Sommaire
- Article 1 - Définitions
- Article 2 - Cadre réglementaire
- Article 3 - Le prestataire agréé
- Article 4 - Consentement
- Article 5 - Identifiants bancaires
- Article 6 - Catégories de données récupérées
- Article 7 - Révocation du consentement
- Article 8 - Exactitude et disponibilité des données
- Article 9 - Rôles et responsabilités
- Article 10 - Sécurité
- Article 11 - Interruption du service d'agrégation
- Article 12 - Réclamations et recours
- Article 13 - Modifications
Le service Noryo (ci-après le « Service ») permet à l'Utilisateur de connecter ses comptes bancaires afin de les consulter et d'organiser ses finances. Cette connexion repose sur l'agrégation de comptes, communément désignée « open banking », encadrée par la deuxième directive (UE) 2015/2366 sur les services de paiement (DSP2) et ses textes de transposition. La présente politique a pour objet de décrire, de manière complète et transparente, le fonctionnement de cet accès, le rôle de chaque intervenant, les données concernées et vos droits.
Article 1 - Définitions
Définitions
- Prestataire d'agrégation
- le prestataire de services d'information sur les comptes agréé assurant l'accès technique aux comptes.
- Service d'information sur les comptes
- service consistant à fournir des informations consolidées sur un ou plusieurs comptes détenus par l'Utilisateur.
- Consentement d'accès
- l'autorisation explicite donnée par l'Utilisateur à l'accès à ses comptes.
- Authentification forte (SCA)
- procédure d'authentification du client reposant sur au moins deux facteurs indépendants, requise par la DSP2.
- Teneur de compte
- l'établissement bancaire auprès duquel l'Utilisateur détient ses comptes.
Article 2 - Cadre réglementaire
2.1 Principe
L'accès aux comptes de paiement, à la demande de l'Utilisateur, constitue un service d'information sur les comptes soumis à agrément. Cet accès est assuré par un prestataire agréé, dans le respect des exigences applicables, notamment d'authentification forte du client et de sécurisation des échanges.
2.2 Caractère encadré
L'agrégation s'exerce dans les limites fixées par la réglementation : accès limité aux informations de comptes de paiement accessibles en ligne, à l'exclusion de toute initiation de paiement, et subordonné au consentement de l'Utilisateur.
Article 3 - Le prestataire agréé
3.1 Identité
L'agrégation est fournie par The ID Co. Limited (exerçant sous la marque atto.co), société immatriculée en Écosse sous le numéro SC400459, dont le siège est situé 83 Princes Street, Édimbourg, EH2 2ER, Royaume-Uni.
3.2 Agrément
Ce prestataire est agréé par la Financial Conduct Authority au titre des Payment Services Regulations 2017, sous le numéro de référence FRN 798579, en qualité de prestataire de services d'information sur les comptes, et est inscrit à l'Open Banking Directory.
3.3 Rôle d'Evorax Technologies
Evorax Technologies recourt aux services de ce prestataire afin de restituer à l'Utilisateur ses informations de comptes au sein du Service et de proposer ses fonctionnalités d'organisation financière.
3.4 Absence d'agrément propre
Evorax Technologies n'est pas elle-même prestataire de services d'information sur les comptes, ni établissement de crédit ou de paiement, et ne se présente pas comme telle.
Article 4 - Consentement
4.1 Recueil
L'accès aux comptes nécessite le consentement explicite de l'Utilisateur, recueilli par le prestataire au moyen de son interface sécurisée, pour chaque connexion établie.
4.2 Lecture seule
Le consentement porte sur un accès strictement limité à la consultation. Aucune opération de paiement ne peut être initiée par le Service ou par le prestataire au titre de ce service.
4.3 Durée et renouvellement
Conformément à la DSP2, le consentement est limité dans le temps et doit être renouvelé au maximum tous les quatre-vingt-dix jours. À l'approche de l'échéance, l'Utilisateur est invité à renouveler son consentement afin de maintenir l'actualisation des données.
4.4 Authentification forte
L'établissement et le renouvellement de la connexion requièrent l'authentification forte de l'Utilisateur auprès de son teneur de compte, selon les modalités définies par celui-ci.
Article 5 - Identifiants bancaires
Les identifiants de banque en ligne sont saisis directement dans l'interface du prestataire ou de la banque, au moyen d'une redirection sécurisée. Ils ne sont jamais communiqués à Evorax Technologies, ni stockés ni conservés par elle. Evorax Technologies n'a accès à aucun moyen permettant d'initier une opération sur vos comptes.
Article 6 - Catégories de données récupérées
Avec le consentement de l'Utilisateur sont récupérées, aux seules fins d'alimenter les fonctions d'organisation financière du Service :
- les informations relatives aux comptes (identifiants de compte, IBAN, type de compte, devise) ;
- les soldes des comptes ;
- l'historique des opérations (date, montant, sens, libellé, contrepartie le cas échéant) ;
- les informations relatives aux établissements teneurs de compte.
Le traitement de ces données par Evorax Technologies est décrit dans la Politique de confidentialité.
Article 7 - Révocation du consentement
7.1 Modalités
L'Utilisateur peut retirer son consentement et déconnecter un compte à tout moment, depuis le Service, auprès du prestataire ou directement auprès de son teneur de compte.
7.2 Effets
La révocation interrompt l'accès aux nouvelles données pour le compte concerné. Les traitements déjà réalisés demeurent licites. Les données déjà récupérées sont conservées et supprimées dans les conditions prévues par la Politique de confidentialité.
Article 8 - Exactitude et disponibilité des données
Les informations bancaires sont fournies par des tiers, en particulier vos teneurs de compte, et restituées par l'intermédiaire du prestataire. Elles ne sont pas garanties exactes, complètes, continues ou à jour. La disponibilité de l'agrégation dépend notamment des interfaces mises à disposition par les banques, sur lesquelles Evorax Technologies n'exerce aucun contrôle.
Article 9 - Rôles et responsabilités
S'agissant des données de comptes partagées, le prestataire et Evorax Technologies agissent chacun en qualité de responsable de traitement distinct, dans le cadre d'un accord de partage de données déterminant leurs obligations respectives. Chaque partie répond du respect de ses propres obligations au titre de la réglementation applicable à la protection des données.
Article 10 - Sécurité
Les échanges entre le Service, le prestataire et les banques sont sécurisés et authentifiés. Les mesures de sécurité mises en oeuvre par Evorax Technologies sont décrites dans la Politique de sécurité.
Article 11 - Interruption du service d'agrégation
L'agrégation peut être temporairement indisponible, notamment en cas de maintenance, d'évolution des interfaces bancaires ou d'expiration du consentement. Une telle indisponibilité n'affecte pas l'accès aux données déjà restituées et ne saurait, à elle seule, engager la responsabilité d'Evorax Technologies.
Article 12 - Réclamations et recours
Toute réclamation relative à la connexion bancaire peut être adressée à legal@noryo.fr. Selon la nature de la réclamation, l'Utilisateur peut également s'adresser au prestataire agréé, à son teneur de compte, ou aux autorités compétentes. L'Utilisateur consommateur dispose en outre des voies de médiation décrites dans les Conditions générales de vente.
Article 13 - Modifications
La présente politique peut être mise à jour pour tenir compte des évolutions réglementaires, techniques ou des prestataires. La version applicable est celle en vigueur lors de l'utilisation du Service.