Sommaire
- Article 1 - Responsable du traitement
- Article 2 - Définitions
- Article 3 - Principes directeurs
- Article 4 - Catégories de données traitées
- Article 5 - Caractère obligatoire ou facultatif des données
- Article 6 - Sources des données
- Article 7 - Finalités et bases légales
- Article 8 - Données susceptibles de révéler des informations sensibles
- Article 9 - Agrégation bancaire
- Article 10 - Intelligence artificielle
- Article 11 - Décision automatisée et profilage
- Article 12 - Communications et prospection
- Article 13 - Destinataires et sous-traitants
- Article 14 - Transferts hors de l'Union européenne
- Article 15 - Durées de conservation
- Article 16 - Sécurité
- Article 17 - Violations de données
- Article 18 - Vos droits
- Article 19 - Délégué à la protection des données et autorité de contrôle
- Article 20 - Cookies et traceurs
- Article 21 - Mineurs
- Article 22 - Modifications
La protection de vos données à caractère personnel est au coeur de la conception du service Noryo. La présente Politique de confidentialité (ci-après la « Politique ») a pour objet de vous informer, de manière claire, complète et transparente, des traitements de données à caractère personnel mis en oeuvre par Evorax Technologies (ci-après le « Responsable de traitement », « Noryo » ou « nous ») dans le cadre du service Noryo (ci-après le « Service »), ainsi que des droits dont vous disposez.
La présente Politique est établie en application du Règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée. Elle s'applique à l'ensemble des interfaces du Service et constitue le document de référence en matière de protection des données.
Article 1 - Responsable du traitement
1.1 Identité
Le responsable du traitement est Evorax Technologies, exploité sous le numéro SIREN 102 146 594, dont l'identification complète figure dans les Mentions légales.
1.2 Point de contact
Toute question relative à la présente Politique ou à l'exercice de vos droits peut être adressée à legal@noryo.fr. À ce jour, aucun délégué à la protection des données n'est désigné ; l'adresse précitée constitue le point de contact unique en matière de protection des données.
1.3 Champ d'application
La présente Politique s'applique à l'ensemble des traitements mis en oeuvre dans le cadre du Service, quelle que soit l'interface utilisée. Elle ne s'applique pas aux traitements opérés par des tiers disposant de leurs propres politiques, notamment vos établissements bancaires.
Article 2 - Définitions
Définitions
- Donnée à caractère personnel
- toute information se rapportant à une personne physique identifiée ou identifiable.
- Traitement
- toute opération portant sur des données à caractère personnel, quel que soit le procédé utilisé.
- Responsable de traitement
- la personne qui détermine les finalités et les moyens du traitement.
- Sous-traitant
- la personne qui traite des données pour le compte du Responsable de traitement, sur ses instructions.
- Utilisateur
- toute personne physique utilisant le Service ou disposant d'un compte.
- Consentement
- toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle l'Utilisateur accepte un traitement.
- Violation de données
- toute violation de la sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données.
Article 3 - Principes directeurs
Le Responsable de traitement applique les principes suivants : minimisation (seules les données nécessaires sont traitées) ; limitation des finalités (finalités déterminées, explicites et légitimes) ; limitation de la conservation ; exactitude ; intégrité et confidentialité ; et transparence. Ces principes guident chaque décision relative aux traitements mis en oeuvre.
Article 4 - Catégories de données traitées
Les données traitées varient selon les fonctionnalités que vous activez.
4.1 Données d'identification et de compte
Adresse électronique, prénom, langue et devise de préférence, identifiants techniques de compte et préférences d'utilisation.
4.2 Données bancaires
Informations de comptes (identifiants de compte, IBAN, type, devise), soldes, historique des opérations et établissements teneurs de compte, obtenus par l'intermédiaire du prestataire d'agrégation, sous réserve de votre consentement.
4.3 Données documentaires
Documents, reçus et factures que vous importez ou recevez dans votre espace, ainsi que le texte qui en est extrait à des fins d'organisation.
4.4 Données d'usage et données techniques
Journaux de connexion, adresse IP, type et version d'appareil, événements d'utilisation, statistiques d'usage et identifiants techniques nécessaires à la sécurité et au bon fonctionnement du Service.
4.5 Données de facturation
Offre souscrite, statut d'abonnement, historique de facturation et identifiants de paiement, à l'exclusion de tout numéro complet de carte bancaire, traité par les prestataires de paiement.
4.6 Données relatives au foyer
Composition du foyer, rôles des membres et partages de comptes que vous décidez.
4.7 Données relatives à l'assistant intelligent
Questions adressées à l'assistant, contexte transmis pour produire les réponses et, le cas échéant, éléments de mémoire que vous pouvez consulter et supprimer.
4.8 Données de support et de relation
Échanges intervenant dans le cadre des demandes d'assistance et des communications de service.
Article 5 - Caractère obligatoire ou facultatif des données
Certaines données sont nécessaires à la fourniture du Service ou à l'exécution d'obligations légales ; leur absence peut empêcher la création du compte, l'accès à certaines fonctionnalités ou le traitement d'une demande. D'autres données sont facultatives et ne sont traitées que si vous choisissez d'activer la fonctionnalité correspondante. Le caractère obligatoire ou facultatif est, le cas échéant, signalé au moment de la collecte.
Article 6 - Sources des données
Les données proviennent : (i) des informations que vous fournissez directement ; (ii) de l'utilisation du Service ; (iii) du prestataire d'agrégation, sur la base de votre consentement ; et (iv) des prestataires de paiement, pour les seules informations nécessaires à la facturation.
Article 7 - Finalités et bases légales
Chaque traitement repose sur une base légale déterminée, conformément à l'article 6 du RGPD.
FinalitéBase légaleFourniture, exploitation et amélioration du Serviceexécution du contratAgrégation des comptes bancairesconsentementCatégorisation, analyses et assistant intelligentexécution du contrat et intérêt légitimeFacturation et gestion des abonnementsexécution du contrat et obligation légaleSécurité, prévention de la fraude et des abusintérêt légitimeRespect des obligations comptables et fiscalesobligation légaleCommunications non essentiellesconsentement
Lorsqu'un traitement repose sur l'intérêt légitime, le Responsable de traitement veille à ménager un juste équilibre entre cet intérêt et vos droits et libertés, et vous pouvez vous y opposer dans les conditions de l'article 18.
Article 8 - Données susceptibles de révéler des informations sensibles
Le Responsable de traitement ne collecte pas de catégories particulières de données au sens de l'article 9 du RGPD. Toutefois, l'analyse de vos opérations bancaires est susceptible de révéler indirectement des informations relatives, par exemple, à votre santé, à vos opinions ou à vos convictions. Ces informations ne font l'objet d'aucune exploitation spécifique ni d'aucun profilage à des fins autres que l'organisation financière que vous demandez, et bénéficient des mêmes mesures de protection que l'ensemble de vos données.
Article 9 - Agrégation bancaire
9.1 Recours à un prestataire agréé
L'accès aux comptes bancaires est assuré par un prestataire de services d'information sur les comptes agréé, dans le cadre de la deuxième directive sur les services de paiement. Les modalités figurent dans les Conditions d'accès aux comptes.
9.2 Consentement et durée
L'accès repose sur votre consentement explicite, en lecture seule, limité dans le temps et renouvelable au maximum tous les quatre-vingt-dix jours, et révocable à tout moment.
9.3 Identifiants bancaires
Vos identifiants de banque en ligne ne sont jamais communiqués au Responsable de traitement ni conservés par lui.
Article 10 - Intelligence artificielle
10.1 Traitement local
La catégorisation des opérations est d'abord réalisée sur votre appareil, sans transmission réseau.
10.2 Traitement distant
Lorsqu'une assistance distante est nécessaire, seules les informations utiles à la réponse sont transmises au prestataire d'intelligence artificielle établi dans l'Union européenne. Le détail figure dans la Politique de transparence de l'IA.
10.3 Reconnaissance de documents
Les documents reçus par voie électronique dans votre espace peuvent faire l'objet d'une reconnaissance de contenu par ce même prestataire.
Article 11 - Décision automatisée et profilage
Les analyses et catégorisations du Service ne produisent pas d'effet juridique vous concernant ni ne vous affectent de manière significative au sens de l'article 22 du RGPD. Elles demeurent des aides à l'organisation, sous votre contrôle. Vous pouvez à tout moment corriger une catégorisation et solliciter une intervention humaine en écrivant à legal@noryo.fr.
Article 12 - Communications et prospection
Les communications strictement nécessaires au fonctionnement du Service (messages de service, alertes de sécurité, informations contractuelles) vous sont adressées sur le fondement de l'exécution du contrat. Les communications non essentielles, notamment à caractère promotionnel, ne vous sont adressées qu'avec votre consentement, lorsque celui-ci est requis. Vous pouvez retirer ce consentement à tout moment, sans frais, au moyen du lien de désinscription ou en écrivant à legal@noryo.fr.
Article 13 - Destinataires et sous-traitants
Les données sont accessibles aux personnes habilitées au sein de l'organisation du Responsable de traitement et à ses sous-traitants, agissant sur instructions et tenus à la confidentialité. La liste détaillée figure dans le Registre des sous-traitants.
PrestataireRôleLocalisationSupabasebase de données, authentification, stockageUnion européenne (Francfort)Scalewaystockage des documentsFrance (Paris)Vercelhébergement du site et des interfacesÉtats-UnisSendGridenvoi et réception d'e-mailsÉtats-UnisMistral AIassistant intelligent et reconnaissance de documentsUnion européenneStripepaiement par carte (site)Irlande (UE)Appleachats in-app et notifications iOSÉtats-UnisAttoagrégation bancaire (DSP2)Royaume-Uni
Le Responsable de traitement ne vend ni ne loue les données à caractère personnel et n'intègre aucun réseau publicitaire. Les données peuvent en outre être communiquées aux autorités habilitées lorsque la loi l'exige.
Article 14 - Transferts hors de l'Union européenne
14.1 Transferts vers les États-Unis
Les transferts vers des prestataires établis aux États-Unis sont encadrés par les clauses contractuelles types adoptées par la Commission européenne, complétées le cas échéant de mesures supplémentaires appropriées.
14.2 Transferts vers le Royaume-Uni
Les transferts vers le Royaume-Uni bénéficient de la décision d'adéquation de la Commission européenne.
14.3 Information
Vous pouvez obtenir une copie des garanties applicables aux transferts en écrivant à legal@noryo.fr.
Article 15 - Durées de conservation
Les données ne sont conservées que pour la durée strictement nécessaire aux finalités poursuivies, puis supprimées ou anonymisées.
DonnéeDuréeCompte et profildurée du compte, puis effacement sous trente jours après demandeDonnées bancaires et opérationsdurée du compte ; consentement renouvelable au maximum tous les quatre-vingt-dix joursDocuments et fichiersdurée du compte ; éléments en corbeille conservés sept joursDonnées de facturationjusqu'à dix ans (obligations comptables)Supportquatre-vingt-dix jours après clôtureJournaux de sécurité et d'auditjusqu'à douze moisMesure d'audience et statistiquestreize mois au maximum
Article 16 - Sécurité
Le Responsable de traitement met en oeuvre des mesures techniques et organisationnelles appropriées afin de préserver la sécurité, l'intégrité et la confidentialité des données et de prévenir tout accès non autorisé. Ces mesures sont décrites dans la Politique de sécurité.
Article 17 - Violations de données
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, le Responsable de traitement procède aux notifications requises par la réglementation, notamment auprès de l'autorité de contrôle dans les délais légaux et, lorsque la loi l'impose, des personnes concernées.
Article 18 - Vos droits
18.1 Énumération
Vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité, du droit de retirer votre consentement à tout moment, ainsi que du droit de définir des directives relatives au sort de vos données après votre décès.
18.2 Exercice en autonomie
Vous pouvez exporter vos données et supprimer votre compte directement depuis le Service ; la suppression entraîne l'effacement des données sous trente jours, sous réserve des obligations légales de conservation.
18.3 Exercice par demande
Les autres demandes sont adressées à legal@noryo.fr. Le Responsable de traitement peut solliciter des éléments complémentaires afin de vérifier votre identité. Il est répondu dans un délai d'un mois, prorogeable de deux mois pour les demandes complexes, avec information de votre part. La procédure détaillée figure à la page Exercer vos droits.
Article 19 - Délégué à la protection des données et autorité de contrôle
Aucun délégué à la protection des données n'est désigné à ce jour ; le point de contact unique est legal@noryo.fr. Vous pouvez à tout moment introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, 75007 Paris, www.cnil.fr, sans préjudice de tout autre recours administratif ou juridictionnel.
Article 20 - Cookies et traceurs
Le Service n'utilise que des cookies et traceurs strictement nécessaires. Le détail figure dans la Politique de gestion des cookies.
Article 21 - Mineurs
Le Service est destiné aux personnes majeures ayant la capacité de contracter. Un mineur ne peut être présent qu'en qualité de membre « junior » d'un foyer, sous la responsabilité d'un membre adulte.
Article 22 - Modifications
La présente Politique peut être modifiée afin de tenir compte des évolutions légales, réglementaires ou techniques. Les modifications substantielles sont portées à votre connaissance par un moyen approprié. La version applicable est celle en vigueur lors de votre utilisation du Service.