Sur les catégories de données personnelles transférées.
3.1. Sur les catégories de données personnelles transférées sur la base des BCR « responsable de traitement » du groupe Mastercard
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe Mastercard et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :
- Pour les transferts relatifs aux titulaires de cartes :
- état civil/identité/données d'identification ;
- vie personnelle ;
- données de connexion ;
- données de localisation ;
- informations d'ordre économique et financier ;
- données biométriques.
- Pour les transferts relatifs au personnel de Mastercard :
- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- données de localisation ;
- numéro de sécurité sociale (uniquement dans le cadre de la gestion de la paie) ;
- informations d'ordre économique et financier ;
- décès des personnes.
- Pour les transferts relatifs au personnel des institutions financières, marchands, clients et partenaires :
- état civil/identité/données d'identification ;
- vie professionnelle ;
- informations d'ordre économique et financier.
- Pour les transferts relatifs au personnel des fournisseurs :
- état civil/identité/données d'identification ;
- vie professionnelle ;
- informations d'ordre économique et financier.
- Pour les transferts relatifs aux consommateurs et utilisateurs de sites internet (qu'ils soient ou non titulaires de cartes) :
- état civil/identité/données d'identification ;
- vie personnelle ;
- données de connexion ;
- données de localisation ;
- informations d'ordre économique et financier.
Précisions : Mastercard traite et transfère :
- le numéro de sécurité sociale dans le cadre de la centralisation des données relatives aux ressources humaines dans les serveurs des établissements de la maison mère localisés aux Etats-Unis d'Amérique ;
- des données biométriques relatives aux titulaires de cartes dans le cadre de ses services de paiement utilisant la biométrie pour authentifier les utilisateurs et pour fournir une « authentification forte » requise par la directive 2015/2366 concernant les services de paiement dans le marché intérieur (« DSP2 »),
étant précisé que le transfert de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée et le transfert de données relatives aux infractions, condamnations et mesures de sûreté ne peuvent être réalisés que dans la mesure où :
(i) le traitement auquel ce transfert se rattache a préalablement fait l'objet, lorsque cela est requis, d'une autorisation par la Commission nationale de l'informatique et des libertés, et
(ii) ce transfert est réalisé dans le strict respect du cadre défini par ladite autorisation.
3.2. Sur les catégories de données personnelles transférées sur la base des BCR « sous-traitant » du groupe Mastercard
Conformément au champ matériel et à la description des transferts couverts par les BCR « sous-traitant » du groupe Mastercard et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :
- Pour les transferts relatifs aux titulaires de cartes :
- état civil/identité/données d'identification ;
- vie personnelle ;
- données de connexion ;
- données de localisation ;
- informations d'ordre économique et financier ;
- données biométriques.
- Pour les transferts relatifs au personnel des institutions financières, marchands, clients et partenaires :
- état civil/identité/données d'identification ;
- vie professionnelle ;
- informations d'ordre économique et financier.
Précisions : Mastercard traite et transfère des données biométriques relatives aux titulaires de cartes dans le cadre de ses services de paiement utilisant la biométrie pour authentifier les utilisateurs et fournir une « authentification forte » requise par la directive 2015/2366 concernant les services de paiement dans le marché intérieur (« DSP2 »).
étant précisé que le transfert de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée et le transfert de données relatives aux infractions, condamnations et mesures de sûreté ne peuvent être réalisés que dans la mesure où :
(i) le traitement auquel ce transfert se rattache a préalablement fait l'objet, lorsque cela est requis, d'une autorisation par la Commission nationale de l'informatique et des libertés, et
(ii) ce transfert est réalisé dans le strict respect du cadre défini par ladite autorisation.