Logo

Politique de confidentialité – FINCORY

Dernière mise à jour : 25 mai 2025
1. Objet

La présente politique de confidentialité a pour objet d’informer :

  • les Marchands Shopify utilisant l’application FINCORY ;
  • ainsi que leurs clients finaux utilisant l’extension FINCORY.

(ci-après désignés respectivement « Marchands » et « personnes concernées »),

des conditions dans lesquelles les données à caractère personnel, conformément au Règlement Général sur la Protection des Données (RGPD UE 2016/679), à la directive DSP2, et aux exigences de Shopify relatives aux données clients.

FINCORY collecte :

  • certaines données professionnelles des Marchands, strictement nécessaires à la relation commerciale, à la facturation ou au support technique ;
  • des données pseudonymisées des utilisateurs finaux, collectées via l’extension et destinées à permettre aux Marchands de déclencher des actions marketing ciblées sur la base de comportements d’achat réels, et ce, dans le respect strict des principes définis par le RGPD

Pour plus d’informations sur les conditions d’utilisation de l’Application, veuillez consulter nos Conditions Générales d’Utilisation (CGU)



2. Responsable du traitement

Les traitements de données personnelles sont réalisés par FINCORY, SAS au capital de 1 000 €, immatriculée au RCS de Paris sous le numéro 987 625 522

Siège social : 5 rue François Bonvin, 75015 Paris – France.

Email : contact@fincory.com

FINCORY agit en qualité de responsable de traitement pour la collecte, la segmentation et la gestion des données bancaires pseudonymisées des utilisateurs finaux, en conformité avec le RGPD.

Les Marchands, de leur côté, demeurent responsables des traitements qu’ils déclenchent à partir des segments transmis via l’Application FINCORY.

FINCORY ne traite aucune donnée des Marchands à des fins de ciblage ou de profilage. Seules des informations techniques et contractuelles nécessaires à l’usage de l’Application (nom, email, identifiant boutique) sont conservées.



3. Données collectées auprès des clients finaux

3.1. Données concernées (utilisateur final)

FINCORY ne collecte ni ne stocke directement de données identifiantes telles que le nom, le prénom ou l’email des personnes concernées.

FINCORY traite exclusivement les données bancaires pseudonymisées suivantes :

  • Libellés des opérations bancaires (ex. : type d’achat, nom du commerçant) ;
  • Montants des transactions ;
  • Dates des transactions.

Ces données sont fournies exclusivement par notre partenaire Linxo Connect, un agrégateur agréé DSP2, nom commercial de la société OXLIN, établissement de paiement agréé par l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) sous le numéro 17248, filiale du groupe Crédit Agricole. Elles sont transmises uniquement après consentement explicite des Personnes concernées, dans un cadre strictement conforme aux exigences réglementaires.

Linxo Connect assure l’hébergement sécurisé des données mais ne les exploite en aucune manière : aucune revente, ni utilisation commerciale ou publicitaire n’est effectuée.

Ces données sont pseudonymisées, ne permettent pas l’identification directe, et sont traitées dans un cadre strictement défini par le RGPD.



3.2. Origine des données

Les données sont obtenues, avec autorisation, via des interfaces sécurisées d’open banking mises en œuvre par Linxo Connect prestataire technique de FINCORY agréé DSP2.

Par ailleurs, certaines données techniques provenant de l’API Shopify (par exemple : identifiant client interne, identifiant d’une commande) sont stockées pour associer un segment comportemental à un profil client, sans conservation ni réutilisation indépendante par FINCORY.



4. Finalités du traitement

Les données bancaires sont traitées uniquement pour les finalités suivantes :

  • Construction de segments clients comportementaux (ex. : acheteurs réguliers, clients inactifs, premium);
  • Déclenchement d'offres personnalisées définies par le marchand (ex. : réduction, cadeau, accès privilégié);
  • Analyse agrégée du comportement client à des fins de fidélisation, réactivation, ou optimisation marketing.

FINCORY n’exploite jamais les données à d’autres fins, telles que le scoring ou la publicité pour le compte de tiers. Toute action marketing rendue possible par FINCORY est exclusivement réalisée au bénéfice du marchand à destination de ses propres clients.



5. Base légale

Le traitement repose sur l’article 6.1.a du RGPD : le consentement explicite de la personne concernée, recueilli via l’interface partenaire conforme à la directive DSP2.

Aucune donnée n’est collectée sans action volontaire et informée de l’utilisateur.



6. Profilage des personnes concernées et droits associés

FINCORY met en œuvre un traitement automatisé à des fins de segmentation marketing, à partir des données bancaires pseudonymisées.

Ce traitement ne produit aucun effet juridique mais peut avoir un impact significatif sur les personnes concernées, c’est pourquoi, conformément à l’article 22 paragraphe 2.c) du RGPD, FINCORY demande le consentement explicite des personnes concernées afin de procéder à un profilage et met en place les moyens nécessaires au retrait de ce consentement.

Ces segments sont transmis au Marchand afin de déclencher, à sa discrétion, des offres personnalisées.

Conformément à l’article 13.2.f du RGPD, toute personne concernée a le droit :

  • de connaître les critères et la logique générale ayant conduit à son classement dans un segment;
  • de connaître les logiques générales de segmentation mises en œuvre (ex. : fréquence, montant, type de dépenses) ;
  • et d’en contester l’utilisation dans un contexte de décision automatisée.

FINCORY permet aux personnes concernées de faire exercer leurs droits comme décrit dans l’article 10 de la présente Politique de Confidentialité.



7. Durée de conservation

Les données bancaires collectées sont conservées pour une durée maximum de 5 ans à compter de la date de collecte.

Passé ce délai, elles sont supprimées ou anonymisées de manière irréversible, sauf obligation légale contraire.

Les données professionnelles des Marchands sont conservées pendant toute la durée du contrat liant le Marchand à FINCORY, et peuvent être archivées au-delà en cas d’obligation légale (ex: comptable ou fiscale).



8. Destinataires des données

Les données peuvent être transmises aux marchands Shopify utilisant FINCORY, uniquement sous forme de segments pseudonymisés, c’est-à-dire des catégories comportementales (ex. : client fidèle, premium, inactif) sans aucune donnée identifiante (ex : email, IBAN, nom). Ces segments permettent au Marchand d’activer des actions marketing ciblées sur ses propres clients, sans jamais accéder aux données bancaires brutes.

FINCORY ne commercialise, ne revend ni ne transfère les données à des tiers non autorisés.

FINCORY ne transmet jamais de données identifiantes entre Marchands. Toutefois, lorsqu’un même utilisateur a consenti au partage de ses données sur plusieurs boutiques, il peut être associé à différents segments correspondant à chacun de ses comportements d’achat. Aucun accès direct à ses données brutes ou à son historique complet n’est fourni aux Marchands.



9. Sécurité, intégrité et hébergement des données

Conformément à l’article 32 du RGPD, FINCORY met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité, la confidentialité et l’intégrité des données à caractère personnel traitées.FINCORY applique les mesures de sécurité suivantes :

  • Pseudonymisation des données ;
  • Chiffrement : toutes les données sont systématiquement chiffrées en transit. Au repos, seules certaines données spécifiques sont chiffrées : les libellés des transactions bancaires, les adresses email et les numéros de téléphone professionnels des marchands ;
  • Accès restreint aux données par authentification forte ;
  • Journalisation complète des accès aux données protégées ;
  • Séparation stricte des environnements (dev/test/production) ;
  • Sauvegardes sécurisées, auditables ;
  • Procédures de réponse aux incidents documentées.

FINCORY est conforme aux exigences de sécurité imposées par Shopify pour les niveaux 1 et 2 de données clients protégées, telles que décrites dans la documentation officielle Shopify API Access Scopes et App Store Requirements.

Les données sont hébergées exclusivement dans l’Union européenne :

  • Les données bancaires sont stockées par notre partenaire Linxo Connect, sur des serveurs sécurisés localisés dans l’Union européenne. Linxo Connect n’exploite en aucune manière les données qu’il héberge (ni revente, ni utilisation commerciale).
  • Les données bancaires sont également stockées par FINCORY sur Microsoft Azure (centre de données situé en Allemagne).
  • Les traitements complémentaires sont opérés sur les infrastructures de Fly.io (centre de données situé à Paris - CDG).

Aucun transfert de données hors Union européenne n’est effectué, sauf dans le cadre de garanties juridiques appropriées, telles que des clauses contractuelles types ou une décision d’adéquation de la Commission européenne.



10. Droits des personnes concernées

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :

  • Accès : Obtenir gratuitement une copie de l’ensemble de vos données traitées ;
  • Rectification : Corriger des données inexactes ou incomplètes ;
  • Effacement : Demander la suppression de vos données ;
  • Opposition : Refuser tout traitement, y compris le profilage, sans justification ;
  • Portabilité : Récupérer vos données dans un format structuré et lisible ;
  • Limitation : Geler temporairement l’usage de vos données ;
  • Décision automatisée : Être informé, contester une décision, obtenir une intervention humaine ;
  • Réclamation : Saisir la CNIL (www.cnil.fr) si vous estimez que vos droits ne sont pas respectés.


11. Modalités d’exercice de vos droits (personnes concernées)

Pour exercer leurs droits, les personnes concernées peuvent adresser leur demande à contact@fincory.com.

La demande doit inclure la nature précise de la demande (ex. : accès, opposition, effacement, information sur le segment, etc.).

Conformément au RGPD, vous disposez notamment des droits suivants :

  • Accès : obtenir gratuitement une copie de l’ensemble de vos données traitées ;
  • Rectification : corriger des données inexactes ou incomplètes ;
  • Effacement : demander la suppression de vos données. Cette demande peut être réalisée directement sur le site vitrine de FINCORY : https://www.fincory.com/consent ;
  • Opposition : refuser tout traitement, y compris le profilage ;
  • Portabilité : récupérer vos données dans un format structuré et lisible ;
  • Limitation : suspendre temporairement le traitement de vos données ;
  • Information : connaître les critères et la logique générale ayant conduit à votre classement dans un segment ;
  • Décision automatisée : contester une décision automatisée, obtenir une explication, une intervention humaine, ou refuser l’application du segment ;
  • Réclamation : saisir la CNIL (www.cnil.fr) si vous estimez que vos droits ne sont pas respectés.

Une copie de pièce d’identité pourra être demandée uniquement si la nature de la demande le justifie, notamment dans les cas suivants :

  • Accès : obtenir gratuitement une copie de l’ensemble de vos données traitées ;
  • Rectification : corriger des données inexactes ou incomplètes ;
  • Opposition à un traitement ou à une décision automatisée ;
  • Demande d’explication sur la logique de segmentation appliquée ;
  • Portabilité : récupérer vos données dans un format structuré et lisible ;
  • Limitation : suspendre temporairement le traitement de vos données ;
  • Information : connaître les critères et la logique générale ayant conduit à votre classement dans un segment ;
  • Décision automatisée : contester une décision automatisée, obtenir une explication, une intervention humaine, ou refuser l’application du segment ;
  • Demande d’accès au segment attribué ;

FINCORY s’engage à répondre dans un délai maximum de 30 jours, conformément à l’article 12 du RGPD.



12. Modifications de la politique

Cette politique peut évoluer en fonction des modifications réglementaires ou techniques.

En cas de mise à jour substantielle, FINCORY en informera les utilisateurs :

  • via son site web,
  • et, le cas échéant, par email lorsqu’il s’agit de Marchands avec lesquels une relation contractuelle directe existe.