La présente notice d’information sur la protection des données est disponible en plusieurs langues. La version allemande est la seule version faisant foi et juridiquement contraignante. Les autres versions linguistiques sont fournies uniquement à titre informatif.
finAPI GmbH (ci-après « finAPI »), Adams-Lehmann-Straße 44, D-80797 Munich (AG München, HRB
175250), e-mail : kontakt@finapi.io.
Le délégué à la protection des données de finAPI peut être contacté à l’adresse susmentionnée (à l’attention du
service
Protection des données) ou par e-mail à l’adresse datenschutz@finapi.io.
a) finAPI est un établissement de paiement soumis à la surveillance de l’Autorité fédérale allemande de
supervision financière (BaFin),
fournissant des services d’information sur les comptes et des services d’initiation de paiement.
Au moyen du service d’information sur les comptes, nous fournissons, par l’intermédiaire de votre prestataire de
services (p. ex. e-commerçant,
banque prêteuse, plateforme de gestion financière, prestataire d’évaluation de la solvabilité), un service qui
vous permet
de consulter vos informations de compte, de les préparer, le cas échéant selon le service souhaité
(p. ex. catégorisation des données telles que détermination des revenus, du loyer, du nombre de rejets de
prélèvements) et
de les mettre à la disposition de votre prestataire de services. À cet effet, vous vous connectez à votre banque
en ligne via notre interface web
ou l’interface web de votre banque. finAPI récupère ensuite vos informations de compte
auprès de votre banque et transmet au prestataire que vous avez sélectionné les informations
nécessaires à la prestation concernée.
Avec le service d’initiation de paiement, nous vous permettons d’initier des ordres et des opérations de
paiement auprès de votre
prestataire de compte. Avant la soumission, votre plafond disponible peut être vérifié.
Pour fournir les services d’information sur les comptes et d’initiation de paiement, le traitement de vos
données personnelles est nécessaire.
Le traitement vise avant tout à respecter nos obligations contractuelles
envers vous en tant qu’utilisateur final ou prospect, ainsi qu’envers nos clients (votre prestataire de
services).
b) En tant qu’établissement de paiement, finAPI est soumise à des exigences prudentielles et à des obligations réglementaires spécifiques, telles que la prévention, la détection et la constatation des fraudes ou la prévention du financement du terrorisme. Lorsque vous utilisez les services d’information sur les comptes et d’initiation de paiement de finAPI, vos données personnelles peuvent également être traitées par nos soins afin de satisfaire à ces obligations légales.
c) Dans le cadre des opérations de paiement et afin d’accroître la sécurité de vos transactions, nous procédons à une vérification du bénéficiaire (= Verification of Payee – VOP conformément au règlement européen sur les paiements instantanés (UE) 2024/886). Le nom et l’IBAN du bénéficiaire sont automatiquement comparés aux données conservées par la banque du bénéficiaire. Cela concerne les virements SEPA et les virements instantanés SEPA au sein de l’UE/EEE ; les autres comptes qui ne sont pas des comptes de paiement sont exclus (p. ex. comptes sur livret). Les clients professionnels (entreprises) peuvent, en tant qu’émetteurs, exclure volontairement la vérification du bénéficiaire pour les virements de masse. Le traitement de ces données a uniquement pour objet de permettre l’attribution et la vérification du bénéficiaire dans le cadre des règles de sécurité applicables aux services de paiement.
d) La garantie de la sécurité et du fonctionnement informatiques peut, dans certaines circonstances, également nécessiter le traitement de vos données personnelles. En outre, nous traitons les données récupérées dans la mesure autorisée par la loi et nécessaire dans chaque cas à des fins internes. Cela inclut le traitement à des fins d’assurance qualité (p. ex. la réalisation d’évaluations et d’analyses de nos services), l’amélioration et l’extension de nos services (comme l’apprentissage de la catégorisation des mouvements de compte) ainsi que les activités de recherche et de développement de finAPI ou de ses sociétés affiliées. Nous traitons également, le cas échéant, vos données personnelles pour notre propre gestion des créances ou pour la prospection directe de nos propres services. Si vous nous contactez, p. ex. par e-mail, nous traitons les données que vous fournissez afin de traiter votre demande et toute correspondance ultérieure. Lorsque cela est possible, nous anonymisons ou pseudonymisons vos données.
e) Les services finAPI sont également disponibles pour des comptes du Royaume-Uni (ci-après « comptes UK »). La connexion des comptes UK s’effectue via le partenaire token.io Ltd. (ci-après « partenaire token »), qui dispose d’une autorisation des autorités britanniques pour fournir des services financiers (services d’information sur les comptes et services d’initiation de paiement). Via votre prestataire de services, vous êtes dirigé vers une interface web de finAPI qui utilise en arrière-plan les services de token. Pour utiliser les services souhaités, vous êtes redirigé vers le site web de la banque concernée afin de vous connecter à la banque en ligne correspondante.
f) Le partenaire token récupère les informations de compte nécessaires auprès de votre banque, les transmet à
finAPI pour
un traitement complémentaire convenu (p. ex. catégorisation) et met à la disposition de votre prestataire de
services les données
requises pour le service.
Grâce au service d’initiation de paiement, nous vous permettons d’initier des ordres et opérations de paiement
auprès de votre
prestataire de compte au Royaume-Uni via le partenaire token. À cette fin, nous transmettons les données que
vous nous fournissez
à notre partenaire token pour l’initiation du paiement.
Pour plus d’informations sur le traitement des données avec token, veuillez vous reporter au point 3 de la
présente notice d’information.
g) Il peut être nécessaire de traiter vos données personnelles si votre prestataire de services nous contacte en cas de problèmes techniques ou de questions en lien avec notre service. Seules les données personnelles nécessaires à l’éclaircissement des faits seront traitées.
h) Si vous nous contactez en tant qu’utilisateur final, vos données seront traitées exclusivement aux fins de communication avec vous. Cela vaut également si, en tant que consommateur, vous souhaitez exercer vos droits au titre du RGPD (voir point 4).
i) Si vous utilisez nos services pour payer vos achats en ligne, vos données personnelles peuvent, dans des cas individuels et à l’occasion de contrôles effectués par notre fournisseur, être traitées. Cela sert à vérifier l’exactitude des facturations des commissions de paiement. Lorsque cela est possible, nous anonymisons les données personnelles.
j) Vos données personnelles sont également communiquées aux autorités ou institutions lorsque la loi l’exige, ou à des tiers sélectionnés (p. ex. en cas de conseil juridique).
Nous traitons les données personnelles sur la base des lois applicables en matière de protection des données, en
particulier
du Règlement général sur la protection des données (RGPD) et de la nouvelle loi fédérale allemande sur la
protection des données (BDSGneu), ainsi que
conformément aux dispositions de la loi allemande sur la supervision des services de paiement (ZAG).
Les données personnelles sont traitées sur la base de l’art. 6, par. 1, point b) RGPD et de l’art. 59, par. 2
ZAG
pour l’exécution de mesures précontractuelles, pour l’exécution des obligations contractuelles de finAPI envers
nos clients (votre prestataire de services) et envers vous en tant qu’utilisateur final ou prospect. Des détails
figurent dans nos conditions d’utilisation régissant votre utilisation de nos services d’information sur les
comptes et
de nos services d’initiation de paiement.
En outre, nous traitons vos données, dans la mesure strictement nécessaire, sur la base de l’art. 6, par. 1,
point c) RGPD afin de respecter des obligations légales, notamment prudentielles. Conformément à l’art. 6, par.
1,
point f) RGPD, nous pouvons traiter vos données personnelles lorsque le traitement est nécessaire aux fins des
intérêts légitimes
poursuivis par finAPI ou par un tiers, sauf si prévalent vos intérêts ou libertés et droits fondamentaux
exigeant la protection des données personnelles. Les données personnelles ne sont traitées
que si, après mise en balance des intérêts, cela est admissible. L’intérêt légitime résulte des finalités
visées au point 3.1 et peut également être de nature économique.
Les informations sur les comptes à mettre à la disposition de votre prestataire de services peuvent, le cas
échéant, contenir des
catégories particulières de données personnelles (cf. art. 9, par. 1 RGPD). Il peut s’agir d’indications
relatives
à votre origine raciale ou ethnique, à vos opinions politiques, à vos convictions religieuses ou philosophiques,
à votre appartenance syndicale, à des données de santé ou à des données relatives à la vie sexuelle ou à
l’orientation sexuelle.
Des conclusions pourraient par exemple être tirées des libellés de paiement ou des bénéficiaires.
La licéité du traitement de ces données aux fins de la prestation du service est convenue entre vous et
votre prestataire de services.
Vous n’êtes pas tenu de nous fournir des données personnelles. Toutefois, sans vos données, nous ne pouvons pas
exécuter
la relation contractuelle ni fournir les prestations convenues.
Nous traitons vos données personnelles dans le cadre des services d’information sur les comptes et des services d’initiation de paiement. Les données personnelles générées à cette occasion proviennent des établissements de crédit et financiers, des émetteurs de cartes et d’autres fournisseurs de données financières, auxquels il n’est accédé qu’avec votre consentement et après votre connexion à la banque en ligne via notre application finAPI ou, pour les comptes UK, via le partenaire token. L’origine des données peut donc varier selon le service utilisé. Étant donné que l’accès aux comptes nécessite toujours votre consentement, vous connaissez les comptes autorisés pour l’accès par finAPI et les données personnelles qu’ils contiennent. Vos données personnelles peuvent également nous parvenir via votre prestataire de services (p. ex. en cas de problèmes techniques) ou directement de votre part (p. ex. à partir de votre demande par e-mail).
Nous traitons vos données personnelles en Allemagne ou dans l’UE ; voir point 3.6 pour davantage d’informations.
a) Les destinataires aux fins visées au point 3.1 a) sont des clients de finAPI établis dans l’Espace économique européen et en Suisse, ainsi que, le cas échéant, dans d’autres pays tiers (à condition qu’une décision d’adéquation de la Commission européenne existe pour ces pays ou que des clauses contractuelles types aient été conclues, consultables à l’adresse https://www.finapi.io/datenschutz-dsgvo/) (c.-à-d. le prestataire que vous avez choisi). D’autres destinataires, aux fins visées au point 3.1 b), peuvent être des sous-traitants externes de finAPI au sens de l’art. 28 RGPD ainsi que des services externes et internes de finAPI. En outre, aux fins visées au point 3.1 b), finAPI peut communiquer des données clients à des tiers, dans la mesure nécessaire et légalement admissible (p. ex. prestataires externes tels que fournisseurs IT, exploitants d’applications pour utilisateurs finaux basées sur les services finAPI, sociétés affiliées ou partenaires commerciaux, ainsi que des établissements teneurs de comptes). Les données d’accès sensibles permettant l’accès aux informations de compte auprès de vos prestataires de compte ne sont communiquées par finAPI qu’à l’établissement teneur du compte concerné, et non à d’autres tiers. finAPI est en outre soumise aux pouvoirs légaux d’intervention des autorités publiques.
b) Nous traitons vos données personnelles dans des centres de données situés en Allemagne ou dans l’UE via
l’hébergement par
Amazon Web Services. Le prestataire de services Amazon Web Services est Amazon Web Services EMEA SARL, 5 rue
Plaetis, Luxembourg, L-2338, Luxembourg. Nous avons conclu avec ce prestataire un contrat de sous-traitance
conformément à l’art. 28 RGPD.
Le prestataire étant établi aux États-Unis, des transferts de données peuvent, à titre exceptionnel, avoir lieu
entre
Amazon Web Services EMEA SARL et sa société mère. Pour le traitement, nous utilisons un système de chiffrement à
plusieurs niveaux.
Les données personnelles ne sont à aucun moment accessibles en clair sur les serveurs AWS et ne peuvent être
consultées ni par AWS ni par des tiers
(y compris la société mère américaine). Le chiffrement est effectué conformément à l’état de l’art et satisfait
aux exigences
du RGPD.
Plus d’informations sur les données traitées dans le cadre de l’utilisation d’Amazon Web Services (AWS) figurent
dans la politique de confidentialité à l’adresse https://aws.amazon.com/de/privacy/.
c) Pour la connexion de certains comptes bancaires de l’UE, nous traitons les données via token GmbH, c/o
Industrious, Schicklerstraße 5, 10179 Berlin. Pour la connexion de comptes UK, nous utilisons
token.io Ltd., 4th Floor, 70 St Mary Axe, London, EC3A 8BE, Angleterre, dont le traitement des données a
contractuellement lieu
dans l’UE. Nous avons conclu un contrat de sous-traitance conformément à l’art. 28 RGPD.
À titre exceptionnel, un transfert de données peut avoir lieu entre token GmbH et token.io Ltd. avec la société
affiliée
token Inc., 548 Market Street, STE 57805, San Francisco, CA, 94104-5401, États-Unis. Pour tout transfert
éventuel,
des clauses contractuelles types ont été conclues entre token GmbH, token.io Ltd. et token Inc. en tant que
garanties appropriées
conformément à l’art. 46, par. 1 et par. 2, point c) RGPD. Plus d’informations sur la protection des données du
partenaire token : https://token.io/policies/privacy-policy
d) Nos services GiroIdent Plus, GiroIdent Protection des mineurs et GiroIdent GwG offrent une vérification supplémentaire du nom, de l’adresse et de la date de naissance ; pour GiroIdent GwG, également de l’IBAN. À cet effet, nous utilisons une comparaison avec la base de données de SCHUFA Holding AG, Komoranweg 5, 65201 Wiesbaden. SCHUFA Holding AG est une agence d’évaluation de crédit fiable et sûre. Seules les données personnelles nécessaires au service sont transmises au prestataire. Plus d’informations sur la protection des données chez SCHUFA : https://www.meineschufa.de/de/datenschutzhinweis.
e) Pour apporter une assistance rapide et efficace en cas de problèmes techniques ou de questions, nous
utilisons, pour le
traitement, notre système de tickets, une solution logicielle de Zendesk, 989 Market St, San Francisco, CA
94103,
États-Unis. Dès que votre prestataire de services contacte notre support, un ticket est créé
automatiquement.
Nous avons convenu contractuellement avec ce prestataire que le traitement des données personnelles s’effectue
exclusivement dans l’UE.
Pour tout transfert de données éventuel vers les États-Unis, Zendesk utilise des clauses contractuelles types
qui, en tant que garanties appropriées au sens de
l’art. 46, par. 1 et par. 2, point c), sont conformes aux exigences en matière de protection des données. Nous
avons conclu un contrat de sous-traitance
conformément à l’art. 28 RGPD.
Plus d’informations sur la protection des données chez Zendesk : https://www.zendesk.de/company/agreements-and-terms/privacy-notice/
En cas de questions techniques ou de dysfonctionnements des interfaces FinTS des banques, que nous obtenons via
B+S Banksysteme
Aktiengesellschaft, nous contactons le support client de B+S (Banksysteme Aktiengesellschaft,
Elsenheimerstraße 45, 80687 Munich, ou B+S Banksysteme Salzburg GmbH, Siezenheimer Straße 39a, A-5020
Salzbourg). Le client, c’est-à-dire votre prestataire de services, est informé via le système de tickets Zendesk
si
un traitement supplémentaire via B+S a été nécessaire. Nous avons conclu un contrat de sous-traitance
avec ce prestataire conformément à l’art. 28 RGPD. Plus d’informations sur la protection des données de
B+S Banksysteme Aktiengesellschaft : https://bs-ag.com/wir-uber-uns/datenschutz/
Nous ne conservons les données personnelles que pendant une durée déterminée. Le critère décisif pour fixer cette durée est la nécessité. Les données personnelles sont donc conservées et traitées aussi longtemps que nécessaire aux finalités respectives. Il convient de noter que la relation commerciale avec vous peut être de longue durée et que finAPI traite les données au moins jusqu’à la fin de cette relation contractuelle. En outre, des obligations de conservation, de documentation et d’information commerciales, fiscales et prudentielles peuvent s’appliquer et lier finAPI. De telles périodes sont généralement de dix ans au maximum. Par ailleurs, un traitement plus long peut s’avérer nécessaire, par exemple à des fins de contrôle de la protection des données, de sauvegarde des données et de défense en justice. Lorsque les données ne sont plus nécessaires aux finalités du traitement, elles sont supprimées.
Les services d’information sur les comptes et d’initiation de paiement portant sur des comptes UK sont fournis
via le partenaire token
(voir point 3.1 c) de la présente notice), ce dernier disposant de l’autorisation requise des autorités
britanniques.
Pour l’accès aux comptes et la récupération des informations de compte, ainsi que pour les services d’initiation
de paiement, la société token.io Ltd.,
4th Floor, 70 St Mary Axe, London, EC3A 8BE, Angleterre, est le responsable du traitement au sens du RGPD ; les
conditions générales du partenaire token
s’appliquent (des informations détaillées figurent dans les conditions d’utilisation).
finAPI exécute les activités consistant à fournir l’interface web ou le renvoi vers
l’interface web de votre banque (afin de vous connecter à la banque en ligne pour les comptes UK) ainsi que la
réception des
informations de compte récupérées en tant que sous-traitant au sens du RGPD. À cette fin,
un contrat de sous-traitance existe entre le partenaire token et finAPI.
Le traitement ultérieur des informations de compte (p. ex. catégorisation) en lien avec les comptes UK est
effectué
par finAPI en tant que responsable du traitement au sens du RGPD. Le traitement des données décrit au point 2
s’applique par analogie dans le présent point.
Dans ce contexte, un transfert de données de finAPI vers le partenaire token peut s’avérer nécessaire, par
exemple
pour des questions de support. Ces transferts de données ont lieu dans votre intérêt légitime conformément à
l’art. 6, par. 1, point
b) RGPD. Le Royaume-Uni fait l’objet d’une décision d’adéquation de l’UE, de sorte que
tout transfert éventuel vers le Royaume-Uni offre le même niveau de protection des données qu’au sein de
l’UE.
Plus d’informations sur la protection des données du partenaire token : https://token.io/policies/privacy-policy
Dans les cas où finAPI agit en tant que responsable du traitement, vous disposez d’un droit d’accès (art. 15
RGPD), d’un droit de rectification (art. 16 RGPD), d’un droit d’effacement (art. 17 RGPD), d’un droit
à la limitation du traitement (art. 18 RGPD) et d’un droit à la portabilité des données (art. 20
RGPD). Vous pouvez exercer ces droits à tout moment en contactant finAPI (coordonnées au point
1). Vous avez en outre la possibilité de contacter une autorité de contrôle. L’autorité compétente pour finAPI
est le Bayerisches Landesamt für Datenschutzaufsicht (autorité de contrôle de Bavière).
Vous pouvez à tout moment retirer les consentements que vous avez donnés à finAPI. Cela vaut également pour
les consentements accordés avant l’entrée en vigueur du RGPD. Le retrait du consentement n’affecte pas
la licéité du traitement effectué sur la base du consentement jusqu’au retrait.
Nous sommes tenus de vous informer qu’en vertu de l’art. 21, par. 1 RGPD, vous pouvez vous opposer au traitement des données fondé sur l’art. 6, par. 1, points e) et f) RGPD pour des raisons tenant à votre situation particulière. Vous pouvez vous opposer à tout moment, totalement ou partiellement, à l’utilisation de vos données personnelles à des fins de prospection au sens de l’art. 21, par. 2 RGPD. L’opposition peut être formulée librement et doit être adressée à finAPI GmbH, Adams-Lehmann-Straße 44, D-80797 Munich.
Si votre prestataire de services le requiert, après un accès au compte déclenché par vous,
des informations issues de votre compte de banque en ligne peuvent être traitées via notre application au moyen
d’un traitement automatisé
(catégorisation) et transmises à votre prestataire de services, ce qui permet de tirer des conclusions sur votre
situation personnelle et économique (p. ex. revenu moyen, loyer, engagements de crédit,
nombre de rejets de prélèvements). Un traitement automatisé peut également être effectué, pour des services
désignés, via
nos systèmes recourant à des algorithmes d’intelligence artificielle. Ces systèmes sont
mis en œuvre au sein de l’architecture finAPI, c’est-à-dire qu’aucune donnée n’est transmise à des tiers, en
particulier pas à des
fournisseurs d’intelligence artificielle.
Nous ne prenons aucune décision concernant une éventuelle conclusion de produit souhaitée par vous (p. ex.
octroi d’un crédit). Cela relève exclusivement de la responsabilité de votre prestataire de services. Votre
prestataire vous informera
de tout profilage et de toute prise de décision automatisée réalisés de son côté.