finAPI GmbH (ci-après « finAPI »), Adams-Lehmann-Straße 44, D-80797 München (tribunal judiciaire de Munich, HRB
175250), e-mail : kontakt@finapi.io.
Le délégué à la protection des données de la société finAPI est joignable à l’adresse ci-dessus, à l’attention
du Département de la protection des données ou Par e-mail à l’adresse datenschutz@finapi.io.
a) finAPI est un établissement de paiement supervisé par l’Office fédéral de surveillance du secteur financier
(BaFin).
Avec le service d’information sur les comptes, nous proposons un service qui vous permet de consulter les
informations relatives à votre compte, de les préparer, le cas échéant, en fonction du service souhaité (p. ex.
catégorisation des données comme la détermination des revenus, des frais de location, du nombre de rejets de
débit) et de les mettre ensuite à la disposition de votre prestataire (p. ex. commerçant en ligne, banque
octroyant un crédit, plate-forme de gestion financière, prestataire de contrôles de solvabilité). Pour ce faire,
vous vous connectez à votre banque en ligne via notre interface web. finAPI récupère ensuite les informations
relatives à votre compte auprès de votre banque et transmet au prestataire que vous avez choisi les informations
relatives à votre compte nécessaires à la prestation à fournir.
Avec le service de déclenchement des paiements, nous vous permettons de déclencher des ordres et des opérations
de paiement auprès de votre prestataire de services bancaires. Avant le dépôt, vous pouvez vérifier votre limite
de crédit.
Le traitement de vos données à caractère personnel est nécessaire à la fourniture des services d’information sur
les comptes et de déclenchement des paiements. Ainsi, le traitement des données a pour objectif premier
l’exécution de nos obligations contractuelles à votre égard, en qualité d’utilisateur final ou de personne
intéressée, ainsi qu’à l’égard de nos clients (votre prestataire).
b) En tant qu’établissement de paiement, finAPI est soumis à des exigences prudentielles et à des obligations réglementaires spécifiques, telles que la prévention, la recherche et la découverte de fraudes ou la prévention du financement du terrorisme. Si vous utilisez les services d’information sur les comptes et de déclenchement des paiements de finAPI, nous pouvons également traiter vos données à caractère personnel pour satisfaire à de telles obligations légales. De même, la garantie de la sécurité et des opérations informatiques peut nécessiter le traitement de vos données à caractère personnel. En outre, nous traitons les données consultées dans les limites de la loi et du nécessaire à des fins internes. Ceci concerne le traitement à des fins d’assurance qualité (par exemple la réalisation d’évaluations et d’analyses de nos services), d’amélioration et d’extension de nos services (comme l’apprentissage de la catégorisation des mouvements de compte) et les activités de recherche et de développement de finAPI qui en découlent. En outre, nous traitons vos données à caractère personnel, le cas échéant, pour notre propre gestion des créances ou pour faire la publicité directe de nos propres services. Si vous nous contactez, par exemple par e-mail, nous traitons les données que vous nous transmettez pour traiter votre demande et pour toute correspondance ultérieure. Lorsque cela est possible, nous rendons vos données anonymes ou pseudonymes.
Nous traitons les données à caractère personnel sur la base des lois applicables en matière de protection des
données, notamment les dispositions du règlement général sur la protection des données (RGPD) et de la loi
fédérale sur la protection des données (BDSG), ainsi qu’en conformité avec les dispositions de la loi sur la
surveillance des services de paiement (ZAG).
Nous traitons les données à caractère personnel sur la base de l’article 6, paragraphe 1, point b), du RGPD et
de l’article 59, alinéa 2 de la ZAG, aux fins d’exécution de mesures précontractuelles, d’exécution
d’obligations contractuelles de finAPI à l’égard de nos clients (votre prestataire) et à votre égard en votre
qualité d’utilisateur final ou de personne intéressée. Vous trouverez tous les détails à ce sujet dans notre
accord d’utilisation qui s’applique à votre utilisation de nos services d’information sur les comptes et de
déclenchement des paiements.
En outre, nous traitons vos données dans la mesure strictement nécessaire sur la base de l’article 6, paragraphe
1, point c), du RGPD, afin de satisfaire aux obligations légales, en particulier aux obligations de
surveillance. Conformément à l’article 6, paragraphe 1, point f), du RGPD, nous pouvons traiter vos données à
caractère personnel dans la mesure où le traitement est nécessaire à la sauvegarde des intérêts légitimes de
finAPI ou d’un tiers et où les intérêts ou les droits et libertés fondamentaux de la personne concernée qui
exigent la protection des données à caractère personnel ne prévalent pas. Le traitement des données à caractère
personnel n’a lieu que si cela est autorisé compte tenu de tous les intérêts en présence. L’intérêt légitime du
traitement découle des objectifs mentionnés au point 2.1 et peut par ailleurs être de nature économique.
Les informations relatives à votre compte devant être remises à votre prestataire peuvent, le cas échéant,
contenir des catégories particulières de données à caractère personnel (cf. article 9, paragraphe 1, du RGPD).
Il peut s’agir de données concernant votre origine raciale et ethnique, vos opinions politiques, vos convictions
religieuses ou philosophiques, votre appartenance à un syndicat, des données relatives à votre santé, à votre
vie sexuelle ou à votre orientation sexuelle. Par exemple, il serait possible de tirer des conclusions à partir
des motifs de paiement ou des destinataires des virements. Vous convenez avec votre prestataire de la légitimité
du traitement de ces données pour la fourniture du service.
Vous n’avez aucune obligation de nous fournir des données à caractère personnel. Toutefois, sans vos données, il
nous est impossible d’exécuter le contrat et ainsi de fournir les prestations convenues par contrat.
Nous traitons vos données à caractère personnel dans le cadre de services d’information sur les comptes ou de services de déclenchement des paiements. Les données personnelles générées à cette occasion proviennent des instituts de crédit et de services financiers, des sociétés de cartes de crédit et d’autres fournisseurs de données financières et il est possible d’accéder à ces données dans notre application finAPI uniquement avec votre accord et après que vous vous soyez connecté(e) à votre banque en ligne. Ainsi, l’origine des données peut varier en fonction du service utilisé. L’accès aux comptes nécessitant toujours votre accord, vous connaissez les comptes auxquels finAPI a accès et les données à caractère personnel qu’ils contiennent.
Les destinataires aux fins mentionnées au point 2.1 a) sont les clients de finAPI (à savoir les prestataires que vous avez choisis) domiciliés dans l’Espace économique européen et en Suisse ainsi que, le cas échéant, dans d’autres pays tiers (s’il existe une décision de la Commission européenne constatant le caractère adéquat du niveau de protection ou si des clauses contractuelles types ont été convenues, qui peuvent être consultées sur https://www.finapi.io/datenschutz-dsgvo/). Pour les finalités mentionnées au point 2.1, lettre b), des clients externes de finAPI conformément à l’article 28 du RGPD, ainsi que des services externes et internes de finAPI, peuvent également être des destinataires. En outre, finAPI peut, le cas échéant, transmettre des données clients à des tiers (par ex. des prestataires de services externes, tels que des prestataires de services informatiques, des exploitants d’applications d’utilisateurs finaux basées sur des services finAPI, des entreprises liées telles que SCHUFA Holding AG ou des partenaires commerciaux, ainsi qu’à des établissements gérant des comptes) aux fins mentionnées au point 2.1, lettre b), dans les limites du nécessaire et de la loi. Les données d’accès sensibles permettant d’accéder aux informations relatives à vos comptes auprès de vos prestataires de services bancaires sont transmises par finAPI uniquement à l’établissement gérant le compte concerné, et non à d’autres tiers. finAPI est en outre soumise aux pouvoirs d’intervention légaux des autorités publiques.
Nous conservons les données à caractère personnel pendant une durée déterminée. Le critère déterminant pour la fixation de ce délai est la nécessité. Ainsi, les données à caractère personnel sont conservées et traitées aussi longtemps que nécessaire pour les finalités concernées. Il convient de noter que la relation commerciale avec vous peut être durable et que finAPI traite des données au moins jusqu’au terme de cette relation contractuelle. De plus, il peut exister des obligations de conservation, de documentation et d’information en vertu du droit commercial, fiscal et prudentiel, auxquelles finAPI est tenue de se conformer. En général, ces délais peuvent aller jusqu’à dix ans. En outre, un traitement peut également s’avérer nécessaire pendant une période plus longue, par exemple à des fins de contrôle de la protection des données et de sauvegarde des données, ainsi qu’à des fins de défense en justice. Si les données ne sont plus nécessaires aux fins du traitement, elles sont effacées.
Vous disposez à l’égard de finAPI d’un droit d’accès selon l’article 15 du RGPD, d’un droit de rectification
selon l’article 16 du RGPD, d’un droit d’effacement selon l’article 17 du RGPD, d’un droit de limitation du
traitement selon l’article 18 du RGPD et d’un droit à la portabilité des données selon l’article 20 du RGPD.
Pour faire valoir ces droits, vous pouvez vous adresser à tout moment à finAPI (coordonnées voir point 1). En
outre, il est possible de s’adresser à une autorité de contrôle. L’autorité de contrôle compétente pour la
finAPI est l’Office bavarois chargé du contrôle de la protection des données.
Vous pouvez révoquer à tout moment vos consentements à l’égard de finAPI. Cela s’applique également aux
consentements donnés avant l’entrée en vigueur du RGPD. La révocation du consentement n’affecte pas la licéité
des données à caractère personnel traitées jusqu’à la révocation.
Nous sommes tenus de vous informer que, conformément à l’article 21, paragraphe 1, du RGPD, vous pouvez vous opposer au traitement des données sur la base de l’article 6, paragraphe 1, points e) et f), du RGPD, pour des raisons liées à votre situation particulière. Conformément à l’article 21, paragraphe 2, du RGPD, vous pouvez à tout moment vous opposer à l’utilisation de vos données à caractère personnel à des fins publicitaires, en tout ou en partie. Vous pouvez adresser une opposition informelle à finAPI GmbH, Adams-Lehmann-Straße 44, D-80797 München.
Si le prestataire que vous avez choisi le requiert, il est possible, après un accès au compte que vous avez
déclenché via notre application, de traiter des informations issues de votre compte en ligne (catégorisation) et
de les transmettre à votre prestataire au moyen d’un traitement automatisé des données, ce qui peut permettre de
tirer des conclusions sur votre situation personnelle et économique (p. ex. revenu moyen, loyer, obligations de
crédit, nombre de rejets de débit).
Nous ne prenons aucune décision concernant votre souhait éventuel d’obtenir un produit bancaire (par ex. octroi
d’un crédit). Ceci relève de la seule responsabilité de votre prestataire. Votre prestataire vous informera de
tout profilage et de toute prise de décision automatisée.