Politique de confidentialité

Sommaire

Préambule

La présente Politique de confidentialité et de protection des données personnelles définit la manière dont Mūcho et sa filiale Mūcho Benefits (ci-après désignées ensemble « Mūcho ») recueillent, utilisent, conservent et transmettent les données personnelles de leurs utilisateurs.

Mūcho s'engage à recueillir et à utiliser les données des Bénéficiaires dans le strict respect de la loi française sur la protection des données, notamment les dispositions de la Loi Informatique et Libertés et celles du Règlement Européen relatif à la Protection des Données personnelles (ci-après le « RGPD »).

En utilisant la Plateforme Mūcho et la Carte Mūcho, le Bénéficiaire accepte que ses données soient traitées de la manière et aux fins indiquées dans les présentes. Le Bénéficiaire est présumé avoir pris connaissance de la présente Politique de confidentialité et de protection des données personnelles, préalablement à son inscription.

Coordonnées du Délégué à la Protection des Données (DPO) :

dpo@getmucho.fr

Mūcho – DPO

10 rue de la Paix, 75002 Paris

Définitions

« Avantages Salariés » : désigne l’ensemble des avantages financés par l'employeur / le CSE au profit des Utilisateurs ;

« Bénéficiaire(s) » : désigne les salariés et agents désignés par le Partenaire pour bénéficier des Services Mūcho et/ou des Avantages Salariés ;

« Carte(s) Personnelle(s) » : désigne la(es) carte(s) bancaire(s) des Bénéficiaires ;

« Carte Mūcho » : désigne la carte de paiement distribuée par Mūcho auprès du Partenaire, au profit des Bénéficiaires, permettant à ces derniers de procéder au règlement de leurs Avantages Salariés. La Carte Mūcho est utilisable uniquement en France ;

« Conditions Générales d'Utilisation : désigne les conditions générales d’utilisation de la Plateforme Mūcho ;

« Espace Personnel » : désigne l’espace de gestion rattaché au Bénéficiaire sur la Plateforme Mūcho, lui permettant de gérer sa Carte Mūcho, consulter le solde de ses Avantages Salariés et de bénéficier des Services Mūcho ;

« Forfait Mobilité Durable » : désigne, conformément aux dispositions des articles L. 3161-3-1 du Code du travail, L. 1231-14 du Code des transports et R. 311-1 du Code de la route, les solutions de mobilité alternatives à la voiture individuelle et les mobilités actives au bénéfice de l’environnement et notamment, sans que cette liste ne soit exhaustive, les vélos, électriques ou manuels, le covoiturage, les engins de déplacement personnels partagés en location en ou en free-floating non-motorisés ou équipés d’un moteur non-thermique, les titres occasionnels (hors abonnement) de transport en commun et l’autopartage de véhicules à faible émission ;

« Module Accompagnement Social » : désigne le service d’écoute, conseil et soutien sur des problématiques liées à la famille, logements, accidents de la vie, budget etc. par une équipe d’experts disponibles par téléphone, email, chat et rendez-vous par visioconférence. Ce service est disponible partout en France ;

« Partenaire » : désigne l’entité juridique avec laquelle le(s) Bénéficiaires(s) sont liés par un contrat de travail ou tout autre lien ;

« Plateforme Mūcho » : désigne le site web

« Repas » : désigne toute substance alimentaire, commercialisée par un Restaurateur ;

« Responsable de traitement » : désigne, au sens du RGPD, la personne qui détermine les moyens et les finalités du traitement de données. Lorsque deux responsables de traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement ;

« Restaurateurs » : désigne, sans que cette liste ne soit exhaustive, les personnes physiques ou morales affiliées au réseau CNTR (Commission Nationale des Titres-Restaurant) et acceptant les cartes bancaires Visa, proposant, à titre principal ou à titre secondaire, dans le cadre de leur activité, des prestations de type alimentaires, tels que les commerces de distribution alimentaires (notamment les grandes et moyennes surfaces), les établissements de restauration, les hôteliers restaurateurs ou tout autre activité similaire, les boulangers, les traiteurs ou les charcuteries ;

« Services à la Personne » : désigne les activités mentionnées à l’article D. 7231-1 du Code du travail et notamment la garde d’enfants à domicile, la garde par des assistants maternels, le ménage, le soutien scolaire, l’aide aux proches dépendants, délivrées par des organismes de services à la personne (OSP) ou des particuliers, ainsi que les prestations de crèche ;

« Service Client » : désigne le service mis à disposition du Bénéficiaire par chat, email à l’adresse contact@getmucho.fr ;

« Service(s) Mūcho » : désigne l’ensemble des services proposés par la Plateforme Mūcho ;

« Sous-traitant » : désigne, au sens du RGPD, la personne traitant des données à caractère personnel pour le compte du Responsable de traitement et sur instruction de celui-ci ;

« Titre(s)-Restaurant » : désigne les titres-restaurant commandés par le Partenaire et émis par Mūcho, destinés au paiement de Repas et utilisables au moyen de la Carte Mūcho ;

« Mūcho » : désigne la société Mypack321, Société par Actions Simplifiée, au capital social de 1000€, dont le siège social est situé au 10 Rue la Paix, 75002, Paris, France, immatriculée au Registre du Commerce et des Sociétés de Paris sous le numéro 987545324.


Article 1 - Statut de Mūcho dans les opérations de traitement

1.1. Mūcho en tant que Responsable de traitement

Mūcho est responsable de traitement pour l'ensemble des données collectées directement auprès des Partenaires et des Bénéficiaires dans le cadre de l’utilisation de la Plateforme Mūcho ainsi que dans le cadre des services liés à la Carte Mūcho.

1.2. Mūcho en tant que Sous-traitant

Mūcho agit en qualité de Sous-traitant du Partenaire, pour les données des Bénéficiaires collectées auprès du Partenaire, afin que ces derniers puissent procéder à leur inscription sur la Plateforme Mūcho et pour procéder à la commande de Cartes Mūcho.


Article 2 – Données collectées par Mūcho

2.1 Les données collectées auprès du Partenaire concernant la personne morale et les représentants du Partenaire :

2.1.1 Dans le cadre de la création du ou des compte(s) de cantonnement et du paramétrage des Services, le Partenaire communique à Mūcho les données suivantes, qui sont, lorsqu’elles concernent des personnes physiques, des Données Personnelles :

Concernant la personne morale du Partenaire :

  • Raison sociale ;
  • Numéro de RCS ;
  • Adresse du siège social ;
  • Numéro de TVA ;
  • Code APE ;
  • Description de l’activité ;
  • IBAN.

Concernant le représentant légal de la personne morale signataire du Contrat :

  • Nom, prénom ;
  • Adresse postale ;
  • Date de naissance ;
  • Numéro de téléphone ;
  • Nationalité ;
  • Email.

Concernant le(s) bénéficiaire(s) effectif(s) (détenteur direct ou indirect de 25 % au moins du capital ou, à défaut, personne ayant des pouvoirs significatifs de contrôle et de direction) :

  • Nom, prénom ;
  • Adresse postale ;
  • Date de naissance.

Pour l’ensemble de ces données, Mūcho intervient en qualité de responsable de traitement.

2.2.2 Mūcho et les Prestataires de Services de Paiement (PSP) Stripe agissent comme Responsables de traitement indépendants dans le cadre de la collecte des noms, prénoms, date de naissance, copie de la carte d'identité et du justificatif de domicile du représentant légal du Partenaire, afin de procéder à l'ouverture du compte de monnaie électronique et en conséquence pour la réalisation d'une procédure de "Know Your Customer" ("KYC"), dans le cadre de leurs obligations en matière de lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption (LCBF-T).

2.2. Les données collectées par Mūcho auprès du Partenaire concernant les Bénéficiaires

2.2.1. Dans le cadre de l’inscription des Bénéficiaires sur la Plateforme Mūcho et du paramétrage de la carte Mūcho, le Partenaire communique à Mūcho les données suivantes :

Concernant les Bénéficiaires :

  • Nom et prénom des Bénéficiaires ;
  • Adresse email professionnelle des Bénéficiaires ;
  • Adresse postale des Bénéficiaires ;
  • Numéro de matricule des Bénéficiaires (optionnel).

Pour l’ensemble de ces données, Mūcho intervient en qualité de sous traitant du Partenaire. Le traitement de ces données concerne uniquement l’inscription, le paramétrage optionnel de la Carte Mūcho et l’envoi de la Carte Mūcho.

2.2.2. Dans le cadre de la souscription à l'option "Bilan Social Individuel", le Partenaire communique à Mūcho les données suivantes :

Concernant les Bénéficiaires :

  • Salaire net du Bénéficiaire ;
  • Montant mensuel de tout avantage ou dispositif de rémunération complémentaire offert au Bénéficiaire (cotisation mensuelle pour la mutuelle par exemple).

2.3. Les données collectées par Mūcho auprès des Bénéficiaires

(i) Les données collectées pour l’utilisation de la Plateforme Mūcho et la Carte Mūcho

  • Nom du Bénéficiaire ;
  • Prénom du Bénéficiaire ;
  • Date de naissance ;
  • Adresse email ;
  • Numéro de téléphone ;
  • Code postal ou adresse postale (optionnel) ;
  • Photo (optionnel) ;
  • Entité/filiale (optionnel) ;
  • Numéro, date de validité, cryptogramme de sécurité de la Carte Personnelle et IBAN (données conservées et traitées uniquement par nos prestataires de services de paiement Stripe) (optionnel) ;
  • Historique des opérations de paiement ;
  • Adresses IP ;
  • Identifiants de cookies ;
  • Enregistrements vocaux (lors d’appels au service client - données conservées et traitées uniquement par Aircall) (optionnel), copie de la CNI / du livret de famille (optionnel, demandés par le service client pour vérification d'identité et supprimés juste après la vérification).

Pour l’ensemble de ces données, Mūcho intervient en qualité de responsable de traitement, c'est-à-dire qu’elle définit seule les finalités de traitement de ces données.

(ii) Les données collectées auprès des Bénéficiaires dans le cadre des obligations légales de Stripe;

Dans le cadre de ses obligations en matière notamment de lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption, Stripe peut être amené à solliciter auprès de Mūcho la transmission des noms, prénoms, date de naissance et copie de la carte d'identité d’un ou plusieurs salariés du Partenaire lors de la commande de Cartes Mūcho.

Mūcho et Stripe agissent alors en qualité de Responsables de traitement indépendants dans le cadre de cette collecte.


Article 3 – Finalités et bases légales de traitement

L‘objectif de la collecte des données est d’offrir aux Bénéficiaires une expérience sûre, optimale, efficace et personnalisée de la Plateforme et de la Carte Mūcho.

3.1. Les bases légales de traitement

Les données sont collectées :

  • Sur la base du contrat de partenariat conclu entre Mūcho et le Partenaire ;
  • Sur la base des Conditions Générales d’Utilisation de la Plateforme Mūcho dont les termes ont été acceptés par les Bénéficiaires lors de leur inscription ;
  • Sur la base d’un intérêt légitime ; ou
  • Sur la base d’obligations légales.

3.2. Les finalités de traitement réalisés sur la Plateforme Mūcho

Les données sont collectées pour les raisons suivantes :

  • L’exécution du contrat conclu entre le Partenaire et Mūcho ;
  • L’accès aux Services Mūcho ;
  • Le paramétrage de l’Espace Personnel du Bénéficiaire et de l’espace administrateur du Partenaire ;
  • La personnalisation de l’Espace Personnel du Bénéficiaire ;
  • L’assistance et la gestion des demandes des Bénéficiaires ;
  • La transmission au Bénéficiaire d’informations sur les Services Mūcho ;
  • La transmission au Bénéficiaire d’informations sur les Services Mūcho par du marketing ciblé/ et/ou des offres promotionnelles ;
  • La gestion des opérations de paiement effectuées au moyen de la Carte Personnelle ou d’un IBAN ;
  • La gestion des réclamations ;
  • La gestion des éventuels problèmes techniques ;
  • La lutte contre la fraude informatique ;
  • La prévention contre toute activité potentiellement interdite, illégale ou contraire aux conditions générales d’utilisation de la Plateforme Mūcho ;
  • Le dépôt de cookies et autres traceurs ;
  • L’optimisation de la Plateforme Mūcho ;
  • La réalisation de statistiques sur l’utilisation de la Plateforme Mūcho à des fins de recherches et de développements ;

3.3. Les finalités de traitement réalisés aux fins de l’utilisation de la Carte Mūcho

  • L’émission et le paramétrage de la Carte Mūcho ;
  • L’accès aux Services Mūcho ;
  • La gestion des opérations de paiement effectués au moyen de la Carte Mūcho ;
  • La gestion des demandes d’opposition de la Carte Mūcho ;
  • Les éventuels remboursements ;
  • La gestion du blocage de la Carte Mūcho ;
  • La lutte contre le blanchiment d’argent dans le cadre de la gestion des opérations de paiement effectuées via la Carte Mūcho ;
  • La lutte contre la fraude informatique ;
  • La prévention contre toute activité potentiellement interdite, illégale ou contraire aux Conditions Générales d’Utilisation de la Plateforme Mūcho.

3.4. Pour aller plus loin

Voici les finalités de traitement et les bases légales concernant chaque donnée personnelle traitée par Mūcho.

  • Nom, prénom
  • Adresse email
  • Numéro de téléphone
  • Code postal ou adresse postale
  • Salaire net du bénéficiaire (optionnel)
Type image caption here (optional
  • Montant mensuel de tout avantage ou dispositif de rémunération complémentaire offert au Bénéficiaire (optionnel)
  • Photo (optionnel)
Type image caption here (optional)
  • Entité/filiale
  • Numéro, date de validité, cryptogramme de sécurité de la Carte Personnelle, IBAN
  • Numéro, date de validité, cryptogramme de sécurité et code PIN de la Carte Mūcho
  • Historique des opérations de paiement
  • User ID
  • Adresses IP
  • Adresses IP
  • Enregistrements vocaux, copie de la CNI / du livret de famille (optionnel)
  • Données concernant la personne morale du Partenaire et le représentant légal du Partenaire

Article 4 – Durée de conservation des données

4.1. Données relatives à l’utilisation de la Plateforme Mūcho

Mūcho conserve les données des Bénéficiaires pendant cinq (5) ans à compter de la dernière utilisation de la Plateforme Mūcho. A l’issue de ce délai, les données sont anonymisées. En cas de suppression de compte par le Bénéficiaire, les données sont anonymisées le jour suivant.

Mūcho est susceptible de conserver certaines données dans le cadre de sa gestion comptable afin de facturer les Services Mūcho.

Les enregistrements vocaux sont conservés pendant une durée de six (6) mois à compter de leur collecte.

4.2. Données relatives aux opérations de paiement au moyen de la Carte Mūcho et/ou d’une Carte Personnelle

Conformément à l’article L. 133-24 du Code monétaire et financier, les données collectées dans le cadre d’opérations de paiement par carte bancaire ou au moyen de la Carte Mūcho peuvent être conservées pour une finalité de preuve, en cas d’éventuelles contestations de la transaction ou de réclamations, pendant une durée de treize (13) mois suivant la date de débit (durée portée à quinze (15) mois pour les cartes de paiement à débit différé).

La trace comptable des paiements est conservée pour une durée de dix (10) ans en archivage intermédiaire à compter de la réalisation effective du paiement (cf. art. L.123-22 du Code de commerce).

Conformément à l’article L. 243-16 du Code de la sécurité sociale, les historiques des paiements, qui servent de justificatifs de la réalité et de l’affectation des transactions réalisées au moyen de la Carte Mūcho pour bénéficier des exonérations de cotisations sociales, sont conservées pour une durée de six (6 ans) en archivage intermédiaire à compter de la réalisation effective du paiement.

4.3. Données relatives à la gestion de la relation client

Les données utilisées dans le cadre de la gestion de la relation client sont conservées pendant toute la durée nécessaire à l’exécution du contrat.

Ces données sont ensuite archivées pour une durée de cinq (5) ans à des fins probatoires. Les factures et données comptables émises sont quant à elles conservées dix (10) ans à compter de leur émission.

En cas de rupture des pourparlers, les données du prospect sont conservées pour une durée de trois (3) ans à compter de leur collecte.

4.4. Données relatives aux opérations marketing

Les données utilisées pour la réalisation d’opérations marketing sont conservées pour une durée de trois (3) ans à compter de leur collecte.

Article 5 - Destinataires des données

5.1. Personnel de Mūcho susceptible d’avoir accès aux données

Dans la limite de leurs attributions respectives et pour les finalités rappelées à l’article 3 des présentes, certaines personnes chez Mūcho sont susceptibles d’avoir accès aux données, il s’agit des membres des équipes technique, juridique, commerciale et support clients.

5.2. Autres personnes susceptibles d’avoir accès aux données

Mūcho peut être amenée à transmettre les données des Bénéficiaires si la loi l’exige ou le permet ou que la transmission est jugée nécessaire, afin de respecter les obligations légales lui incombant, de répondre à toute réclamation à l’encontre de Mūcho, de répondre à toute demande judiciaire ou dans le cas d’enquêtes et d’investigations, de se conformer aux Conditions Générales d’Utilisation, ou encore d’assurer et garantir les droits, les biens et la sécurité de Mūcho, de ses employés et de tout tiers.

Mūcho ne vend ou ne loue pas les données à des tiers à des fins marketing sans le consentement formel des Bénéficiaires.

En cas de vente ou d’achat d’une entreprise ou d’actifs, Mūcho se réserve le droit de partager les données avec le potentiel vendeur ou acheteur de cette entreprise ou de ces actifs.

Article 6 – Transferts des données

Les données personnelles des Utilisateurs sont conservées sur les serveurs de notre hébergeur Amazon Web Services situés en France.

Pour assurer les Services Mūcho, des données peuvent être accessibles par nos prestataires de service situés en dehors de l’Union européenne (UE) et plus largement de l’Espace Économique Européen (EEE).

Dans ce cas, Mūcho s’assure que ces sous-traitants sont situés dans un pays considéré comme apportant un niveau de protection adéquate selon l’Union Européenne, ou, dans le cas ou le sous traitant est situé aux Etats Unis, qu'ils respectent des dispositions contractuelles garantissant un niveau de protection équivalent des données (telles que les clauses contractuelles types établies par la Commission européenne).

Article 7 – Droits du Bénéficiaire

Conformément à la Loi Informatique et Libertés et au RGPD, le Bénéficiaire peut exercer tout droit décrit ci-dessus auprès de Mūcho en contactant le Service Client.

  • Le droit d’accès autorise le Bénéficiaire, sur justification d’identité et si les conditions d’exercice de ce droit sont remplies, à obtenir la communication des données le concernant ;
  • Le droit de rectification autorise le Bénéficiaire à demander que les données les concernant soient modifiées, mises à jour ou effacées quand elles sont inexactes ou incomplètes ;
  • Le droit de suppression/d’effacement autorise le Bénéficiaire à exiger l’effacement des données qui le concernent sans frais, dans la limite des obligations légales qui incombent à Mūcho. Tout Bénéficiaire a également la possibilité de supprimer son Espace Personnel et les données qui y sont rattachées ;
  • Le droit à la portabilité permet au Bénéficiaire de recevoir les données qu’il a fournies dans un format structuré, couramment utilisé et lisible par une machine et de le transmettre à un autre responsable de traitement ;
  • Le droit à l’opposition permet au Bénéficiaire de s’opposer au traitement de ses données pour des motifs légitimes ;
  • Le droit de déterminer le sort des données après le décès permet au Bénéficiaire de définir des directives relatives au sort de ses données après son décès ;
  • Le droit d’introduire une réclamation auprès des services de la CNIL (https://www.cnil.fr/fr/webform/adresser-une-plainte) permet au Bénéficaire d’engager une action devant les tribunaux s’il considère que ses droits n’ont pas été respectés.

Vous pouvez trouver plus d'informations sur la gestion des demandes d'exercice de droits chez Mūcho sur la page dédiée : https://www.Mūcho.io/legal/procedure-generale-de-gestion-des-demandes-d-exercice-de-droits.

Article 8 – Sécurité

Mūcho met en œuvre toutes les mesures techniques et organisationnelles nécessaires afin d’assurer la sécurité et la confidentialité des traitements des données.

8.1. Hébergement

Les données sont stockées et hébergées sur des serveurs virtuels (dit « cloud ») chez IBM public cloud (IBM PC). Le centre d'hébergement des données est situé en France.

8.2. Protocoles de sécurité

Le transfert d'informations vers les serveurs de Mūcho est protégé par une connexion sécurisée (SSL sur HTTP (HTTPS)).

Mūcho ne transmet pas les informations en clair afin d'éviter toute trace dans les logs serveurs. Les données sont chiffrées suivant le protocole SSL SHA256 (avec RSA 2048bits).

8.3. Accès aux environnements de production

Seule l’équipe technique de Mūcho a accès à la base de données via un réseau privé sécurisé.

Les bases de données sont anonymisées lors du backup afin de produire pour les développeurs des bases « similaires » à celles de production.

L’accès aux environnements de production est strictement limité et nominatif. Une connexion VPN à un serveur (avec IP publique) permet ensuite de se connecter au réseau privé. Les accès aux bases de données sont impossibles en dehors de la Plateforme Mūcho et des outils de rapprochement de données, présents sur le réseau privé également.

8.4. Accès aux outils internes

Les accès aux outils internes sont nominatifs et gérés via Google Suite (SSO avec autres outils).

Les outils internes possèdent leurs propres journaux de logs avec des informations plus ou moins importantes. Les logs serveurs sont hébergés sur Amazon et conservés pendant une durée maximum d’un (1) an. Mūcho supprime régulièrement les données afin de libérer de l’espace. Pour des raisons de sécurité, l’accès est limité à un nombre restreint de membres de l’équipe technique.

Mūcho utilise Dashlane afin de sécuriser les mots de passe, de procéder à des audits de force et de péremption afin de renforcer sa protection interne.

8.5. Accès aux serveurs

Une authentification à deux facteurs est nécessaire pour se connecter aux serveurs de Mūcho.

8.6. Accès aux dispositifs de réseau

Mūcho a seulement un réseau privé pour accéder à l’internet public et à une imprimante réseau. L’accès au réseau privé est par Wifi avec mot de passe sécurisé sur un applicatif Cisco professionnel.

8.7. Sauvegarde des données sur les postes de travail

Mūcho a choisi d’utiliser Google Suite afin de protéger les données des Bénéficiaires et qu’aucune donnée ne soit stockée sur les postes de travail.

8.8. Logiciels pare-feu utilisés pour protéger les données et les serveurs

Aucune donnée n’est physiquement stockée sur l’intranet de Mūcho. Le personnel de Mūcho utilise Google Suite et ses outils afin de stocker les fichiers. Le contrôle d’accès et la sécurité des données sont ainsi assurés. Une solution antivirus est incluse.

Un firewall est disponible au niveau de la couche de routage de l’intranet. Les sites référencés publiquement sont filtrés. L'application Cisco s’en occupe. Le navigateur web par défaut utilisé est Google Chrome qui bloque également par défaut la navigation sur des sites réputés malveillants.

8.9. Système de prévention/détection de toute tentative d’intrusion

Mūcho utilise Sqreen, une plateforme de gestion de la sécurité des applications empêchant les violations de données, en arrêtant les rachats de comptes et en bloquant les attaques de logique d'entreprise.

8.10.Politique interne mise en place en matière de confidentialité et de protection des données

Mūcho dispense régulièrement des sessions de formation de RGPD à son personnel afin de lui rappeler les obligations lui incombant en matière de protection et de confidentialité des données. Une documentation RGPD est consultable à tout moment sur l’intranet de Mūcho.