Déclaration de Protection des Données à caractère personnel

Annexes

Pluxee France accorde beaucoup d’importance au respect de votre vie privée et à la protection de vos données à caractère personnel.

Nous avons rédigé la présente Déclaration pour vous expliquer pourquoi et comment nous traitons vos données à caractère personnel, quelles catégories de données à caractère personnel font l’objet d’un traitement par Pluxee France et éventuellement ses filiales, comment nous utilisons ces données, et avec qui nous sommes susceptibles de les partager.

Cette Déclaration décrit également les mesures que nous prenons afin d’assurer la protection de vos données à caractère personnel et précise comment vous pouvez nous contacter afin que nous puissions répondre à vos éventuelles questions ou demandes au sujet de la protection de vos données à caractère personnel.

Quel est le périmètre de cette Déclaration ?

Champ d’application territorial

La présente Déclaration concerne l’ensemble des activités de Pluxee France, et éventuellement de toute filiale, (ci-après individuellement et collectivement « Pluxee France » ou « Pluxee »), lorsque la réglementation européenne en matière de protection des données à caractère personnel, notamment le Règlement Général sur la Protection des données à caractère personnel (« RGPD ») s’applique.

Champ d’application matériel

Cette Déclaration régit les traitements des données à caractère personnel mis en œuvre par Pluxee France. Les données à caractère personnel sont collectées, de manière directe ou indirecte, par Pluxee France auprès de tout individu, y compris notamment auprès des candidats à un poste chez Pluxee, des collaborateurs Pluxee, des clients, des consommateurs, des commerçants affiliés, des fournisseurs, des partenaires, des actionnaires de Pluxee France ou de tout tiers (ci-après désignée la « Personne concernée »).

Ce document a un caractère général et pourra être complété par des notices d’information ou despolitiques relatives à la protection de vos données à caractère personnel plus spécifiques

Comment vos données sont-elles collectées et traitées ?

Respect de la règlementation européenne en matière de protection des données à caractère personnel et de toute autre législation locale applicable à la protection des données

Nous nous engageons à respecter toute législation applicable en matière de protection des données à caractère personnel, notamment le Règlement européen « RGPD » n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ».

Nous veillons à ce que les données à caractère personnel soient collectées et traitées conformément à la règlementation européenne en matière de protection des données à caractère personnel et de toute autre législation spécifique et/ou locale applicable, le cas échéant.

Sur quelle base légale vos données sont-elles traitées ?

Tout traitement de données à caractère personnel que nous opérons n’est réalisé que si nous avons une base légale pour le faire. Il est possible que nous traitions vos données à caractère personnel dans le cadre (i) de l’exécution d’un contrat auquel vous êtes partie ; (ii) du respect d’une obligation légale qui nous incombe ; (iii) de votre consentement préalable au traitement en question ou (iv) des intérêts légitimes poursuivis par Pluxee France, à moins que ne prévalent vos intérêts ou libertés et droits fondamentaux.

Dès lors que nous traitons vos données à caractère personnel, nous portons à votre connaissance les informations suivantes : qui est responsable du traitement de vos données à caractère personnel, quelles sont les finalités du traitement de vos données, qui sont les destinataires de vos données, quels sont vos droits et comment vous pouvez les exercer, sauf dans le cas où cela se révèlerait impossible ou exigerait des efforts disproportionnés.

Lorsque la législation applicable l’exige, nous vous demanderons votre consentement au préalable(par exemple, avant de collecter des données à caractère personnel sensibles).

Comment vos données sont-elles collectées (source) ?

Nous sommes susceptibles de collecter vos données :

Directement auprès de vous, notamment via les formulaires de collecte disponibles sur nos sites ou applications ;
Indirectement, via le client de Pluxee (votre employeur ou autre tiers financeur de dotations ou de services).

Pourquoi vos données sont-elles traitées (finalité) ?

Vos données à caractère personnel sont toujours collectées pour des finalités déterminées, explicites et légitimes, et ne sauraient être traitées ultérieurement d’une manière incompatible avec ces finalités. Vos données sont principalement traitées par Pluxee France, pour les finalités suivantes, sans que la liste ne soit exhaustive :

traitement des demandes de devis et de contact,
traitement des commandes et émission des titres,
gestion des comptes clients et de la relation clients,
gestion des comptes bénéficiaires,
gestion des comptes commerçants affiliés et de la relation commerçants affiliés,
assistance clients, bénéficiaires, commerçants affiliés,
lutte contre la fraude (notamment par système d’authentification forte), et respect des obligations en matière de lutte contre le blanchiment d’argent ou toutes autres obligations légales,
gestion du recrutement,
gestion administrative et sociale, et organisation du travail de nos collaborateurs,
gestion, contrôle, audit, reporting, communication, d’ordre financier et non-financier,
comptabilité, trésorerie et fiscalité,
gestion des risques,
santé et sécurité de nos collaborateurs,
mise à disposition d’une identité numérique et de services technologiques et informatiques,
gestion de la sécurité informatique,
préservation de la sécurité des actifs et des locaux,
gestion des approvisionnements et des fournisseurs,
gestion de la communication interne et externe et d‘événements,
activités d’analyse de données, gestion juridique de l’entreprise,
gestion des affaires publiques et de la RSE (« responsabilité sociale et environnementale de l’entreprise »),
mise en œuvre des programmes et procédures éthiques et de conformité,
envoi de newsletters, d’offres commerciales, de propositions de participation à des jeux concours, d’enquêtes de satisfaction,
envoi de communications techniques (ex : message de maintenance, ou relatif à l’utilisation des titres),
études statistiques anonymisées et rapports marketing anonymisés.

Combien de temps vos données sont-elles conservées ?

Pluxee maintient les données à caractère personnel qu’elle traite exactes et, le cas échéant, à jour.

En outre, nous conserverons uniquement les données à caractère personnel pendant la durée nécessaire au regard des finalités pour lesquelles elles ont été collectées. La période de conservation peut être prolongée dans le cas où les données restent nécessaires pour répondre à nos obligations légales, comptables ou de reporting. Aussi, en cas de besoin, nous conserverons les données le temps nécessaire pour permettre à Pluxee de défendre ou de faire valoir un droit en justice.

A l’expiration de la durée de conservation applicable, nous supprimerons ou anonymiserons vos données à caractère personnel conformément à la réglementation.

Les durées de conservation applicables sont précisées dans l’Annexe 1 de la présente Déclaration, détaillant les principaux traitements mis en œuvre par produits et services.

Comment la sécurité et confidentialité de vos données à caractère personnel est-elle assurée ?

Nous mettons en place les mesures techniques et organisationnelles adéquates pour protéger les données contre toute modification ou perte accidentelle ou illicite, ou contre toute utilisation, divulgation ou tout accès non autorisé, et ce conformément aux principes relatifs à la sécurité de l’information et des systèmes.

Nous prenons toutes les mesures raisonnables en vertu des principes du respect de la vie privée dès la conception (« privacy by design ») et de la protection de la vie privée par défaut (« privacy bydefault ») aux fins de mettre en place les garanties nécessaires et de sécuriser le traitement des données à caractère personnel. Selon le niveau de risque présenté par le traitement, nous réalisons également une analyse d’impact relative à la protection des données à caractère personnel (« privacyimpact assessment ») aux fins d’adopter les mesures de protection adéquates et d’assurer la protection des données. Nous offrons également des garanties de sécurité supplémentaires pour les données à caractère personnel sensibles.

Pluxee sensibilise ses collaborateurs et ses sous-traitants en ce qui concerne la sécurité des données. Pluxee veille notamment à ce que les personnes autorisées à avoir accès aux données soient correctement sensibilisées à la nécessité de traiter les données de façon conforme, n’aient accès aux données qu’en fonction de la nécessité de les connaître au regard du poste qu’ils occupent, et respectent la confidentialité des données.

Vous pouvez consulter le détail des mesures mises en œuvre à l’Annexe 2 de la présente Déclaration.

Qui peut accéder à vos données à caractère personnel ?

Nous restreignons l’accès à vos Données à caractère personnel uniquement aux membres de notre personnel qui ont besoin d’en connaître afin de vous fournir le service convenu ou de traiter toute demande de votre part.

Nous sommes toutefois susceptibles de communiquer certaines de vos Données à caractère personnel :

à des prestataires de services autorisés ou à des filiales du Groupe Pluxee auxquels nous faisons appel aux fins de la réalisation de nos services (exemples : fourniture et livraison des biens ou des services commandés, hébergement de données, développement et maintenance informatique, recouvrement de créances, centres de services partagés, conseils, etc.) ou à des fins marketing(exemple : envoi de communications). Nous n’autorisons pas ces prestataires de services à utiliser ou divulguer les données, sauf dans la mesure nécessaire pour exécuter les services pour notre compte ou respecter des obligations légales ;
à des entreprises qui fournissent des services de lutte contre le blanchiment de capitaux et le financement du terrorisme, et d’autres types de fraudes ou activités illicites, ainsi qu’à des tiers fournissant des services similaires, tels que des institutions financières ou des régulateurs ;
à des juridictions et autorités administratives ou judiciaires sur réquisition de celles-ci ; ou lorsque cela est raisonnablement nécessaire pour l’exercice ou la défense de droits ou le règlement judiciaire ou extra-judiciaire de différends ; voire à tout tiers (tel que le client financeur) si nous considérons de façon légitime que la transmission de ces données est nécessaire ou appropriée pour prévenir un dommage physique, ou une perte financière, ou est en lien avec des investigations judiciaires ou privées (investigations chez Pluxee ou chez un client financeur par exemple) relatives à une activité illicite suspectée ou avérée ;
à Pluxee International, maison-mère du Groupe auquel nous appartenons, à des fins notamment de reporting ;
en cas de vente, de fusion ou d’acquisition d’entreprises ou d’actifs, auquel cas nous pouvons transmettre vos Données à caractère personnel au potentiel acquéreur ou vendeur afin de lui assigner ou nover des droits ou obligations ; Pluxee est également susceptible de communiquer les Données de contact de ses interlocuteurs commerciaux à toutes sociétés du Groupe Pluxee afin notamment que ces dernières puissent leur proposer leurs propres offres de biens et services susceptibles de les intéresser ; l’interlocuteur commercial bénéficiant d’un droit d’opposition. Par ailleurs, Pluxee peut, sur la base de l’intérêt légitime notamment, être amenée à communiquer, entant que Responsable de traitement de la gestion des comptes bénéficiaires ou de tout autre traitement selon le cas, des Données à caractère personnel des bénéficiaires relatives :
aux montants débités des comptes bénéficiaires suite à des transactions dématérialisées afin que le client financeur payant uniquement les titres consommés puisse affecter budgétairement ses dépenses ;
à l’existence d’un solde créditeur sur des comptes bénéficiaires afin que le client financeur puisse procéder à des communications à ces bénéficiaires pour les inciter à consommer ou afin de lui permettre d’exécuter une obligation légale (par exemple, le remboursement au salarié du montant de sa contribution à l’achat de titres-restaurant en cas de départ du salarié)
aux montants crédités, débités, ou annulés sur des comptes de bénéficiaires communs à plusieurs plateformes de consommation des titres, l’une gérée par Pluxee, l’autre ou les autres gérée(s) par le client financeur ou ses prestataires, afin de permettre une mise à jour commune du solde de chaque compte sur chacune des plateformes ;
aux montants consommés, et à l’identité des bénéficiaires ayant reçu des titres dans le cadre d’opération de stimulation interne ou de stimulation externe de personnes physiques salariées de tiers afin que le client financeur accomplisse son obligation légale de déclaration de la rémunération de chaque bénéficiaire et de paiement de tous impôts, taxes et charges sociales dus ;
au nom des enseignes dans lesquelles les bénéficiaires ont effectué des dépenses et aux dossiers de réclamations d’assistance bénéficiaires lorsque le client financeur sollicite ces informations auprès de Pluxee pour assurer un suivi contractuel des prestations ;
l’adresse email enregistrée par les bénéficiaires sur leur compte bénéficiaire afin que le client puisse procéder lui-même à des emailings directement auprès des bénéficiaires du programme de dotations qu’il finance.

Enfin, nous pouvons partager des Données à caractère personnel vous concernant si nous considérons que la transmission de ces données est nécessaire ou appropriée pour prévenir un dommage physique ou une perte financière, ou en lien avec une enquête concernant une activité illicite suspectée ou avérée.

Vos données sont-elles transférées en dehors de l’UE/ de l’EEE ?

Le RGPD autorise le transfert de données à caractère personnel vers des pays situés en dehors de l’Union Européenne (« UE ») et de l’Espace Economique Européen (« EEE »), à condition d’assurer un niveau de protection des données suffisant et approprié. Ces transferts doivent être encadrés par un ou plusieurs outils juridiques définis au chapitre V du RGPD.

Tout transfert de Données à caractère personnel hors de l’UE ou de l’EEE effectué par Pluxee ou des prestataires de services est encadré soit par l’existence d’une décision d’adéquation de la Commission européenne, soit par la signature de clauses contractuelles types telles que définies parla Commission européenne, soit par tout autre mode alternatif permettant de justifier de la mise en œuvre effective de garanties appropriées (adoption de règles d’entreprises contraignantes, d’un code de conduite contraignant, de mécanismes de certification garantissant le respect de la réglementation en matière de protection des données à caractère personnel ou respect de toute réglementation spécifique) pour veiller à assurer un niveau de protection suffisant des Données à caractère personnel.

De quels droits disposez-vous concernant vos données à caractère personnel et comment pouvez-vous exercer ces droits ?

Pluxee France s’engage à faciliter l’exercice de vos droits conformément à la réglementation applicable. Vous trouverez ci-après un tableau résumant les différents droits dont vous disposez :

Vos droits	Description de vos droits
Droit d’accès et de rectification	Vous pouvez obtenir les informations visées à l’article 15 du RGPD et/ou demander une copie des données à caractère personnel dont nous disposons sur vous. Vous pouvez également demander la rectification des données à caractère personnel inexactes, ou à ce que les données à caractère personnel incomplètes soient complétées
Droit à l’effacement /Droit à l’oubli	Votre droit à l’oubli permet que vos données à caractère personnel soient effacées lorsque : les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ; vous décidez de retirer votre consentement ;• vous vous opposez au traitement de vos données à caractère personnel ; vos données à caractère personnel ont fait l’objet d’un traitement illicite ;• vos données à caractère personnel doivent être effacées pour respecter une obligation légale ;
Droit à la limitation du traitement	Vous pouvez demander à limiter le traitement lorsque : vous contestez l’exactitude de vos données à caractère personnel ; nous n'avons plus besoin de vos données à caractère personnel aux fins du traitement ; vous vous êtes opposé au traitement pour des motifs légitimes. le traitement est illicite et vous vous opposez à l’effacement de vos données et préférez à la place la limitation de leur utilisation.
Droit à la portabilité des données	Le cas échéant, vous pouvez demander la portabilité des données à caractère personnel vous concernant que vous nous auriez communiquées, et ce dans un format structuré, couramment utilisé et lisible par machine, et avez le droit de transmettre ces données à caractère personnel à un autre responsable du traitement sans que nous y fassions obstacle, lorsque : le traitement de vos données à caractère personnel est fondé sur votre consentement ou sur une relation contractuelle existante ; et le traitement est effectué à l’aide de procédés automatisés. Vous avez également le droit d’obtenir que vos données à caractère personnel soient transmises directement à un tiers de votre choix (lorsque cela est techniquement possible).
Droit d’opposition	Vous avez le droit de vous opposer (droit de « retrait ») au traitement de vos données à caractère personnel (notamment au profilage ou aux communications commerciales). Lorsque nous traitons vos données à caractère personnel sur la base de votre consentement, vous pouvez retirer votre consentement à tout moment.
Droit de ne pas faire l’objet de décisions automatisées	Vous avez le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire
Droit d’introduire une réclamation	Vous pouvez décider d’introduire une réclamation auprès de l’Autorité de contrôle française (la CNIL, https://www.cnil.fr/fr )
Droit de révoquer votre consentement	Dans les cas où vous avez donné votre consentement spécifique à la collecte, au traitement et au transfert de vos données à caractère personnel dans un but précis, vous avez le droit de retirer à tout moment votre consentement pour ce traitement spécifique. Lorsque vous donnez votre consentement, vous serez normalement informé de la possibilité de le retirer. Une fois que nous aurons reçu la notification du retrait de votre consentement, nous ne traiterons plus vos informations pour la ou les finalités que vous avez acceptées à l'origine, sauf si nous disposons d'une autre base légitime pour le faire en vertu de la loi.
Droit de définir des directives post mortem	Conformément à la loi Informatique et Libertés, vous disposez de la possibilité de définir des directives relatives à la conservation, à la suppression et à la communication de vos Données Personnelles après votre décès. Ces directives peuvent être enregistrées auprès d'un tiers numérique de confiance, certifié par la Cnil et chargé de faire respecter vos volontés conformément aux exigences de la réglementation applicable en matière de protection des Données Personnelles.

Comment exercer ces droits ?

Vous pouvez demander à exercer ces droits en nous écrivant à l’adresse privacy.fr@pluxeegroup.com en nous indiquant votre nom, prénom et l’objet de votre demande en précisant le(s) produit(s) Pluxee concerné(s). Nous pouvons être amenés à vous demander des informations spécifiques pour nous aider à confirmer votre identité. Il s'agit d'une autre mesure de sécurité appropriée pour garantir que les données à caractère personnel ne sont pas divulguées à un tiers non autorisé.

Mineurs

Les mineurs méritent une protection renforcée en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et de leurs droits liés au traitement des données à caractère personnel. Cette protection renforcée s'applique au traitement de données à caractère personnel relatives aux mineurs à des fins de marketing ou de création de profils de personnalité ou d'utilisateur et à la collecte de données à caractère personnel relatives aux mineurs lors de l'utilisation de services leurs proposés directement.

Dans le cadre de la souscription et de l’utilisation de nos Produits et Services les traitements réalisés se rapportent à des personnes majeures.

Toutefois, par exception, les Bénéficiaires de nos Produits et Services sont susceptibles d’être des mineurs lorsqu’ils sont Bénéficiaires de certains Produits et Services (ex : stagiaire mineur d’un Client bénéficiant de Titres Restaurant Pluxee, enfant de salarié bénéficiant de Titres Cadeaux Pluxee).

Nous ne collectons et ne traitons pas les données à caractère personnel des mineurs sans base légale. En particulier, nous ne faisons pas la promotion et ne commercialisons pas nos services auprès des mineurs, sauf dans le cas de certains services spécifiques et moyennant le consentement du titulaire de l’autorité parentale. Si vous pensez que nous avons collecté les données à caractère personnel auprès d’un mineur par erreur, veuillez-nous en informer en nous contactant à l’adresse email suivante : privacy.fr@pluxeegroup.com

Est-ce que cette Déclaration sera modifiée ?

Il est possible que nous mettions ponctuellement à jour la présente Déclaration dans l’hypothèse où nos activités ou nos obligations légales évoluent de manière substantielle. Dans le cas où nous apporterions des changements significatifs à la présente Déclaration, nous publierons une information sur notre site Internet au moment de l’entrée en application des changements en question.

Comment nous joindre ?

Si vous avez des questions, commentaires ou demandes concernant la présente Déclaration, vous pouvez les envoyer au Service Données Personnelles Pluxee France à l’adresse électronique suivante : privacy.fr@pluxeegroup.com.

Dernière mise à jour : 01/09/2025

Annexes