1. Objet de la politique

La présente politique a pour objet de définir les principes et mesures mis en œuvre par SARF afin d’assurer une protection adéquate des données personnelles et un traitement conforme aux réglementations applicables, dans le cadre des services financiers fournis en marque blanche par des prestataires de services réglementés tiers.

2. Champ d’application

Cette politique s’applique :

• À toutes les données personnelles traitées par SARF dans le cadre de ses activités ;

• À l’ensemble des collaborateurs, prestataires et partenaires de SARF ayant accès à des données personnelles.

Elle couvre exclusivement les traitements réalisés sous la responsabilité de SARF et exclut les traitements opérés directement par les prestataires de services réglementés tiers (notamment KYC, exécution des paiements, FX, safeguarding ou tenue de comptes), pour lesquels ces prestataires agissent en tant que responsables de traitement indépendants.

3. Rôles et responsabilités

3.1 Responsable de traitement

SARF agit en tant que responsable de traitement pour les données personnelles qu’il collecte et traite dans le cadre :

• Du support client ;

• De la gestion des réclamations ;

• De la communication contractuelle et opérationnelle ;

• De ses obligations légales et réglementaires propres.

3.2 Prestataires tiers

Les prestataires de services financiers réglementés partenaires agissent :

• Soit en tant que responsables de traitement indépendants pour leurs propres activités réglementées ;

• Soit, le cas échéant, en tant que sous-traitants sur la base d’accords contractuels spécifiques.

3.3 Responsabilités internes

SARF s’assure que :

• L’accès aux données personnelles est limité aux personnes habilitées ;

• Les collaborateurs sont sensibilisés aux obligations de confidentialité et de protection des données ;

• Toute violation ou incident est traité sans délai.

4. Principes de protection des données

SARF applique les principes suivants :

• Licéité, loyauté et transparence ;

• Limitation des finalités ;

• Minimisation des données ;

• Exactitude et mise à jour ;

• Limitation de la conservation ;

• Intégrité et confidentialité.

5. Catégories de données traitées

Dans le cadre de ses activités, SARF peut être amené à traiter notamment :

• Données d’identification (nom, prénom, coordonnées) ;

• Données de contact (email, téléphone) ;

• Informations liées aux demandes de support ou réclamations ;

• Communications échangées avec les clients ;

• Données techniques limitées liées à l’utilisation des canaux de support.

SARF ne conserve aucune donnée KYC ou de vérification d’identité lorsque ces traitements sont opérés directement par les prestataires partenaires.

6. Finalités des traitements

Les données personnelles sont traitées uniquement pour :

• Répondre aux demandes et requêtes des clients ;

• Assurer le support opérationnel ;

• Gérer les réclamations ;

• Respecter les obligations légales et contractuelles applicables ;

• Améliorer la qualité des services.

7. Conservation des données

Les données personnelles sont conservées :

• Uniquement pour la durée nécessaire à la réalisation des finalités poursuivies ;

• Conformément aux obligations légales, réglementaires ou contractuelles applicables.

À l’issue des délais de conservation, les données sont supprimées ou anonymisées de manière sécurisée.

8. Sécurité et confidentialité

SARF met en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les données personnelles contre :

• L’accès non autorisé ;

• La perte, l’altération ou la divulgation accidentelle ou illicite.

Ces mesures incluent notamment :

• Des contrôles d’accès ;

• Des politiques de mots de passe ;

• L’utilisation d’outils sécurisés ;

• La limitation du stockage local des données.

Les mesures de sécurité sont détaillées dans la Politique de sécurité de l’information de SARF.

9. Droits des personnes concernées

Les personnes concernées disposent, conformément à la réglementation applicable, des droits suivants :

• Droit d’accès ;

• Droit de rectification ;

• Droit à l’effacement ;

• Droit à la limitation du traitement ;

• Droit d’opposition, lorsque applicable.

Les demandes relatives à l’exercice des droits sont traitées dans les délais légaux applicables.

10. Transferts de données

Lorsque des données personnelles sont transmises à des prestataires tiers :

• Ces transferts sont strictement limités à ce qui est nécessaire ;

• Ils s’effectuent dans un cadre contractuel approprié ;

• SARF s’assure que des garanties adéquates sont en place.

11. Violations de données personnelles

Tout incident ou violation de données personnelles est :

• Identifié et analysé sans délai ;

• Consigné dans un registre interne ;

• Notifié, le cas échéant, aux prestataires concernés et aux autorités compétentes conformément aux obligations légales applicables.

12. Registre des traitements

SARF tient un registre des traitements de données personnelles, conformément aux exigences applicables, décrivant :

• Les catégories de données traitées ;

• Les finalités ;

• Les destinataires ;

• Les durées de conservation ;

• Les mesures de sécurité mises en place.

13. Revue et mise à jour

La présente politique est tenue à jour et fait l’objet d’une revue lorsque cela est jugé nécessaire, notamment en cas d’évolution significative des activités, du modèle opérationnel, des exigences réglementaires applicables ou des partenaires fournisseurs.