Politique de confidentialité

En bref : Simplement pour vous informer des données que nous allons traiter à votre sujet, et comment.

Dans le cadre de son activité de courtier d’assurance (COA), Mon Petit Placement est amené à traiter des données personnelles. Nous accordons donc une grande importance à leur sécurité.

L’objectif de cette politique de confidentialité est de vous aider à comprendre de quelle façon nous traitons ces données, conformément au RGPD.

Cette politique peut être mise à jour régulièrement, pour l’enrichir en fonction des besoins de Mon Petit Placement, des circonstances ou si la loi l’exige. Nous vous invitons donc à prendre régulièrement connaissance des mises à jour, même si nous vous préviendrons toujours en cas de changements significatifs affectant la manière dont vos données sont traitées.

En bref : Vous resterez maître de vos données, et nous ne les revendrons pas.

Mon Petit Placement souhaite aligner ses intérêts avec ceux de ses clients, et ne vendra jamais les données collectées à des tiers.

Par ailleurs, conformément à la réglementation, et notamment au RGPD, nous nous engageons à collecter et traiter uniquement les données strictement nécessaires au regard de leur finalité. De même, nous veillons à ce que les données collectées soient conservées sous une forme permettant votre identification (non anonymisées), pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles ont été collectées et traitées.

En bref : Mon Petit Placement a une part de responsabilité dans les données récoltées et leur utilisation.

Mon Petit Placement est courtier et n’intervient pas principalement comme sous-traitant de ses clients, mais bien comme responsable de traitement au sens de l’article 4 du RGPD sur l’ensemble des opérations liées à ses services de conseil en investissement, décrits dans cette politique :

• Mon Petit Placement détermine les moyens et les finalités du traitement de données nécessaires au conseil en investissement. En pratique, les informations sont communiquées par le client lors de son parcours de souscription ou après contractualisation. D'autres informations sont communiquées par l’assureur partenaire au cours de la vie de l’investissement.
• Les opérations réalisées sur les données par Mon Petit Placement sont nécessaires à ses activités de courtier.

En bref : Vous pouvez nous contacter sans souci, nous serons là pour vous.

Pour toute question concernant la sécurité et les données personnelles, ou pour exercer vos droits d’accès, de rectification, de suppression, de retrait du consentement, de limitation du traitement, d’opposition au traitement ou de portabilité, vous pouvez nous contacter ainsi que notre Data Protection Officer (DPO) à l’adresse [email protected]. Nous veillerons à vous répondre dans les meilleurs délais.

Pour toute demande concernant vos données personnelles, vous pouvez également contacter directement la Commission Nationale Informatique et Liberté (CNIL) sur le site https://www.cnil.fr.

En bref : Nous récoltons beaucoup de données, mais c’est nécessaire pour vous apporter nos services.

Types de données pouvant être collectées

• Données d’identification : nom, nom de naissance, prénom, sexe, nationalité, numéro d’identification fiscale (si résident fiscal étranger), etc.
• Personnes concernées par le contrat : assuré, bénéficiaire(s) du contrat, etc.
• Données de contact : email, téléphone, adresse de domicile, adresse fiscale, etc.
• Données de vie personnelle : situation familiale, nombre de personnes à charge, statut marital, régime matrimonial, etc.
• Données de vie professionnelle : statut professionnel, secteur d’activité, catégorie socio-professionnelle, titre du poste, employeur, etc.
• Données financières : revenus, détails du patrimoine, emprunts, coordonnées bancaires, etc.
• Données de connexion : adresse IP, historique de navigation, parcours de visite, système d’exploitation, informations sur les appareils, etc.
• Données liées au service Mon Petit Placement : parrainage, codes de réductions, sites de provenance, historique des chats, historique des prises de contact, etc.
• Données liées aux contrats : référence du contrat, sinistres éventuels, ordres passés, historique des situations, factures, etc.
• Documents : documents d’identité, justificatifs de domicile ou de fonds, RIB, contrats, factures, etc.
• Données relatives à la lutte contre la fraude.

Nous pouvons également être amenés à recueillir certaines informations de votre part à l’occasion d’enquêtes de satisfaction, ces réponses n’ayant aucun caractère contraignant.

Profilage

Mon Petit Placement est susceptible d’automatiser certains traitements en fonction de vos données. Il s’agit d’un traitement de données à caractère personnel qui peut avoir des impacts sur certaines caractéristiques de votre contrat.

Ce profilage peut être nécessaire afin de répondre aux obligations de conseil, de placements, de prestations, de propositions de contrats et services adaptés à vos besoins.

À titre d’exemple, les informations sur votre patrimoine, vos revenus, votre profession ou votre âge peuvent être prises en compte pour déterminer un profil financier et vous orienter vers des produits d’investissement adaptés à votre profil.

Sur la base de votre consentement

Les opérations de prospection, promotionnelles, d’amélioration de notre connaissance client, et de mesures d’audience.

Les communications clients aux sujets de produits, services et actualités.

Échanger via téléphone avec vous

Échanger avec vous (via chat, mail, sms, lors d’un webinar…)

Pour exécuter ton contrat

La réalisation de ton contrat Mon Petit Placement

La réalisation de ton contrat assureur

Pour respecter des obligations légales

La lutte contre le blanchiment d’argent et la fraude fiscale

Les recours, réclamations et contentieux possibles

Sur la base d’intérêts légitimes

Les enquêtes de satisfaction ou projets de recherche universitaire

Le développement de nouveaux services ou l’amélioration d’existants

La réalisation d’opérations techniques

En bref : La sécurité de vos données est primordiale. Nous n’y lésinerons pas.

Sécurité applicative

Nous utilisons plusieurs solutions telles que :

• Cloudflare.com et son pare-feu WAF pour nous protéger des attaques par déni de service distribuées (DDoS), attaques XSS, injections SQL, vols de compte, etc.
• Keycloak pour nous protéger contre les attaques par force brute d’identifiants.

Chiffrement des données en transit

Tout le trafic HTTP depuis et vers monpetitplacement.fr est chiffré (HTTPS / TLS). Vous pouvez évaluer notre configuration ici.

Lors de la première connexion d’un utilisateur, nous indiquons à son navigateur (via le mécanisme HSTS) que toutes les connexions ultérieures devront obligatoirement être chiffrées (HTTPS), y compris lorsque qu'un lien vers monpetitplacement.fr commence par http:// au lieu de https://.

Hébergement et bases de données

Pour l’hébergement et le traitement des données, Mon Petit Placement utilise Amazon Web Services. L’ensemble de notre infrastructure est situé en France.

Pour remplir toutes les finalités pour lesquelles nous collectons vos données, nous pouvons être amenés à transférer certaines d’entre elles à des tiers, qui les hébergent dans des datacenters situés préférentiellement dans l’Union européenne. Lorsque l’hébergement des données n’est pas possible au sein de l’UE, nous veillons à ce que celui-ci soit soumis aux standards de protection européens (notamment en incluant des clauses contractuelles types dans les contrats nous liant à ces tiers).

Accessibilité des données

Toutes les connexions aux bases de données propres à Mon Petit Placement ne peuvent se faire que sur son propre réseau interne (qui n’est pas exposé) et sont inaccessibles autrement.

Politique de mots de passe et stockage

Les mots de passe sont gérés par Keycloak. Leur taille minimale est de 8 caractères avec une majuscule, une minuscule, un chiffre et un caractère spécial.

Les mots de passe ne sont pas stockés : seul un hash non réversible est stocké (calculé avec 27500 itérations pour limiter les attaques de type brute force, et un sel aléatoire par utilisateur pour protéger contre les rainbow tables).

Mesures organisationnelles

• La base de connaissances interne propre à Mon Petit Placement est Notion.
• Tous les employés de Mon Petit Placement reçoivent une formation obligatoire sur la sécurité (y compris le social engineering) et la confidentialité des données. Ils utilisent des mots de passe complexes, uniques, ainsi que l’authentification forte (2FA) dès que cela est possible. L’utilisation d’un gestionnaire de mot de passe (comme Dashlane ou KeePassXC) est également obligatoire.
• Nous organisons des tests d’intrusion avec des sociétés indépendantes.
• Tous les services et applications Mon Petit Placement sont développés en interne. Le code est validé par des tests automatisés et manuellement par des collaborateurs en interne.

En bref : Vous aussi, vous pouvez être acteur de la protection de vos données.

Il existe plusieurs façons simples d’ajouter un niveau de sécurité supplémentaire :

• Appliquer régulièrement les mises à jour pour bénéficier des correctifs de sécurité.
• Protéger vos mots de passe (compte Mon Petit Placement, compte bancaire, boîte mail…) en utilisant par exemple un gestionnaire de mots de passe.
• Utiliser un logiciel antivirus pour détecter la présence de logiciels malveillants ou espions.

D’autres recommandations officielles peuvent aussi exister.

En bref : Une dizaine de partenaires et sous-traitants que nous choisissons méticuleusement.

Les données collectées peuvent être communiquées si besoin aux partenaires, assureurs, sous-traitants, conseillers juridiques et financiers, et prestataires de Mon Petit Placement. Ces transferts de données sont réalisés uniquement dans le cadre des opérations mentionnées et dans la limite nécessaire à l’exécution des tâches que nous confions à ces tiers. Ces derniers sont informés de la confidentialité des données qui leur sont communiquées, et ont l’obligation de garantir leur protection. Ils sont également liés par leurs propres politiques de confidentialité, consultables sur leurs sites. Lorsque cela est possible, les données sont anonymisées avant leur communication.

Les principaux outils et personnes qui reçoivent les données dans le cadre de nos traitements incluent :

Données personnelles liées à mon investissement

• Amazon Web Services (hébergeur)
• APICIL (assureur)
• Generali (assureur)
• La France Mutualiste (assureur)
• Hubspot (CRM)
• Calendly (calendrier de rendez-vous)
• Crisp (chat)
• Universign (signature électronique)
• Netheos (vérification automatisée de documents)
• Sendinblue (e-mails)
• Slack (suivi d’alertes en temps réel)
• Vimeo (vidéo de conseil)
• Skyloud (maintenance des serveurs)
• Ringover (plateforme d’appels téléphoniques)

Données de mesures d’audience et d’usage

• Google Ads (publicité ciblée)
• Facebook Pixel (analyse d’audience et publicité ciblée)
• Snap Pixel (analyse d’audience et publicité ciblée)
• Tiktok Pixel (analyse d’audience et publicité ciblée)
• Linkedin Pixel (analyse d’audience et publicité ciblée)
• Google Analytics (analyse d’audience)
• Google Conversion Linker (publicité ciblée)
• Matomo (analyse d’audience)
• Hubspot (analyse d’audience)
• Hotjar (analyse d’usage)
• Wisepop (analyse d’usage)
• Livestorm (conférences en ligne)

C’est quoi un cookie ?

En plus d’être un fichier contenant des données sur votre appareil, un cookie est un outil qui permet de personnaliser votre expérience. Vous pouvez à tout moment supprimer ou limiter le stockage de ces fichiers dans les paramètres de votre navigateur.

À quoi servent-ils ?

• Les cookies fonctionnels nécessaires nous permettent de faire fonctionner le site (par exemple, vous identifier une fois connecté, vous permettre de nous contacter via le chat ou de prendre rendez-vous avec nous).
• Les cookies fonctionnels optionnels permettent de déclencher des actions personnalisées sur l’interface (par exemple, afficher une pop-up un nombre limité de fois).
• Les cookies d’audience nous permettent de connaître l’utilisation et les performances de notre site, d’établir des statistiques, des volumes de fréquentation et d’utilisation des divers éléments de notre site (contenus visités, parcours), et ainsi d’améliorer l’intérêt et l’ergonomie de nos services. Les données recueillies sont analysées uniquement par Mon Petit Placement et ses sous-traitants, et utilisées uniquement par Mon Petit Placement.
• Les cookies liés aux opérations relatives à la publicité ciblée permettent de mesurer l’efficacité de nos campagnes publicitaires et de limiter le nombre de fois où une publicité pour Mon Petit Placement vous est proposée. Aucun de ces cookies publicitaires n’est utilisé par Mon Petit Placement lorsque les membres sont authentifiés.

Puis-je refuser ?

Bien sûr ! Lors de votre première visite (ou si vous utilisez la navigation privée), une bannière s’affiche pour vous demander l’autorisation d’utiliser des cookies. Vous pouvez refuser, et aucun cookie autre que ceux nécessaires pour faire fonctionner le site ne sera déposé. Si vous acceptez, votre consentement sera valable 13 mois à compter de son enregistrement.

En bref : Nous n’en avons pas l’intention et nous ferons en sorte que non.

Vous allez bien recevoir des e-mails de notre part, nous ne vous le cachons pas.

Dans le cadre de l’exécution de notre contrat. Par exemple : vous demander des informations complémentaires pour finaliser une opération, vous informer d’une facturation à venir ou d’une nouvelle importante vous concernant.

Certains mails ne concernent pas directement notre contrat avec vous, mais relèvent d’un intérêt légitime (par exemple, vous proposer de parrainer un proche avec une récompense financière à la clé, ou vous annoncer de nouveaux services similaires à ceux dont vous pourriez bénéficier).

Vous pouvez aussi choisir de vous inscrire à notre newsletter ou à nos listes d’attente afin d’être averti de la disponibilité de nouveaux services.

Dans tous les cas, vous avez la possibilité de vous désinscrire de la plupart de nos communications via mail en cliquant sur le lien "se désabonner" qui figure en bas des e-mails (opt-out).

Nous n’avons pour le moment pas de notifications push. Si celles-ci venaient à voir le jour, nous vous demanderons l’autorisation et vous aurez la possibilité de les désactiver ou réactiver directement depuis votre téléphone.