En tant que responsable de traitement, Worklife (« nous ») traitons vos données à caractère personnel (ci-après les « données personnelles ») conformément à la réglementation en vigueur et notamment le Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après désigné le « RGPD »). 

La Politique de protection des données personnelles (ci-après la « Politique ») illustre l’attachement que nous portons au respect des libertés et droits fondamentaux, à la vie privée et à la protection des données personnelles. Elle a plus particulièrement pour objet de renseigner les personnes (« vous ») de la manière dont nous traitons vos données personnelles. On entend par donnée personnelle toute information qui se rapporte à une personne physique, identifiée ou identifiable.

La présente Politique s’applique aux traitements de données personnelles que nous réalisons dans le cadre de la fourniture et de la promotion de nos produits et services au travers : 

• de l’application mobile Worklife et de l’application web https://web.worklife.io/login (ci-après désignées ensemble l’« Application ») dédiées à la gestion des avantages par le salarié
• du site internet public https://www.worklife.io/ et du blog associé https://blog.worklife.io/ (ci-après désignés ensemble le « Site »), 
• de l’espace administrateur https://app.worklife.care dédié à la gestion des avantages salariés par le client (ci-après désigné l’« Espace administrateur »), 

Cette Politique concerne les personnes physiques auprès desquelles nous collectons directement des données personnelles (prospects, clients) mais également les personnes physiques pour lesquelles nous collectons des données de manière indirecte (parce qu’elles ont un lien avec notre client, par exemple les salariés, les représentants légaux et personne(s) habilitée(s) et les bénéficiaires effectifs). Cette Politique peut également concerner des personnes morales dans la mesure où nous pouvons être amenés à traiter des données personnelles de personnes physiques mandatées par nos clients et partenaires (par exemple, des tiers autorisés ou les restaurateurs affiliés à la Commission Nationale des Titres-Restaurant). 

Des mentions d’information relatives à la protection des données personnelles vous seront également fournies lorsque vous souscrivez aux différents produits et/ou services que nous proposons. Ces mentions d’information spécifiques aux produits et services souscrits donnent un premier niveau d’information sur notre usage de vos données personnelles et sont complétées par la présente Politique.

1. Traitements de données personnelles réalisés par Worklife

Nous collectons vos données personnelles à travers différents canaux de communication, en tant qu’éditeur et développeur, agissant en qualité de responsable du traitement au sens du RGPD, sauf lorsqu’il sera expressément mentionné sur le support de collecte des données personnelles que le responsable de traitement est un tiers. Dans ce cas, conformément à la loi, le responsable de traitement précisera aux utilisateurs les caractéristiques du traitement qu’il met en œuvre sous sa seule responsabilité.

Nous nous engageons à ne traiter les données personnelles que pour des finalités déterminées, explicites et légitimes, à limiter la collecte et le traitement des données personnelles au regard du strict nécessaire (minimisation des données) et à ne pas les traiter ultérieurement d’une manière incompatible avec ces finalités. En aucun cas, nous ne vendons vos données personnelles à des tiers.

2. Durée de conservation des données personnelles

Les durées de conservation des données personnelles sont nécessairement prolongées pour la durée légale de forclusion ou prescription à titre de preuve en cas de litige. Dans cette dernière hypothèse, la durée de conservation des données personnelles est rallongée pour toute la durée du litige.

Passé les délais fixés ci-dessus, les données personnelles sont, soit supprimées, soit conservées après avoir été anonymisées, notamment pour des raisons d’usages statistiques. Il est rappelé que la suppression ou l’anonymisation sont des opérations irréversibles et que nous ne sommes plus, par la suite, en mesure de les restaurer.

‍

3. Destinataire des données personnelles

Les destinataires s’entendent des personnes physiques ou morales qui reçoivent communication des données personnelles (ci-après désignées les « Destinataires »). Nous veillons à ce que vos données personnelles ne soient accessibles qu’à des Destinataires internes et externes habilités, dont notamment :

• le personnel des services compétents habilité à gérer la relation avec nos clients et prospects ; dans ce cadre, nous choisissons quel Destinataire pourra avoir accès à quelles données personnelles selon une politique d’habilitation adéquate et s’assure qu’ils sont soumis à une obligation de confidentialité ;
• nos sous-traitants et prestataires lesquels traitent des données personnelles pour notre compte et selon ses instructions, sans pouvoir utiliser ces données à d’autres fins que la réalisation des opérations sous-traitées, dans le cadre notamment de l'hébergement de nos données, de l’analyse de nos produits et services, de la prospection commerciale, de la fourniture de services de paiement ou la gestion des cartes de paiement ;
• des professions réglementées (huissiers de justice, avocats, notaires, cabinets d’audit et commissaires aux comptes).
• nos partenaires au sein du Groupe Credit Agricole (par exemple, les Caisses régionales), lesquels traitent des données personnelles pour le compte du client et selon les modalités du contrat directement conclu avec lui ;
• nos partenaires hors du Groupe Crédit Agricole (par exemple, le partenaire Emile’s), lesquels traitent des données personnelles pour le compte du client et selon les modalités du contrat directement conclu avec lui ;
• nos actionnaires directs et indirects, ayant à en connaître et sous réserve du respect des engagements de confidentialité ;
• les autorités légalement habilitées à en connaître ; dans ce cadre, nous ne sommes pas responsables des conditions dans lesquelles les personnels de ces autorités ont accès et exploitent les données personnelles. Ces transmissions sont réalisées dans le respect du « Recueil des procédures - tiers autorisés » publié par la CNIL.

Nous pouvons également partager vos données avec nos partenaires commerciaux, au sein et hors du Groupe Crédit Agricole à des fins de suivi de notre partenariat ou encore à des fins de prospection commerciale (par exemple afin qu’un de nos partenaires puisse vous contacter directement afin de vous présenter ses offres ou produits). Dans ce dernier cas, nous recueillerons préalablement votre consentement.  Nos partenaires commerciaux sont des établissements de crédit, des  organismes d’assurance et des prestataires de services d’investissement, membres du Groupe Crédit Agricole (par exemple, les Caisses régionales du Crédit Agricole, Crédit Agricole Assurances ou Amundi) ou des prestataires de services externes proposant des avantages divers et des réductions aux salariés (par exemple, la société Emile’s proposant une plateforme d’avantages CSE).

‍

4. Stockage et transfert des données personnelles hors UE

Nous conservons vos données personnelles sur les serveurs virtuels publics du prestataire suivant :

• Amazon Web Services Emea SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg.
  Succursale Française : 31 Place Des Corolles, Tour Carpe Diem, 92400 Courbevoie, France.

Site Internet : https://aws.amazon.com.

Formulaire de contact : https://aws.amazon.com/fr/contact-us/compliance-support/.

Adresse email : https://aws.amazon.com/s-EU-privacy@amazon.com.

Nous apportons la plus grande attention à ce que vos données personnelles soient traitées et conservées sur le territoire de l’Union Européenne ou dans un pays dont la législation est reconnue adéquate par une décision de la Commission Européenne conformément à l’article 45 du RGPD. Ainsi les données personnelles des clients recueillies dans le cadre de l’accès à l'Application et de la fourniture des services sont hébergées sur des serveurs sous-traités auprès d’Amazon Web Services (« AWS ») sur le territoire français (zone géographique Paris).

Les données personnelles des utilisateurs peuvent cependant être transférées hors de l’Union Européenne par des prestataires (notamment, en tant que sous-traitants de Worklife) vers des pays tiers (en l’espèce, les Etats-Unis, Singapour, l’Inde, Australie, l’Ile-Maurice). Si tel est le cas, nous mettons en place un cadre précis et exigeant, conforme à la réglementation européenne applicable, par la signature de clauses contractuelles dédiées (clauses contractuelles type de la Commission européenne, téléchargeables sur sur le site https://commission.europa.eu) et d’engagements de sécurité offrant le niveau de garantie exigé par la réglementation de l’Union Européenne (pour les transferts vers les Etats-Unis, si les prestataires ne bénéficient pas de la décision d’adéquation adoptée par la Commission Européenne à l’égard des Etats-Unis le 10 juillet 2023). 

Vous pouvez obtenir une liste de nos sous-traitants et une copie des garanties associées au transfert des données personnelles vers des pays tiers, à tout moment, en nous contactant aux coordonnées et selon les modalités précisées au sein de l’article 9 de la présente politique.

‍

5.  Gestion des cookies

Lors de votre utilisation du Site, de l’Espace administrateur et de l'Application, des informations relatives à votre navigation sont susceptibles d'être enregistrées dans des fichiers « cookies », installés sur votre terminal (ordinateur, tablette, smartphone…), sous réserve de vos choix exprimés concernant les cookies, qui sont modifiables à tout moment. On entend également, par « cookies », les autres traceurs dont les SDK, pixel, tags, ou local storage, en tant qu’outils intégrés directement dans le code de l’Application.  

Comme indiqué sur le bandeau d’information du Site et de l'Application en cliquant sur le bouton « Accepter les cookies », les utilisateurs acceptent le dépôt de cookies sur leurs terminaux. Ils peuvent également choisir de continuer leur navigation, sans accepter le dépôt de cookies, en cliquant sur le bouton « Refuser les cookies ». Cependant, certains cookies nécessaires au bon fonctionnement de nos produits et services et à leur sécurité ne sont pas soumis au recueil de votre consentement en tant que personne concernée et resteront donc actifs. Vous pouvez revenir sur votre décision à tout moment en s'opposant au dépôt des cookies en cliquant sur le bouton dédié.

Vous avez également la possibilité de configurer votre logiciel de navigation de telle sorte que les cookies soient refusés ou supprimés. Ces réglages préférences sont accessibles sous les liens suivants :

- Google Chrome : https://support.google.com/chrome/answer/95647?hlrm=en ;

- Mozilla Firefox : https://support.mozilla.org/en-US/kb/cookies-information-websites-store-on-your-computer ;

- Microsoft Edge : https://support.microsoft.com/en-gb/help/4468242/microsoft-edge-browsing-data-and-privacy-microsoft-privacy ;

- Opera : https://help.opera.com/en/latest/security-and-privacy/#tracking ;

- Internet Explorer : https://support.microsoft.com/en-gb/help/17442/windows-Internet-explorer-delete-manage-cookies# ;

- Apple Safari : https://support.apple.com/guide/safari/manage-cookies-and-website-data-sfri11471/mac 

‍

• Qu'est-ce qu'un cookie ?

Un cookie est un petit fichier texte, image ou logiciel, contenant des informations, qui est enregistré sur le disque dur du terminal des utilisateurs (ex : ordinateur, tablette, smartphone, ou tout appareil permettant de naviguer sur Internet) à l'occasion de la consultation d'un site internet avec un logiciel de navigation ou d’une application web ou mobile (au travers de SDK notamment). Il est transmis par le serveur d'un site Internet au navigateur. Le fichier cookie porte notamment sur les pages visitées, le type de navigateur utilisé, l’adresse IP utilisée, et permet à son émetteur d'identifier le terminal dans lequel il est enregistré, pendant la durée de validité ou d'enregistrement du cookie concerné. Seul l'émetteur d'un cookie est susceptible de lire ou de modifier des informations qui y sont contenues.

‍

• Pourquoi utilisons des cookies ?

Nous utilisons plusieurs types de cookies dont les finalités sont décrites ci-après. Certains cookies techniques (cookies de session notamment) sont indispensables pour le bon fonctionnement du Site, de l’Espace administrateur et de l’Application. Leur suppression peut entraîner des difficultés de navigation.

‍

5.1.  Les cookies techniques

Les cookies et traceurs techniques (y compris des SDK) sont des cookies strictement nécessaires au fonctionnement de nos produits et services. Ils sont indispensables pour la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur ou visent à permettre ou faciliter la transmission de la communication par voie électronique. Ils vous permettent notamment d’accéder aux espaces réservés et personnels de l’Espace administrateur et de l’Application, grâce aux identifiants personnels (cookie identifiant de session) et nous permettent d’identifier des tentatives de connexions frauduleuses ou répétées dans le but de protéger le système de connexion contre les utilisations abusives. Cette catégorie comprend également les cookies qui nous permettent de nous conformer à nos obligations légales, notamment en assurant la sécurité de nos produits et des services (par exemple, lorsqu’il est demandé de se connecter à nouveau à un contenu ou à un service après un certain laps de temps). 

‍

5.2.  Les cookies de mesure d’audience

Ces cookies nous permettent de reconnaître et mesurer le nombre d’utilisateurs de nos produits et services mais également d’analyser la manière dont les visiteurs naviguent sur le Site (statistiques et volumes de fréquentation et d'utilisation des divers éléments composant notre site, rubriques et contenus visités, parcours). Ils nous permettent également d’établir des statistiques de suivi de navigation à travers vos différents terminaux. Ces cookies nous aident à améliorer l'intérêt et l'ergonomie de nos services ainsi que la manière dont notre Site et nos Applications fonctionnent en nous assurant, par exemple, que les utilisateurs trouvent facilement ce qu’ils cherchent.

Il s’agit de cookies ou autres traceurs (SDK), soumis au recueil du consentement préalable des utilisateurs, permettant de présenter des offres et des informations personnalisées et adaptées aux centres d’intérêts des utilisateurs lors de la navigation sur des Sites Internet et des applications web.

‍

5.3. Les cookies de ciblage et publicitaires

Nous utilisons des cookies de ciblage et publicitaires pour personnaliser le contenu éditorial et l’affichage de ses produits et services sur son Site et son Application en fonction de ceux précédemment consultés par les utilisateurs.

Ils nous permettent d’analyser les données de soumission des formulaires présents sur le Site et l'Application, de proposer des contenus personnalisés aux utilisateurs sur le Site et l’Application, de les guider dans leur usage du Site et de l’Application, de construire des bases de connaissance interactives et personnalisés à leur destination, de fournir un service de chat aux utilisateurs ou encore d’effectuer des campagnes de marketing personnalisés.

‍

5.4 Les cookies des réseaux sociaux

Le Site peut contenir des boutons et des liens de partage vers Linkedin, Youtube et autres réseaux sociaux similaires, qui permettent aux Utilisateurs de visionner et de partager les contenus que nous proposons sur ses réseaux sociaux. Lorsque les Utilisateurs utilisent ces boutons de partage, ils sont redirigés vers le Site du réseau social concerné et toute utilisation de cookies par ce réseau social sera régie selon sa politique de protection des données personnelles/cookies.

• Sur le Site :

• Sur l’Espace Administrateur :

• Sur l’Application :

6. Les permissions d’accès (IOS)

Les permissions d’accès sont des dispositifs mis en œuvre par les systèmes d’exploitation (OS) des terminaux mobiles pour vous permettre de choisir quelles fonctionnalités de votre terminal sont accessibles aux applications mobiles. Les applications mobiles n’ont, en effet, qu’un accès limité à ces fonctionnalités par défaut, pour des raisons de sécurité et de protection de la vie privée. Le système d’exploitation (IOS et Android) met donc à leur disposition des interfaces de programmation d’application (API) leur permettant d’effectuer des requêtes afin de se voir autoriser des fonctionnalités additionnelles, sous réserve que l’utilisateur l’accepte via une interface fournie par le système d’exploitation. 

Au fur et à mesure de votre utilisation de l’Application, nous pouvons vous demander la permission d’accéder aux fonctionnalités suivantes : 

7.  Sécurité des données personnelles

Nous réaffirmons notre engagement à ce que la sécurité des données personnelles des utilisateurs soit au cœur de toutes ses actions.

Nous prenons toutes les mesures physiques, techniques et organisationnelles nécessaires aux fins de protéger la confidentialité, l’intégrité et la disponibilité de vos données personnelles notamment contre la perte, la destruction accidentelle, l’altération et l’accès non autorisé.

Nous nous efforçons également avec la plus grande vigilance de maintenir un haut standard de sécurité et de confidentialité de vos données personnelles par la sensibilisation de nos collaborateurs et partenaires commerciaux, et la formation de nos salariés à la protection des données, par la mise en place de contrôles contenus, par l’implémentation d’outils et la mise en place de pratiques visant à l’obfuscation, l’anonymisation, le chiffrement et le cryptage des données afin d’assurer la protection de vos données personnelles face aux risques internes et externes de fuite de données personnelles.

En cas de violation de données personnelles vous concernant, présentant un risque pour vos droits et libertés, nous notifierons la CNIL de cette violation dans le respect du délai réglementaire. Dans l’hypothèse où cette violation présenterait un risque élevé pour vos droits et libertés, nous vous informerons dans les meilleurs délais de la nature de cette violation et des mesures mises en œuvre pour y remédier.

‍

7.1.  Sécurité des données personnelles

Le transfert d'informations vers les serveurs AWS de Worklife est protégé par une connexion sécurisée au moyen d’un protocole de sécurisation TLS (« Transport Layer Security » sur HTTP (HTTPS)). Nous ne transmettons pas les informations en clair afin d'éviter toute trace dans les logs serveurs. Les données sont chiffrées suivant le protocole SSL SHA256 (avec RSA 2048bits). Tous les outils à disposition du client sont fournis sur authentification multifactorielle (MFA) et unique (SSO) à la demande du client. Un système de « rate limit » est mis en place afin de limiter le scraping de nos sites.

‍

7.2. Accès aux environnements de production

L’accès aux environnements de production est strictement limité et nominatif. Seule notre équipe technique a accès à nos bases de données via un réseau public sécurisé. Les bases de données sont anonymisées lors de leur sauvegarde (« back-up ») afin de produire pour les développeurs des bases similaires à celles de production. 

‍

7.3. Accès aux outils internes

Les accès aux outils internes sont nominatifs et gérés via Google Suite (SSO avec autres outils). Les outils internes possèdent leurs propres journaux de logs avec des informations plus ou moins importantes. Pour des raisons de sécurité, l’accès est limité à un nombre restreint de membres de l’équipe technique. Nous utilisons l’outil Dashlane afin de sécuriser les mots de passe, de procéder à des audits de force et de péremption afin de renforcer sa protection interne.

‍

7.4. Accès aux serveurs

Une authentification unique (SSO) et multifactorielle (MFA) est nécessaire pour se connecter à notre back-office et aux serveurs de Worklife. Des durées de sessions courtes et une rotation des secrets sont mises en place.

‍

7.5. Accès aux dispositifs de réseau 

Nous avons recours à un réseau public sécurisé pour accéder à l’internet et à une imprimante réseau. L’accès au réseau est réalisé au moyen du VPN Tailscale. 

‍

7.6. Logiciel pare-feu utilisé pour protéger les données et les serveurs 

Aucune donnée personnelle n’est physiquement stockée sur l’intranet de Worklife. Nous utilisons la plateforme Google Workspace afin de stocker les dossiers et fichiers relatifs à notre activité. Le contrôle d’accès et la sécurité des données personnelles sont ainsi assurés. Une solution antivirus est incluse. Un pare-feu AWS Web Application Firewall est disponible au niveau de la couche de routage de l’intranet. 

‍

7.7. Système de prévention/détection de toute tentative d’intrusion 

Nous utilisons l’outil Datadog, une plateforme de gestion de la sécurité des applications empêchant les violations de données, en arrêtant les rachats de comptes et en bloquant les attaques de logique d'entreprise.

‍

7.8. Politique interne de formation 

Nous dispensons régulièrement à nos salariés une formation au RGPD et à la réglementation protectrice des données personnelles afin de leur rappeler les obligations leur incombant en matière de confidentialité des données personnelles. Une documentation d’information au RGPD est consultable à tout moment sur notre intranet.

‍

8.  Défaut de communication des données personnelles

Vous n’êtes pas obligé de répondre à l’ensemble des questions qui vous sont posées au travers de divers supports de collecte et formulaires de contacts que nous vous proposons. Le caractère obligatoire de la communication des données qui seront collectées est indiqué par la présence d’un astérisque ou d’une mention spécifique vous précisant le caractère obligatoire de la collecte. Le défaut de communication de ces données personnelles aura pour conséquence l’impossibilité pour nous de traiter votre demande ou de vous empêcher de pouvoir bénéficier de certains de nos produits et services.

‍

9.  Vos droits concernant vos données personnelles

Vous disposez de droits sur les données personnelles vous concernant, que nous collectons et traitons dans le cadre de la fourniture et de la promotion de ses produits et services. Vos droits sont les suivants :

• un droit d'accès, de rectification et d’effacement des données personnelles (inexactes, incomplètes, équivoques, ou périmées) : nous garantissons l’accès aux utilisateurs à leurs données personnelles collectées ou traitées dans le cadre de la relation commerciale ;
• un droit d’opposition au traitement des données personnelles à tout moment dans le cadre de la prospection commerciale : nous vous permettons de vous opposer au traitement de vos données personnelles à des fins de prospection commerciale sans justification.
• un droit à la limitation du traitement des données personnelles dans les conditions prévues par la réglementation applicable : si vous souhaitez que certaines de vos données personnelles ne fassent plus l’objet d’un traitement, vous disposez de la possibilité de limiter leur usage dans les conditions prévues par la réglementation applicable ;
• un droit à la portabilité des données personnelles : nous restituerons vos données personnelles à votre demande, sous un format électronique, couramment utilisé afin que vous puissiez le cas échéant, les transmettre à l’organisme de leur choix.
• un droit de retirer leur consentement à tout moment : vous pouvez accepter ou refuser à tout moment le traitement de vos données personnelles par Worklife. Cependant, cela peut entraîner l’arrêt du processus d’inscription ou les empêcher d’accéder à l'Application.
• un droit d'introduire une réclamation auprès d'une autorité de contrôle : vous avez le droit d’introduire à tout moment une réclamation auprès de la CNIL en tant qu’autorité française de contrôle de la réglementation protectrice des données personnelles.
• un droit de communiquer à Worklife en tant que responsable de traitement vos instructions concernant leurs données personnelles en cas de décès : vous pouvez nous communiquer vos  directives sur le sort à réserver à leurs données après leur décès.

Vous pouvez exercer vos droits auprès du délégué à la protection des données de Worklife : 

• par lettre simple envoyée à l’adresse postale : DPO Worklife, 10 rue La Vacquerie, 75011 Paris. 
• par email envoyé à l’adresse email : dpo@worklife.io.

Vous pouvez en cas de contestation, former une réclamation auprès de la CNIL dont le site Internet est accessible à l’adresse suivante https://www.cnil.fr et le siège est situé 3 place de Fontenoy, 75007 Paris.

‍

10.  Mise à jour de la présente Politique

La Politique peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la CNIL ou des usages. 

Toute nouvelle version de la Politique sera portée à votre connaissance par tout moyen que nous jugerons jugera adéquat et pertinent en ce compris la voie électronique et/ou la diffusion sur le Site et/ou l’Application.