Politique de confidentialité

Date de la dernière mise à jour de la présente Politique : le 19 Juillet 2021

Article 1. Objet de la Politique de Confidentialité

La présente politique de confidentialité (la « Politique ») définit les conditions et modalités de traitement des informations permettant d’identifier directement ou indirectement les Membres (les « Données Personnelles ») lorsqu’ils utilisent la Solution, ainsi que les droits du Membre sur ces Données Personnelles.

Les définitions des Conditions Générales sont applicables à la Politique.

La Solution est conforme aux législations française et européenne relatives à la protection des Données Personnelles. Wylr s’oblige à respecter et faire respecter par ses membres du personnel, prestataires et sous-traitants (le « Personnel ») l’ensemble de ces obligations légales.

Article 2. Évolution de la Politique de Confidentialité

En cas de modification de la Politique, Wylr s’engage à maintenir un niveau équivalent de confidentialité et de sécurité des Données Personnelles.

Tout refus de la Politique ou de toute nouvelle version par un Membre pourra entraîner la suppression du Compte et la suppression des Données Personnelles dans les conditions décrites dans la Politique.

Article 3. Finalité et base juridique du traitement des Données Personnelles

Le traitement de Données Personnelles nest possible que dans un objectif déterminé et explicite, et ce pour une raison prévue par la loi, appelée « base juridique ».

De façon générale, les Données Personnelles relatives au Membre sont collectées afin de lui permettre de valoriser sa fidélité auprès d’enseignes partenaires par le biais de lanalyse de ses transactions bancaires. Dans ce cadre, les Données Personnelles sont traitées par et/ou pour le compte de Wylr, qui peut être contactée aux coordonnées suivantes :

Wylr 5 avenue du Général de Gaulle – 94 160 Saint Mandé Email : dpo@hellojoko.com - Tel : 09 74 59 25 75

La matrice suivante détaille la finalité et précise pour chaque élément la base juridique applicable :

Sous-finalités de JokoBase juridique
Mise en œuvre des services nécessaires à l’utilisation de l’application (connexion au compte bancaire, analyse des transactions, gestion du compteur, personnalisation des offres, service de notification, validation des transactions par les Enseignes) et à la gestion de la relation commerciale (support utilisateur)Exécution du contrat
Réalisation de toutes statistiques liées à l’utilisation de Joko pour pouvoir communiquer sur des informations comme le nombre de Membres, la durée d’utilisation de Joko, etc.Intérêt légitime
Mises en œuvre des outils nécessaires à assurer la sécurité des Données PersonnellesObligation légale
Réalisation de statistiques anonymes à des fins d’études marketing à destination des EnseignesExécution du contrat
Réalisation des opérations résultant de dispositions légales, de conventions collectives ou de stipulations contractuelles concernant l’identification de la clientèleObligation légale
Exclusion des campagnes promotionnelles en faveur de Joko afin d’éviter que le Membre reçoive des publicités inutilesIntérêt légitime
Parrainage de Membres de JokoExécution du contrat

Lorsque le traitement de données est mis en œuvre sur la base de l’intérêt légitime de Wylr, la justification des intérêts de Wylr est précisée dans la sous-finalité. Dans chacun de ces cas, Wylr a vérifié au préalable que ses intérêts légitimes ne portaient pas atteinte aux droits et intérêts des Membres. En aucun cas les données ne sont alors utilisées dans un but de nature à porter atteinte à la vie privée des Membres.

Article 4. Données Personnelles traitées et durées de conservation

Pour permettre l’utilisation de la Solution, différentes Données Personnelles peuvent ou doivent être collectées, traitées et conservées. Lorsque la fourniture des Données Personnelles est obligatoire, un astérisque (*) le signalant apparaît à côté de la Donnée Personnelle ou catégorie de Donnée Personnelle concernée. La matrice suivante définit les Données Personnelles susceptibles d’être traitées par Wylr ainsi que leur durée de conservation :

Catégorie de donnéeDonnées collectéesDurée de conservation
Données d’identificationPrénom*

Nom (en cas de conversion des Points en monnaie)

Adresse email* et téléphone

Identifiant unique généré par l’application*
Mot de passe de l’application (chiffré)*

Genre*

Âge*

Date de naissance

Identifiant Facebook* (en cas d’utilisation de Facebook Connect) ou Identifiant Apple* (en cas d’utilisation de Apple Sign In)
25 mois à compter de la dernière utilisation de Joko
Données relatives au contratDate d’inscription*

Code de parrainage

Transactions* (numéro, date et heure de la transaction)

Points collectés* (gain, contrepartie choisie lors de l’utilisation des Points)

Historique des Points gagnés

Historique des parrainages et des Points issus des parrainages

Points bonus et leur utilisation

Correspondance avec le support
5 ans à compter de la dernière utilisation de Joko, dont :

25 mois en base active ;

35 mois en base intermédiaire avec accès restreint
Données relatives à la vie personnelleOffres favorites

Liens des produits sauvegardés dans Joko
5 ans à compter de la dernière utilisation de Joko, dont :

25 mois en base active ;

35 mois en base intermédiaire avec accès restreint
Données bancairesIdentifiants bancaires (chiffré) et, le cas échéant, compte bancaire rattaché à JokoNon conservé
IBAN / BIC (collecte indirecte par principe et directe en cas de conversion des Points en monnaie)25 mois à compter de la dernière utilisation de Joko
Information sur les banques qui ont été connectées : date de connexion, date de suppression, date de dernière synchronisation, statut (actif/inactif) au moment de la suppression, identifiants chez le prestataire Budget Insight1 mois à compter de la suppression de Joko
Données de connexionAdresse IP et journaux de connexion*

Événements liés à l’utilisation de l’application*

Données de navigation in-app (pour les seules les offres requérant les données de navigation in-app)*
12 mois glissants
Données techniquesDonnées relatives au smartphone*, données relatives aux crashs éventuels de l’application*25 mois à compter de la dernière utilisation de Joko

Ces données sont collectées directement lorsque le Membre utilise la Solution, ou indirectement, lorsque le Membre connecte sa banque à Joko, ou utilise une Offre En Ligne. Par ailleurs, certaines Données Personnelles peuvent être collectées lorsque le Membre utilise le plug-in de navigateur Internet, et clique sur le bouton permettant de bénéficier d’une Offre sur le site d’une Enseigne.

Article 5. Destinataires des données

Les Données Personnelles sont destinées à Wylr, ses sous-traitants et prestataires habilités et, à l’exception des données d’identification, ses partenaires commerciaux.

Les Données sont destinées à Wylr, son Personnel et ses partenaires commerciaux dans les conditions et modalités suivantes :

Catégorie de donnéeDestinataires internesDestinataires externes
Données d’identificationService en charge des campagnes publicitaires et du marketing : Exclusion des adresses email des Membres pour les campagnes promotionnelles en faveur de Joko, gestion de l’emailing

Service en ce charge du support utilisateur : Assistance des Membres, dépannage

Administrateurs de Joko
Enseignes partenaires :
Envoi des données de transaction (horodatage, montant, libellé) pour validation des Points
Envoi de l’email (chiffré de façon irréversible) pour vérification lorsque l’Enseigne le demande

Zendesk : Gestion du service support

AWS : Hébergement

Mailjet : Emailing

OneSignal, Firebase : Envoi des données indirectement identifiantes pour adresser des notifications Push

Prestataires de publicité sur réseaux sociaux (Facebook, Instagram, Snapchat, Tiktok, etc.) : Gestion des campagnes publicitaires avec envoi de l’email (chiffré de façon irréversible)

Revolut : Réalisation des ordres de virement en cas de conversion des Points en monnaie

Strackr : Connection des plateformes d’affiliation et gestion des réclamations
Données relatives au contratService commercial : Vérification des transactions auprès des Enseignes

Administrateurs de Joko
AWS : Hébergement

Airtable : Validation des transactions avant envoi aux Enseignes

Parrain du Membre : Nombre de Points collectés
Données relatives à la vie personnelleAdministrateurs de JokoAWS : Hébergement
Données bancairesAdministrateurs de JokoAWS : Hébergement

Budget Insight : Récupération des identifiants pour établissement d’une connexion chiffrée au compte bancaire

Revolut : Réalisation des ordres de virement en cas de conversion des Points en monnaie
Données de connexionAdministrateurs de JokoAWS : Hébergement
Données techniquesAdministrateurs de JokoAmplitude : Outil de reporting et d’analyse statistique sur l’utilisation de l’application

Sentry : Outil d’analyse de crash

AWS : Hébergement

Adjust : Origine du téléchargement de l’application

Les Données peuvent également être mises à disposition des autorités publiques compétentes lorsque la loi le prévoit ou sur réquisition.

En cas d’utilisation de Facebook Connect et de contact de léquipe Support via l’outil Zendesk, des données d’identification sont susceptibles d’être transférées vers les États-Unis. De même, tout ou partie des données de connexion et les données techniques peuvent être transférées vers les États-Unis vers les sociétés Sentry, Amplitude et Adjust.

Afin de garantir la protection des Données Personnelles, Wylr a mis en place des clauses contractuelles types avec ces sociétés. Par ailleurs, Zendesk a mis en place des règles d’entreprises contraignantes approuvées par l’autorité de contrôle irlandaise, garantissant une protection des données au sein des différentes entités Zendesk.

Pour plus d’informations, le Membre peut consulter les politiques de confidentialité de ces sociétés grâce aux liens ci-dessous :

Les données bancaires relatives au Membre peuvent être transférées en Union Européenne ainsi qu’au Royaume-Uni.

Article 6. Droits du Membre

La législation relative à la protection des Données Personnelles reconnaît au Membre différents droits :

  • Droit d’accès et de rectification : le Membre peut solliciter l’accès à ses Données Personnelles et, le cas échéant, leur rectification ;

  • Droit de retirer son consentement : le Membre peut à tout moment retirer son consentement au traitement des Données Personnelles le concernant, ce retrait ne valant que pour l’avenir ;

  • Droit d’opposition : le Membre peut s’opposer au traitement des Données Personnelles le concernant, sous réserve de fournir un motif légitime (le motif légitime n’est pas nécessaire en cas d’opposition au traitement à des fins de prospection commerciale) ;

  • Droit à l’oubli : le Membre a droit à l’effacement des Données Personnelles le concernant à l’issue d’une certaine durée ;

  • Droit à la limitation du traitement : le Membre peut demander à ce que les Données Personnelles le concernant fassent l’objet d’un marquage spécifique en vue de limiter leur traitement futur, dans différentes circonstances ;

  • Droit à la portabilité : le Membre peut demander à obtenir une copie, dans un format interopérable, des seules Données Personnelles qu’il a fournies à Wylr, voire à ce que les Données Personnelles en cause soient directement transférées vers un autre responsable de traitement ;

  • Droit de ne pas faire l’objet d’une décision individuelle automatisée : le Membre faisant l’objet d’une décision individuelle automatisée doit pouvoir prendre connaissance des logiques sous-tendant la décision et en discuter avec une personne physique.

Par ailleurs, en tout état de cause, le Membre dispose de la possibilité de définir des directives relatives à la conservation, à leffacement et à la communication des Données la concernant après son décès.

Si le Membre considère que Wylr ne respecte pas ses obligations, il peut adresser une plainte ou une demande auprès de l’autorité compétente. En France, l’autorité compétente est la CNIL, à laquelle le Membre peut adresser une demande par voie électronique en cliquant sur le lien suivant : https://www.cnil.fr/fr/plaintes/internet.

Article 7. Sécurité des données

Wylr assure la sécurité des Données Personnelles collectées et traitées. À cet égard, Wylr et ses sous-traitants s’obligent à mettre en œuvre un ensemble de mesures de nature à assurer une protection maximale aux Données Personnelles, notamment pour éviter leur altération, leur destruction ou leur diffusion par des tiers non autorisés.

La sécurité des identifiants de connexion aux banques du Membre est assurée par un chiffrement complet de ses identifiants et des échanges entre l’application et le serveur bancaire et un cloisonnement de l’accès à ces informations. Seul le prestataire agréé par l’Autorité de Contrôle Prudentiel et de Résolution peut y accéder. Après un (1) mois d’inactivité du compte, les connexions bancaires sont supprimées.

Wylr reçoit exclusivement les données nécessaires à la valorisation de la fidélité du Membre auprès de ses Enseignes partenaires.

La totalité des données conservées par Wylr est conservée sous forme chiffrée.

Les membres du Personnel sont liés par une clause de confidentialité, tandis que les Données Personnelles circulant sur des réseaux, tels qu’Internet, sont systématiquement chiffrées.

L’accès au Compte est sécurisé et se fait grâce à tout dispositif d’authentification conforme à la législation locale applicable à Wylr, tel qu’un identifiant et un mot de passe. Le dispositif d’authentification est strictement personnel. Le Membre est responsable des mesures à mettre en œuvre pour assurer la confidentialité de son dispositif d’authentification. En cas de perte ou de vol du dispositif d’authentification, ou si le Membre prend connaissance de son utilisation par un tiers non autorisé, il doit immédiatement en informer Wylr à l’adresse suivante contact@hellojoko.com, afin de révoquer son dispositif d’authentification et d’en obtenir un nouveau. Wylr ne saurait être tenue pour responsable de l’utilisation du Compte du Membre par des tiers non autorisés permis par l’utilisation illicite du dispositif d’authentification du Membre.

Wylr et ses sous-traitants conservent dans leur système informatique les données de nature à permettre l’identification de toute personne s’étant connectée au Compte, et ce en vue notamment de leur communication éventuelle en justice.

Wylr s’engage à notifier immédiatement au Membre, dès qu’il en a connaissance, tout incident grave, toute intrusion, divulgation, accès illicite ou altération et toute tentative d’intrusion, divulgation, accès illicite ou altération à Joko ou toute malveillance contre les Données Personnelles ayant ou susceptibles d’avoir un impact grave pour le Membre. La notification d’une telle violation de données constitue une obligation légale et ne peut en aucun cas être assimilée à une quelconque reconnaissance de responsabilité de Wylr dans sa survenue ou son exploitation.

Article 8. Cookies et traceurs

Wylr et ses partenaires peuvent installer dans Joko des cookies et traceurs, qui seront enregistrés sur les terminaux des Membres lorsque ces derniers utilisent Joko.

Wylr utilise, tant sur l’application web que l’application mobile Joko, les cookies et traceurs suivants :

  • de navigation, lesquels sont des cookies nécessaires au bon fonctionnement technique de Joko car ils permettent d'optimiser l'affichage du contenu depuis chaque terminal ;

  • fonctionnels, qui ne sont pas indispensables au bon fonctionnement de Joko mais optimisent l’expérience des Membres, permettent de détecter la fraude, ou d’assurer un support aux Membres via les services de Joko. À cette fin, Wylr utilise les services des prestataires suivants :

  • sur l’application web et mobile Joko :

    • Apple Sign In, qui permet de gérer la connexion au compte Apple du Membre, le cas échéant. La politique de confidentialité d’Apple est disponible sous ce lien ;

    • Facebook Sign In, qui permet de gérer la connexion au compte Facebook du Membre, le cas échéant. La politique de confidentialité de Facebook est disponible sous ce lien ;

Nom du cookieFinalité
sbGérer la connexion au compte Facebook
xsIdentifier de la session actuelle du Membre
c_userIdentifier le Membre actuellement connecté
datrIdentifier le navigateur internet utilisé pour se connecter à Facebook, indépendamment du Membre connecté

Ces traceurs ne sont utilisés que lorsque le Membre choisit de se créer un compte à Joko via le réseau social tiers.

  • sur l’application mobile Joko seulement :

    • CodePush, de Microsoft qui permet de mettre à jour l’application et qui ne collecte aucune donnée personnelle et dont la politique de confidentialité est disponible sous ce lien.

    • Zendesk, pour le support aux Membres ;

    • Branch, qui permet à Wylr de créer des liens profonds entre les différentes applications Joko pour fluidifier l’expérience de nos utilisateurs et utilisatrices. La politique de confidentialité de Branch est disponible sous ce lien ;

  • analytiques et de mesures d’audience, qui permettent de suivre la navigation des Membres à des fins d’optimisation. À cette fin, Wylr utilise ses propres traceurs, ainsi que les cookies et traceurs des prestataires suivants :

    • sur l’application web et mobile Joko :

      • Amplitude, afin de connaître le nombre de Membres de Joko et la façon dont Joko est utilisée. Les informations collectées sont partagées avec l’équipe Produit de Wylr pour améliorer l’expérience et créer de nouvelles fonctionnalités, dont la politique de confidentialité est disponible sous ce lien ;

Nom du cookieFinalité
amp_xxxxxIdentifier le Membre actuellement connecté, la session actuelle et le terminal utilisé
access_token_productionStrictement nécessaire à l’authentification auprès d’Amplitude
org_login_productionStrictement nécessaire à l’authentification auprès d’Amplitude
driftt_aidPermettre le fonctionnement basique d’Amplitude
CookieControlPrendre en compte les choix du Membre pour l’utilisation des cookies
_mkto_trkSuivre le comportement d’un Membre lors de son utilisation du produit
  • sur l’application mobile Joko seulement :

    • Sentry, afin de surveiller et signaler les erreurs et accidents de Joko. La politique de confidentialité de Sentry est disponible sous ce lien ;

  • Publicitaires, qui permettent de collecter des données sur la performance et l’exposition des campagnes publicitaires et de diffuser de la publicité aux Membres. Wylr utilise ses propres traceurs, permettant d’enregistrer les actions d’un Membre ainsi que les cookies des prestataires suivants :

    • sur l’application web et mobile Joko :

      • Amplitude, afin d’analyser la source provenance des Membres sur Joko (par exemple, via une campagne de publicité payante) et de connaître le taux de conversion obtenu grâce aux campagnes marketing, dont la politique de confidentialité est disponible sous ce lien ;

Nom du cookieFinalité
__utmaDistinguer les visiteurs uniques et les sessions
__utmbDistinguer les nouvelles visites du Site
__utmcUtilisé en complément du cookie __utmb pour déterminer si oui ou il y a une nouvelle visite par le visiteur unique actuel.
__utmzEnregistrer la source de trafic ou la campagne expliquant comment le Membre a atteint le Site
__qcaStocker et suivre la portée de l’audience
_gaDistinguer les visiteurs uniques sur le Site en attribuant un identifiant unique pour chaque visiteur
  • Facebook Ads, qui permet la gestion de la publicité, et de suivre l’action des Membres sur Joko. La politique de confidentialité de Facebook est disponible sous ce lien ;

Nom du cookieFinalité
frFournir, mesurer et améliorer la pertinence des campagnes publicitaires
_fbpFournir, mesurer et améliorer la pertinence des campagnes publicitaires
  • sur l’application web Joko seulement :

    • Google Ads, qui permet la gestion de la publicité, et de suivre l’action des Membres sur Joko. La politique de confidentialité de Google Ads est disponible sous ce lien ;

Nom du cookieFinalité
_gcl_auMesurer l’efficacité des campagnes publicitaires
  • Outbrain, qui permet la gestion de la publicité, et de suivre l’action des Membres sur Joko. La politique de confidentialité de Outbrain est disponible sous ce lien ;

Nom du cookieFinalité
CriteoMesurer l’efficacité des campagnes publicitaires
obuidMesurer l’efficacité des campagnes publicitaires
  • sur l’application mobile Joko seulement :

    • Adjust, qui permet d’analyser et de piloter les campagnes d'acquisition, dont la politique de confidentialité est disponible sous ce lien ;

    • OneSignal, qui permet de gérer l’envoi de notifications push aux Membres, et dont la politique de confidentialité est disponible sous ce lien ;

    • Firebase, qui est un outil édité par Google et qui permet de gérer l’envoi de notifications push aux Membres, et dont la politique de cookie est disponible sous ce lien.

Le Membre peut à tout moment retirer son consentement à l’envoi de notification push via les paramètres de Joko et de son téléphone portable.

Le Membre peut accepter ou refuser le dépôt de tout ou partie de ces cookies ou traceurs grâce au bandeau prévu à cet effet lorsqu’elle/il se connecte à Joko. Le Membre peut changer à tout moment ses choix. L’utilisation de Joko pourra être dégradée en cas de refus des cookies.

L’ensemble de ces cookies et traceurs ne permettent pas l’identification directe du Membre. Les informations collectées par les cookies et traceurs sont conservées pendant treize (13) mois et les choix du Membre sont conservés pendant six (6) mois.