Phormian · RGPD · v1.0

Vos données personnelles, traitées avec rigueur.

La présente politique décrit, conformément aux articles 12 à 14 du Règlement (UE) 2016/679 (« RGPD »), les traitements de données à caractère personnel mis en œuvre par Phormian dans le cadre de l’application Phormian.

Dernière mise à jour

29 avril 2026

Version

1.0

Cadre

Règlement (UE) 2016/679

Hébergement

Union européenne (OVHcloud)

§ 01

Identité du responsable

Phormian opère une plateforme technologique permettant à des organisations partenaires — mutuelles, caisses de prévoyance, employeurs, comités sociaux et économiques — de proposer à leurs adhérents, salariés ou membres un programme de cashback.

Phormian SAS, immatriculée au RCS sous le numéro 994 890 481, dont le siège social est situé 52 avenue de Villeneuve l’Étang, 78000 Versailles, traite vos données à caractère personnel selon les finalités et qualifications décrites ci-après.

Lorsque vous utilisez l’application, vous accédez à un programme proposé par l’organisation qui vous y a invité (ci-après votre « Partenaire »). La qualification précise de Phormian au regard du RGPD varie selon les traitements concernés (voir § 04).

§ 02

Définitions

Pour la lecture de la présente politique, les termes commençant par une majuscule ont le sens qui leur est donné ci-dessous. Les notions issues du RGPD non définies ici (notamment « donnée à caractère personnel », « traitement », « personne concernée », « violation de données ») conservent le sens que leur donne l’article 4 du Règlement.

Application: L’application web et mobile éditée et exploitée par Phormian permettant aux Utilisateurs d’accéder au programme cashback proposé par leur Partenaire.
Partenaire: L’organisation — mutuelle, caisse de prévoyance, employeur, comité social et économique ou autre — qui a souscrit auprès de Phormian afin de proposer le programme cashback à ses adhérents, salariés ou membres, et qui invite l’Utilisateur à s’y inscrire.
Programme: Le programme cashback déployé par un Partenaire au bénéfice de ses adhérents, salariés ou membres, exploité techniquement via l’Application.
Utilisateur: Toute personne physique accédant à l’Application au titre d’un Programme, et dont les données à caractère personnel sont traitées dans le cadre décrit par la présente politique.
e-Carte: Carte cadeau dématérialisée émise par un partenaire commerçant et commandée par l’Utilisateur via l’Application.
Cashback: Avantage financier crédité à l’Utilisateur sur sa Cagnotte à l’occasion de l’achat d’une e-Carte, dont le taux est défini par enseigne dans le cadre du Programme.
Cagnotte: Compteur individuel rattaché à l’Utilisateur sur lequel sont enregistrés les montants de Cashback acquis et leurs opérations.
SSO (Single Sign-On): Dispositif d’authentification unique mis en œuvre par un Partenaire permettant à l’Utilisateur d’accéder à l’Application avec les identifiants gérés par le Partenaire lui-même.
Sous-traitant ultérieur: Prestataire auquel Phormian recourt pour exécuter tout ou partie des traitements décrits dans la présente politique, au sens des articles 28 § 2 et § 4 du RGPD.

§ 03

Données à caractère personnel traitées

Phormian traite les catégories de données à caractère personnel suivantes, et uniquement celles-ci :

Catégorie	Données concernées	Source
Identification	Nom, prénom, adresse email, identifiant interne fourni par le Partenaire	Partenaire et/ou personne concernée
Authentification	Identifiants de session, jetons d’authentification	Génération automatique
Connexion	Adresse IP, date et heure de connexion, type de navigateur, système d’exploitation	Collecte automatique
Transactions	E-cartes commandées, montants, enseignes, montant de cashback, opérations sur la cagnotte, solde	Personne concernée et calcul automatique
Lutte contre la fraude	Données comportementales et techniques utiles à la détection d’anomalies	Collecte automatique
Support	Historique des sollicitations, contenu des échanges	Personne concernée

Stripe · paiements

Lors d’un paiement, l’adresse email de l’Utilisateur est transmise à Stripe, notre prestataire de services de paiement agréé, afin de permettre l’envoi du reçu de transaction et le rapprochement des opérations. Les données de carte bancaire utilisées pour le paiement sont, quant à elles, collectées et traitées directement par Stripe via une interface sécurisée et ne sont pas conservées par Phormian. Stripe agit comme sous-traitant de Phormian s’agissant de l’email transmis, et comme responsable du traitement s’agissant des données de carte bancaire qu’il collecte directement de l’Utilisateur.

§ 04

Finalités et bases légales

Conformément à l’article 6 du RGPD, chaque traitement repose sur une base légale explicite :

Finalité	Base légale (art. 6 RGPD)
Authentification et accès à l’application	Exécution du contrat conclu avec le Partenaire dont vous bénéficiez (6.1.b)
Inscription au programme	Exécution du contrat (6.1.b)
Délivrance des e-cartes, calcul et crédit du cashback, gestion de la cagnotte	Exécution du contrat (6.1.b)
Versement de la cagnotte sur le produit d'épargne du partenaire	Exécution du contrat (6.1.b)
Lutte contre la fraude	Intérêt légitime de Phormian et de son écosystème à prévenir les usages frauduleux (6.1.f)
Obligations légales (notamment LCB-FT, comptables et fiscales)	Obligation légale (6.1.c)
Traitement des sollicitations support	Exécution du contrat (6.1.b)
Pilotage interne, sécurité et amélioration de la plateforme	Intérêt légitime de Phormian (6.1.f)

Engagement

Phormian ne procède à aucun traitement à des fins de prospection commerciale, de publicité ciblée ni de revente de données à des tiers.

§ 05

Qualification des Parties

Selon le traitement concerné, Phormian agit en qualité de responsable du traitement, de sous-traitant ou de responsable conjoint au sens des articles 4, 26 et 28 du RGPD. Cette qualification détermine notamment l’interlocuteur compétent pour l’exercice de vos droits (voir § 09).

Traitement	Phormian	Partenaire
Authentification	Responsable du traitement	—
Authentification par SSO du Partenaire (le cas échéant)	Sous-traitant	Responsable du traitement
Inscription au programme	Responsable du traitement	—
Pré-inscription par le Partenaire (le cas échéant)	Sous-traitant	Responsable du traitement
Délivrance e-cartes / cashback / cagnotte	Responsable du traitement	—
Versement de la cagnotte sur le produit d'épargne du partenaire	Responsable conjoint	Responsable conjoint
Lutte contre la fraude	Responsable du traitement	—
Obligations LCB-FT	Responsable (le cas échéant)	Responsable (le cas échéant)
Support	Responsable conjoint	Responsable conjoint
Pilotage et sécurité plateforme	Responsable du traitement	—

Pour les traitements opérés en responsabilité conjointe, les Parties ont défini par accord, conformément à l’article 26 § 1 RGPD, leurs obligations respectives. Les grandes lignes de cet accord sont mises à votre disposition sur demande, conformément à l’article 26 § 2 RGPD.

Cas particuliers — intervention du Partenaire

Lorsque votre Partenaire met en œuvre un dispositif d’authentification unique (SSO) pour vous donner accès à l’application, ou lorsqu’il vous pré-inscrit au programme directement depuis ses propres systèmes, le Partenaire agit en qualité de responsable du traitement et Phormian intervient comme sous-traitant pour les seules opérations qui lui sont déléguées. Hors ces cas particuliers — c’est-à-dire lorsque vous vous inscrivez et vous authentifiez directement sur l’application — Phormian est responsable du traitement.

§ 06

Destinataires des données

Vos données à caractère personnel peuvent être communiquées aux catégories de destinataires suivantes, dans la stricte limite de leurs besoins :

Les équipes habilitées de Phormian, soumises à un engagement de confidentialité.
Votre Partenaire, pour les finalités liées au programme dans lequel vous êtes inscrit.
OVHcloud, hébergeur d’infrastructure cloud, agissant en sous-traitant ultérieur, dont les centres de données sont situés en Union européenne.
Neptune Internet Services, prestataire d’infogérance, agissant en sous-traitant ultérieur, situé en Union européenne.
Stripe, prestataire de services de paiement agréé, intervenant dans la chaîne de paiement.
Les autorités administratives ou judiciaires compétentes, sur réquisition régulière.

Émetteurs de cartes cadeaux

Les émetteurs des e-cartes commandées via la plateforme ne reçoivent aucune donnée à caractère personnel vous concernant de la part de Phormian. Les commandes leur sont transmises de manière agrégée ou pseudonymisée, sans permettre votre identification.

Tous les sous-traitants ultérieurs auxquels Phormian recourt sont soumis contractuellement à des obligations de protection des données substantiellement équivalentes à celles auxquelles Phormian est elle-même tenue, conformément à l’article 28 § 4 RGPD. La liste à jour des sous-traitants ultérieurs est tenue à votre disposition sur demande adressée à privacy@phormian.fr.

§ 07

Localisation et transferts

UE/EEE

Les données à caractère personnel des Utilisateurs sont traitées et hébergées au sein de l’Union européenne ou de l’Espace économique européen, en particulier par OVHcloud (hébergement) et Neptune Internet Services (infogérance), tous deux situés en Union européenne.

Cas particulier de Stripe

Notre prestataire de services de paiement Stripe opère via son entité européenne Stripe Payments Europe Limited, établie en Irlande. Dans le cadre de ses opérations, Stripe peut être amené à transférer des données vers sa maison-mère Stripe, Inc., située aux États-Unis. Ces transferts sont encadrés par les garanties appropriées prévues au chapitre V du RGPD, à savoir :

l’adhésion de Stripe, Inc. au Data Privacy Framework reconnu par décision d’adéquation de la Commission européenne du 10 juillet 2023 ;
la conclusion de clauses contractuelles types adoptées par la Commission européenne, à titre complémentaire.

Pour plus d’informations sur les traitements opérés par Stripe et les garanties associées, vous pouvez consulter la politique de confidentialité de Stripe à l’adresse stripe.com/fr/privacy.

Autres transferts

En dehors du cas particulier de Stripe décrit ci-dessus, aucun transfert de vos données vers un pays tiers n’est mis en œuvre par Phormian. Si une évolution de notre écosystème de sous-traitants devait conduire à un nouveau transfert, il ne pourrait avoir lieu que dans le respect des conditions du chapitre V du RGPD — décision d’adéquation, clauses contractuelles types, ou autre garantie appropriée au sens des articles 46 et suivants. La présente politique serait mise à jour pour en informer les personnes concernées.

§ 08

Durées de conservation

Conformément au principe de limitation de la conservation (article 5.1.e RGPD), vos données sont conservées pour la durée strictement nécessaire à la finalité poursuivie, augmentée le cas échéant des durées de prescription légales applicables.

Catégorie	Durée	Fondement
Données de compte actif	Durée d’adhésion au programme	Exécution du contrat
Données de compte inactif	3 ans après la dernière interaction, puis effacement ou anonymisation	Recommandation CNIL
Données transactionnelles	10 ans à compter de la transaction	Obligations comptables (art. L. 123-22 C. com.)
Données de versement (cagnotte vers épargne)	5 ans à compter du versement	Exécution du contrat
Données de lutte contre la fraude	1 an à compter de la détection	Intérêt légitime (art. 6.1.f)
Données LCB-FT	5 ans à compter de la fin de la relation	Art. L. 561-12 CMF
Logs de connexion et de sécurité	12 mois	Recommandation CNIL et art. L. 34-1 CPCE
Données de support	3 ans à compter de la clôture de la sollicitation	Prescription civile

À l’issue de ces durées, les données sont effacées ou anonymisées de manière irréversible.

§ 09

Vos droits

Conformément aux articles 15 à 22 du RGPD et à la loi n° 78-17 du 6 janvier 1978 modifiée, vous disposez, sur vos données à caractère personnel, des droits suivants :

Droit d’accès

art. 15 RGPD

Obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie.

Droit de rectification

art. 16 RGPD

Faire corriger des données inexactes ou compléter des données incomplètes.

Droit à l’effacement

art. 17 RGPD

Faire supprimer vos données dans les cas prévus par le RGPD.

Droit à la limitation

art. 18 RGPD

Obtenir la suspension temporaire d’un traitement.

Droit à la portabilité

art. 20 RGPD

Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, ou les faire transmettre à un autre responsable.

Droit d’opposition

art. 21 RGPD

Vous opposer à un traitement fondé sur l’intérêt légitime, pour des motifs tenant à votre situation particulière.

Droit de retrait du consentement

art. 7 § 3 RGPD

Lorsque le traitement repose sur cette base légale.

Directives post-mortem

art. 85 LIL

Définir des directives relatives au sort de vos données après votre décès.

Pas de décision automatisée

art. 22 RGPD

Phormian ne met en œuvre aucune décision exclusivement automatisée au sens de cet article.

Modalités d’exercice

Vous pouvez exercer ces droits par écrit à privacy@phormian.fr, ou directement depuis votre espace personnel sur l’application Phormian. L’exercice de vos droits est gratuit, sauf demande manifestement infondée ou excessive (art. 12 § 5 RGPD).

Selon la qualification du traitement concerné (voir § 05), votre demande sera traitée par Phormian, par votre Partenaire, ou conjointement. Phormian s’engage à vous orienter vers l’interlocuteur compétent. Une réponse vous est apportée dans un délai d’un mois à compter de la réception de votre demande, prorogeable de deux mois en cas de complexité ou de pluralité de demandes (art. 12 § 3 RGPD).

Phormian peut être amenée à vérifier votre identité avant de donner suite à votre demande, lorsque des doutes raisonnables existent quant à celle-ci (art. 12 § 6 RGPD).

§ 10

Évolutions de la politique

La présente politique peut être mise à jour pour refléter les évolutions réglementaires, l’évolution des traitements ou de notre écosystème de sous-traitants. La date de dernière mise à jour figure en tête de document. En cas de modification substantielle, vous serez informé par tout moyen approprié, notamment lors de votre prochaine connexion à l’application.

§ 11

Contact et réclamations

Pour toute question relative à la présente politique ou à l’exercice de vos droits, vous pouvez vous adresser à :

DÉLÉGUÉ À LA PROTECTION DES DONNÉES

privacy@phormian.fr

ADRESSE POSTALE

Phormian SAS
Service Protection des données
52 Avenue de Villeneuve l’Étang
78000 Versailles

Autorité de contrôle

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous disposez du droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre de votre résidence habituelle, de votre lieu de travail ou du lieu de la violation alléguée (art. 77 RGPD). En France :

Commission Nationale de l’Informatique et des Libertés

3 place de Fontenoy — TSA 80715
75334 Paris Cedex 07

cnil.fr →

Phormian SAS · RCS 994 890 481

Politique de protection des données · v1.0 · 29 avril 2026