Politique de confidentialité &
Gestion des données personnelles

Données collectées

Selon les services utilisés, plusieurs catégories de données peuvent être collectées et traitées via nos outils et plateformes.

Données collectées et utilisées directement par Ciss :
informations de compte administrateur et d'utilisateur (nom, prénom, identifiant, mot de passe chiffré, coordonnées), données liées à la facturation et à la relation contractuelle, données techniques nécessaires au fonctionnement et au support du service (adresse IP, logs d’authentification, paramètres techniques, journaux de connexion), ainsi que des données marketing et de communication lorsque nous utilisons nos propres outils pour vous adresser des informations, offres ou newsletters.

Données collectées via nos solutions pour le compte de nos partenaires :
Ces données peuvent inclure, selon les fonctionnalités activées par le partenaire :

• Données de compte : nom, prénom, identifiant, coordonnées, date de naissance
• Données de portefeuille : cartes, RIB, justificatifs d’identité
• Données transactionnelles : historiques d’achats, paiements, fidélité
• Données marketing : coupons, remises, historique d’utilisation
• Données techniques : terminal utilisé, système d’exploitation, langue, préférences d’application
• Données de géolocalisation : uniquement avec votre accord explicite, et non conservées au-delà de la session

Dans ce cadre, les partenaires sont les responsables du traitement, et Ciss agit uniquement en qualité de sous-traitant, conformément à l’article 28 du RGPD.

Finalités des traitements

Les données collectées via nos services peuvent être utilisées pour différentes finalités, selon que le traitement est réalisé directement par Ciss ou par nos partenaires.

Finalités gérées directement par Ciss :
- gestion des comptes administrateurs et des comptes utilisateurs,
- authentification des utilisateurs et gestion sécurisée des accès aux services,
- gestion contractuelle et facturation,
- assistance et support technique,
- sécurisation de nos plateformes et journalisation des accès,
- communication et actions marketing menées par Ciss au moyen de ses propres outils (envoi de newsletters, d’offres ou d’informations relatives à nos services),
- fourniture, exploitation et amélioration de nos services,
- gestion de la relation client.

Finalités gérées par nos partenaires :
- fourniture de leurs propres services à destination des utilisateurs,
- gestion de la relation client,
- opérations marketing ou promotionnelles à destination de leurs propres utilisateurs,
- sécurisation des accès et des transactions liées à leurs services.
Dans ce cadre, Ciss agit uniquement en qualité de sous-traitant.

Destinataires

Dans le cadre de nos activités, deux situations doivent être distinguées :

1. Données collectées directement par Ciss :
Certaines données (ex. création de compte administrateur, gestion de la relation contractuelle, facturation, support) sont traitées par Ciss en qualité de responsable de traitement.
Leur accès est strictement limité aux personnes habilitées de Ciss, soumises à une obligation de confidentialité.
Ces données peuvent également être accessibles, dans la stricte limite de leurs missions, à certains prestataires techniques agissant pour le compte de Ciss (hébergement, maintenance, sécurité), eux-mêmes soumis à des obligations contractuelles de confidentialité et de protection des données.

2. Solutions et services fournis à nos partenaires :
Les entreprises qui utilisent nos solutions restent seuls responsables du traitement des données de leurs propres clients.
La société Ciss intervient exclusivement en qualité de sous-traitant, conformément à l’article 28 du RGPD, et agit uniquement sur instruction documentée de ses partenaires.
Dans ce cadre, les données ne sont jamais utilisées par Ciss pour son propre compte et ne sont transmises à aucun tiers non autorisé.

Lorsque l’utilisateur choisit d’accéder à un service tiers via l’authentification mySafe, certaines données personnelles peuvent être transmises au service concerné, dans la stricte mesure nécessaire au fonctionnement du service demandé ou aux fonctionnalités activées, et conformément aux autorisations accordées par l’utilisateur.

Durée de conservation

Les données sont conservées uniquement pour la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, ou pour la durée prévue par la loi lorsque cela est requis.

• Données de compte : pendant la durée de votre compte + 3 ans après inactivité.
• Données transactionnelles : pendant la durée de la relation contractuelle + obligations légales (ex. conservation comptable 10 ans).
• Données marketing : 3 ans après le dernier contact.
• Données de géolocalisation : uniquement pendant l’utilisation du service.
• Données de sécurité et journaux d’authentification : conservées pendant 12 mois maximum afin de garantir la sécurité des services et permettre l’analyse d’incidents.

Transferts hors Union européenne

Vos données sont hébergées en France, dans des datacenters certifiés Tier III minimum.
Elles ne font l’objet d’aucun transfert hors Union européenne.

Vos droits

Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants : droit d’accès, droit de rectification, droit d’effacement, droit à la limitation, droit d’opposition, droit à la portabilité, ainsi que le droit de retirer votre consentement à tout moment lorsque le traitement est fondé sur celui-ci.

Si vos données sont collectées directement par Ciss (ex. création de compte administrateur, gestion contractuelle, facturation, support) :
Vous pouvez exercer vos droits en contactant :
Service Protection des Données
Ciss, 77-79 rue de Sèze, 69006 Lyon
E-mail :

Si vos données sont collectées dans le cadre d’un service fourni par un partenaire , vous devez vous adresser directement à ce partenaire, qui est le responsable du traitement de vos données.

Enfin, vous disposez toujours du droit d’introduire une réclamation auprès de la CNIL (3 place de Fontenoy, TSA 80715, 75334 Paris CEDEX 07).

Cookies et traceurs

Nos sites et applications n’utilisent aucun cookie tiers à des fins publicitaires, analytiques ou de suivi.

Seuls des traceurs techniques strictement nécessaires à votre navigation et au bon fonctionnement des services peuvent être utilisés.

Ils ne collectent aucune information personnelle identifiable et ne nécessitent pas de consentement préalable.

Sécurité des données

Le service mySafe est conçu selon les principes de sécurité par conception (security by design) et de protection des données par défaut (privacy by default). Seules les données strictement nécessaires au fonctionnement du service et aux fonctionnalités activées par l’utilisateur sont collectées et traitées.

Nous mettons en place toutes les mesures techniques, organisationnelles et physiques nécessaires pour protéger vos données contre toute perte, altération ou accès non autorisé, notamment :

• Gestion des habilitations
• Authentification renforcée
• Journalisation et supervision des accès
• Chiffrement des données (TLS/SSL, IPSec)

Modifications

La présente politique de protection des données peut être modifiée à tout moment pour refléter les évolutions légales, techniques ou organisationnelles.
Dernière mise à jour : 1er octobre 2025.