Charte relative à la protection des données à caractère personnel des utilisateurs

Dernière mise à jour : 10/06/2024

1. Objet de la présente charte

Lors de votre utilisation de la solution logicielle Shine (ci-après : la « Solution »), ou de votre navigation sur le site www.shine.fr (ci-après le « Site »), nous pouvons être amenés à vous demander de nous communiquer des données à caractère personnel vous concernant.

La présente charte a pour objet de vous informer sur les moyens que nous mettons en œuvre pour traiter vos données à caractère personnel, dans le respect le plus strict de vos droits.

Nous nous engageons à nous conformer, dans le traitement de vos données à caractère personnel, à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa version actuelle (ci-après : la « Loi Informatique et Libertés »), ainsi que le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après : le « RGPD ») (ci-après dénommés ensemble la « Réglementation applicable »).

En clair

Lorsque vous utilisez Shine, nous avons besoin de certaines données personnelles pour assurer le bon fonctionnement de votre compte, ou pour mieux fournir nos services. Cette charte détaille les conditions dans lesquelles nous collectons et traitons vos données personnelles, dont la sécurité est notre priorité. Nous mettons tout en œuvre pour nous conformer à l'ensemble des dispositions du RGPD et des recommandations de la CNIL .

2. Identité et coordonnées de l’entité qui traite vos données

L’entité qui collecte et traite vos données à caractère personnel est la société SHINE, société par actions simplifiée, inscrite au Registre du commerce et des sociétés de Paris sous le numéro 828 701 557, dont le siège social est situé 122 rue Amelot, 75011 Paris (dénommée dans le cadre des présentes : « Nous »).

Nous avons nommé un délégué à la protection des données, dont les coordonnées sont les suivantes : dpo@shine.fr.

Nous intervenons principalement en qualité de responsable de traitement au sens de la Réglementation applicable pour le traitement de vos données personnelles aux fins de fourniture de notre Solution, nos services et lors de votre navigation sur notre Site.

Nous sommes par ailleurs sous-traitants de nos clients dans le cadre des Services d’Assistance aux Professionnels pour les données personnelles traitées via ces services. Les conditions de cette sous-traitance sont décrites dans les conditions générales d’utilisation de la Solution accessibles au lien suivant : https://www.shine.fr/lp/cgu-en-clair/.

En clair

C’est nous, Shine, qui collectons et traitons vos données. Pour certains services, nous collectons des données en votre nom et pour votre compte.

Vous pouvez contacter notre délégué à la protection des données à l’adresse dpo@shine.fr

3. Nature des données à caractère personnel que nous traitons

Dans le cadre de la présente charte, le terme « données à caractère personnel » désigne toutes les données qui permettent d’identifier un individu.

Les catégories de données à caractère personnel que nous traitons sont les suivantes :

  • Des données d’identification, notamment vos nom, prénom, adresses postales et de courrier électronique, numéro(s) de téléphone, lieu et ville de naissance, identifiants fiscaux, document d’identité (passeport, carte nationale d’identité, titre de séjour), combinaison de photographie et vidéo par détection du vivant via une transmission crypté), selfie, justificatif de domicile, résidence fiscale hors de France (le cas échéant, le pays de résidence et l’identifiant national associé), des informations relatives à votre revenu personnel, à votre patrimoine personnel) ;
  • Des données d’authentification lorsque vous accédez à la Solution, notamment vos identifiants, codes d’accès et mots de passe ;
  • Des données relatives à votre activité professionnelle, notamment votre profession, vos numéros de SIRET et de TVA intracommunautaire, votre domaine d’activité, vos actifs, les transactions que vous réalisez dans le cadre de votre activité, les revenus générés par votre activité ;
  • Des données relatives à vos moyens de paiement, notamment vos coordonnées bancaires, identifiant IBAN, coordonnées des comptes-cartes et cartes de paiement ouvertes via la Solution ;
  • Des données relatives à vos transactions dans la Solution, notamment les dates et heures des transactions, données relatives aux factures et contrats générés via la Solution, historique de votre utilisation de nos services. ;
  • Des données relatives à votre connexion à la Solution, notamment votre adresse IP, les logs de connexion, le nombre de connexions, leur durée et leur historique,  ;
  • Des données relatives à votre navigation sur le Site ou la Solution, notamment un identifiant unique, des statistiques de navigation et des données comportementales relatives aux interactions avec nos contenus ;
  • Des données issues des enregistrements des appels téléphoniques entre vous et notre service client, notamment le contenu des appels, leurs dates.

Nous pouvons également être amenés à collecter votre numéro de sécurité sociale, uniquement dans l’hypothèse où vous utilisez notre service « Shine Start » d’accompagnement à votre immatriculation en qualité de micro-entrepreneur, aux strictes fins de sa communication pour votre compte au centre de formalité des entreprises compétent.

Lors de la collecte de vos données personnelles, nous vous informons si certaines données doivent être obligatoirement renseignées ou si elles sont facultatives. Les données obligatoires sont nécessaires pour le fonctionnement des Services. Concernant les données facultatives, vous êtes entièrement libre de les indiquer ou non. Nous vous indiquons également quelles sont les conséquences éventuelles d’un défaut de réponse.

En clair

Cet article détaille quel type de données nous traitons : données d’identification (noms, prénoms…), données d’authentification (pièces d’identité, mots de passe…), données relatives à votre activité professionnelle (numéros de SIRET, professions…), données relatives à vos moyens de paiement (coordonnées bancaires), à vos transactions (mouvements sur votre compte), à vos connexions et enfin à votre navigation sur Shine. Nous vous informons toujours de l’obligation ou non de renseigner ces données, et vous êtes libre de refuser de nous donner certaines informations facultatives.

4. Finalités, base légale des traitements de vos données et durée de conservation

Finalités

Bases légales

Durées de conservations

Gérer et fournir nos services accessibles via la Solution en ce compris les services de gestion des comptes-cartes et des cartes de paiement, et les services proposés par nos partenaires, définis ci-après

Exécution du contrat que vous ou votre société avez souscrit avec Nous

Vos données sont conservées 5 ans à compter de la fin de la relation d’affaires

Effectuer les opérations relatives à la gestion de nos clients concernant les contrats, commandes, factures et suivi de la relation contractuelle avec nos clients

Exécution du contrat que vous ou votre société avez souscrit avec Nous

Les données personnelles sont conservées pendant toute la durée de la relation contractuelle.

En outre, vos données (à l’exception de vos coordonnées bancaires) sont archivées à des fins probatoires pendant une durée de 5 ans.

Concernant les données relatives à votre carte bancaire, elles sont conservées par notre prestataire de service de paiement STRIPE jusqu’au paiement complet ou jusqu’à la résiliation de votre contrat.

Les données relatives au cryptogramme visuel ou CVV2, inscrit sur votre carte bancaire, ne sont pas stockées.

Nous assurer de votre identité dans le cadre d’un processus « Know Your Customer » par une procédure d’identification photo et vidéo par détection du vivant assuré par notre partenaire Safened-Fourthline via un chemin de transmission crypté. A ce titre, nous vous invitons à vous référer aux conditions générales de Safened-Fourthline, que nous vous fournissons au moment de la collecte pour acceptation.

Respect de nos obligations légales (art. 6(1)c. du RGPD)

Votre consentement à la vérification d’identité au moyen de la photo et des vidéos collectées dans le cadre de la procédure d’identification (art. 9(1)a. du RGPD).

Puisque nous sommes un établissement de paiement opérant exclusivement à distance et comme le veut la réglementation, la réglementation nous impose un contrôle à distance de votre identité. De fait, votre consentement est indispensable et ne peut être retiré.

Une fois la procédure d’identification réalisée, vos données personnelles seront conservées aussi longtemps que l’exigent nos obligations légales sur le fondement de l’article 6 (1) c) du RGPD.

Constituer un fichier de membres inscrits, d’utilisateurs, de clients et de prospects

Notre intérêt légitime à développer et promouvoir notre activité

Pour les clients : les données sont conservées pendant toute la durée de la relation contractuelle.

Pour les prospects : les données sont conservées pendant un délai de 3 ans à compter de votre dernier contact.

Adresser des newsletters, sollicitations et messages promotionnels

Notre intérêt légitime à fidéliser et informer nos clients et prospects de nos dernières actualités et/ou votre consentement à recevoir ces sollicitations lorsque celui ci est requis

Les données sont conservées pendant 3 ans à compter de votre dernier contact avec Nous, sauf opposition de votre part ou retrait de votre consentement à recevoir ces sollicitations.

Répondre à vos demandes d’information

Notre intérêt légitime à répondre à vos demandes

Les données sont conservées pendant le temps nécessaire au traitement de votre demande d’information et supprimées une fois la demande d’information traitée.

Élaborer des statistiques commerciales et de fréquentation de nos services

Votre consentement

Les données sont conservées pendant 6 mois à compter de la collecte.

Améliorer nos services

Notre intérêt légitime à améliorer nos services

Les enregistrements des appels téléphoniques sont conservés pendant 6 mois à compter de leur collecte

Les documents d’analyse du contenu des appels téléphoniques sont conservés pendant 1 an à compter de leur collecte.

Toutes les autres données sont conservées pendant 3 ans pour les données des prospects et pendant toute la durée du compte pour les utilisateurs.

Gérer la gestion des avis des personnes sur nos services

Notre intérêt légitime à connaître vos avis sur nos services et les améliorer

Les données personnelles sont collectées pendant 3 ans.

Se conformer aux obligations légales et déclaratives applicables à notre activité, notamment les règlementations bancaires et financières (par exemple, en matière de lutte contre le blanchiment de capitaux et financement du terrorisme, lutte contre la fraude fiscale, lutte contre la corruption, etc.)

Se conformer à nos obligations légales et règlementaires

Pour les factures : les factures sont archivées pendant une durée de 10 ans.

Les données relatives à vos transactions (à l’exception des données bancaires) sont conservées pendant 5 ans.

Les données relatives à la lutte contre le blanchiment de capitaux et le financement du terrorisme sont conservées pendant 5 ans à compter de la fin de notre relation.

Gérer les impayés et les contentieux éventuels quant à l’utilisation de nos produits et services

Notre intérêt légitime à nous ménager toute preuve en cas d’éventuel contentieux

Les données personnelles sont conservées en archives pendant 5 ans à compter de leur collecte.

Gérer les demandes d’exercice de droits

Notre intérêt légitime à répondre à vos demandes et à conserver un suivi de celles-ci

Les données sont conservées pendant 5 ans à compter de la fin de l'année civile de votre demande.

Organisation de la Bourse Shine

Notre intérêt légitime à répondre à étudier votre candidature. Votre consentement à la réutilisation des données à des fins de prospection commerciale et/ou transmission aux partenaires.

Les données personnelles sont conservées pendant 2 ans à compter de la fin de la Bourse Shine.

En clair

Cet article détaille pourquoi nous sommes amenés à traiter vos données personnelles : entre autres, gérer votre compte, vous fournir nos services, vous envoyer des messages promotionnels et newsletters (que vous pouvez refuser de recevoir), nous conformer à nos obligations légales et déclaratives, adapter nos réponses à votre situation lorsque nous vous contactez…

Nous ne traitons vos données que si cela est nécessaire et légitime, notamment aux fins d’exécution du contrat que vous avez conclu avec nous en souscrivant à nos services, si vous y avez consenti, ou si cela nous permet de remplir nos obligations légales.

De plus, cet article détaille également la durée de conservation de vos données (données de votre compte, documents transmis pour ouvrir un compte…).

Nous conservons vos données uniquement pendant la durée de votre utilisation des services Shine, mais nous devrons légalement conserver certaines données au-delà.

Si vous êtes un·e prospect de Shine, c’est-à dire-que vous n’êtes pas client·e, alors nous conservons vos données durant 3 ans après notre dernier contact. 

5. Destinataires des données collectées

Auront accès à vos données à caractère personnel:

  1. le personnel de notre société en charge de la gestion de la Solution,
  2. les services chargés du contrôle (commissaire aux comptes notamment) ;
  3. nos sous-traitants (prestataires de messagerie électronique, outils bureautiques, outils CRM, outils de visualisation de données analytiques, outil de mailing et d’envoi de SMS, prestataires de mesure et analyse d’audience, outils de questionnaires et bots conversationnel en ligne, outils de publicité en ligne, outils de vérification d’identité à distance, outil de suivi des partenariats d’affiliation, outils de facturation des clients, prestataires d’encaissement des paiements par carte, outils de signature électronique, outils de ticketing et suivi des issues internes, prestataires d’hébergement);
  4. notre gestionnaire des comptes de paiement et d’émission de carte, nos gestionnaires de services de paiement (services d’encaissement de fonds ou de virement);
  5. les greffes des tribunaux de commerce si vous utilisez notre service « Shine Start », aux strictes fins de la communication au centre de formalité des entreprises compétent des données vous concernant nécessaires à votre immatriculation en qualité de micro-entrepreneur ;
  6. les études de notaires avec lesquelles nous vous mettons en relation, pour procéder au dépôt de votre capital social ;
  7. des plateformes publicitaires pour vous présenter des publicités personnalisées en fonction de vos centres d’intérêt lorsque vous naviguez dessus ;
  8. nos partenaires LEGALPLACE et LEGALSTART dans le cadre de notre offre groupée de création d’entreprise. Ils agissent en tant que responsable de traitement autonome dans le cadre de ses services.

Par ailleurs, étant affiliés au groupe Société Générale depuis 2020, nous sommes susceptibles de transmettre aux sociétés du groupe des données vous concernant, uniquement lorsque leur intervention est strictement nécessaire au respect de nos obligations légales, telles que visées ci-dessus, ou pour vous permettre de souscrire à des services adaptés à votre situation.

Peuvent également être destinataires de vos données à caractère personnel les organismes publics (notamment les organismes fiscaux et sociaux), à leur demande dans le cadre de sollicitation d’informations ou pour nous conformer à nos obligations légales, les autorités judiciaires et auxiliaires de justice dans le cadre de procédures judiciaires, les officiers ministériels et les organismes chargés d’effectuer le recouvrement de créances.

En clair

Cet article détaille à qui nous transmettons vos données : entre autres, les équipes de Shine, nos partenaires et sous-traitants, certains organismes publics et, dans certains cas, des plateformes publicitaires.

Ces données sont transmises à ces tiers uniquement pour vous permettre de bénéficier de nos services ou de potentielles nouvelles offres (adaptées à votre situation), pour nous permettre de vous contacter et de vous informer plus efficacement, ou bien de remplir nos obligations légales.

6. Cession des données à caractère personnel

Vos données à caractère personnel ne feront pas l'objet de cessions, locations ou échanges au bénéfice de tiers.

CLAIR

Shine ne vend jamais vos données à d'autres entreprises.

7. Sécurité

Nous vous informons prendre toutes précautions utiles, mesures organisationnelles et techniques appropriées pour préserver la sécurité, l’intégrité et la confidentialité de vos données à caractère personnel et notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès. Nous recourrons également à des systèmes de paiement sécurisé conformes à l’état de l’art et à la réglementation applicable.

En clair

La sécurité de vos données est notre priorité. Nous mettons en œuvre toutes les actions nécessaires pour les protéger, et nous faisons régulièrement réaliser des audits par des experts externes.

8. Hébergement et transfert hors Union-Européenne

Nous vous informons que vos données sont conservées et stockées, pendant toute la durée de leur conservation sur les serveurs de la société Google, via son service « Google Cloud », situé dans l’Union européenne.

Dans le cadre des outils que nous utilisons pour fournir nos services, certaines de vos données sont susceptibles de faire l’objet de transferts en-dehors de l’Union Européenne, notamment aux États-Unis, par nos sous-traitants.

Le transfert de vos données dans ce cadre est sécurisé au moyen des outils suivants :

  • Soit ces données sont transférées dans un pays ayant été jugé comme offrant un niveau de protection adéquat par une décision de la Commission Européenne ;
  • Soit les données sont transférées dans un pays dont le niveau de protection des données n’a pas été reconnu comme adéquat au RGPD : dans ce cas ces transferts sont fondés sur des garanties appropriées indiquées à l’article 46 du RGPD, adaptées à chaque prestataire, notamment de façon non exhaustive la conclusion de clauses contractuelles types approuvées par la Commission Européenne, l’application de règles d’entreprises contraignantes ou en vertu d’un mécanisme de certification approuvé;
  • Soit les données sont transférées en vertu de dérogations prévues à l’article 49 du RGPD.

Pour en savoir plus sur l’hébergement et les transferts hors U-E de vos données personnelles, veuillez nous contacter à l’adresse dpo@shine.fr.

En clair

Nous utilisons les services de Google Cloud, situés dans l’Union Européenne, pour conserver vos données. Il peut arriver que certaines de vos données soient transmises à des organismes (certains de nos sous-traitants) en dehors de l’Union Européenne, notamment aux Etats-Unis. Si cela arrive, ces transferts se font uniquement vers des pays proposant un niveau de protection des données jugé équivalent ou sur la base d’un contrat assurant une protection équivalente. Ce n’est jamais le cas pour vos données bancaires.

9. Cookies

Pour plus d’informations sur les cookies, nous vous renvoyons vers notre Politique de Cookies.

En clair

Nous y expliquons notamment quels sont les différents types de cookies, et comment vous pouvez les paramétrer.

10. Accès, rectification et effacement de vos données à caractère personnel

Conformément à la Réglementation applicable, vous disposez du droit d’obtenir la communication et, le cas échéant, la rectification ou l’effacement des données vous concernant, à travers un accès en ligne à votre dossier. Vous pouvez également vous adresser à :

  • adresse de courrier électronique : dpo@shine.fr
  • adresse de courrier postal : 122 rue Amelot - 75011 Paris

Il est rappelé aux personnes dont les données sont collectées sur le fondement de notre intérêt légitime, comme mentionné à l’article « Finalités, bases légales des traitements de vos données et durées de conservation », qu’elles peuvent à tout moment s'opposer au traitement des données les concernant. Nous pouvons toutefois être amenés à poursuivre le traitement s’il existe des motifs légitimes pour le traitement qui prévalent sur vos droits et libertés ou si le traitement est nécessaire pour constater, exercer ou défendre nos droits en justice.

En clair

Vous avez le droit de nous demander la liste des données que nous collectons, et d’en demander la rectification ou la suppression. Pour cela, vous pouvez nous écrire à l’adresse dpo@shine.fr. Il peut arriver exceptionnellement que nous continuions tout de même à conserver vos données personnelles si nous avons une raison légitime ou une obligation légale de le faire. Dans ce cas, nous vous en informerons.

11. Droit de définir des directives relatives au traitement des données après votre mort

Vous disposez du droit de définir des directives relatives à la conservation, à l'effacement et à la communication de vos données à caractère personnel après votre mort.

Ces directives peuvent être générales, c’est-à-dire qu’elles portent alors sur l’ensemble des données à caractère personnel qui vous concernent. Elles doivent dans ce cas être enregistrées auprès d’un tiers de confiance numérique certifié par la CNIL.

Les directives peuvent aussi être spécifiques aux données traitées par notre société. Il convient alors de nous les transmettre aux coordonnées suivantes :

  • adresse de courrier électronique : dpo@shine.fr
  • adresse de courrier postal : 122 rue Amelot - 75011 Paris

En nous transmettant de telles directives, vous donnez expressément votre consentement pour que ces directives soient conservées, transmises et exécutées selon les modalités prévues aux présentes.

Vous pouvez désigner dans vos directives une personne chargée de leur exécution. Celle-ci aura alors qualité, lorsque vous serez décédé(e), pour prendre connaissance desdites directives et nous demander leur mise en œuvre. A défaut de désignation vos héritiers auront qualité pour prendre connaissance de vos directives à votre décès et nous demander leur mise en œuvre.

Vous pouvez modifier ou révoquer vos directives à tout moment, en nous écrivant aux coordonnées ci-dessus.

En clair

Vous pouvez définir et nous communiquer des consignes concernant le traitement ou l’effacement de vos données si vous veniez à décéder. En principe, vos héritier·e·s seront chargés d’assurer l’application de ces consignes, mais vous pouvez désigner une personne spécifique pour s’en occuper.

12. Portabilité de vos données à caractère personnel

Vous disposez d’un droit à la portabilité des données à caractère personnel que vous nous aurez fournies, entendues comme les données que vous avez déclarées activement et consciemment dans le cadre de l’accès et de l’utilisation des services, ainsi que des données brutes générées par votre activité dans le cadre de l’utilisation des services. Nous vous rappelons que ce droit ne porte pas sur les données collectées et traitées sur une autre base légale que le consentement ou l’exécution du contrat nous liant.

Ce droit peut être exercé gratuitement, à tout moment, et notamment lors de la fermeture de votre compte sur la Solution, afin de récupérer et de conserver vos données à caractère personnel.

Dans ce cadre, nous vous adresserons vos données à caractère personnel, par tous moyens jugés utiles, dans un format ouvert standard couramment utilisé et lisible par machine, conformément à l’état de l’art.

En clair

Vous pouvez demander à récupérer vos données personnelles, gratuitement et à tout moment. Nous vous enverrons alors un fichier facilement lisible et accessible avec ces données.

13. Introduction d’une réclamation devant une autorité de contrôle

Vous êtes également informés que vous disposez du droit d’introduire une réclamation auprès d’une autorité de contrôle compétente, (la Commission Nationale Informatique et Libertés pour la France), dans l’Etat membre dans lequel se trouve votre résidence habituelle, votre lieu de travail ou le lieu où la violation de vos droits aurait été commise, si vous considérez que le traitement de vos données à caractère personnel objet de la présente Charte constitue une violation des textes applicables.

Ce recours pourra être exercé sans préjudice de tout autre recours devant une juridiction administrative ou juridictionnelle. En effet, vous disposez également d’un droit à un recours administratif ou juridictionnel effectif si vous considérez que le traitement de vos données à caractère personnel objet de la présente Charte constitue une violation des textes applicables.

En clair

Si vous estimez que le traitement de vos données par Shine n’est pas conforme à la loi, vous pouvez effectuer une réclamation auprès de la Commission Nationale Informatique et Libertés (ou toute autre autorité compétente).

14. Limitation du traitement, droit de retirer votre consentement à tout moment et droit d’opposition

Vous avez le droit d’obtenir la limitation du traitement de vos données personnelles, dans les cas suivants :

  • Pendant la durée de vérification que nous mettons en œuvre, lorsque vous contestez l’exactitude de vos données à caractère personnel,
  • Lorsque le traitement de ces données est illicite, et que vous souhaitez limiter ce traitement plutôt que supprimer vos données,
  • Lorsque nous n’avons plus besoin de vos données personnelles, mais que vous souhaitez leur conservation pour exercer vos droits,
  • Pendant la période de vérification des motifs légitimes, lorsque vous vous êtes opposés au traitement de vos données personnelles.

Pour les finalités fondées sur le consentement, l’article 7 du RGPD dispose que vous pouvez retirer votre consentement à tout moment. Ce retrait ne remettra pas en cause la légalité du traitement effectué avant le retrait.

En vertu de l’article 21 du RGPD, vous avez le droit de vous opposer au traitement de vos données personnelles. Notez toutefois que nous pourrons maintenir leur traitement malgré cette opposition, pour des motifs légitimes ou la défense de droits en justice.

En clair

Cet article détaille les cas dans lesquels vous pouvez demander à limiter le traitement de certaines de vos données (notamment durant des périodes de vérification (si vous nous avez demandé de modifier ou de supprimer vos données), si vous identifiez que le traitement de vos données est illicite), à retirer votre consentement ou à vous opposer aux traitements de vos données.

15. Modifications

Nous nous réservons le droit, à notre seule discrétion, de modifier à tout moment la présente charte, en totalité ou en partie. Vous serez informés par tous moyens écrits utiles de ces modifications, si celles-ci sont substantielles, qui entreront en vigueur à compter de la publication de la nouvelle charte. Votre utilisation de la Solution suite à l’entrée en vigueur de ces modifications vaudra reconnaissance et acceptation de la nouvelle charte. A défaut et si cette nouvelle charte ne vous convient pas, vous ne devrez plus accéder à la Solution.

En clair

Nous pouvons être amenés à modifier cette charte. Vous en serez informé·e, si celles-ci sont substantielles. En continuant à utiliser Shine, vous acceptez notre charte de protection des données. Si celle-ci ne vous convient pas, nous ne pourrons pas continuer à vous proposer nos services. Mais n’hésitez pas à nous écrire pour nous exposer vos raisons et demander des précisions si besoin !