logo may & slogan

Politique de confidentialité de May

Préambule

       Cette Politique de confidentialité s’adresse aux Utilisateurs ayant souscrit ou souhaitant souscrire aux Services de May et a pour objectif de les informer en toute transparence sur la manière dont leurs données personnelles peuvent être collectées et traitées. 

Le respect de la vie privée et des données à caractère personnel est une priorité pour May et ses partenaires, raison pour laquelle nous nous engageons à traiter celles-ci dans le plus strict respect de la réglementation nationale et européenne applicable en matière de protection des données à caractère personnel (ci-après la “Réglementation”), résultant en particulier du règlement 2016/679/UE du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD »), et résultant de la loi modifiée n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et ses textes d’application, ainsi que toute autre réglementation applicable en la matière, venant s’y ajouter ou s’y substituer ultérieurement.

A ce titre, May s’assure :

  • De respecter la protection de la vie privée par défaut et dès la conception de ses traitements ;
  • De traiter vos données de manière licite, loyale et transparente pour des finalités légitimes et déterminées ;
  • De permettre, à tout moment, l’exercice des droits de ses Utilisateurs. 

En complément, May s’engage à :

  • En toutes circonstances, à ne pas vendre vos données personnelles ;
  • Appliquer un processus exigeant en matière de sélection de ses sous-traitants et s’assurer qu’ils disposent d’un niveau adéquat en matière de protection des données personnelles par le biais de mesures organisationnelles et techniques adaptées suffisantes ; 
  • Héberger les données de manière sécurisée, conformément aux recommandations des autorités de protection. 
  • A répondre dans les plus brefs délais à vos demandes relatives aux données personnelles.
  • À ce que chaque traitement de données personnelles collectées auprès de ses Utilisateurs ne soient aucunement préjudiciables, trompeurs ou discriminatoires.

1. Définitions : 

Affiliés : désigne un commerce partenaire de May, dans le sens où celui-ci rétrocède une commission à May en échange de la possibilité de remboursement des dépenses éligibles réalisées chez lui

Bénéficiaire : désigne la personne bénéficiant des services de May, salarié ou collaborateur dans une entreprise appartenant au groupe du Client.

Carte May : désigne la carte à puce nominative proposée par May aux Bénéficiaires n’ayant pas de compte bancaire en ligne, permettant de régler auprès des marchands éligibles compte tenu de la réglementation applicable aux Services.

Client : désigne l’entreprise ou le Comité Social et Économique (le “CSE”) ayant souscrit à l’une des offres proposées par May en vue de l’utilisation des Services et la mise à disposition des Services aux Bénéficiaires.

Espace des Bénéficiaires : désigne l’interface de paramétrage mise à la disposition du Bénéficiaire par May.

Espace du Client : désigne l’interface d’administration mise à la disposition du Client par May.

Identifiant : désigne ensemble l’adresse de messagerie électronique et le mot de passe que le Bénéficiaire ou le Client choisit lors de son inscription sur la Plateforme et dont la saisie permet la connexion à son Espace.

Plateforme : désigne le site Internet accessible à l’adresse www.May.fr et l’application mobile “May”, édités par May, ainsi que toutes leurs composantes graphiques, sonores, visuelles, logicielles, et textuelles. 

Services : désigne les services proposés par May, notamment via la Plateforme. Les Services sont détaillés au sein des CGU, accessibles à l’adresse URL: https://www.may.fr/cgvu.

May : désigne la société May, société par actions simplifiée au capital de 10 000 euros, dont le siège social est situé au 123 Avenue de Villiers, 75017, Paris, immatriculée au Registre du Commerce et des Sociétés de Paris sous le numéro 913 425 633, prise en la personne de Sylvie Nourry.

Utilisateurs : désigne l’ensemble des catégories d’utilisateurs de la Plateforme. Sont ainsi considérés comme des Utilisateurs :

  • Les Bénéficiaires
  • Les Clients
  • Les Affiliés

2. Qui est le responsable de traitement ?

Le responsable des traitements opérés dans le cadre du Service est May. May est joignable aux coordonnées suivantes : 

  • Adresse postale de May : 123 avenue de Villiers, 75017 Paris
  • N° de téléphone: 01 40 68 76 50
  • Adresse mail : dpo@may.fr

3. Délégué à la protection des données

May a désigné un Délégué à la protection des données. 

Vous pouvez contacter notre DPO à l’adresse dpo@may.fr.

4. Quelles sont les données personnelles traitées par May ? 

Dans le cadre de nos Services, nous sommes susceptibles de traiter les suivantes données à caractère personnelle vous concernant : 

  •  Données d’identification des Clients (COLLECTE DIRECTE)

Ces données sont directement collectées auprès des Clients par le biais du formulaire d’onboarding..

  • Détail des données personnelles traitées :
  • Nom, prénom et adresses email des administrateurs et/ou dirigeants
  • Données nécessaires à l’authentification du Client (KYB)
  • Pièce d’identité du représentant légal ainsi que des actionnaires détenant 25% ou plus du capital
  • KBIS
  • IBAN
  • Personnes concernées :
  • Clients (services RH et les CSE)
  • Catégories de traitement(s) concerné(s) :
  • Gestion et utilisation de la Plateforme
  • Gestion comptable et commerciale de la relation avec les Clients et les Affiliés
  • Données d'identification des Bénéficiaires (COLLECTE DIRECTE)

Ces données sont directement collectées au moment de la création de l'Espace des Bénéficiaires par ces derniers. 

  • Détail des données personnelles traitées :
  • Civilité;
  • Nom;
  • Prénom;
  • Adresse email (professionnelle ou personnelle selon les cas) ;
  • Adresse postale personnelle le cas échéant;
  • Code d’identification interne;
  • Date de naissance.
  • Personnes concernées :
  • Bénéficiaires (Salariés des entreprises partenaires)
  • Catégories de traitement(s) concerné(s) :
  • Gestion et utilisation de la Plateforme
  • Fonctionnement du Service (à détailler : agrégation, remboursement, etc.)
  • Fonctionnement de la Carte May et des porte-monnaie électroniques associés
  • Données relatives à la vie professionnelle (COLLECTE INDIRECTE= transmises par l’employeur) ;

Ces données sont indirectement collectées : elles sont transmises par le Client par le biais d’un formulaire d’onboarding

  • Détail des données personnelles traitées :
  • Adresse email professionnelle le cas échéant,
  • Dans le cas des représentants du Client, le poste occupé au sein de l’entreprise du Client.
  • Type contrat de travail
  • Nombre de jours travaillés
  • Télétravail ou pas
  • Adresse email professionnelle
  • Personnes concernées :
  • Client ;
  • Affiliés ;
  • Bénéficiaires ;
  • Prospects.
  • Catégories de traitement(s) concerné(s) :
  • Gestion et utilisation de la Plateforme
  • Fonctionnement du Service (à détailler : agrégation, remboursement, etc.)
  • Fonctionnement de la carte May et des porte-monnaie électroniques associés
  • Gestion de la relation comptable et commerciale avec les Clients et les Affiliés
  • Opérations marketing
  • Données techniques relatives à l’usage de la Plateforme 

Ces données sont collectées directement au travers de l’utilisation par les Utilisateurs de la Plateforme.

  • Détail des données personnelles traitées :
  • Adresse IP ;
  • Identifiant mobile ;
  • Identifiant unique généré par May ;
  • Logs ;
  • Cookies ;
  • Données de connexion.
  • Personnes concernées :
  • Utilisateurs
  • Catégories de traitement(s) concerné(s) :
  • Gestion et utilisation de la Plateforme
  • Fonctionnement du Service (à détailler : agrégation, remboursement, etc.)
  • Fonctionnement de la carte May et des porte-monnaie électroniques associés
  • Données financières et transactionnelles (Collecte indirecte)

Ces données sont collectées indirectement : elles sont transmises par Bridge/Bankin’ au moment de la synchronisation par le Bénéficiaire de son compte bancaire et par le biais du module Bridge au sein de l’application, lors de la première connexion.

  • Détail des données personnelles traitées :
  • RIB ;
  • Historique des transactions ;
  • Modalités de paiement ;
  • Informations liées à une transaction (libellé, date, montant, nom du vendeur, catégorie du vendeur, devise, moyen de paiement, état du paiement)
  • Personnes concernées :
  • Utilisateurs
  • Catégories de traitement(s) concerné(s) :
  • Gestion et utilisation de la Plateforme
  • Fonctionnement du Service (à détailler : agrégation, remboursement, etc.)
  • Fonctionnement de la carte May et des porte-monnaie électroniques associés
  • Gestion de la relation comptable et commerciale avec les Clients et les Affiliés

5. Pourquoi et comment sont traitées vos données

Nous collectons vos données personnelles dans des buts précis et limités, de façon adéquate et pertinente pour le besoin des finalités suivantes : 

  •  Gestion et utilisation de la Plateforme/site :
  • Administration générale de la Plateforme/site, y compris la mise en place de mesures de sécurité ;
  • Réalisation de statistiques d’utilisation de la Plateforme/site May ;
  • Assistance et gestion des demandes des Utilisateurs ;
  • Lutte contre le blanchiment, la fraude et le terrorisme, conformément à ses obligations légales ;
  • Dépôt de cookies sur la Plateforme/site, conformément aux choix effectués par l’Utilisateur le cas échéant.
  • Fonctionnement du Service May : Vous permettre d’avoir accès aux avantages aux salariés mis à disposition par votre entreprise. Cette finalité recouvre les opérations d’analyse par le biais d’intelligence artificielle de vos transactions, de manière automatique, afin de pouvoir identifier vos dépenses éligibles à remboursement dans le cadre de la réglementation, et de vous les rembourser
  • Fonctionnement de la Carte May et des porte-monnaie électroniques associés :
  • Réalisation d’opérations de débit et/ou crédit dans le cadre de l’utilisation de la Carte May, aussi bien chez des Affiliés que sur la Plateforme ;
  • Gestion des différents porte-monnaie électroniques (dits « wallet(s) ») ;
  • Gestion des demandes d’opposition de la Carte May ;
  • Suspension ou blocage de l’utilisation de la Carte May et opérations associées en cas d’utilisation suspecte ;
  • Respect des obligations légales et réglementaires, notamment la lutte contre la fraude (ex : LCB-FT, DSP II) ;
  • Fonctionnalités supplémentaires :
  • Pour les Services concernés : authentification du Bénéficiaire au travers d’un processus de « Know Your Customer » (KYC) ;
  • Bénéfice de la fonctionnalité de cashback : 

Vous permettre d’avoir accès au cashback auprès de nos enseignes partenaires. Cette finalité recouvre les opérations d’analyse par le biais d’intelligence artificielle de certaines de vos transactions, de manière automatique, afin de pouvoir identifier vos dépenses éligibles au cashback chez nos partenaires, et de vous en faire bénéficier

  • Gestion comptable et commerciale avec les Clients et Affiliés :
  • Le paiement des Services et le suivi de la facturation ;
  • La gestion des impayés et du contentieux ;
  • La tenue des registres comptables et justificatifs légaux ;
  • Gestion du suivi commercial ;
  • Authentification du Client et de l’Affilié au travers d’un processus de « Know Your Business » (KYB).
  • Opérations marketing :
  • La réalisation de campagnes de prospection BtoB (email, téléphone, courrier) ;
  • L’envoi d’emails promotionnels (de façon continue ou sur des opérations ponctuelles) ;
  • L’élaboration de statistiques ;
  • Réalisation d’enquêtes de satisfaction.

5.2 Quelles sont nos Bases légales ?

En qualité de responsable de traitement, May traite les données pour les finalités précitées en se fondant sur les bases légales suivantes :

  • Votre consentement : Le traitement des données bancaires et transactionnelles nécessite le consentement explicite des Bénéficiaires. Celui-ci est  recueilli au moment de l’accès à la plateforme après que nous ayons fourni toutes les informations nécessaires aux Bénéficiaires pour que leur choix soit éclairé. 
  • Exécution des mesures contractuelles et précontractuelles : exerçant dans un environnement B to B to C, May est liée contractuellement avec les Clients et les Bénéficiaires afin de fournir, notamment, une prestation de services au Bénéficiaire. Ainsi, les obligations découlant de la fourniture des différentes prestations de services sont détaillées dans les contrats conclus entre May et le Client, et les conditions prévues dans nos CGU.
  • Obligations légales : May est soumise à des obligations légales précises du fait de son activité commerciale spécifique réglementée, telles que notamment la lutte contre le blanchiment, le financement du terrorisme et la lutte contre la fraude mais également de ses obligations comptables, notamment auprès des URSSAF et du CNTR.
  • Intérêt légitime : les données personnelles des Bénéficiaires peuvent être traitées afin d’améliorer le service fourni, notamment par le service client. Les données personnelles des Clients peuvent faire l’objet d’un traitement afin de proposer des services/prestations complémentaires et à des fins de prospection commerciale.

6. Quels sont les destinataires ? 

  • Sous-traitants : 

May est susceptible de transmettre vos données à ses sous-traitants, aux seules fins de l’exécution d’une partie des Services.

May favorise la sélection de sous-traitants situés au sein de l’Union européenne et soumis d’office aux obligations du RGPD. De ce fait, aucun transfert de vos données n’est effectué vers un Etat-tiers situé hors de l’Union européenne. Tous nos traitements sont entièrement opérés en France. 

May audite préalablement et documente l’ensemble des mesures organisationnelles et techniques mises en place par ses sous-traitants.

May vérifie systématiquement la mise en place de mesures de sécurité suffisantes afin de préserver un niveau adéquat tout au long du cycle de vie de la donnée.

En conséquence, May s’assure que les données personnelles traitées ne sont pas lisibles en clair et font l’objet d’un chiffrement systématique. Dès lors, en l’absence de la détention de la clé de chiffrement, les données sont inaccessibles, même par une autorité judiciaire.

May s’assure également d’instaurer des garanties contractuelles robustes en imposant un Data Processing Agreement (DPA) adapté à son secteur d’activité.

Vous pouvez demander à accéder aux documents assurant des garanties appropriées contractuelles en en faisant la demande à notre Délégué à la Protection des Données par mail à dpo@May.fr, ou par courrier à May – 123 avenue de Villiers, 75017 Paris, France.

Nos sous-traitants sont les suivants : 

Amazon Web Service : pour l’hébergement de certaines données au sein de l’Union européenne (leurs Datacenters sont situés en région parisienne).

Pour plus d’informations vous pouvez consulter leur politique de confidentialité.

PlanetScale : pour l’hébergement de certaines donnés  au sein de l’Union européenne (leurs Datacenters sont situés en région parisienne).

Pour plus d’informations vous pouvez consulter leur politique de confidentialité  

Bridge : pour la collecte initiale de vos données via l’Open Banking 

Pour plus d’informations vous pouvez consulter leur politique de confidentialité 

  • Personnel restreint habilité 

Dans la limite de leurs attributions respectives et pour les finalités des traitements, les personnes qui seront susceptibles d’avoir accès à vos données sont les suivantes :

  • Le personnel restreint habilité de nos services recherche et développement, marketing, commercial, administratif, logistique, juridique et informatique, chargés de l’amélioration de nos services, de la relation client et la prospection et du contrôle qualité ; le personnel restreint habilité de nos sous-traitants.

A noter que toutes ces personnes sont soumises à une obligation de compétence et de confidentialité et qu’elles encourent des sanctions disciplinaires, judiciaires et/ou administratives en cas d’utilisation desdites données pour des finalités contraires à celles énoncées précédemment.

  • Les organismes financiers (banques…) et organismes de contrôle (ACPR, URSAFF, CNTR, etc.);
  • S’il y a lieu, les juridictions concernées, médiateurs, experts-comptables, commissaires aux comptes, avocats, huissiers, sociétés de recouvrement de créances ;

Vos données à caractère personnel ne sont ni communiquées, ni échangées, ni vendues, ni louées sans votre consentement exprès préalable conformément aux dispositions légales et réglementaires applicables.

7. Quelles sont les mesures prises par May pour protéger vos Données personnelles ?

May prend à cœur la préservation de la sécurité de ses systèmes d’information et des données personnelles qu’elle traite. May met en œuvre toutes les mesures techniques et organisationnelles nécessaires afin d’assurer la sécurité de nos traitements de données à caractère personnel et la confidentialité des données que nous collectons. 

Afin de garantir une protection maximale de votre vie privée, May met en place de nombreuses mesures pour assurer la sécurité de vos données. Cela passe par différentes restrictions d’accès (aux locaux et aux bases de données), par une sauvegarde quotidienne de vos données, ou encore par un stockage sécurisé de ces données.

Par ailleurs, nous vous rappelons que l’ensemble des données traitées par May sont hachées en SHA-256. Aucune donnée en clair n’est traitée après la procédure de hachage, ces données étant supprimées immédiatement.

Cela implique notamment la mise en place des mesures détaillées ci-après.

Mesures techniques

  • Chiffrement systématique des données sur les serveurs d’hébergement au moment du transit de la donnée (entre l’application et les serveurs) et lors de leur stockage.
  • Politique de mot de passe fort lors de la création du compte Bénéficiaire et mise en place d’un captcha pour limiter les tentatives d’attaques.
  • Mise en place d’une équipe SOC dédiée à la gestion des incidents, monitoring des contrôles de sécurité et vérification continue de l’efficacité des mesures de sécurité
  • Accès à la Plateforme par les Bénéficiaires monitoré et protégé par un système de détection et de prévention :
  • des attaques de type brute force ;
  • des accès depuis des adresses IP multiples ;
  • des accès multiples depuis une seule adresse IP.

Mesures organisationnelles

  • Protection physique des locaux et contrôle à l’entrée ;
  • Journalisation et traçabilité des connexions ;
  • Politique de gestion des habilitations de chaque personnel pouvant avoir accès aux données ;
  • Procédés d’authentification des personnes accédant aux données avec accès personnel et sécurisé via des identifiants et mots de passe confidentiels.

8. Durée de conservation de vos données

Cycle de vie des données chez May pour un client/salarié:

1) Onboarding -  Création et administration du compte : traitement et collecte des données pendant la durée de vie du compte, et ce jusqu’à sa clôture.

2) Utilisation des Services: les données sont collectées et traitées pour assurer la performance des Services conservées, à minima, pendant la durée d’utilisation des Services.

3) Off-boarding - Clôture du compte : archivage dans une base intermédiaire jusqu’à épuisement de la durée de prescription en matière de lutte contre la fraude et/ou le blanchiment d'argent (5 ans).

4)  Purge définitive des données : mécanisme de purge interne à May pour sa suppression sur l’ensemble des bases de données.

Les données archivées ne sont accessibles que par les services juridique, compliance et informatique afin de diligenter des enquêtes sur des utilisations frauduleuses des Services.

9. Quels sont vos droits ? 

Conformément à la réglementation en vigueur, vous disposez de différents droits listés dans la présente section. Vous pouvez exercer l’un de ces droits, à condition de justifier votre identité :

  • Soit par mail en écrivant à dpo@may.fr
  • Soit par courrier en écrivant à l’adresse :   May, 123 avenue de Villiers, 75017, Paris, France.

Les droits dont vous disposez sont : 

  • Le droit d'être informé(e) (article 13 et 14 RGPD), c’est à dire le droit de recevoir des détails sur les activités de traitement effectuées par May, telles que décrites ici ;
  • Le droit d'accès à vos Données Personnelles (article 15 RGPD), à savoir le droit d'obtenir les informations collectées et la façon dont elles ont été traitées ; 
  • Le droit de rectification (article 16 RGPD), c’est à dire le droit d'obtenir la rectification par May des données inexactes et de compléter les données incomplètes dans la limite des obligations réglementaires de May;
  • Le droit d’exiger l’effacement (article 17 RGPD) de vos données dans les meilleurs délais, lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Attention cependant, ce droit à l’effacement ne s’applique pas dans la mesure où le traitement est nécessaire au respect d’une obligation légale qui requiert le traitement, prévue par le droit de l’Union ou par le droit de l’État membre auquel nous serions soumis, notamment une obligation légale de conserver les données à des fins de lutte contre la fraude et/ou le blanchiment d’argent ;

Nous vous prions d’indiquer précisément quelles sont les données que vous souhaitez effacer parmi celles dont nous disposons.

May répondra à votre demande au plus tard dans un délai d’un mois, conformément à la réglementation.

Le droit d’effacement ne pourra en revanche empêcher May de récupérer vos données en cas d’une nouvelle souscription à nos services.

  • Le droit de demander la limitation/restriction du traitement au seul stockage pour l’une des raisons énoncées à l’article 18 du RGPD, soit :
  • Le temps de rectifier des données dans le cadre de l’exercice de votre droit de rectification
  • Si ces données vous sont encore nécessaires pour l’exercice de droits en justice
  • Le temps de vérifier les conditions du droit d’opposition
  • Le droit à la portabilité des données (article 20), à savoir le droit de recevoir les données à caractère personnel dans un format structuré, couramment utilisé et lisible par une machine, et le droit de demander que les données soient envoyées par May à un autre responsable du traitement, dans la mesure où les conditions légales sont dûment remplies ;
  • Le droit de s'opposer (article 21 RGPD), pour de bonnes raisons et dans les conditions prévues par la loi, au traitement futur des données. Toutefois, May pourra être amener à mettre un terme aux Services (dans le cas de l’impossibilité pour l’établissement de lui fournir le Service concerné sans le traitement en cause) ;
  • Le droit de retirer votre consentement (article 7 RGPD) à tout moment pour les activités de traitement effectuées par May nécessitant un consentement. Dans ce cas, l’activité de traitement ne sera affectée que pour l’avenir ;

Si vous estimez que le traitement n’est pas conforme aux règles de protection des données, vous pouvez adresser une réclamation à la CNIL https://www.cnil.fr/fr/plaintes/ CNIL – Service des plaintes – 3 place Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07.