politique de confidentialité

Aux fins de la loi de 1988 sur la protection de la vie privée (Commonwealth) et des principes australiens de protection de la vie privée (APPs), du règlement général de l'UE sur la protection des données (RGPD UE) et du règlement général du Royaume-Uni sur la protection des données (RGPD RU), le responsable du traitement des renseignements personnels recueillis par l'intermédiaire de la plateforme Reco est :

Conformément au RGPD de l'UE, le nom de notre représentant au sein de l'Union européenne est publié sur la plateforme. Conformément au RGPD du Royaume-Uni, le nom de notre représentant au Royaume-Uni est publié sur la plateforme.

Reco gère les informations personnelles selon deux rôles distincts :

• En tant que responsable du traitement des données, nous traitons les informations que vous nous soumettez directement pour créer et utiliser votre compte (par exemple, votre nom, votre adresse e-mail et l'activité de votre compte). La présente politique encadre ce traitement.
• En tant que sous-traitant, lorsque le Prestataire télécharge les données de contact de ses clients sur la Plateforme pour envoyer des invitations de parrainage, le Prestataire est alors le responsable du traitement des données et nous traitons ces données pour son compte conformément à notre avenant relatif au traitement des données (voir section 12).

« Reco » est la marque et le nom du produit. L’entité juridique est Netfect Platforms Pty Ltd. Dans la présente politique, toute référence à Reco désigne Netfect Platforms Pty Ltd, exerçant ses activités sous le nom commercial de Reco.

Nous ne recueillons que les renseignements personnels nécessaires aux fins décrites à la section 4. Les catégories sont les suivantes :

Nous ne collectons pas, et vous ne devez pas soumettre :

• Identifiants gouvernementaux (numéros d'identification fiscale, numéros de passeport, numéros de permis de conduire).
• Numéros de carte de paiement complets ou coordonnées bancaires (ces informations sont traitées par notre prestataire de paiement).
• Informations biométriques ou génétiques.
• Concernant le contenu des messages envoyés via des applications tierces (par exemple, WhatsApp, iMessage) que vous utilisez en dehors de la Plateforme pour transmettre un lien de parrainage, nous voyons seulement qu'un lien a été généré, et non où vous l'avez envoyé.

Lorsqu'un référent envoie une recommandation, les événements suivants se produisent dans l'ordre :

1. Le référent fournit les coordonnées du référent (nom et au moins une des informations suivantes : adresse électronique ou numéro de téléphone portable). Nous recueillons ces informations afin de permettre la mise en relation.
2. Nous notifions immédiatement le référent via le canal choisi avec une explication claire de qui l'a référé, quel fournisseur est impliqué et ses options.
3. L’arbitre choisit d’accepter, de refuser ou d’ignorer. L’option de refus est disponible dans le premier message et sur toutes les pages de la plateforme consultées.
4. Si le référent se retire, nous supprimons tout contact ultérieur concernant cette recommandation, nous supprimons ses coordonnées dans un délai raisonnable (sauf si nécessaire pour continuer à supprimer les futures invitations sur le même canal), et nous informons le référent que la recommandation n'a pas abouti (sans révéler la raison).
5. Si le filleul valide le parrainage, son nom et ses coordonnées sont communiqués au prestataire concerné afin que celui-ci puisse verser la récompense et assurer le suivi. Le consentement du filleul à ce partage est recueilli lors de la vérification.

Nous ne recherchons pas d'informations sensibles (telles que définies dans la loi sur la protection de la vie privée et le RGPD — y compris les données relatives à la santé, à l'origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses, à l'orientation sexuelle, à l'appartenance syndicale, aux données biométriques ou génétiques, au casier judiciaire).

Étant donné que Reco est utilisé par des professionnels de la santé, les clients doivent éviter d'inclure des informations sensibles dans leurs avis ou messages. Si vous le faites, nous considérons ces informations comme fournies volontairement et les conservons avec les mêmes garanties que les autres données personnelles. Vous pouvez nous demander de les supprimer à tout moment.

Lorsqu'un fournisseur autorise les évaluations des associés, ces derniers doivent en avoir été informés par le fournisseur et avoir donné leur consentement avant que leur profil ne soit évalué sur la plateforme. Les associés ont le droit de :

• examiner ce qui a été publié à leur sujet ;
• demander la correction d'un contenu factuellement inexact ;
• demander que leur nom soit anonymisé ou retiré des avis ;
• demander qu'ils soient retirés de la liste des associés soumis à examen à l'avenir.

Les demandes peuvent être adressées à privacy@reco.tips ou soumises par l'intermédiaire du fournisseur.

Reco est réservé aux adultes. Nous ne recueillons pas sciemment d'informations personnelles auprès de personnes de moins de 18 ans. Voir la section 16.

La plateforme utilise l'IA pour aider les fournisseurs à rédiger les descriptions et les conditions des récompenses. Lorsqu'un fournisseur utilise ces fonctionnalités :

• Les données fournies par le prestataire (généralement une brève description de l'activité et ses préférences) sont envoyées à un prestataire de services d'IA pour traitement.
• Nous n'utilisons pas votre contenu personnel pour entraîner des modèles d'IA tiers. Nos accords avec les fournisseurs de services d'IA interdisent leur utilisation des entrées de notre API à des fins d'entraînement.
• Les résultats de l'IA ne sont que des ébauches. Il incombe au fournisseur de les examiner et de les adopter, comme indiqué à l'article 6 des conditions d'utilisation.

Les fournisseurs ne doivent pas intégrer d'informations personnelles dans les fonctionnalités d'IA au-delà du strict minimum nécessaire et ne doivent pas y intégrer d'informations sensibles ou confidentielles appartenant à leurs propres clients.

La plateforme intègre un système de détection automatisée des fraudes qui évalue les recommandations afin de déceler les signes de manipulation. Les alertes de fraude peuvent entraîner la mise en attente d'une recommandation pour vérification, le remboursement des frais ou la suspension d'un compte.

• Ces résultats ne sont pas entièrement automatisés — nous gardons un humain dans la boucle pour les décisions importantes qui vous affectent de manière significative (comme la suspension d'un compte fournisseur).
• Lorsqu'un fournisseur conteste un signalement de fraude, le délai de contestation de 14 jours prévu à la clause 15 des conditions d'utilisation s'applique, et une personne examine la décision.
• Lorsque nous sommes soumis à l'article 22 du RGPD, vous avez le droit de demander un examen humain, d'exprimer votre point de vue et de contester la décision — écrivez à privacy@reco.tips.

Nous faisons appel à un nombre restreint de prestataires de services pour exploiter la Plateforme. Ces derniers traitent les données personnelles selon nos instructions, dans le cadre de contrats écrits exigeant des garanties de sécurité et de confidentialité appropriées, et ne sont pas autorisés à utiliser ces données à leurs propres fins. Les catégories de prestataires que nous utilisons sont les suivantes :

• Hébergement cloud, base de données, authentification et stockage de fichiers (actuellement Google Cloud et Firebase, exploités par Google LLC).
• Traitement des paiements et facturation des abonnements (actuellement Stripe, Inc. et ses filiales régionales). Stripe gère directement les données de carte et est responsable de son propre traitement conformément à sa politique de confidentialité.
• SMS et e-mails transactionnels (actuellement Twilio et un fournisseur de messagerie électronique, publié dans notre liste actuelle de sous-traitants).
• Recherche d'adresses et cartographie (actuellement Google Maps Platform, pour une fonctionnalité adaptée au pays).
• Outils de support client pour le service d'assistance et la correspondance par e-mail.
• Fournisseurs de services d'IA qui alimentent les fonctionnalités de rédaction d'IA décrites dans la section 7.

La liste actuelle des sous-traitants est publiée sur la plateforme et mise à jour en fonction des changements de nos fournisseurs. Les fournisseurs peuvent s'abonner aux notifications de changement de sous-traitant conformément à l'avenant relatif au traitement des données.

Lorsqu'un parrain valide une recommandation, nous partageons son nom et ses coordonnées avec le fournisseur concerné afin que celui-ci puisse verser la récompense et assurer le suivi. Ce partage :

• Cela ne se produit qu'après vérification par l'arbitre ;
• se limite aux informations fournies par l'arbitre aux fins de la saisine ;
• ne comprend pas les informations du référent au-delà de son nom (afin que le fournisseur puisse identifier qui a référé le nouveau client et lui verser toute récompense de référent).

Une fois partagées, les informations sont traitées par le Prestataire dans le cadre de son propre suivi auprès de l'Arbitre, et sa politique de confidentialité s'applique.

Nous pouvons partager des renseignements personnels avec :

• Conseillers professionnels (avocats, auditeurs, assureurs) soumis à des obligations de confidentialité, lorsque cela est nécessaire.
• Les autorités, en réponse à des demandes légitimes (ordonnances judiciaires, assignations, demandes réglementaires valides), examinent chaque demande et s'y opposent lorsqu'elle est excessive ou illégale.
• Une entité successeur dans le cadre d'une vente d'entreprise, d'une fusion, d'une réorganisation ou d'un événement similaire, le successeur étant lié par des engagements au moins aussi protecteurs que la présente politique.

Avant de transférer des renseignements personnels à l’étranger, nous prenons des mesures raisonnables pour nous assurer que le destinataire les traite conformément à la présente politique et à la loi applicable, notamment :

• pour les transferts soumis à APP 8 (Principes australiens de protection de la vie privée), évaluer le régime de protection de la vie privée du destinataire et les mesures raisonnables pour assurer un traitement équivalent à celui des APP ;
• pour les transferts de données personnelles EEE/Royaume-Uni vers un pays sans décision d'adéquation, en s'appuyant sur les clauses contractuelles types de la Commission européenne (ou l'IDTA britannique / addendum britannique, le cas échéant) et, le cas échéant, sur des mesures complémentaires inspirées par la décision Schrems II et les orientations actuelles du CEPD/ICO.

La liste actuelle comprend l'Australie (principalement), les États-Unis (hébergement cloud, traitement des paiements, services d'IA), l'Espace économique européen (envoi d'e-mails, régions de sauvegarde) et le Royaume-Uni. Cette liste est publiée sur la plateforme, aux côtés de notre liste de sous-traitants.

En utilisant la Plateforme, vous reconnaissez que certaines informations personnelles sont traitées à l'étranger par les prestataires de services mentionnés à la section 8.1. Lorsque nous ne pouvons pas prendre des mesures équivalentes à celles de l'APP-8, nous demandons votre consentement spécifique avant tout transfert.

Avant de formuler des demandes officielles, vous pouvez gérer vous-même une grande partie de vos informations personnelles directement dans les paramètres de votre compte, notamment :

• Informations du profil — consultez, corrigez et mettez à jour votre nom, vos coordonnées, votre localisation, votre langue et votre fuseau horaire.
• Visibilité et partage — choisissez ce qui est visible sur votre profil public ou votre page communautaire, et quels champs sont partagés avec les fournisseurs lorsque vous vérifiez une recommandation.
• Préférences de notification — choisissez si vous souhaitez recevoir des e-mails, des SMS, des notifications push ou des alertes dans l'application, pour quelles catégories de messages (service, activité de parrainage, marketing) et à quelle fréquence.
• Préférences marketing — Vous pouvez vous abonner ou vous désabonner des communications marketing à tout moment. Ces communications sont distinctes des communications de service, qui sont nécessaires au fonctionnement de votre compte.
• Paramètres d'examen (Fournisseurs) — contrôlez si les associés individuels sont examinables et à quel niveau de détail.
• Fournisseurs connectés (Clients) — voyez à quels fournisseurs vous êtes connecté et déconnectez-vous à tout moment.
• Fermeture du compte et suppression des données — initiez la suppression de votre compte et des informations personnelles associées depuis vos paramètres.

Lorsque vous modifiez un paramètre, la modification est prise en compte immédiatement et constitue le moyen le plus rapide de modifier la façon dont vos informations sont traitées. L'utilisation des commandes intégrées au compte équivaut, dans la plupart des cas, à une demande formelle de droits conformément à la présente section. Vous pouvez toujours soumettre une demande formelle (section 11.11) si un paramètre ne répond pas à vos besoins.

Vous pouvez demander une copie des renseignements personnels que nous détenons à votre sujet.

Vous pouvez nous demander de corriger les informations inexactes, obsolètes, incomplètes, non pertinentes ou trompeuses. La plupart des champs peuvent être modifiés directement dans les paramètres de votre compte.

Vous pouvez nous demander de supprimer vos données personnelles. Nous procéderons à leur suppression, sauf si la loi nous y oblige ou nous y autorise (voir section 10). Vous pouvez effectuer cette démarche directement dans les paramètres de votre compte ou en envoyant un courriel à privacy@reco.tips. Nous vérifierons votre identité avant de donner suite à votre demande et vous confirmerons la suppression sous 30 jours.

Vous pouvez vous désinscrire des communications marketing à tout moment en cliquant sur le lien de désabonnement figurant dans chaque e-mail marketing, ou en mettant à jour vos préférences dans les paramètres de votre compte.

Lorsque nous nous fondons sur nos intérêts légitimes, vous pouvez vous opposer au traitement de vos données. Sous certaines conditions, vous pouvez nous demander d'en limiter le traitement.

Lorsque nous nous appuyons sur votre consentement ou sur un contrat et traitons vos données par des moyens automatisés, vous pouvez demander une copie de vos données dans un format structuré, couramment utilisé et lisible par machine, ou nous demander de les transmettre à un autre responsable du traitement lorsque cela est techniquement possible.

Lorsque nous nous appuyons sur votre consentement, vous pouvez le retirer à tout moment. Ce retrait n'affecte pas la licéité du traitement effectué avant ce retrait.

Conformément à la règle APP 2, lorsque la loi le permet et que cela est possible, vous pouvez interagir avec nous de manière anonyme ou sous pseudonyme. Pour un compte, cela n'est généralement pas possible car la vérification est essentielle au fonctionnement de la plateforme ; nous vous expliquerons les cas où cela s'applique.

Voir la section 7.2. Vous pouvez demander un examen humain d'une décision automatisée importante qui vous concerne.

Vous pouvez porter plainte auprès d’une autorité de surveillance — voir section 18.

Envoyez un courriel à privacy@reco.tips. Veuillez préciser le droit que vous souhaitez exercer et fournir suffisamment d'informations pour vous identifier (généralement l'adresse courriel associée à votre compte). Nous pourrions avoir besoin de vérifier votre identité afin de protéger vos données contre l'usurpation d'identité. Nous répondons aux demandes vérifiées dans un délai de 30 jours (un mois au Royaume-Uni et dans l'EEE). Si ce délai doit être prolongé, jusqu'à trois mois pour les demandes complexes, conformément à la loi, nous vous en informerons. Une demande raisonnable est gratuite.

Si nous refusons une demande, nous vous en indiquerons les raisons et vous expliquerons vos autres droits.

Lorsqu'un fournisseur télécharge, importe ou introduit de quelque manière que ce soit des informations sur ses propres clients sur la plateforme (par exemple, une liste de contacts utilisée pour inviter des clients existants à rejoindre le programme de parrainage du fournisseur), le fournisseur est le responsable du traitement de ces informations et Reco est le sous-traitant.

L'article 18 des conditions d'utilisation énonce les garanties du fournisseur, notamment que celui-ci dispose d'une base légale pour fournir les données à Reco et a donné tous les avis requis et obtenu tous les consentements requis en vertu de la loi applicable en matière de protection de la vie privée dans la juridiction du fournisseur.

Lorsque la législation applicable en matière de protection des données l'exige (notamment le RGPD et le RGPD britannique), l'avenant relatif au traitement des données (« ATD ») de Reco s'applique entre le fournisseur et Reco. L'ATD en vigueur est publié sur la plateforme et fait partie intégrante des conditions d'utilisation lorsqu'un fournisseur télécharge des données personnelles. L'ATD stipule :

• l’objet et la durée du traitement ;
• catégories de personnes concernées et de données personnelles ;
• conditions du sous-traitant ;
• mécanismes de transfert international (y compris les clauses contractuelles types lorsque cela est nécessaire) ;
• mesures de sécurité (art. 32 RGPD) ;
• notification de violation ;
• droits d'audit et d'assistance; et
• Retour/suppression des données à la fin du contrat.

Les fournisseurs doivent maintenir leur propre politique de confidentialité régissant la collecte et l'utilisation des données clients, y compris via la plateforme Reco. La politique de Reco ne remplace pas les obligations des fournisseurs.

Une page communautaire est une page publique présentant une entreprise recommandée par un client. Elle peut exister même si l'entreprise n'est pas inscrite sur Reco. Voir la section 27 de nos Conditions générales d'utilisation.

Pour une entreprise non membre, une page communautaire peut contenir :

• le nom de l'entreprise, son lieu d'activité (au niveau de la banlieue/ville) et ses coordonnées publiques ;
• une description et une catégorie ;
• avis et évaluations soumis par les clients ;
• le fait que l'entreprise ait été recommandée, et le nombre total de recommandations.

Lorsqu'une entreprise non membre est une entreprise individuelle ou lorsque sa dénomination sociale inclut le nom d'une personne physique, sa page communautaire peut contenir des informations personnelles. Ces informations sont traitées conformément à la présente politique et à la législation applicable en matière de protection des données.

Tu peux:

• Revendiquez la page en créant un compte fournisseur vérifié, après quoi vous en prendrez le contrôle.
• Corrigez les inexactitudes factuelles via complaints@reco.tips ou le processus de réclamation de la plateforme.
• Supprimez la page en soumettant une demande vérifiée. À réception, nous l'examinerons dans un délai de 14 jours et supprimerons la page, sauf si sa conservation est requise pour des raisons légales, d'intérêt public ou de défense statutaire, et même dans ce cas, uniquement dans la mesure minimale nécessaire.
• Opposition à des avis ou contenus particuliers, que nous traiterons conformément à la clause 9 des Conditions d'utilisation et à la section 18 de la présente Politique.

Nous n'utiliserons pas les informations de la page Communauté pour faire des déclarations commerciales à vos concurrents directs sans votre consentement (par exemple, nous ne dirons pas à un concurrent que votre entreprise a fait l'objet d'un avis négatif).

Lorsqu'une violation de données est susceptible d'entraîner un préjudice grave pour les personnes concernées et atteint le seuil d'une « violation de données admissible » en vertu de la partie IIIC de la loi sur la protection de la vie privée, nous en informerons le Bureau du commissaire australien à l'information et les personnes concernées dès que possible, conformément au dispositif.

Lorsque le RGPD ou le RGPD britannique s'applique, nous informerons l'autorité de contrôle compétente dans les 72 heures suivant la découverte d'une violation de données personnelles, le cas échéant, et les personnes concernées sans délai indu lorsque la violation est susceptible d'entraîner un risque élevé pour leurs droits et libertés.

Si vous constatez une suspicion de violation de données affectant la Plateforme (par exemple, un Compte compromis, une exposition de données de Référent ou un e-mail semblant provenir de Reco auquel vous ne vous attendiez pas), vous devez nous en informer dans les 24 heures à privacy@reco.tips et à complaints@reco.tips.

Si vous pensez que nous avons mal géré vos données personnelles, veuillez nous contacter à l'adresse privacy@reco.tips (ou complaints@reco.tips pour les demandes de retrait de contenu). Nous accuserons réception de votre demande dans un délai de 3 jours ouvrables et vous répondrons de manière détaillée dans un délai de 30 jours.

Vous avez également le droit de porter plainte auprès d'une autorité de protection des données. Selon votre lieu de résidence, il peut s'agir de :

• Australie — Bureau du commissaire australien à l'information (OAIC), à oaic.gov.au.
• Questions du secteur public de Nouvelle-Galles du Sud — Commission de l'information et de la protection de la vie privée de Nouvelle-Galles du Sud (IPC), sur ipc.nsw.gov.au.
• Espace économique européen — l’autorité de surveillance de l’État membre de l’UE où vous vivez, travaillez ou où l’infraction présumée a eu lieu.
• Royaume-Uni — Bureau du commissaire à l'information (ICO), sur ico.org.uk.
• Autres juridictions — votre autorité locale de protection de la vie privée ou des données.

Vous n'êtes pas obligé de vous adresser d'abord à nous avant de saisir un organisme de réglementation, mais nous apprécions l'opportunité de traiter directement vos préoccupations.