Politique de confidentialité de May

Préambule

Le respect de la vie privée est une priorité pour May et ses partenaires. Cette politique de confidentialité vise à vous informer en toute transparence sur les traitements de données personnelles réalisés dans le cadre de nos services et des droits dont vous disposez quant à ces traitements. A travers cette politique, nous espérons vous fournir toutes les informations nécessaires et nous nous engageons à répondre dans les plus brefs délais à vos demandes relatives aux données personnelles.

May s’engage à ce que l’ensemble des vos données personnelles soient traitées conformément à la Réglementation relative à la protection des données personnelles (Loi Informatique et Libertés du 6 janvier 1978 et Règlement Général sur la Protection des Données).

May s’engage par ailleurs à exiger de ses partenaires un même niveau de conformité à la Règlementation.

1. Identité du responsable de traitement

Le responsable des traitements opérés dans le cadre de nos services est May, société par actions simplifiée, immatriculée au RCS de Paris sous le numéro 913 425 633.May est joignable aux coordonnées suivantes :


Dans le cadre de l’exécution de certains traitements, nous sommes sous-traitants ou responsables conjoints avec nos clients et/ou Partenaires.

2. Délégué à la protection des données

Vous pouvez contacter notre Délégué à la protection des données à l’adresse dpo@may.fr afin d’exercer vos droits ou pour toute autre demande concernant notre conformité au RGPD.

3. Les données traitées dans le cadre de nos activités :

a) Les données traitées lors de la navigation sur le site de May

Lors de la navigation sur le site May.fr, certaines données personnelles sont traitées, collectées par le biais des différents formulaires ou grâce à la technologie des cookies :

  • Données d’identification (identifiant, nom, prénom,)
  • Coordonnées (mail, téléphone)
  • Données cookies (lesquels permettent notamment de remonter l’adresse IP)

b) Les données traitées dans le cadre des services May :

Dans le cadre des Services fournis par May (notamment à travers son application) sont traitées les données suivantes :
Des données d’identification :

  • ID May,
  • Nom, prénom
  • Adresse IP (traitée uniquement à des fins de sécurisation des connexions),
  • Adresse email, professionnelle ou personnelle,
  • Adresse postale personnelle,
  • Date de naissance,
  • Données de connexion.


Des données transactionnelles : celles-ci sont collectées indirectement et nous sont transmises par Bridge/Bankin’ au moment de la synchronisation de votre compte bancaire par le biais du module Bridge au sein de l’application, lors de la première connexion.
Les données transactionnelles ainsi collectées et traitées sont :

  • RIB/IBAN (identifiants bancaires)
  • Noms des comptes de dépôts
  • Historique des transactions du compte synchronisé
  • Modalités de paiement et état du paiement
  • Informations liées aux transactions : libellés, dates, montants, nom du vendeur, catégories du vendeur, devise, etc.)


Données professionnelles, transmises par votre employeur ou par votre Comité Économique et Social, ayant souscrit un contrat avec May :

  • Poste occupé au sein de l’entreprise.
  • Type de contrat de travail
  • Nombre de jours travaillés
  • Télétravail ou pas
  • Adresse email professionnelle

4. Finalités et fondements des traitements :

May s’engage à ne traiter vos données que pour les finalités décrites dans la présente section et sur la base des fondements qui y sont énumérés, de manière adéquate, pertinent et strictement nécessaire aux objectifs poursuivis :

Vous fournir le service de remboursement de vos avantages salariés pour le compte de votre employeur/CSE.
Cette finalité recouvre les opérations d’analyse de vos transactions (automatique et manuelle), d'entrainement de modèles d'apprentissage automatique, afin de pouvoir identifier les dépenses éligibles au remboursement.
Elle concerne aussi l'analyse de l'utilisation de l'application à des fins de développement stratégique et produit. Fondement juridique : exécution du contrat conclu avec vous (art 6§1 b), RGPD).

Vous tenir informé au sujet des nouveautés concernant le service May et vous adresser des courriers commerciaux concernant nos offres et services (il vous sera toujours offert la possibilité de vous opposer à la réception de ces communications). Fondement juridique : l'intérêt légitime de May (art. 6§1 f) RGPD).

Vous informer au sujet des remboursement de vos avantages et des provisions versées par votre employeur. Fondement juridique : exécution du contrat conclu avec vous.

Répondre à nos obligations législatives et réglementaires.
Notamment en matière de lutte contre la fraude, contre le blanchiment de capitaux et le financement du terrorisme, de lutte contre la fraude, mais également de nos obligations comptables, auprès des URSSAF et du CNTR. Fondement juridique : Nos obligations légales.

Nous permettre de mesurer l’audience de notre site web ou sur l’application.
Les outils de mesures d’audience sont utilisés pour obtenir des informations sur votre navigation sur notre site ou notre application lorsque vous êtes liés avec nous par un contrat. Ils permettent exclusivement d’améliorer le service fourni. Fondement juridique : votre consentement (pour les cookies) et exécution du contrat conclu avec vous.

Afin de garantir la bonne exécution du service et de rembourser les avantages sociaux, nous pouvons procéder au croisement de vos données.

5. Recours à la sous-traitance

May s’engage à ne jamais transmettre ou communiquer vos données pour des raisons commerciales sans votre consentement préalable.

Dans le cadre de l’exécution de nos services, nous faisons appel à plusieurs sous-traitants. May favorise la sélection de sous-traitants situés au sein de l’Union européenne et soumis d’office aux obligations du RGPD. Les services de May peuvent impliquer des échanges de données transfrontaliers avec certains partenaires situés dans des pays hors de l’Espace économique européen. Ces partenaires sont situées dans des pays qui bénéficient d’une décision d’adéquation au titre de l’article 45 du RGPD. Nous utilisons également diverses mesures pour garantir que vos données  transférées vers ces pays bénéficient d’une protection adéquate, comme la signature des clauses contractuelles types adoptées par la Commission européenne et le stricte respect du principe de minimisation

Nos sous-traitants sont les suivants :
Amazon Web Service : pour l’hébergement de certaines données au sein de l’Union européenne (leurs Datacenters sont situés en région parisienne). Pour plus d’informations vous pouvez consulter leur politique de confidentialité.

PlanetScale : pour l’hébergement de certaines donnés au sein de l’Union européenne (leurs Datacenters sont situés en région parisienne). Pour plus d’informations vous pouvez consulter leur politique de confidentialité.

Bridge : pour la collecte initiale de vos données via l’Open Banking. Pour plus d’informations vous pouvez consulter leur politique de confidentialité.

Stripe : pour émettre la carte de paiement May si cette option est choisie par l'utilisateur. Pour plus d'information, vous pouvez consulter leur politique de confidentialité.

Front : pour la gestion et le suivi du service client et du chatbot May. Pour plus d’informations vous pouvez consulter leur politique de confidentialité.

Google Cloud : pour l'analyse de données. Pour plus d’informations vous pouvez consulter leur politique de confidentialité

Brevo : pour communiquer avec les utilisateurs May par email. Pour plus d’informations vous pouvez consulter leur politique de confidentialité

Memobank : pour recevoir des fonds et émettre des remboursements aux utilisateurs May. Pour plus d’informations vous pouvez consulter leur politique de confidentialité

Datadog : pour contrôler le bon fonctionnement du système, la sécurité de nos utilisateurs et l'aide lors de suivi du service client. Pour plus d’informations vous pouvez consulter leur politique de confidentialité

Leeto : pour l'utilisation du service de billetterie CSE et avec votre consentement uniquement. Pour plus d’informations vous pouvez consulter leur politique de confidentialité.

MajUP : pour traiter des interactions utilisateurs dans le cadre du contrat d’externalisation du support client passé avec l’entité. Pour plus d’informations vous pouvez consulter leur politique de confidentialité.

6. Mesures prises par May pour protéger vos données personnelles :

Afin de protéger les données personnelles de nos utilisateurs, mais aussi pour garantir l’intégrité et la disponibilité de notre système, May a mis en place des mesures de sécurité couvrant les nombreux aspects de notre système informatique, de la vie de notre équipe et des processus d’évolution de notre plateforme.

Ces mesures portent sur la sensibilisation et l’accompagnement des collaborateurs, la gestion du matériel et les demande d’accès, la documentation et la conduite du changement, la sauvegarde et le versionnement de notre système, la sécurité réseau et infonuagique, la détection et la gestion des incident ainsi qu’un processus de suivi des risques et d’amélioration continue de la sécurité.

7. Vos droits et la façon dont vous pouvez les exercer :

Conformément à la Règlementation en vigueur, vous disposez de différents droits listés ci-après. Vous pouvez exercer un de ces droits :

  • Soit par mail en écrivant à dpo@may.fr
  • Soit par courrier en écrivant à :
    May – Service du Délégué à la Protection des données
    123 Avenue de Villiers
    75017 Paris

May s’engage à vous répondre dans les plus brefs délais suite à la réception de votre demande et au plus tard dans un délai d’un mois. Un mail ou un courrier vous seront adressées :

  • Afin de confirmer la réception de votre demande
  • Afin de confirmer le respect effectif de votre demande

Vous disposez par ailleurs du droit d’introduire une réclamation auprès de la Commission Nationale de L’informatique et des Libertés (CNIL) notamment sur son site internet à l’adresse https://www.cnil.fr/fr/plaintes/ ou par courriel à l’adresse suivante :

CNIL – Service des plaintes – 3 place Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07.

a) Droit d’accès

Vous pouvez accéder à tout moment aux données traitées par May. Nous vous enverrons un fichier avec l’ensemble des données.

b) Droit de rectification

Vous pouvez à tout moment demander la rectification d’une donnée inexacte ou incomplète que May aurait sur vous, visibles par exemple suite à l’exercice de votre droit d’accès. Nous nous chargerons, dans la mesure du possible, d’informer nos partenaires commerciaux de cette modification.

c) Droit d’opposition

Vous pouvez à tout moment vous opposer au traitement de vos données personnelles pour des finalités de prospection commerciale, sans devoir fournir un quelconque motif.

d) Droit à la limitation

Vous avez le droit de demander la restriction du traitement au seul stockage pour l’une des raisons énoncées à l’article 18 du RGPD, soit :

  • Le temps de rectifier des données dans le cadre de l’exercice de votre droit de rectification.
  • Si ces données vous sont encore nécessaires pour l’exercice de droits en justice.
  • Le temps de vérifier les conditions du droit d’opposition.

e) Droit d’effacement

Vous avez le droit d’exiger l’effacement de vos données dans les meilleurs délais, dans les cas suivants :

  • Vos données ne sont plus nécessaires au regard de la finalité pour lesquelles elles ont été collectées,
  • Vous retirez votre consentement (lorsque le traitement est fondé sur cette base)
  • Vous avez exercé votre droit d’opposition,
  • Afin de respecter une obligation légale.

Attention cependant, ce droit à l’effacement ne s’applique pas dans la mesure où le traitement est nécessaire :

  • Au respect une obligation légale qui requiert le traitement, prévue par le droit de l’Union ou par le droit de l’État membre auquel nous serions soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont nous serions investis,
  • A des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques,

Nous vous prions d’indiquer précisément quelles sont les données que vous souhaitez effacer parmi celles dont nous disposons.

8. Combien de temps sont traitées vos données ?

La durée de conservation des différentes données peut varier selon leur nature.

Les données considérées comme nécessaires aux organismes régulateurs (LCBFT, URSSAF) sont conservées 5 ans après la suppression d'un utilisateur de la plateforme.

Les données nécessaires bon fonctionnement du service May sont conservées 6 mois après la suppression d'un utilisateur.

Les données autres, qui ne sont plus utiles au fonctionnement du service après la suppression d'un utilisateur, sont conservées 15 jours.

Tant qu'un utilisateur reste actif,  ses données sont conservées le temps de l’exécution du contrat en court, exception faites de ses données de navigation et de marketing relationnel (hors transactionnel) qui sont conservées 2 ans après la date de création et de ses données de transactions open-banking qui sont conservées 5 ans pour permettre aux algorithmes de May de s'entraîner.

9. Politique de cookies

A l’occasion de votre visite sur le site May.fr, certains cookies peuvent être déposés sur votre terminal.

a) Finalité des cookies

Le dépôt de ces cookies participe à la réalisation des services May, soit la réalisation d’études marketing, d’analyses d’audience et mesures de performances afin d’évaluer la qualité des services.

b) Durée de conservation

Les données transmises par ces cookies ne sont conservées que pour 13 mois, durée au-delà de laquelle votre consentement sera à nouveau requis.

c) Retrait du consentement

Vous pouvez à tout moment retirer votre consentement aux cookies :
En configurant votre navigateur

En revanche, certains cookies nous sont nécessaires pour faire fonctionner le site May.fr, et votre consentement ne sera pas requis dans ces situations.

10. Changements de la politique de confidentialité

May se réserve le droit de mettre à jour cette politique de confidentialité, notamment pour se mettre en conformité avec les recommandations en vigueur.

11. Des questions ?

Si malgré cette politique de confidentialité, vous n’avez pas eu réponse à toutes vos questions ou si vous souhaitez nous soumettre des points d’amélioration, vous pouvez contacter May :

Par e-mail à l’adresse suivante : dpo@may.fr

Par courrier : May – Service du Délégué à la Protection des données – 123 Avenue de Villiers, 75017 Paris