Information sur la collecte de données à caractère personnel (article 13 RGPD)

La protection de vos données à caractère personnel est importante pour nous. D’après le règlement général sur la protection des données de l‘UE (RGPD), nous sommes obligés de vous informer dans quel but nous collectons, sauvegardons et transmettons les données. Dans cette information, vous y pouvez aussi lire vos droits par rapport à la protection des données.

  1. Responsable pour le traitement des données
    BASTUCK & Co. GmbH, In Bommersfeld 11, 66822 Lebach
    Telefon 06881 9249101, E-Mail : service@bastuck.de
    Notre délégué à la protection des données, Mr. Ralf Müller, est joignable par mail datenschutz@datenschutz.gesmit.de ou par téléphone 0681 9.88.99.100.
  2. But et base juridique pour le traitement
    Nous traitons vos données dans le but du traitement de demande et commandes de clients. Le traitement dans ce but est nécessaire pour le traitement adéquat de votre demande respectivement pour exécution des engagements d’un contrat par les deux côtés. De même, nous traitons vos données dans le but du marketing direct (art. 6 para. 1 lit. f RGPD) et pour l’imposition de nos réclamations (§24 Abs. 1 BDSG). Dans le cas d’une autorisation préalable qui a été demandée séparément, nous traitons vos données dans les buts cités dans l’autorisation préalable (art. 6 para. 1 lit. a RGPD).
  3. Provenance des données
    Nous collectons les données, si possible, auprès de vous directement. Mais il peut être possible que nous traitons vos données à caractère personnel que nous avons touchés d’autres institutions (i.e. interrogation de la solvabilité). La collection des données à caractère personnel se produit dans les deux cas dans les buts définis.
  4. Les destinataires des données
    Nous transmettons les données à une partie tierce seulement si cela est nécessaire d’après les buts de traitement cités sous point 2, comme à nos prestataires de service IT. Dans le cas de retard dans le paiement, la transmission de vos données à des sociétés de recouvrement dans notre intérêt est possible. Dans le cas de marketing direct, vos données sont transmises au prestataire de service correspondant.
  5. Durée de la sauvegarde des données
    Les données à caractère personnel collectées sont effacées dès qu’elles ne sont plus nécessaires dans le but dans lequel elles étaient collectées respectivement étaient traitées, sauf si nous sommes obligés, d‘après article 6 para. 1 S. 1 lit. c RGPD, de les sauvegardés par cause d’obligation de conservation ou de documentation ou si vous avez accordé une sauvegarde ultérieure d‘après art. 6 para. 1 S. 1 lit. a RGPD
  6. Service de paiement (paiement par carte de crédit)
    Beaucoup de pas sont nécessaires pour que vous puissiez payer par carte en sécurité. Le commerçant chez lequel vous payez par carte travaille donc ensemble avec un opérateur de réseau et avec un ou plusieurs acquirers. Commerçant, opérateur de réseau et acquirer séparés et responsable individuellement pour le traitement des données dans leur zone d*influence technique comme suivant :
    Commerçant pour l’opération du terminal de paiement à la caisse et possiblement pour le réseau interne jusqu’à la transmission sécurisée par internet ou téléphone à l’opérateur de réseau. Commerçant est la BASTUCK & Co. GmbH, Im Bommersfeld 11, 66822 Lebach (voir point 1).
    Opérateur de réseau pour l’opération centrale du réseau, la transmission, le recodage, l’évaluation des risques dans le réseau et la transmission ultérieure des données est la BS PAYONE GmbH (adresse comme suivant).
    Acquirer est un prestataire de services régulé selon le Zahlungsdienstaufsichtsgesetz (ZAG), qui exécute le traitement et la déduction des processus de paiement pour le commerçant. Acquirer est:
    BS PAYONE GmbH, Lyoner Straße 9, 60528 Frankfurt am Main, www.bspayone.com
    Délégué à la protection des données: privacy@bspayone.com
    Autorité de protection de données responsable: Le délégué de protection de données hessois, Gustav-Stresemann-Ring 1, 65189 Wiesbaden, https://datenschutz.hessen.de/
    1. Quelles données sont utilisées pour le paiement ?
      Données de carte (données, qui sont enregistrées sur votre carte)
      : numéro de carte, type de carte (i.e. VISA, Mastercard) et date d’expiration.
      Plus de données de paiement : montant, date, heure, indicatif du terminal de paiement (location, société et filiale dans laquelle vous payez), données de vérification de votre institut de carte ("données EMV"), le cas échéant votre signature.
      Code PIN :
      Votre code PIN entré sera sécurisé cryptographiquement et vérifié par votre institut de carte. L’opérateur de réseau reprend les sécurisations cryptographiques et transmissions mais ne sauvegarde pas votre code PIN et ne peux pas accéder votre code PIN.
      Résilation (Chargeback) –
      Si vous niez une transaction effectuée avec votre carte : Dans ce cas, le reçu de paiement et le cas échéant plus d’information sur vous avec laquelle le commerçant veut prouver sa réclamation (i.e. nom et adresse) peut 1etre transmis à l’institut de carte de crédit.
    2. Quelles sont les sources de vos données ?
      - Les données de carte sont lues par le terminal de paiement.
      - Les autres données de paiement sont mises à disposition par le terminal de paiement ou par le commerçant.
      - Le code PIN est entré par vous, la signature est donnée par vous.
    3. Dans quel but les données sont-elles traitées et sur quelle base juridique ?
      • Commerçant :
        - Vérification et traitement de votre paiement au commerçant, art. 6 (1) (b) RGPD.
        - Archivage de reçus d’après les directives juridiques, spécialement d’après §§ 257 para. 1 Nr. 4 HGB, § 147 para. 1 Nr. 4 AO; art. 6 (1) (c) RGPD.
      • Opérateur de réseau :
        - Vérification et traitement de votre paiement au commerçant, art. 6 (1) (b) RGPD.
        - Transmission sécurisée de vos données, spécialement d’après les directives juridiques, §§ 25a KWG, 27 ZAG, et des directives de l’institut de carte, art. 6 (1) (c) et (f) RGPD.
      • Acquirer :
        - Vérification et traitement de votre paiement au commerçant, art. 6 (1) (b) RGPD.
        - Empêchement de l’abus de carte (§ 10 Abs. 1 Nr. 5 GWG); art. 6 (1) (c) RGPD
        - Limitation de risque de retard de paiement, art. 6 (1)  (f) RGPD.
        - Transmission sécurisée de vos données, spécialement d’après les directives juridiques, §§ 25a KWG, 27 ZAG, et des directives de l’institut de carte, art. 6 (1) (c) et (f) RGPD.
        - Déduction des taxes que le commerçant doit l’institut de carte, art. 6 (1)(f) RGPD.
        - Archivage de reçus, spécialement d’après §§ 257 para. 1 Nr. 4 HGB, § 147 para. 1 Nr. 4 AO; art. 6 (1) (c) RGPD
        - Recouvrement de réclamations après une résilation, art. 6 (1) (f) RGPD.
    4. Qui reçoit les données ?
      En plus du commerçant et de l’opérateur de réseau, plus d’organisations nécessitent vos données pour traiter votre paiement ou pour satisfaire des directives juridiques. Seul dans ce contexte, vos données sont transmises aux organisations suivantes :
      - Le système de paiement de carte,
      - Votre institut de carte et la banque de l’acquirer,
      - les organisations entre les instituts de carte de crédit qui traitent le clearing et settlement des paiements,
      - les autorités judiciaires dans les cas prévus judiciairement,
      - Les autorités anti-blanchiment d’argent dans les cas prévus judiciairement
    5. Sont les données transmises dans un pays tierce ou à une organisation internationale ?
      L’acquirer transmet vos données au système de paiement de carte à l’extérieur de l’espace économique européen d’après les règles conventionnées (i.e. „Binding Corporate Rules“, „Standard Contractual Clauses“) ou dans le but de la résilation d’un contrat avec le payeur étranger pour autoriser et traiter votre paiement.
      Par rapport au traitement de vos données par le système de paiement de carte, veuillez-vous informer ici : MasterCard Europe SPRL, Chaussée de Tervuren 198A, 1410 Waterloo, Belgique, pour les marques „MasterCard“ et „Maestro“,
      Visa Europe Services LLC, inscrit à Delaware USA, agissant par la branche à Londres, 1 Sheldon Square, London W2 6TT, United Kingdom, pour les marques „Visa“, „Visa Electron“ et „V PAY“.
    6. Pour combien de temps mes données sont-elles sauvegardées ?
      BS PAYONE sauvegarde et traite vos données à caractère personnel tant que cela est nécessaire pour la réalisation du contrat et pour le respect des obligations de contrat et judiciaires. Si la sauvegarde des données n‘est plus nécessaire pour respecter ces dernières et le but de la sauvegarde n’existe plus, les données à caractère personnel seront effacées sauf si leur traitement ultérieur est nécessaire dans les buts suivants :
      Réalisation d’obligations de sauvegarde par droit de taxe, de commerce ou autre (i.e. sauvegarde de données importantes à la comptabilité pour 10 ans ;
      Sauvegarde de preuves dans le cadre de directives judiciaires de prescription.
    7. Quels sont mes droits ?
      Chaque personne concernée peut invoquer les droits cités sous point 7 auprès du responsable.
    8. Suis-je obligé de donner mes données ?
      Vous n’êtes ni obligé contractuellement ni judiciairement de donner vos données. Si vous ne voulez pas donner vos données, vous pouvez choisir une autre méthode de paiement.
    9. Droit d’opposition en seul cas
      Vous avez le droit, à cause de raisons qui se révèlent dans votre situation individuelle, d’opposition contre le traitement de données, qui est effectué selon article 6 (1)(f) RGPD, donc contre le traitement de données sur base de comparaison d’intérêts.
      Veuillez adresser votre opposition à:
      BS PAYONE GmbH / délégué de protection de données Axel Moritz
      Lyoner Straße 9
      D-60528 Frankfurt/Main
      www.bspayone.com / privacy@bspayone.com
      Si vous faites opposition avec droit, vos données ne seront plus traitées selon article 6 (1)(f) RGPD , avec deux exceptions:
      Vos données continuent d’être traitées si le responsable peut prouver des raisons légitimes pour le traitement qui prédominent vos intérêts, droits et libertés, spécialement i.e. pour les obligation de conservation et pour le traitement d’un paiement qui a été commencé mais non terminé.
      Vos données sont traitées si cela sert pour la revendication, l’exercice ou la défense de droits.
    10. Mes données sont-elles utilisées pour une décision automatique ?
      Si vous voulez utiliser votre carte pour payer, le paiement par carte doit être d’abord autorisé. L’autorisation a lieu automatiquement en utilisant vos données. Pendant cela les considérations suivantes peuvent être importantes : montant du paiement, endroit du paiement, comportement de paiement antérieur, commerçant, but du paiement. Sans autorisation, le paiement par carte n’est pas possible. Celan n’a pas d’influence sur les autres méthodes de paiement (i.e. autres cartes ou paiement en liquide).
  7. Vos droits :
    vous avez le droit recevoir l’information sur les données à caractère personnel qui vous concernent. Vous pouvez aussi demander la correction de données incorrectes. De plus, vous avez le droit, à conditions spéciales, d’effacer de vos données, de limitation de traitement de vos données, comme le droit de transmission de données. Si le traitement de vos données a lieu en légitime intérêt du responsable, vous avez le droit d’opposition. Si le traitement a lieu en raison d’un accord de votre part, vous avez le droit de nier l’accord pour le traitement ultérieur. Vous avez de plus le droit de vous plaindre auprès de l’agence responsable pour la protection des données, si vous pensez que le traitement de vos données est illégitime. L’adresse de l’agence responsable pour la société Bastuck & Co GmbH est: Unabhängiges Datenschutzzentrum Saarland, Fritz-Dobisch-Str. 12, 66111 Saarbrücken. Sous numéro 6 vous trouverez les adresses des agences responsables pour les responsables pendant le traitement du paiement.

Droit d’opposition (art. 21 para. 1 RGPD)
La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l'article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice.