En cours de chargement

En cours de chargement

Politique de Protection des Données à Caractère Personnel du Groupe La Banque Postale

Septembre 2020

Préambule

Le Groupe La Banque Postale, fort de ses valeurs de proximité, de confiance et de modernité au service de tous, place la protection des données à caractère personnel (ci-après « données personnelles ») au cœur de ses préoccupations. Cette attention vis-à-vis de vos données personnelles contribue, comme notamment celle portée à la responsabilité sociale d’entreprise ou celle liée à la sécurité de ses systèmes d’information, à sa démarche de banque et assurance citoyenne.

La présente Politique de Protection des Données à Caractère Personnel (ci-après « la Politique ») a pour objet de renseigner les personnes dont les entités du Groupe La Banque Postale (ci-après le « Groupe ») traitent leurs données personnelles. Cette politique concerne des personnes physiques (clients, prospects, utilisateurs du site internet) et des personnes morales (entreprises, associations, collectivités publiques…). En effet, des entités du Groupe traitent les données personnelles des personnes physiques mandatées par les clients professionnels (dirigeants, garants, les bénéficiaires effectifs ou toute personne au sein de la société dont les mandataires et signataires autorisés).

Le Groupe s’engage à respecter la réglementation en vigueur en matière de traitement de données personnelles et notamment le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « RGPD ») ainsi que toute réglementation nationale applicable (ci-après « la Réglementation »). 

La présente Politique illustre l’attachement que le Groupe porte au respect des libertés et droits fondamentaux, à la vie privée et à la protection des données personnelles. Le Groupe s’assure que vos données personnelles sont traitées de manière loyale et licite, et en toute transparence.

Chaque entité du Groupe rend la Politique accessible sur son site internet. Celle-ci est actualisée régulièrement et le respect de ses dispositions est contrôlé.

Des mentions d’information relatives à la protection des données personnelles spécifiques aux différents produits et/ou services proposés par le Groupe précisent et complètent la présente Politique, et ce sur les divers supports utilisés. Vous êtes ainsi notamment informés de la mise en œuvre d’un traitement, de l’identité du responsable de traitement, des finalités, des destinataires des informations, des droits dont vous disposez, ainsi que des éventuels transferts de données.

Quelles données personnelles sont traitées par le Groupe La Banque Postale ?

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.

Le Groupe respecte le principe de minimisation des données à savoir que seules sont traitées les données personnelles adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la réalisation de l’objectif pour lequel elles ont été collectées. Dans cette démarche, le Groupe s’attache également à maintenir vos données personnelles exactes et à jour.

Cas de la collecte directe de Données personnelles

Le Groupe traite principalement des données personnelles qu’il collecte directement auprès de vous, telles que :

  • Données d’identification : nom, prénom, date et lieu de naissance, adresse postale, adresse de messagerie électronique, numéros de téléphone, image (vidéo)…
  • Données de vie personnelle : statut marital, régime matrimonial, nombre d’enfants…
  • Données de vie professionnelle : employeur, fonction, rémunération…
  • Données d’ordre économique et financier : historique de transactions, opérations générées sur vos comptes, coordonnées bancaires, numéro de carte bancaire, situation financière et patrimoniale…
  • Données de navigation : données recueillies grâce aux cookies en ligne.
  • Données relatives aux habitudes et préférences des personnes concernées : du fait de l’utilisation des produits et services souscrits ou des interactions avec le Groupe.
  • Données sensibles : données de santé ou données biométriques.

Cas de la collecte indirecte de Données personnelles

Le Groupe peut également être amené à collecter de manière indirecte des données personnelles auprès de tiers (fournisseurs, partenaires...), de sources accessibles au public (données issues de publications/bases de données rendues accessibles par les autorités officielles, données issues de sites internet/réseaux sociaux contenant des informations rendues publiques par la personne elle-même...) ou d’administrations et autorités publiques (La Banque de France, l’Administration fiscale...). Il s’agit notamment de :

  • données issues du Fichier National des Incidents de Remboursement des Crédits aux Particuliers ou du Fichier Central des Chèques,
  • données issues du Répertoire National d’Identification des Personnes Physiques,
  • données issues du répertoire de la Direction Générale des Finances Publiques.

Pourquoi le Groupe La Banque Postale traite-t-il vos données personnelles ?

Le Groupe s’engage à traiter vos données personnelles, pour des finalités déterminées, explicites et légitimes, et à ne pas les traiter ultérieurement d’une manière incompatible avec ces finalités.

Base juridique

Chaque traitement effectué par les entités du Groupe, en tant que Responsables du Traitement repose sur l’un des fondements juridiques prévus par la réglementation en vigueur, à savoir :

  • Le recueil du consentement de la personne concernée pour une ou plusieurs finalités spécifiques,
  • L’exécution d’un contrat auquel la personne concernée est partie, ou l’exécution de mesures précontractuelles prises à la demande de celle-ci,
  • Le respect d’obligations légales et réglementaires auxquelles l’entité du Groupe est soumise,
  • La sauvegarde des intérêts vitaux de la personne concernée, ou d’une autre personne physique,
  • L’exécution d’une mission d’intérêt public,
  • Les intérêts légitimes poursuivis par l’entité du Groupe dans le cadre du respect des intérêts, libertés et droits fondamentaux de la personne concernée.

Finalité

Les entités du Groupe traitent vos données personnelles notamment pour les finalités suivantes et sur la base de fondements juridiques présentés ci-après :

  • Sur la base du consentement :
    Les entités du Groupe effectuent des traitements de vos données personnelles pour vous fournir certains services, tels que :
    • des services d’assurance nécessitant le traitement de vos données de santé,
    • de la prospection commerciale par voie électronique (mail et sms) pour les particuliers.
  • Sur la base de l’exécution d’un contrat auquel vous êtes partie ou l’exécution de mesures précontractuelles à votre demande :
    Le Groupe effectue des traitements de vos données personnelles pour la conclusion et l’exécution de contrats, tels que :
    • la fourniture d’informations précontractuelles relatives aux produits et services du Groupe,
    • la fourniture de produits et services sollicités par vous,
    • la gestion des contrats conclus avec vous.
  • Sur la base du respect d’obligations légales et réglementaires :
    Le Groupe étant composé d’entités aux professions réglementées, il est soumis au respect d’obligations légales et réglementaires spécifiques ayant par exemple pour objet :
    • la lutte contre le blanchiment d’argent et le financement du terrorisme,
    • le respect d’un devoir de conseil, notamment en matière de finance et d’assurance-vie,
    • la communication de données personnelles exigée pour la tenue de fichiers réglementaires (Fichier Central des Chèques, Fichier central des retraits des cartes bancaires, Fichier des Comptes Bancaires, Fichier des Contrats de Capitalisation et d’Assurance Vie…).
  • Sur la base de l’intérêt légitime du Groupe :
    Les entités du Groupe effectuent des traitements de données personnelles sur la base de leur intérêt légitime à assurer leur développement et la sécurité de leurs prestations et services telles que :
    • la lutte contre la fraude,
    • la prospection commerciale par voie postale ou par téléphone, pour les particuliers et pour tout type de prospection pour les personnes morales,
    • la gestion de leurs infrastructures et de la sécurité de leurs systèmes d’information,
    • l’évaluation de votre satisfaction au regard des produits et services offerts par le Groupe.

A qui le Groupe La Banque Postale communique vos données personnelles ?

Les données personnelles sont susceptibles d’être communiquées notamment aux destinataires suivants, dans le cadre des finalités énoncées ci-dessus :

  • aux sociétés du Groupe et à celles du Groupe La Poste,
  • aux sous-traitants, mandataires, courtiers ou autres intermédiaires, partenaires ou prestataires de service qui réalisent des prestations pour le compte du Groupe,
  • aux autorités administrative ou judiciaire habilitées ou plus généralement à tout tiers autorisé (avocats, commissaires aux comptes…), pour satisfaire aux obligations légales ou réglementaires auxquelles le Groupe est soumis.

Vos données personnelles peuvent-elles être transférées en dehors de l’Union Européenne ?

Le Groupe réalise l’ensemble des traitements de vos données personnelles sur le territoire de l’Union européenne (UE).

Toutefois, pour certaines prestations spécifiques, le Groupe peut être amené à avoir recours à des sous-traitants établis hors territoire de l’UE. Dans ce cas, vos données personnelles leur sont communiquées pour les stricts besoins de la réalisation de leurs missions.

En cas de transferts de vos données personnelles vers un pays hors UE, le Groupe s’engage à mettre en place toutes les garanties appropriées disponibles, au regard de la réglementation en vigueur, pour assurer l’encadrement et la sécurité de ces transferts.

Combien de temps le Groupe La Banque Postale conserve vos données personnelles ?

La durée de conservation de vos données personnelles est déterminée en fonction des produits et services souscrits. Le Groupe s’engage à ne pas conserver vos données personnelles au-delà de la durée nécessaire à la fourniture de ces produits ou services conformément à votre contrat.

Certaines de vos données personnelles pourront être conservées pour des durées plus longues en application des dispositions légales ou réglementaires particulières, ou pour répondre à des demandes d’autorités ou de tiers autorisés.

Parmi les délais légaux applicables au Groupe :

  • Au regard de la lutte contre le blanchiment et le financement du terrorisme les délais de conservation des documents et informations relatifs à votre identité sont de cinq (5) ans à compter de la clôture de vos comptes ou de la cessation de nos relations bancaires. Au même motif, les documents et informations relatifs à vos opérations bancaires sont conservés pour une durée de cinq (5) ans à compter de leur exécution.
  • Les délais de conservation pour les documents comptables et pièces justificatives sont de dix (10) ans à compter de vos opérations.
  • Conformément au délai de prescription de droit commun en matière civile et commerciale, les délais de conservation en la matière sont de cinq (5) ans à compter de la clôture de vos comptes.

Ces délais sont susceptibles d’évolutions si les obligations légales et réglementaires l’exigeaient.

Les données personnelles qui du fait de leur usage, pour divers traitements, sont assujetties à plusieurs durées de conservations, sont soumises à la durée de conservation la plus longue.
Sauf cas susmentionnés, la conservation de toute donnée personnelle est limitée par la ou les seules finalités pour lesquelles elle est soumise à un traitement, sauf mention contraire vous en informant.

Au terme de ces délais le Groupe procède à leur destruction conformément à sa politique interne ou les rend anonymes, pour les utiliser à des fins statistiques. 

Comment le Groupe La Banque Postale protège vos données personnelles ?

Conformément à la réglementation en vigueur, le Groupe s’engage à mettre en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir à vos données personnelles un niveau de sécurité adapté et proportionné au risque. Ces mesures (ex : cloisonnement, anonymisation, chiffrement, restriction d’accès…) visent à garantir la confidentialité, l’intégrité, la disponibilité et la résilience de vos données personnelles.
Le Groupe s’engage à mettre en place toutes les mesures nécessaires pour rétablir la disponibilité et vous permettre l’accès à vos données personnelles dans des délais appropriés en cas d’incident physique ou technique. Pour ce faire, le Groupe effectue régulièrement des évaluations de ses niveaux de sécurité. Ces évaluations prennent en compte les risques de destruction, perte, altération, accès et divulgation non autorisée à vos données personnelles.
Le Groupe impose à chacun des destinataires de vos données personnelles de respecter les garanties de sécurité et de confidentialité adaptées.
Le Groupe, en tant que responsable du traitement, notifie les violations de données personnelles à l’autorité de contrôle compétente, à savoir la Commission Nationale de l’Informatique et des Libertés (CNIL), dans les meilleurs délais et, dans la mesure du possible soixante-douze (72) heures après avoir pris connaissance de toute violation de données personnelles susceptible d’engendrer un risque pour vos droits et libertés.
Toute violation de vos données personnelles susceptible d’engendrer un risque élevé pour vos droits et libertés vous sera notifiée dans les meilleurs délais conformément à la réglementation en vigueur.

Quels sont vos droits ?

Lorsque le Groupe collecte vos données personnelles, vous recevez, par le biais des mentions d’information, une information claire et transparente sur les traitements effectués ainsi que sur les modalités d’exercice de vos droits.

Selon la Réglementation, vous avez la faculté d’exercer vos droits auprès des entités du Groupe qui traitent vos données. Ces droits sont :

  • Droit d’accès : il vous est possible de demander au Groupe s’il détient des données personnelles sur vous, celui-ci vous les communiquera dans un format compréhensible, ou sous une forme conforme à votre demande dans les limites des moyens techniques disponibles, le cas échéant.
  • Droit de rectification : vous avez le droit de rectifier, compléter, mettre à jour, effacer les données incomplètes, inexactes ou obsolètes.
  • Droit d’opposition : vous pouvez vous opposer à tout moment à ce que le Groupe utilise certaines de vos données en indiquant des raisons tenant à votre situation particulière, sauf en cas de prospection commerciale, à laquelle vous pouvez vous opposer sans motif.
  • Droit à l’effacement : vous pouvez demander l’effacement de vos données personnelles, sous réserve du respect d’une obligation légale pour l’entité qui traite vos données.
  • Droit à la limitation : vous pouvez demander la suspension du traitement de vos données personnelles, notamment si vous contestez l’exactitude des données utilisées ou si vous vous opposez à ce que vos données soient traitées.
  • Droit à la portabilité : vous pouvez demander au Groupe de récupérer les données personnelles que vous avez fournies, si elles ont été nécessaires à un contrat ou au traitement auquel vous avez consenti, ceci afin d’en disposer ou pour les transmettre à un tiers.
  • Droit au retrait du consentement : vous pouvez retirer votre consentement à tout moment, si celui-ci a été préalablement donné.

Pour tout exercice de droits auprès de La Banque Postale, veuillez-vous adresser à l’adresse suivante :

Service Relations Clients
115, rue de Sèvres
75275 PARIS Cedex 06

Toute demande doit indiquer votre nom, votre prénom, l’adresse à laquelle vous souhaitez recevoir la réponse et doit être accompagnée d’une copie recto verso de votre pièce d’identité.

Par ailleurs, pour les particuliers, vous pouvez également transmettre vos demandes via la messagerie sécurisée de votre espace client « banque en ligne ».

Pour tout exercice de droits auprès d’une autre entité du Groupe La Banque Postale, veuillez envoyer vos demandes selon les modalités qui vous ont été communiquées lors de votre entrée en relation avec celle-ci, par le biais des mentions d’information.

Le Groupe s’engage à répondre à vos demandes d’exercice de droits dans les meilleurs délais et en tout état de cause dans le respect des délais légaux.

Pour toute réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL), veuillez-vous adresser à l’adresse suivante :

CNIL
3 Place de Fontenoy
75007 PARIS

Comment contacter le Délégué à la Protection des Données du Groupe La Banque Postale ?

Le Groupe La Poste a désigné auprès de la CNIL un Délégué à la Protection des Données ou Data Protection Officer (DPO).

Compte tenu du volume des traitements des données personnelles effectués par le Groupe La Banque Postale, et de la nécessité de disposer d’un responsable local pour garantir la bonne application de la réglementation, le Groupe La Banque Postale a nommé un DPO délégué.

Le Délégué à la Protection des Données du Groupe La Poste et le DPO Délégué du Groupe La Banque Postale veillent au respect de la réglementation relative à la protection des données personnelles.

Pour plus d’information vous pouvez contacter le Délégué à la Protection des Données à l’adresse suivante :

La Banque Postale
Délégué à la Protection des Données
115, rue de Sèvres
75275 Paris Cedex 06

ANNEXE : Définitions

  • Donnée à caractère personnel : Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres (tels que nom, prénom, numéro d’identification, e-mail, adresse IP, voix, photographie, données de localisation…).
  • Données concernant la santé : Les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.
  • Responsable de traitement : Personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et moyens du ou des traitements.
  • Traitement : Toute opération ou ensemble d’opérations portant sur des données à caractère personnel, (quel que soit le procédé utilisé (traitements automatisés ou traitements non automatisés de données à caractère personnel), et notamment la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, ainsi que le verrouillage, l’effacement ou la destruction.
  • Violation de données à caractère personnel : Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.