Logo

Politique de confidentialité – FINCORY

Dernière mise à jour : 3 juillet 2025
1. Définitions

Dans le cadre de la présente politique de confidentialité, les termes suivants sont définis comme suit :

Application FINCORY : désigne l’application installée par les marchands sur leur boutique Shopify, permettant de créer des campagnes de retargeting basées sur les données financières (revenus, dépenses, fidélité) de leurs clients, issues de l’open banking.

Extension : désigne le bandeau affiché sur le site du marchand, visible par les clients finaux, par lequel ces derniers peuvent consentir au traitement de leurs données bancaires via leur connexion à un compte bancaire (open banking). Cette extension fait partie du fonctionnement global de l’application.

Marchand : désigne le client professionnel ayant installé l’Application FINCORY sur sa boutique Shopify.

Utilisateur final : désigne toute personne physique (client du marchand) dont les données bancaires peuvent être utilisées (avec son consentement explicite) à des fins de ciblage marketing via l’Application FINCORY.



2. Objet

La présente politique de confidentialité a pour objet d’informer :

  • les marchands Shopify utilisant l’application FINCORY , ci-après désignés les "Marchands" ;
  • ainsi que leurs clients finaux utilisant l’extension FINCORY , ci-après désignés les "utilisateurs finaux" ou les "personnes concernées".

des conditions dans lesquelles les données à caractère personnel sont traitées, conformément au règlement (UE) 2016/679 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (ci-après « le RGPD »), à la directive (UE) 2015/2366 (ci-après « DSP2 »), et aux exigences de Shopify relatives aux données clients.

FINCORY collecte :

  • certaines données professionnelles des Marchands, strictement nécessaires à la relation commerciale, à la facturation ou au support technique ;
  • des données pseudonymisées des utilisateurs finaux, collectées via l’extension et destinées à permettre aux Marchands de déclencher des actions de marketing ciblées sur la base de comportements d’achat réels, et ce, dans le respect strict des principes définis par le RGPD.

Pour plus d’informations sur les conditions d’utilisation de l’Application, veuillez consulter nos Conditions Générales d’Utilisation (CGU).



3. Responsable du traitement


Les traitements de données personnelles sont réalisés par FINCORY.

SAS au capital de 1 000 €, immatriculée au RCS de Paris sous le numéro 987 625 522.

Siège social : 5 rue François Bonvin, 75015 Paris – France.

Email : contact@fincory.com

FINCORY agit en qualité de responsable de traitement pour la collecte, la segmentation et la gestion des données bancaires pseudonymisées des utilisateurs finaux, en conformité avec le RGPD.

Les Marchands, de leur côté, demeurent responsables des traitements qu’ils déclenchent à partir des segments transmis via l’Application FINCORY.

FINCORY ne traite aucune donnée des Marchands à des fins de ciblage ou de profilage. Seules les informations techniques et contractuelles nécessaires à l’usage de l’Application (nom, email, identifiant boutique) sont conservées.






4. Données collectées auprès des utilisateurs finaux

4.1. Données concernées

FINCORY ne collecte ni ne stocke directement de données identifiantes telles que le nom, le prénom ou l’email des personnes concernées.

FINCORY traite exclusivement les données bancaires pseudonymisées suivantes :

  • Libellés des opérations bancaires (ex. : type d’achat, nom du commerçant) ;
  • Montants des transactions ;
  • Dates des transactions.

Ces données sont fournies exclusivement par l’agrégateur Linxo Connect, agréé DSP2. Linxo Connect est le nom commercial de la société OXLIN, établissement de paiement agréé par l’Autorité de Contrôle Prudentiel et de Résolution (ci-après désigné "l'ACPR"), sous le numéro 17248, filiale du groupe Crédit Agricole. Les données sont transmises uniquement après consentement explicite des utilisateurs finaux, dans un cadre strictement conforme aux exigences réglementaires.

Linxo Connect assure l’hébergement sécurisé des données mais ne les exploite en aucune manière : précisément, aucune revente, ni utilisation commerciale ou publicitaire n’est effectuée.

Ces données qui sont pseudonymisées, ne permettent pas l’identification directe, et sont traitées dans un cadre strictement défini par le RGPD.

4.2. Origine des données

Les données sont obtenues, avec consentement, via des interfaces sécurisées d’open banking mises en œuvre par Linxo Connect prestataire technique de FINCORY agréé DSP2.

Par ailleurs, certaines données techniques provenant de l’API Shopify (par exemple : identifiant client interne, identifiant d’une commande) sont stockées pour associer un segment comportemental à un profil client, sans conservation ni réutilisation indépendante par FINCORY.



5. Finalités du traitement

Les données bancaires sont traitées uniquement pour les finalités suivantes.

  • Construction de segments clients comportementaux (ex. : acheteurs réguliers, clients inactifs, premium);
  • Déclenchement d'offres personnalisées définies par le marchand (ex. : réduction, cadeau, accès privilégié);
  • Analyse agrégée du comportement client à des fins de fidélisation, réactivation, ou optimisation marketing.

FINCORY n’exploite jamais les données à d’autres fins, telles que le scoring ou la publicité pour le compte de tiers. Toute action marketing rendue possible par FINCORY est exclusivement réalisée au bénéfice du marchand à destination de ses propres clients.



6. Base légale

Le traitement repose sur l’article 6.1.a du RGPD : le consentement explicite de la personne concernée, recueilli via l’interface partenaire en conformité avec les exigences de la directive DSP2.

Aucune donnée n’est collectée sans action volontaire et informée de l’utilisateur.



7. Profilage des personnes concernées et droits associés

FINCORY met en œuvre un traitement automatisé à des fins de segmentation marketing, à partir des données bancaires pseudonymisées.

Ce traitement peut avoir un impact significatif sur les personnes concernées, c’est pourquoi, conformément à l’article 22 paragraphe 2, c) du RGPD, FINCORY demande le consentement explicite des personnes concernées afin de procéder au profilage et met en place les moyens nécessaires au retrait de ce consentement.

Ces segments sont transmis au Marchand afin de déclencher, à sa discrétion, des offres personnalisées.

Conformément à l’article 13, 2), f) du RGPD, toute personne concernée a le droit :

  • de connaître les critères et la logique générale ayant conduit à son classement dans un segment;
  • de connaître les logiques générales de segmentation mises en œuvre (ex. : fréquence, montant, type de dépenses) ;
  • et d’en contester l’utilisation dans un contexte de décision automatisée.

FINCORY permet aux personnes concernées de faire exercer leurs droits comme décrit dans l’article 10 de la présente Politique de Confidentialité.



8. Durée de conservation

Les données bancaires collectées sont conservées pour une durée maximum de 5 ans à compter de la date de collecte.

Passé ce délai, elles sont supprimées ou anonymisées de manière irréversible, sauf obligation légale contraire.

Les données professionnelles des Marchands sont conservées pendant toute la durée du contrat liant le Marchand à FINCORY, et peuvent être archivées au-delà en cas d’obligation légale (ex: comptable ou fiscale).



9. Destinataires des données

Les données peuvent être transmises aux marchands Shopify utilisant FINCORY, uniquement sous forme de segments pseudonymisés, c’est-à-dire des catégories comportementales (ex. : client fidèle, premium, inactif) sans aucune donnée identifiante (ex : email, IBAN, nom). Ces segments permettent au Marchand d’activer des actions marketing ciblées sur ses propres clients, sans jamais accéder aux données bancaires brutes.

FINCORY ne commercialise, ne revend ni ne transfère les données à des tiers non autorisés.

FINCORY ne transmet jamais de données identifiantes entre Marchands.

Lorsqu’un même utilisateur a consenti au partage de ses données sur plusieurs boutiques, il peut être associé à différents segments correspondant à chacun de ses comportements d’achat. Aucun accès direct à ses données brutes ou à son historique complet n’est fourni aux Marchands.



10. Sécurité, intégrité et hébergement des données

Conformément à l’article 32 du RGPD, FINCORY met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité, la confidentialité et l’intégrité des données à caractère personnel traitées. FINCORY applique les mesures de sécurité suivantes :

  • Pseudonymisation des données ;
  • Chiffrement : toutes les données sont systématiquement chiffrées en transit. Au repos, seules certaines données spécifiques sont chiffrées : les libellés des transactions bancaires, les adresses email et les numéros de téléphone professionnels des marchands ;
  • Accès restreint aux données par authentification forte ;
  • Journalisation complète des accès aux données protégées ;
  • Séparation stricte des environnements (dev/test/production) ;
  • Sauvegardes sécurisées, auditables ;
  • Procédures de réponse aux incidents documentées.

FINCORY est conforme aux exigences de sécurité imposées par Shopify pour les niveaux 1 et 2 de données clients protégées, telles que décrites dans la documentation officielle Shopify API Access Scopes et App Store Requirements.

Les données sont hébergées exclusivement dans l’Union européenne.

  • Les données bancaires sont stockées par notre partenaire Linxo Connect, sur des serveurs sécurisés localisés dans l’Union européenne. Linxo Connect n’exploite en aucune manière les données qu’il héberge (ni revente, ni utilisation commerciale).
  • Les données bancaires sont également stockées par FINCORY sur Microsoft Azure (centre de données situé en Allemagne).
  • Les traitements complémentaires sont opérés sur les infrastructures de Fly.io (centre de données situé à Paris - CDG).

Aucun transfert de données hors Union européenne n’est effectué.



11. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Accès : obtenir gratuitement une copie de l’ensemble de vos données traitées ;
  • Rectification : corriger des données inexactes ou incomplètes ;
  • Effacement : demander la suppression de vos données. Cette demande peut être réalisée directement sur le site vitrine de FINCORY : https://www.fincory.com/consent ;
  • Opposition : refuser tout traitement, y compris le profilage, sans justification ;
  • Portabilité : récupérer vos données dans un format structuré et lisible ;
  • Limitation : geler temporairement l’usage de vos données ;
  • Information : connaître les critères et la logique générale ayant conduit à votre classement dans un segment ;
  • Décision automatisée : être informé, contester une décision, obtenir une intervention humaine ;
  • Réclamation : saisir la CNIL (www.cnil.fr) si vous estimez que vos droits ne sont pas respectés.

Pour exercer leurs droits, les personnes concernées peuvent adresser leur demande à contact@fincory.com.

La demande doit inclure la nature précise de la demande (ex. : accès, opposition, effacement, information sur le segment, etc.).

Une copie de pièce d’identité pourra être demandée uniquement si la nature de la demande le justifie, notamment dans les cas suivants :

  • Accès : obtenir gratuitement une copie de l’ensemble de vos données traitées ;
  • Rectification : corriger des données inexactes ou incomplètes ;
  • Opposition à un traitement ou à une décision automatisée ;
  • Demande d’explication sur la logique de segmentation appliquée ;
  • Portabilité : récupérer vos données dans un format structuré et lisible ;
  • Limitation : suspendre temporairement le traitement de vos données ;
  • Information : connaître les critères et la logique générale ayant conduit à votre classement dans un segment ;
  • Décision automatisée : contester une décision automatisée, obtenir une explication, une intervention humaine, ou refuser l’application du segment ;
  • Demande d’accès au segment attribué ;

FINCORY s’engage à répondre dans un délai maximum de 30 jours, conformément à l’article 12 du RGPD.



12. Modifications de la politique

Cette politique peut évoluer en fonction des modifications réglementaires ou techniques.

En cas de mise à jour substantielle, FINCORY en informera les utilisateurs :

  • via son site web,
  • et, le cas échéant, par email lorsqu’il s’agit de Marchands avec lesquels une relation contractuelle directe existe.