RGPD ou comment nous traitons vos données

Par Yves Bovin

La transparence est l’une des valeurs fondamentales de Cake, à savoir « lead in the open ». Il était donc évident que nous voulions vous expliquer comment Cake traite vos données et comment nous les protégeons.

Every day we are all flooded with requests to give permission for cookies and to receive mailings. We are chased by personalized ads and social media posts as we move online. Your data is used everywhere, that is obvious. But it is rarely clear how this happens. Transparency is an important part of one of Cake’s core values. We call it “lead in the open”. That’s why it goes without saying that we like to explain in all transparency how we deal with your data and how we secure it.

Chaque jour, nous sommes tous inondés de demandes d’autorisation de cookies et de réception de mailings. Nous sommes suivis à la trace par des annonces personnalisées et les posts sur les réseaux sociaux lorsque nous nous déplaçons en ligne. Vos données sont utilisées partout, c’est évident. Mais il est rare que l’on sache exactement comment cela se passe.

Vos données sont les vôtres et celles de personne d’autre

Vous êtes l’unique propriétaire de vos données bancaires et c’est grâce à la directive européenne PSD2. Jusqu’il y a peu, les banques avaient un doit exclusif sur les paiements. Pour briser la domination des banques et encourager l’innovation dans le secteur financier, l’Europe a partiellement transféré le contrôle des données bancaires de la banque au client.

Désormais, les consommateurs européens peuvent donc demander à leur banque de partager leurs données avec d’autres entreprises comme Cake. Après tout, il s’agit de vos données et c’est vous qui décidez en la matière. 

Comme il s’agit de données bancaires, un niveau de sécurité supplémentaire a été mis en place et les banques ne peuvent transmettre des données qu’à des entreprises ayant obtenu un agrément de la part de l’autorité de surveillance financière. En Belgique, il s’agit de la Banque nationale de Belgique (BNB).

Après énormément de travail, Cake a obtenu son agrément de la BNB le 9 juillet 2019, et nous sommes donc également réglementés et contrôlés par eux. Cela signifie que nous devons nous conformer à la législation financière applicable aux établissements de paiement. C’est pour cette raison que nous employons un compliance officer et que nous sommes périodiquement contrôlés par un auditeur interne et un réviseur agréés.

Votre part du gâteau

En plus de créer la meilleure application bancaire au monde et de vous donner plus de visibilité et de contrôle sur vos finances, nous voulons aussi que Cake fasse en sorte que votre compte bancaire rapporte à nouveau. 

Comment faisons-nous cela ? Eh bien, nous transformons les données des utilisateurs de Cake en statistiques totalement anonymes que nous vendons aux entreprises. Nous trouvons très important que vous obteniez votre part du gâteau pour l’utilisation de vos données. Après tout, il s’agit de vos données et elles ont de la valeur. C’est pourquoi nous partageons avec vous les revenus que nous recevons des entreprises. (Nous pensons que Zuckerberg pourrait apprendre une chose ou deux de tout cela, mais c’est une autre affaire…)

Bien sûr, il est également important que vous compreniez comment nous procédons. Il n’y a pas de meilleure façon d’illustrer cela que par un exemple.

Prenons celui de Sandra Peeters, 38 ans. 

Sandra veut Cake

Sandra télécharge l’application Cake et saisit son nom, son prénom et sa date de naissance. Ces informations arrivent dans notre base de données d’identification sécurisée. Il s’agit de la base de données où nous conservons ses données d’identité. 

Sandra lie ensuite son compte courant à l’application Cake. Ce lien est établi grâce à une connexion sécurisée entre Cake et la banque de Sandra. 

Entre les deux se trouve un agrégateur PSD2. Pour les comptes belges comme celui de Sandra, il s’agit de notre partenaire Ibanity. Ibanity garantit que les données de transaction du compte courant de Sandra sont liées de manière sécurisée à la base de données de Cake. Ces données de transaction sont stockées dans une base de données distincte. Nous l’appelons la base de données des transactions

Nous avons donc deux bases de données différentes : la base de données d’identification et la base de données des transactions.

Pour établir un lien entre la base de données d’identification et la base de données des transactions, nous travaillons avec une clé sécurisée (nous appelons cela une clé cryptée). Cette clé est nécessaire pour garantir que les transactions de Sandra ne soient visibles que pour elle dans l’application Cake sur son téléphone. 

Tous les utilisateurs de Cake réunis

Notre priorité absolue est de protéger vos données personnelles identifiables. Comment faisons-nous cela ? La meilleure façon de cacher un arbre est de le planter dans une forêt avec plein d’autres arbres identiques. Notre base de données des transactions contient donc non seulement les données de transaction de Sandra, mais aussi celles de tous les autres utilisateurs de Cake, sans leurs données d’identité.

À partir de toutes ces données réunies, nous créons des statistiques qui peuvent être intéressantes pour les entreprises. Étant donné que dans cette base de données, les données de tous les utilisateurs sont fusionnées et qu’il n’y a aucune information d’identité, il est impossible de savoir quelles transactions sont celles de Sandra. Nous appelons donc cela des statistiques anonymisées.

Un exemple d’entreprise est AVA, l’expert en décoration de tables festives, en fournitures scolaires et de bureau et en produits de loisirs. Ils aimeraient par exemple savoir dans quels autres magasins les clients d’AVA font aussi des achats. AVA peut utiliser Cake pour connaître le pourcentage de ses clients qui ont aussi effectué récemment des achats dans d’autres chaînes de magasins. Sur cette base, AVA peut par exemple évaluer quels sont les autres produits qui intéressent également ses clients et ainsi adapter son assortiment. Donc, sans connaître les personnes qui se cachent derrière les statistiques, AVA obtient des informations très intéressantes. AVA est prête à payer Cake pour cela, car cela les aide à offrir une meilleure expérience client. Et pour vous remercier, nous vous reversons une part du gâteau.

Tout travail mérite salaire

Revenons à Sandra. Sandra a fait un achat chez AVA il y a 3 mois. De ce fait, les données de transaction de Sandra sont intégrées dans les statistiques anonymisées de ce mois-là qui sont présentées à AVA. 

AVA paye Cake pour ces statistiques. Et comme dans ce cas, les données de Sandra sont traitées dans ces statistiques, nous pensons que Sandra a droit à une partie de ce montant. Nous transférons donc automatiquement une partie des revenus que nous recevons d’AVA pour ce mois-là à Sandra (et à tous les autres utilisateurs de Cake dont les données sont également incluses dans ces statistiques ce mois-là). Chez Cake, nous appelons les paiements aux utilisateurs des Rewards.

Grâce à notre clé sécurisée, nous pouvons voir combien d’utilisateurs ont été analysés et qui doit donc recevoir de l’argent. Le partenaire commercial ne peut jamais voir les données individuelles de Sandra.

Tout le monde est gagnant

Supposons maintenant qu’AVA souhaite également faire revenir dans le magasin tous ceux qui n’ont pas fait de shopping chez AVA au cours du mois dernier en leur offrant une récompense supplémentaire de 10 % sur leur prochain achat. Notre système informatique utilise alors à nouveau la clé sécurisée afin de rechercher qui, dans l’application, aurait droit à une récompense de 10 % sur son prochain achat chez AVA. 

Sandra fait partie de ce groupe cible. Elle verra ce message dans l’application Cake. Dès que Sandra utilisera sa carte bancaire liée chez AVA pour payer, cela se verra dans notre base de données et nous payerons à Sandra le montant auquel elle a droit. 

AVA ne saura donc pas que Sandra fait partie du groupe cible. Mais AVA est content parce qu’un utilisateur de Cake a une nouvelle fois fait des achats chez eux et Sandra est contente parce qu’elle a obtenu le remboursement de 10 % du montant de ses achats. Donc, tout le monde y gagne !

Paiement des Rewards

Avant de verser les Rewards de Sandra, nous voulons nous assurer que Sandra est bien celle qu’elle dit être. C’est pourquoi nous lui demandons via l’application une photo de sa carte d’identité. C’est ce que nous appelons l’identification et l’acceptation de l’utilisateur.

Après cette identification, nous devons vérifier si Sandra figure sur une liste de terroristes ou d’autres criminels. Ce n’est pas que nous n’ayons pas confiance en Sandra, mais ce contrôle est une obligation légale. Si Sandra ne figure pas sur une telle liste, nous pouvons l’accepter et verser les Rewards sur son compte courant lié. La prochaine fois que Sandra aura droit à des Rewards, nous les verserons directement sur son compte. Les données de la carte d’identité de Sandra se retrouvent dans la base de données d’identification sécurisée. 

Vous n’avez plus envie de Cake ?

Nous pouvons difficilement l’imaginer, mais supposons que Sandra n’ait plus envie de Cake. Dans ce cas, elle peut supprimer son compte Cake à tout moment. Avec cette suppression, le lien Ibanity entre le compte courant de Sandra et l’application Cake est rompu. Cela signifie qu’aucune nouvelle transaction de Sandra ne parviendra plus chez Cake. La clé sécurisée de Sandra sera également supprimée à ce moment-là. Cela signifie que nous ne pourrons plus établir de lien entre les données de la base de données des transactions et les données d’identité de Sandra dans la base de données d’identification. 

Lors de la suppression du compte Cake de Sandra, les données de transaction de cette dernière seront également immédiatement retirées de nos statistiques. Cela signifie que nous ne traiterons plus les transactions de Sandra dans les statistiques anonymisées de nos partenaires commerciaux. 

Les données d’identité de Sandra seront ensuite conservées avec une copie de ses données de transaction dans des archives sécurisées distinctes de toute statistique ou autre base de données de Cake. Cake est un établissement de paiement et est soumis à la législation financière. Cette dernière nous oblige à conserver ces données pendant dix ans en vue d’éventuels contrôles par l’autorité de régulation financière sur le blanchiment d’argent ou la fraude financière. C’est le cas pour toutes les institutions financières, y compris la nôtre. Il ne sera plus rien fait avec les données, elles resteront dormantes pendant dix ans dans nos archives sécurisées. Ensuite, nous détruirons ces données. 

Nous garantissons dans tous les cas que les entreprises ne seront jamais, au grand jamais en mesure de découvrir l’identité de Sandra. Ni pendant la période pendant laquelle Sandra utilise l’application Cake, ni après. 

Vous avez à nouveau envie de Cake ?

Si, un jour, Sandra a de nouveau envie d’utiliser Cake et se réinscrit, nous la considérerons comme un nouvel utilisateur. Nous avons en effet supprimé la clé sécurisée et nous ne pouvons donc pas savoir qu’il s’agit de Sandra. Nous ne pouvons donc plus relier son identité à ses anciennes données de transaction. Nous créons une nouvelle clé et nous créons un nouveau lien avec son compte. 

Vous souhaitez examiner tout cela plus en détail ? Vous trouverez ici nos conditions générales et notre politique de confidentialité.