4. Protection des données
Le traitement des données personnelles est nécessaire pour pouvoir fournir les services proposés dans l’application BCV TWINT, comme le traitement des transactions, la vérification de la solvabilité, les informations sur la disponibilité du service, la lutte contre la fraude ou le traitement des réclamations et des remboursements ainsi que pour se conformer aux prescriptions légales et réglementaires. Si le Client ne veut pas fournir ces informations, il ne peut pas utiliser l’application BCV TWINT.
4.1. Champ d’application
La protection des données et la sécurité des données sont une priorité pour la BCV et ses partenaires. Dans le présent chapitre 4 «Protection des données», le Client est informé du traitement et des flux de données lorsque, via l’application BCV TWINT, il paie les commerçants, transfert de l’argent entre particuliers et utilise les services à valeur ajouté.
Dans le cadre de l’application BCV TWINT, la BCV collabore notamment avec la société TWINT SA qui a son siège à Zurich (ci-après «TWINT SA»), la société Swisscom SA (ci-après «Swisscom») dont le siège est à Ittigen ainsi que la société SIX Payment Services SA (ci-après «SIX») qui a son siège à Zurich.
TWINT SA, en tant qu’exploitante du système TWINT, est responsable du déroulement des paiements effectués via BCV TWINT et de la fourniture de prestations pour les offres et les cartes client (voir chapitre 3 «Services à valeur ajoutée»). Swisscom développe et met à disposition de la BCV l’application BCV TWINT ainsi que des interfaces vers TWINT SA et SIX nécessaires au bon fonctionnement de l’application BCV TWINT.
À cet effet, la BCV a conclu avec TWINT SA, Swisscom et SIX différents contrats pour la mise à disposition et l’exploitation de l’application BCV TWINT, dont le contenu est également imposé aux éventuels sous-traitants dûment mandatés.
En ce qui concerne la collecte, le traitement, la communication et l’utilisation des données personnelles de ses clients, la BCV et ses mandataires, ainsi que leurs éventuels sous-traitants, sont soumis au respect de la loi fédérale sur les banques ainsi qu’au droit suisse sur la protection des données (notamment la loi fédérale sur la protection des données [LPD] ainsi que de son ordonnance d’application [OPD]). La BCV est responsable envers le Client d'un traitement des données conforme aux dispositions légales et réglementaires suisses.
La BCV est responsable vis-à-vis du Client d’assurer que les données soient collectées et exploitées par TWINT SA et ses autres partenaires ainsi que leurs éventuels sous-traitants dûment mandatés en conformité avec les dispositions légales et réglementaires, notamment la LPD selon les dispositions énoncées dans le présent chapitre 4 «Protection des données».
Les données personnelles des clients bancaires qui sont transmises à TWINT SA dans le cadre du transfert d’argent entre particuliers sont le nom et prénom de la personne qui transfert l’argent, ainsi que le numéro de téléphone de celle qui le reçoit. Lors de paiements vers des commerçants, aucune donnée personnelle n’est transmise. Si le Client souhaite profiter d’offres personnalisées (sur la base d’un accord explicite du client – opt-in), la BCV transmet à TWINT SA également le numéro postal du domicile, la date de naissance et le genre.
La BCV propose des services à valeur ajoutée via l’application BCV TWINT. Dans ce cadre, la BCV peut notamment proposer des coupons et des cartes de fidélité destinés au client via l’application BCV TWINT, sur laquelle le client peut les consulter, les gérer et les utiliser. En outre, la BCV transmettra les données personnelles du client nécessaires pour l’utilisation de la fonction « Payer plus tard ».
La BCV peut proposer des services à valeur ajoutée elle-même, ensemble avec des tiers, ou ceux des tiers uniquement. La diffusion, l’affichage, la gestion et l’utilisation des services à valeur ajoutée proposés uniquement par des tiers présupposent que le Client donne son accord explicite sur l’application BCV TWINT (opt-in). Le Client accepte ainsi expressément de recevoir ces offres de tiers et la transmission de certaines de ses données personnelles pour l’utilisation de ces services.
Par ailleurs, le Client consent à ce que ses données puissent être communiquées par la BCV à TWINT SA et/ou à ses autres partenaires, dans la mesure où la fourniture de la prestation BCV TWINT l’exige, ainsi qu’à d’autres tiers s’il s’agit de préserver les intérêts justifiés de la BCV et de ses partenaires, notamment lorsqu’il y a l’obligation légale de fournir des renseignements, lors de recouvrements de créances ou d’actions en justice.
Avec la Déclaration de confidentialité et les présentes CU, le Client est dûment informé sur la collecte, le traitement, la communication et l’utilisation de ses données lors de l’installation et de l’utilisation de l’application BCV TWINT ainsi que pour les services à valeur ajoutée s’il a choisi d’y souscrire, et il accepte cette procédure.
4.2. Recours à des tiers
Le Client consent expressément à ce que la BCV et TWINT SA aient le droit de recourir à des tiers mandataires (p.ex. un fournisseur de services de paiement) pour la fourniture de leurs prestations et de leur communiquer uniquement des données personnelles du Client nécessaires à l’accomplissement de leur mandat. La BCV et TWINT SA ont l'obligation de sélectionner, instruire et contrôler soigneusement ces mandataires.
Le tiers mandaté peut utiliser les données uniquement au nom de la BCV et de TWINT SA conformément à la déclaration de protection des données. Une utilisation des données aux propres fins du tiers est interdite.
4.3. Utilisation des données personnelles dans le cadre de l’application BCV TWINT et ses services
Le Client est conscient, en s’enregistrant sur l’application BCV TWINT, que les informations demandées pour la fourniture du service sont transmises à ses partenaires, et y consent.
4.4. Informations transmises lors du paiement avec l'application BCV TWINT
Lorsque le Client effectue un paiement via l’application BCV TWINT à un POS auprès d’un Commerçant, une connexion est établie entre l’application BCV TWINT du Client et le Commerçant.
TWINT SA et la BCV ne reçoivent aucune indication sur le contenu du panier.
Sans accord exprès du client, la BCV et TWINT SA ne transmettent aucune donnée à caractère personnel au Commerçant impliqué et/ou à des tiers, sauf si le transfert est réglementé conformément aux articles 4.5 ou 4.8.
4.5. Enregistrement de cartes client
Selon l’article 3.2., le Client a la possibilité d’enregistrer des cartes client dans l’application BCV TWINT. En enregistrant sa carte client, le Client donne son accord exprès quant à l'utilisation de sa carte client. Celle-ci sera par la suite automatiquement incluse dans le processus de paiement via l’application BCV TWINT, dans la mesure où cela a été rendu techniquement possible par l’émetteur de la carte concernée. Le Client peut désactiver en tout temps l’utilisation de sa carte client dans l'application BCV TWINT.
Le déroulement du paiement s’effectue selon le détail des articles 2.3 et 2.4.
Lorsqu’une carte client est enregistrée dans l’application BCV TWINT, qu’un paiement est effectué avec ladite application et que le Client reçoit un quelconque avantage (points, rabais, etc.) en utilisant la carte client, l'émetteur de cette dernière ou un tiers dûment mandaté par lui reçoit les mêmes données qu'en cas de présentation de la carte physique.
TWINT SA transmet au Commerçant concerné ou au tiers que ce dernier a mandaté le numéro d’identification de la carte client et, selon la carte utilisée, également les données de base relatives au paiement, telles que le moment, le montant et les éventuels rabais ou points accordés pour l'utilisation de la carte client. L’utilisation de ces données par le Commerçant concerné s’effectue exclusivement sur la base des relations contractuelles entre le Client et le Commerçant, le cas échéant entre le Client et le tiers mandaté par ledit Commerçant.
Les données personnelles traitées dans le but d'afficher ou de transmettre des cartes de fidélité sont supprimées si la carte est effacée dans l'application TWINT.
4.6. Fonctions partenaires (anciennement TWINT+)
Dans l’application BCV TWINT, le Client peut acheter directement des marchandises et des services (p.ex. super deals ou bons numériques) ou d’autres offres (p.ex. stationnement). Ces offres sont proposées par des tiers prestataires. Par conséquent, leurs conditions contractuelles et leur politique de confidentialité sont applicables.
4.7. Fonction «Payer plus tard»
Cette prestation est proposée par un partenaire de crédit de TWINT SA via l’application BCV TWINT pour payer plus tard une marchandise ou un service commandé. Dans le cadre de la procédure d’enregistrement auprès du partenaire de crédit et pour utiliser ce service, le Client autorise la BCV à transmettre à TWINT SA les données suivantes le concernant: nom, prénom, domicile, date de naissance, numéro de téléphone, langue configurée sur l’appareil et le nom de sa banque et relève ainsi la BCV du secret bancaire. Le Client peut à tout moment désactiver ce service dans BCV TWINT, sous réserve du respect des conditions contractuelles qui le lie avec le partenaire de crédit.
4.8. Fins de marketing – offres d’émetteur et offres à valeur ajoutée d’émetteur
Les données de transaction du Client sont évaluées par TWINT SA et la BCV afin de créer des segments de clientèle et d’afficher des campagnes de marketing mobile plus pertinentes. Il s'agit notamment de données et d'informations concernant le Commerçant (et son activité, p.ex. alimentaire, et son emplacement physique), le moment de la transaction, le type de paiement (p.ex. en magasin, sur internet) et le montant. En outre, les offres que le Client consulte, active et utilise dans l'application BCV TWINT sont saisies et évaluées. D'autres données de transaction, notamment le contenu du panier, ne sont pas évaluées.
En utilisant l'application BCV TWINT, le Client accepte que TWINT SA et la BCV analysent les données de transaction et puissent lui afficher des offres personnalisées dans l'application BCV TWINT sur la base du comportement d'utilisation analysé.
Pour le Client qui donne, sur l’application BCV TWINT, l'accès à la fonctionnalité de localisation de son téléphone mobile, la localisation est également transmise à TWINT SA lors de l'utilisation active de l’application BCV TWINT (par exemple pour montrer les places de parc à proximité dans la Fonction partenaire Parking). La localisation n'est pas transmise lorsque l’application BCV TWINT se trouve en arrière-plan ou est fermée. L'accès de l'application BCV TWINT à la localisation peut être activé ou désactivé dans les paramètres du système d'exploitation du téléphone mobile. Les données de localisation ne sont enregistrées que de manière imprécise (rayon de 16 km) et elles sont supprimées au plus tard après six mois.
Dans le menu correspondant de l’application BCV TWINT, le Client peut également transmettre (opt-in) à TWINT SA d'autres données qui peuvent être utilisées pour un affichage personnalisé accru des offres. Il s'agit des données relatives à la date de naissance, au code postal du lieu de résidence et au genre. TWINT SA n’a pas accès à d’autres informations du Client.
4.9. Fins de marketing - offres des tiers
Le Client doit consentir explicitement (opt-in) lorsqu’il souhaite recevoir des offres de prestataires tiers sur l'application BCV TWINT, à les activer et à en faire usage (voir article 3.1.1). En donnant son consentement (opt-in), le Client autorise aussi TWINT SA à collecter, évaluer et utiliser ces données pour personnaliser également des offres de tiers.
Ce consentement (opt-in) peut être donné ou retiré (opt-out) par le Client au moment de l'installation de l'application BCV TWINT et/ou ultérieurement à tout moment en modifiant les paramètres dans l'application BCV TWINT.
Même en cas de consentement (opt-in) par le Client, la BCV et TWINT SA ne transmettent aucune donnée personnelle du Client au Commerçant et/ou à des tiers, à moins que le Client n’y ait expressément consenti dans l’application BCV TWINT (voir article 4.5). Le Commerçant concerné par le paiement via l’application BCV TWINT a uniquement accès aux données rendues anonymes.
Afin de permettre l’utilisation automatique des offres visant à obtenir un rabais ou un avantage pécuniaire, des données doivent être échangées entre le système TWINT et le Commerçant.
Les données transmises dépendent du système dans lequel l’offre est utilisée et du rabais, respectivement de l’avantage pécuniaire.
Lors de l’utilisation des offres dans le système du Commerçant, TWINT SA transmet au commerçant le numéro d'identification de l’offre. Le Commerçant calcule l’éventuel rabais ou autre avantage pour le Client. Le Commerçant reçoit, en l’occurrence, les mêmes informations que si le Client présentait le numéro d’identification de l’offre. par exemple sous forme d’un code-barres.
Le fait que le Commerçant transmette des données supplémentaires à TWINT SA (p. ex. des informations sur l’utilisation des offres qui ont été transmises préalablement par TWINT aux commerçants ou des détails d’un panier lors d’un achat sur la base duquel des offres peuvent être utilisées dans le système TWINT) est régi exclusivement par la relation contractuelle entre le Commerçant et le Client. Le Commerçant est responsable de traiter les données du Client conformément au contrat qui le lie avec le Client et de disposer des autorisations nécessaires.
4.10. Collecte et utilisation de données pour améliorer l’application BCV TWINT
TWINT SA collecte et utilise des données pour la mise à disposition et l’amélioration du système TWINT. Il s'agit, d’une part, de données auxquelles l’application BCV TWINT est autorisée à accéder conformément aux paramètres que le Client a configurés sur son téléphone mobile (p. ex. appareil photo et lieu sur Android) et, d’autre part, de données et informations techniques recueillies dans le cadre de l’utilisation de l’application BCV TWINT (se référer à l’article 4.11 «Google Firebase» ci-dessous).
TWINT SA utilise ces données personnelles exclusivement pour la mise à disposition et le perfectionnement de ses propres services et ne les transmet jamais aux clients commerciaux et/ou à des tiers sans consentement exprès du Client.
4.11. Google Firebase
TWINT SA utilise Google Firebase de Google Inc. (ci-après «Google») dans l’application BCV TWINT pour analyser le comportement du Client à des fins d’optimisation de l’application pour le Client.
Le Client a la possibilité de désactiver à tout moment dans les réglages, la collecte et la communication des données d’utilisation à Google dans l’application BCV TWINT.
Les informations suivantes sont collectées et communiquées aux serveurs Google aux États-Unis lors de l’utilisation de l’application BCV TWINT:
- Un identifiant analytique: valeur aléatoire qui permet à TWINT SA d’identifier le Client.
- Un identifiant de l’appareil: valeur aléatoire qui identifie l’appareil utilisé et qui permet à Google de résumer les événements envoyés lors d’une session de l’appareil.
- Les données clés de l’appareil: marque, type, écran, mémoire.
- Les informations sur le système d’exploitation: iOS ou Android et version utilisée.
- La version installée de l’application BCV TWINT.
- Le type et la version du navigateur internet utilisé.
- L’adresse IP du téléphone mobile du Client y ayant accès: anonymisée, afin qu’une attribution à l’utilisateur concerné ne soit plus possible.
Ces données sont stockées aux États-Unis. Google s’est engagé à utiliser ces données pour produire des rapports sur l’utilisation de l’application BCV TWINT et pour fournir d'autres services relatifs à l'utilisation de l'application BCV TWINT.
Le Client est conscient que Google transmettra, le cas échéant, ces informations à des tiers, dans la mesure où cela est autorisé par la loi ou lorsque ces tiers traitent ces données pour le compte de Google. Les lois américaines protègent moins les données personnelles que les lois suisses. Par souci d’exhaustivité, l’attention est attirée sur le fait qu’aux États-Unis, des mesures de surveillance ont été mises en place par les autorités américaines et que ces mesures de surveillance permettent de manière générale l’enregistrement de toutes les données personnelles de l’ensemble des personnes dont les données ont été transférées de la Suisse ou de l’Union européenne vers les États-Unis. Ce processus s’effectue sans différenciation, restriction ou exception fondée sur le but poursuivi et sans qu’aucun critère objectif ne permette de limiter l’accès et l’utilisation ultérieure des données par les autorités américaines à des fins strictement limitées qui permettraient de justifier tant l’accès à ces données que des interventions liées à leur utilisation. Aux États-Unis, il n’existe, pour les personnes concernées en provenance de Suisse, aucune voie de droit permettant d’avoir accès aux données les concernant et d’obtenir leur rectification ou supression, ni de protection juridictionnelle efficace contre les droits d’accès généraux des autorités américaines. Le Client doit connaître cette situation de droit et de fait afin qu’il puisse prendre une décision en toute connaissance de cause sur le consentement relatif à l’utilisation de ses données.
En aucun cas Google ne pourra mettre l'adresse IP du Client en relation avec d'autres données de Google.
4.12. Microsoft App Center
Dans l’application BCV TWINT, la BCV utilise la solution App Center de Microsoft Corporation («Microsoft») pour la transmission de rapports d’erreur dans le but de perfectionner continuellement l’application BCV TWINT. Les informations sur les erreurs de l’application BCV TWINT collectées par App Center sont transmises aux serveurs de Microsoft aux États-Unis et y sont stockées. Ces données sont évaluées par Microsoft afin d’établir des rapports d’erreurs et de fournir d’autres services liés à l’analyse des problèmes de l’application TWINT. Des informations détaillées sur le type de données et leur utilisation figurent dans la politique de confidentialité de Microsoft disponible à l’adresse suivante: https://privacy.microsoft.com/fr-fr/privacystatement.
4.13. Conservation et suppression des données personnelles
Si l’application BCV TWINT n’est pas utilisée pendant deux ans, la BCV ou TWINT SA partent du principe que le Client a supprimé l’application BCV TWINT. Dans ce cas, les données personnelles du Client enregistrées sur l’application BCV TWINT ou auprès de TWINT SA sont supprimées ou rendues anonymes.
Si le Client renonce ultérieurement par un opt-out aux offres personnalisées, tous les coupons, cartes de fidélité et autres offres activés dans le système TWINT seront définitivement supprimés après six mois ou rendus anonymes. Le Client ne pourra plus bénéficier des éventuels avantages et réductions qui y sont associés via l’application BCV TWINT.
Les données personnelles du Client enregistrées auprès de TWINT SA sont supprimées ou anonymisées lorsqu’elles ne sont plus nécessaires pour la fourniture des services et au plus tard quatre ans après leur enregistrement.
Demeurent réservés toutefois les délais légaux de conservation plus longs qui doivent être respectés par la BCV, TWINT SA et leurs partenaires.
4.14. Droit d’accès et d’information
Pour toute question concernant le traitement des données personnelles, le Client peut prendre contact avec la BCV par téléphone au 0844 228 228 ou sur bcv.ch/twint.
4.15. Communication avec le Client
Pour tout type d’information ou problème technique en relation avec sa prestation BCV TWINT, la BCV se réserve le droit de communiquer avec le Client par le moyen qu’elle juge approprié (par ex. SMS, e-mails, notification push). La transmission de SMS, d'e-mails et de notifications push n'est pas cryptée et comporte notamment les risques suivants: les données peuvent être interceptées et consultées par des tiers. La banque est alors visible en tant qu'expéditeur. Cela permet à la tierce personne de reconnaître l'existence d'une relation avec la BCV. En conséquence, le Client relève la BCV du respect du secret bancaire y relatif.