nous y sommes légalement contraints. 

Si tu nous contactes via l’App, nous gardons une trace de cette conversation. Cela nous permet de mieux t’aider, car à ta prochaine question, nous pourrons retourner voir quels échanges nous avons déjà eus par le passé.

Et encore...

Il y a encore d’autres données que nous conservons. Nous avons tout résumé dans un tableau pour plus de clarté. Ce tableau indique quelles données à caractère personnel nous conservons, dans quel but, sur quelle base et à quel moment. 

Que faisons-nous de toutes ces données ? 

Avant toute chose, nous traitons les données précitées pour t’offrir les services les plus fantastiques qui soient. Voici un bref résumé de tout ce que nous faisons ; pour en savoir plus, nous te renvoyons aux Conditions générales. 

PFM

PFM, soit « Personal Finance Management » ou Gestion financière personnelle, est le terme que nous donnons aux conseils que nous dispensons sur la base de tes dépenses et revenus. Afin de pouvoir fournir ces conseils, nous avons besoin de savoir toute une série de choses sur toi, ton compte et tes transactions. Nous insistons sur le fait que tu es entièrement libre de suivre ou non ces conseils.   

Rewards

You can earn Rewards by shopping with our commercial partners. To earn Rewards, we need to be able to link your transactions to those partners’ payment terminals. In addition, we also need to know whether you are eligible to receive a Rewards offer in the first place. This is also determined on the basis of your transaction data. Let us clarify this. As explained in our General Terms and Conditions, a shop can identify a target audience to whom it wants to offer a Reward. Only if you are in that target group, you will receive a notification in the App that there is a commercial promotion at that shop.

In order to know whether you are in that target group, we analyze whether you meet certain characteristics. This is also referred to as “profiling”. Indeed, we create a profile about you based on your transaction data, and if this profile matches the target audience of a Rewards promotion, you will automatically receive a notification.

Simply explained: you will only receive notifications for Rewards if we think they suit you.

In other words (and now we do need to bring up our legal vocabulary): Rewards involve direct marketing based on automated profiling. You have the right to object to this. We will get back to your privacy rights later in this Privacy Policy.  

Infos 

Nous anonymisons les données de tous nos utilisateurs et les transposons en statistiques. Cela nous permet de donner à nos partenaires commerciaux des infos utiles sur le comportement de nos utilisateurs sans leur donner accès aux données à caractère personnel de ceux-ci. Nous partageons une partie des montants que ces partenaires nous paient pour ces informations avec nos utilisateurs, donc avec toi. Sympa, non ?

Fiers comme des paons

Vu que notre App nous emplit de fierté, nous en faisons volontiers la promotion. Pour cela, nous utilisons les données de tous nos utilisateurs pour les convertir en statistiques et en données anonymisées. Par exemple, nous ne te citons pas parmi les utilisateurs mais te comptons dans le nombre d’utilisateurs. Nous pouvons ainsi comptabiliser une série d’autres données à ton sujet dans nos statistiques, mais toujours sans dévoiler ton nom.

Restons en contact

Nous communiquons généralement avec toi via le chat dans notre app, mais si tu n’es pas un visiteur fréquent, on peut aussi t’envoyer un e-mail de temps en temps, juste pour rester en contact avec toi et pour te tenir informé de nouvelles fonctionnalités hyper cool de notre app. On ne saturera pas ta boîte aux lettres de lettres d'amour ou d'informations inutiles, promis juré!

PSD2

Nous ne communiquons jamais tes données à caractère personnel à aucun partenaire commercial. JA-MAIS. Cependant, afin d’accéder aux données de ton compte bancaire, nous sommes obligés de partager une série de données à caractère personnel avec les agrégateurs PSD2, qui sont des entreprises qui établissent une connexion entre ton organisme bancaire ou de paiement et nous.   

Les données minimum que nous devons partager afin de pouvoir établir cette connexion sont rassemblées dans le tableau ci-dessus, sous « Données liées à la PSD2 ». Il va sans dire que cette coopération est régie par des conditions strictes et est hautement sécurisée. Du reste, toutes les parties concernées sont placées sous la surveillance d’un contrôleur financier.

Cookies

Les biscuits, nous, on adore. Nous sommes particulièrement friands des cookies à l’américaine, avec des pépites de chocolat. D’ailleurs, nous nous servons aussi de cookies informatiques. Ce sont de tout petits fichiers (texte) que nous plaçons sur ton appareil quand tu utilises notre App. Ces fichiers, sauvegardés sur ton appareil, ont diverses fonctions : 

par exemple, il peut arriver que les agrégateurs PSD2 et ta banque placent des cookies à l’établissement de la connexion entre notre App et la banque en vue de faciliter l’identification.

De plus, nous recourons nous aussi aux cookies pour améliorer le fonctionnement de nos services. Par exemple, nous pouvons renvoyer, dans notre App, vers une page de notre site Web, avec insertion de tracking cookies. Les cookies nous servent aussi à mieux te connaître afin d’améliorer les services que nous te fournissons.  

Modules d’extension

Nous recourons à une série de modules d’extension (ou plug-ins) sociaux afin de faciliter ton accès à notre App. Par exemple, nous nous servons de Google et Facebook. Nous ne recevons de Google ou de Facebook que des informations limitées : nous demandons uniquement l’e-mail, le nom et la date de naissance, et n’amassons pas quantité d’autres infos en cachette. Nous nous assurons par ailleurs que ni Google ni Facebook n’obtiennent de données à ton sujet à partir de notre App.

Ensuite, nous utilisons aussi une série de plug-ins opérationnels, nécessaires pour le bon fonctionnement de notre App. Il y a notamment un plug-in pour établir la connexion entre nous, un autre pour réaliser des graphiques et un autre pour effectuer tous les contrôles requis par la loi anti-blanchiment. Nous faisons très attention à ce que ces modules ne conservent aucune donnée à caractère personnel ; nous les utilisons exclusivement pour améliorer le fonctionnement de notre App.

Certains plug-ins ont effectivement accès à tes données à caractère personnel, mais là encore, l’usage de tes données est régi par des accords très stricts. Il s’agit en l’occurrence de Firebase (analyse de l’usage de l’App, rapports de liquidités) et d’Amazon (pour sécuriser l’accès et héberger les données). Tu trouveras une liste exhaustive de nos modules d’extension sur notre site Web.    

Où conservons-nous ces données ? 

Nous conservons toutes nos données dans un environnement hautement sécurisé. Pour cela, nous faisons appel aux services d’Amazon, qui fournit toutes sortes de bases de données en fonction du type de données et du but dans lequel elles sont conservées. Les serveurs qu’Amazon utilise à cette fin se trouvent en deux endroits distincts d’Europe et sont extrêmement bien protégés. 

Bien entendu, nous avons mis en place les mesures techniques et organisationnelles appropriées pour assurer la sécurité du traitement de vos données. Toutefois, s’agissant de l’Internet, il n’existe malheureusement pas de garantie à 100 %. Si quelqu’un devait pénétrer illicitement dans notre base de données, tu ne pourras donc pas réclamer de dommages-intérêts, à moins que ton préjudice ne soit causé par une violation de nos obligations en vertu du RGPD. Mais nous le répétons : nous recourons à des normes de sécurité sévères, qui sont régulièrement testées tant par nous que par nos auditeurs.

Qui reçoit mes données? 

Pour pouvoir t’offrir nos services, nous devons divulguer certaines de vos données à des tiers, qui peuvent être divisées dans les catégories suivantes.

Étant donné que certains de ces prestataires de services sont situés en dehors de l'Espace économique européen, Cake peut transférer des données personnelles vers des pays tiers, comme les États-Unis. Ces transferts sont uniquement effectués vers des prestataires de services certifiés sous le bouclier de protection des données UE-États-Unis. En ce qui concerne ces transferts, une décision d'adéquation a été prise par la Commission européenne (à savoir la décision d'exécution 2016/1250 de la Commission du 12 juillet 2016 relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis). Cela garantit la protection de vos données personnelles en cas de transferts.

Combien de temps traitons-nous ces données ?

Nous traitons toutes les données qui te concernent aussi longtemps que tu continues d’utiliser notre App. Lorsque tu cesses d’être utilisateur, et bien... cela dépend du type de données. Cela semble bien compliqué ? Nous allons tout t’expliquer.

Nous conservons et traitons tes données à caractère personnel, y compris les détails de compte et de transaction, tant que tu as un compte d’utilisateur Cake. Dès que tu supprimes ton compte, nous cesserons de traiter tes données à des fins commerciales. En d'autres termes: si tu supprimes ton compte, tes données ne seront plus utilisées pour créer des statistiques anonymisées pour nos partenaires commerciaux.

Cela ne veut pas dire que nous pouvons supprimer toutes tes données au moment de l’annulation de ton compte d’utilisateur. Nous sommes légalement obligés de conserver certaines données plus longtemps. Nous sommes soumis à la législation financière, en particulier à la loi du 18 septembre 2017 sur la prévention du blanchiment de capitaux et du financement du terrorisme. Cette loi est appelée « loi anti-blanchiment ». Et bien, l’article 60 de cette loi anti-blanchiment nous oblige à conserver certaines données jusqu’à 10 ans après que la collaboration a pris fin. En d’autres termes : à partir du moment où tu n’utilises plus notre App, nous devons encore conserver certaines données pendant 10 ans. Il s’agit de tes données d’identification et d’enregistrement des transactions. Impossible d’y échapper. Cependant, toutes les autres données personnelles que nous ne sommes pas tenus de conserver seront immédiatement supprimées lorsque tu supprimes ton compte d’utilisateur.

En résumé, nous ne conservons pas tes données à caractère personnel plus que nécessaire pour faire notre boulot, sauf si nous y sommes légalement tenus.

À cela s’ajoute le fait que nous pouvons conserver tes données à caractère personnel plus longtemps si tu as marqué ton accord à ce sujet ou si elles nous étaient nécessaires dans le cadre d’une action en justice. Naturellement, nous mettons tout en œuvre pour éviter de devoir un jour fournir tes données à un tribunal en guise de preuve.

Tes droits

En principe, le RGPD te confère certains droits. Prenons un moment pour passer en revue ces droits. Pour commencer, tu as le droit de nous demander d'obtenir l'accès à tes données personnelles, d'en obtenir la rectification ou la suppression, ou d’en limiter le traitement. Tu as également le droit de t’opposer au traitement de tes données personnelles et le droit à la portabilité des données. De plus, tu as le droit de retirer à tout moment ton consentement au traitement de tes données personnelles. C'est une priorité pour nous de respecter tous ces droits à la vie privée. Il est toutefois important de préciser que nous devons prendre en compte les particularités suivantes.

Comme indiqué précédemment, nous sommes légalement tenus de conserver tes données d'identification et d'enregistrement des transactions pendant 10 ans. La plupart de tes droits RGPD ne s'appliquent pas à ce stockage. L'article 65 de la loi anti-blanchiment, pour être précis, énonce ceci : "La personne concernée par le traitement des données à caractère personnel en application de la présente loi ne bénéficie pas du droit d'accès et de rectification de ses données, ni du droit à l'oubli, à la portabilité desdites données, ou à objecter, ni encore du droit de ne pas être profilé ni de se faire notifier les failles de sécurité."

Tes droits à la vie privée restent applicables au traitement de tes données personnelles à des fins commerciales, par exemple le traitement pour t’offrir des Rewards. Cela signifie, par exemple, que tu as le droit de demander que nous ne traitions plus tes données personnelles à ces fins, ou de limiter leur traitement.

N'oublie pas que nous ne pouvons offrir nos services que si nous stockons et traitons tes données personnelles. Ceci est également expliqué dans nos Conditions générales. Sans le traitement de tes données, les fonctionnalités de notre application, telles que les Rewards et la Gestion financière personnelle, ne fonctionneraient tout simplement pas. Pour cette raison, nous devons malheureusement mettre fin à notre relation quand tu nous demandes de limiter ou d'arrêter le traitement de tes données à caractère personnel. Dans ce cas, tu ne pourras plus utiliser notre application. Par contre, ton droit d'accès, de rectification ou de portabilité de tes données personnelles peut bien entendu être exercé sans problème.

Lorsque nous avons traité tes données de transaction dans des statistiques pour nos partenaires commerciaux, nous ne pouvons ni modifier ni supprimer les données statistiques qui ont été dérivées de vos données personnelles. Ces données statistiques ont déjà été traitées et il est devenu impossible de retracer l'identité d'une personne. Ce ne sont donc plus des données personnelles protégées par le RGPD. Par conséquent, tes droits à la vie privée, tels que le droit d'accès, de rectification ou de portabilité, ne s'appliquent pas aux données statistiques dérivées de vos données personnelles. 

Si tu souhaites exercer tes droits, envoie-nous un message direct via le chat de notre App. Précise clairement quel droit tu souhaites exercer. Lorsque tu nous contactes directement par le biais de notre App, il n’y a pas besoin de nous fournir ta carte d'identité pour exercer tes droits, étant donné que tu as déjà été identifié lors de la création de ton compte d’utilisateur. Si tu n'as pas de compte d’utilisateur Cake, tu peux exercer tes droits en envoyant un e-mail à notre Data Protection Officer. Dans ce cas, nous te demandons de joindre une copie du recto de votre pièce d'identité à ton e-mail pour que nous puissions t’identifier.

Contrôle

Nous sommes placés sous la surveillance rigoureuse de contrôleurs financiers. En conséquence, nous devons contrôler tous nos utilisateurs pour vérifier qu’ils ne figurent pas sur des listes noires internationales, des listes de PPE (« personnes politiquement exposées ») ou d’autres listes officielles. Pour cela, nous reprenons leur nom, leur prénom, leur date et leur lieu de naissance. 

Dès lors, personne ne peut s’opposer à cette conservation-là. Cela signifie aussi qu’en cas de présomption de notre part de blanchiment de capitaux ou de financement du terrorisme, nous avons l’obligation de communiquer aux instances compétentes les données à caractère personnel concernées ainsi que des informations complémentaires (preuves). Le RGPD ne peut pas l’interdire.

Qui porte la responsabilité finale du traitement de mes données?

As we said earlier, we never ever share your personal data with our commercial partners. Nevertheless, the GDPR regulation provides that our partners are jointly responsible for the processing of your data. That sounds weird, right? The reason for this is that our commercial partners can offer you Rewards, or ask us to produce statistics and insights. Therefore, the GDPR regulation considers that our partners have a certain influence on the way we process personal data for them, as they have a say on the determination of the purposes and means of processing.

Étant donné que nos partenaires commerciaux sont conjointement responsables du traitement de tes données à caractère personnel, nous avons fait un accord avec nos partenaires afin de déterminer nos responsabilités respectives en matière de conformité avec le RGPD. Veux-tu savoir ce que dit cet accord? Nous voulons bien partager cette information avec toi! C'est en fait assez simple. Nos partenaires commerciaux n'ayant aucun accès à tes données personnelles et ne participant jamais au stockage de tes données, nous avons décidé d'assumer l'entière responsabilité du traitement de vos données personnelles. Il nous semble juste que nous assumions cette responsabilité, car nous sommes la seule partie à stocker, accéder et traiter tes données.

Puisque nous assumons la responsabilité finale du traitement de tes données, nous avons également convenu avec nos partenaires commerciaux que nous sommes ton point de contact pour toutes tes questions et réclamations concernant la protection de tes données personnelles. Pour exercer tes droits à la vie privée, il suffit de se tourner vers nous.

Not happy ? 

You are not happy with this privacy policy? That’s a shame, because we can’t offer you our services without processing your personal data. Collecting, saving and processing data is part of our services, after all. If you want to stop us from processing your data for commercial purposes, it is sufficient to delete your Cake account. You can do this via your profile settings in the app.

Y a-t-il des questions ? 

Tu as des questions sur ta vie privée, tes droits ou sur la façon dont nous traitons tes données? N'hésites pas à les poser via le chat de notre App, ou à contacter notre Data Protection Officer (DPO). Tu peux le joindre en envoyant un e-mail à dpo@cake.app.

Une réclamation ? 

Si tu veux introduire une réclamation, envoie-nous un message par le biais de l’App et nous y répondrons le plus vite possible. Si nous ne parvenons pas à nous entendre, tu peux porter plainte auprès d’une autorité compétente. En Belgique, cette autorité est l’Autorité de protection des données http://www.dataprotectionauthority.be.