POLITIQUE DE CONFIDENTIALITÉ / PROTECTION DES DONNÉES

POLITIQUE DE CONFIDENTIALITÉ / PROTECTION DES DONNÉES Dernière mise à jour: [27.02.2026] 1. Qui sommes-nous ? Aiffin est une société par actions simplifiée (SAS) immatriculée en France, dont le siège social est situé 10 rue de la Bourse, 75002 Paris, immatriculée au Registre du Commerce et des Sociétés de Paris. Aiffin fournit : • Une solution numérique accessible via www.aiffin.com et des interfaces applicatives associées (la « Plateforme »), permettant aux clients professionnels de solliciter des contrats de location longue durée de véhicules (LLD) et des services associés (les « Services »). • Un site internet informatif présentant nos activités et nos solutions de partenariat. Aux fins de la réglementation applicable en matière de protection des données, notamment le Règlement (UE) 2016/679 (RGPD) et la Loi Informatique et Libertés, Aiffin agit en qualité de responsable du traitement. Vous pouvez contacter notre Délégué à la Protection des Données (DPO) : Email : dpo@aiffin.com Adresse : Aiffin – DPO, 10 rue de la Bourse, 75002 Paris 2. Champ d’application de la présente Politique La présente Politique s’applique à : • Les clients professionnels sollicitant ou bénéficiant de nos services de LLD • Les prospects interagissant avec nous (formulaires de contact, recommandations, partenariats) • Les visiteurs de notre site internet • Les garants ou représentants des clients professionnels Nos services sont strictement réservés aux professionnels. Nous ne ciblons pas les consommateurs. 3. Données à caractère personnel que nous collectons 3.1 Données collectées directement auprès de vous Lorsque vous utilisez notre Plateforme, nous pouvons collecter : Données d’identification Nom, date et lieu de naissance, document d’identité, données de vérification biométrique (Face ID), données d’immatriculation de la société, informations relatives au représentant légal. Données de contact Adresse e-mail, numéro de téléphone, adresse postale. Données professionnelles et relatives à l’entreprise Numéro d’immatriculation de la société (SIREN/SIRET), forme juridique, secteur d’activité, états financiers, factures, détails de sélection du véhicule. Données financières Données de transactions bancaires via open banking (accès en lecture seule), IBAN, historique des transactions, informations de trésorerie, données financières publiques de la société. Données techniques Adresse IP, informations relatives à l’appareil, données de navigation via cookies. Communications Échanges avec nos équipes, communications avec le support client, documents fournis. 3.2 Données collectées via des tiers Nous pouvons collecter des données auprès de : • Prestataires d’open banking opérant sous la réglementation DSP2 • Registres publics (INSEE, Infogreffe, etc.) • Prestataires de services de lutte contre la fraude et le blanchiment (AML) • Partenaires assureurs • Concessionnaires et partenaires de distribution de véhicules Ces données sont utilisées exclusivement afin d’évaluer l’éligibilité, gérer les contrats, se conformer aux obligations légales et améliorer nos modèles de gestion des risques. 4. Finalités et bases légales Nous traitons vos données aux fins suivantes : Finalité Base légale Création et gestion de votre compte Exécution d’un contrat Évaluation de l’éligibilité et scoring de risque (OrbitScore) Exécution et gestion des contrats de LLD Exécution d’un contrat  Contrôles LCB-FT (AML/CFT) Obligation légale Prévention de la fraude et surveillance de la sécurité Obligation légale / Intérêt légitime Support client Exécution d’un contrat Analyse statistique et amélioration des produits Intérêt légitime Communications marketing Consentement ou intérêt légitime Reporting réglementaire Obligation légale Lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment. 5. Prise de décision automatisée Dans le cadre de notre processus d’onboarding et d’évaluation du crédit, Aiffin utilise des systèmes de décision automatisée, y compris notre modèle propriétaire de risque (« OrbitScore »). Ces systèmes évaluent l’éligibilité sur la base de : • Données de l’entreprise (forme juridique, ancienneté, secteur) • Activité financière et schémas transactionnels • Indicateurs de risque et signaux de fraude • Cohérence entre l’activité déclarée et les flux de trésorerie observés • Historique des performances de remboursement Ces décisions peuvent produire des effets juridiques ou des effets significatifs similaires (par exemple, l’approbation ou le refus d’un contrat de LLD). Conformément à l’article 22 du RGPD, vous avez le droit de : • Demander une intervention humaine concernant une décision automatisée • Exprimer votre point de vue • Contester la décision Vous pouvez exercer ces droits en contactant dpo@aiffin.com. 6. Communication des données Vos données peuvent être communiquées à : • Prestataires informatiques et cloud (hébergement, OCR, infrastructure) • Prestataires d’open banking • Partenaires assureurs • Concessionnaires et fournisseurs de véhicules (pour l’exécution du contrat) • Conseillers juridiques, comptables et auditeurs • Structures de Security Trustee (le cas échéant) • Autorités réglementaires (ACPR, TRACFIN, autorités judiciaires) Nous ne vendons jamais vos données personnelles. 7. Sécurité des données Nous mettons en œuvre des mesures techniques et organisationnelles appropriées, notamment : • Stockage chiffré (AES-256 ou équivalent) • Communication sécurisée HTTPS • Mécanismes de contrôle d’accès et d’authentification (y compris 2FA) • Tests d’intrusion réguliers • Ségrégation des environnements • Restrictions d’accès internes fondées sur les rôles L’accès open banking est strictement en lecture seule 8. Transferts internationaux Les données sont principalement traitées au sein de l’Union européenne. Si des données sont transférées en dehors de l’UE, des garanties appropriées sont mises en œuvre conformément au RGPD (Clauses Contractuelles Types ou décisions d’adéquation). 9. Conservation des données Nous conservons les données uniquement pendant la durée nécessaire : • Données contractuelles : durée du contrat + 5 ans • Données comptables et fiscales : 10 ans • Documentation LCB-FT : conformément aux exigences réglementaires applicables • Données marketing : 3 ans à compter du dernier contact • Comptes inactifs : supprimés après 2 ans d’inactivité 10. Vos droits Conformément au RGPD et au droit français, vous disposez des droits suivants : • Accéder à vos données • Rectifier des données inexactes • Demander l’effacement (sous réserve des obligations légales) • Limiter le traitement • Vous opposer au traitement • Portabilité des données • Retirer votre consentement • Définir des directives post-mortem relatives à vos données Vous pouvez exercer vos droits en contactant : dpo@aiffin.com ou par courrier : Aiffin – DPO 10 rue de la Bourse 75002 Paris Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr). 11. Cookies Nous utilisons des cookies et technologies similaires afin de : • Permettre l’authentification • Améliorer l’expérience utilisateur • Produire des statistiques d’utilisation anonymisées • Mesurer la performance Les cookies sont conservés pour une durée maximale de 13 mois. Vous pouvez configurer votre navigateur afin de refuser les cookies à tout moment. 12. Liens hypertextes Notre site internet peut contenir des liens vers des sites tiers. Nous ne sommes pas responsables de leurs pratiques en matière de confidentialité. Nous vous encourageons à consulter leurs politiques avant de fournir des données personnelles. 13. Utilisation des données à des fins d’IA et d’apprentissage automatique Aiffin peut utiliser certaines données collectées dans le cadre de la fourniture de ses Services afin de développer, entraîner, tester et améliorer ses modèles propriétaires d’évaluation des risques, de détection de fraude et de valorisation d’actifs, y compris des systèmes d’intelligence artificielle et d’apprentissage automatique. Ces traitements sont fondés sur l’intérêt légitime d’Aiffin à améliorer la précision, la sécurité et la performance de ses Services. Lorsque cela est possible, les données utilisées pour l’entraînement des modèles sont agrégées ou pseudonymisées. Aucun entraînement automatisé de modèle n’implique la vente de données personnelles à des tiers. Si des partenaires technologiques externes interviennent dans le développement ou l’hébergement de ces modèles, ils agissent strictement en qualité de sous-traitants dans le cadre de contrats écrits de traitement des données conformes à l’article 28 du RGPD et sont soumis à des obligations strictes de confidentialité et de sécurité. En aucun cas les données personnelles ne sont utilisées à des fins d’exploitation commerciale non liées.