Protection des Données à Caractère Personnel

Le Groupe La Banque Postale place la protection de vos données à caractère personnel au cœur de ses préoccupations. Découvrez ici la politique de protection des données à caractère personnel de La Banque Postale.

Juillet 2024

Le Groupe La Banque Postale place la protection de vos données à caractère personnel au cœur de ses préoccupations. Découvrez ci-après la politique de protection des données à caractère personnel du Groupe La Banque Postale. 

Préambule

Le Groupe La Banque Postale, fort de ses valeurs de proximité, de confiance et de modernité au service de tous, place la protection des données à caractère personnel (ci-après « données personnelles ») au cœur de ses préoccupations. Cette attention vis-à-vis de vos données personnelles contribue, comme celle portée à la responsabilité sociale d’entreprise ou celle liée à la sécurité de ses systèmes d’information, à sa démarche de banque et assurance citoyenne.

La présente Politique de Protection des Données à Caractère Personnel (ci-après « la Politique ») s’applique à toutes les données personnelles traitées par les entités du Groupe La Banque Postale, c’est-à-dire par La Banque Postale SA et les entités qu’elle contrôle au sens du code du commerce (ci-après le « Groupe ») qui ne disposent pas de leur propre politique en la matière et qui agissent en qualité de responsables de traitement. Elle concerne les personnes physiques qui agissent en tant que particuliers d’une part (prospects, clients, membres de la famille des clients ou toute personne partageant leurs vies lorsque cela est nécessaire, héritiers et ayants droits des clients, déclarants d’une succession, garants, créanciers, propriétaires, bénéficiaires d’un contrat, utilisateurs du site internet, …) ou en qualité de professionnels d’autre part (entrepreneurs individuels ou auto-entrepreneurs, représentants légaux ou toutes personnes habilitées à agir au nom d’une personne morale qui est soit cliente, partenaire, fournisseur ou prestataire ainsi enfin que les personnes physiques dirigeants, garants ou actionnaires). 

Le Groupe s’engage à respecter la réglementation en vigueur en matière de traitement de données personnelles et notamment le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « RGPD ») ainsi que toute réglementation nationale applicable (ci-après « la Réglementation »). 

La présente Politique illustre l’attachement que le Groupe porte au respect des libertés et droits fondamentaux, à la vie privée et à la protection des données personnelles. Le Groupe s’assure que vos données personnelles sont traitées de manière loyale et licite, et en toute transparence.

Les entités du Groupe rendent, le cas échéant, la Politique accessible sur leur site internet. Celle-ci est actualisée régulièrement et le respect de ses dispositions est contrôlé. Des mentions d’information relatives à la protection des données personnelles, spécifiques aux différents produits et/ou services proposés par le Groupe, peuvent préciser et compléter la Politique lorsque cela est nécessaire et cela sur les divers supports de collecte utilisés.

Vous êtes informés de la mise en œuvre d’un traitement de vos données personnelles et de ce qui le justifie, de l’identité du responsable de traitement, des finalités poursuivies par ce dernier, des destinataires des informations, des mesures prises pour assurer la sécurité des données personnelles, des droits dont vous disposez et de la manière de les exercer, ainsi que de l’existence éventuelle de transferts de vos données. 

1 - Quelles données personnelles sont traitées par le Groupe La Banque Postale?

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Le Groupe respecte le principe de minimisation des données à savoir que seules sont traitées les données personnelles adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la réalisation de la finalité pour lequel elles ont été collectées. Dans cette démarche, le Groupe s’attache également à maintenir vos données personnelles exactes et à jour.

Les entités du Groupe traitent principalement des données personnelles qu’elles collectent directement auprès de vous, telles que :

  • Données d’identification et coordonnées de contact : nom, prénom(s), genre, date et lieu de naissance, adresse postale, adresse de messagerie électronique, numéros de téléphone, images (vidéo, photo), informations présentes sur vos justificatifs d’identité, etc.
  • Données de vie personnelle : statut marital, régime matrimonial, nombre d’enfants, les moments importants de votre vie (installation, mariage, divorce, naissance, décès d’un proche), etc.
  • Données de vie scolaire et professionnelle : employeur, fonction, niveau d’études, rémunération, etc.
  • Données de connexion liées à l’utilisation de nos services en ligne : logs, cookies, données de navigation sur les sites internet et les applications mobiles du Groupe.  Vous pouvez consulter notre politique de cookies sur le site pour avoir plus d’informations sur la façon dont nous utilisons les cookies.
  • Données collectées dans le cadre de vos interactions avec les entités du Groupe : vos commentaires, suggestions, besoins collectés lors de nos échanges avec vous en physique, en ligne ou lors de communications téléphoniques (conversation), votre voix et votre image lors de visioconférences, discussion par courrier électronique, chat, chatbot, échanges sur nos pages sur les réseaux sociaux, vos réclamations et plaintes etc.
  • Données du système de vidéoprotection/vidéosurveillance.

Le Groupe peut être amené à collecter des données sensibles, notamment des données de santé ou biométriques et des données relatives aux infractions pénales dans le respect des conditions strictement définies par la réglementation en matière de protection des données personnelles.

Une entité du Groupe peut créer de nouvelles données personnelles à partir de celles fournies par le client ou issues de l’utilisation des produits et services de l’entité. C’est le cas lorsque La Banque Postale, par exemple, détermine un score d’octroi de crédit, un risque de fraude ou toute autre évaluation, obligatoire ou pas, comme une segmentation de clientèle pour personnaliser les offres.
Les entités du Groupe peuvent également, lorsque cela est nécessaire être amenées à collecter de manière indirecte des données personnelles auprès de :

  • tiers (sous-traitants, partenaires commerciaux, autres entités du Groupe La Banque Postale  et avec votre accord d’autres entités du Groupe La Poste, clients, autres établissements de crédit, prestataires de services d’initiation de paiement ou d’information sur les comptes, ...),
  • sources accessibles au public (données issues de publications/bases de données rendues accessibles par les autorités officielles, données issues de sites internet/réseaux sociaux contenant des informations rendues publiques par la personne elle-même...) ou
  • d’administrations et autorités publiques (La Banque de France, l’Administration fiscale, l’INSEE...). Il s’agit notamment de données issues du Fichier National des Incidents de Remboursement des Crédits aux Particuliers ou du Fichier Central des Chèques, de données issues du Répertoire National d’Identification des Personnes Physiques et enfin de données issues du répertoire de la Direction Générale des Finances Publiques.

2 - Pourquoi et sur quelle base juridique le Groupe La Banque Postale traite-t-il vos données personnelles ?

Le Groupe s’engage à traiter les données personnelles qu’il collecte ou détient sur vous, pour des finalités déterminées, explicites et légitimes, et à ne pas les traiter ultérieurement d’une manière incompatible avec ces finalités. La finalité d’un traitement correspond à l’objectif poursuivi par celui qui l’a décidé et qui le met en œuvre et qui en est, à ce titre, responsable.

Base juridique des Traitements

Chaque traitement effectué par les entités du Groupe, en tant que Responsables du Traitement, repose sur l’un des fondements juridiques prévus par la réglementation en vigueur, à savoir :
 

  • Le recueil du consentement de la personne concernée pour une ou plusieurs finalités spécifiques,
  • L’exécution d’un contrat auquel la personne concernée est partie, ou l’exécution de mesures précontractuelles prises à la demande de celle-ci,
  • Le respect d’obligations légales et réglementaires auxquelles l’entité du Groupe est soumise,
  • La sauvegarde des intérêts vitaux de la personne concernée, ou d’une autre personne physique,
  • L’exécution d’une mission d’intérêt public,
  • Les intérêts légitimes poursuivis par l’entité du Groupe dans le cadre du respect des intérêts, libertés et droits fondamentaux de la personne concernée.

 

Les Finalités des Traitements

Les entités du Groupe La Banque Postale traitent vos données personnelles principalement pour les finalités suivantes et sur la base de fondements juridiques présentés ci-après. Certains traitements spécifiques ou qui concernent un nombre limité de personnes ne sont pas mentionnés ci-après ; ils font l’objet d’une information particulière aux personnes concernées par le biais de moyens de communication appropriés.

Sur la base du respect d’obligations légales et réglementaires auxquelles les entités du Groupe sont soumises, notamment les réglementations bancaires et financières, afin de s’y conformer :

  • l’identification des personnes et la mise à jour de la connaissance client (« KYC » pour « Know Your Customer »),
  • l’accomplissement du devoir de conseil, au titre de la directive sur la distribution d’assurance notamment,
  • la gestion du surendettement,
  • l’exécution des obligations de consultation et de déclaration ( inscription/et ou désinscription) vis-à-vis du Fichier Central des Chèques (FCC), du Fichier central des retraits de cartes bancaires, du Fichier National des Chèques Irréguliers (FNCI), du Fichier National des Incidents de Crédit (FICP) tenus par la Banque de France et du Fichier des Comptes Bancaires (FICOBA) tenu par la DGFiP,
  • les opérations de comptabilité,
  • la gestion de la fiscalité du client, la recherche des indices d’américanité (législation «FATCA»), la détermination des résidences fiscales pour l’accomplissement des obligations déclaratives,
  • les obligations dans le cadre de la lutte contre la fraude fiscale,
  • l’identification et le traitement des comptes en déshérence, la recherche d’éventuels titulaires décédés de comptes et coffres-forts inactifs (loi Eckert),
  • l’identification et le traitement des clients en situation de fragilité financière , en vue de leur appliquer un plafonnement de frais spécifique et leur proposer l’offre réglementaire dédiée, ainsi que des clients vulnérables au titre des obligations légales,
  • la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT),
  • la gestion des sanctions internationales, embargos et gels des avoirs,
  • la prévention et la gestion des abus de marchés et délits d’initiés,
  • l’application de mesures de vigilance particulières à l’égard des Personnes Politiquement Exposées (PPE) au sens du code monétaire et financier,
  • la gestion du risque (calcul des indicateurs et score des risques, élaboration des modèles, reporting et déclarations réglementaires),
  • les opérations de contrôle interne,
  • L’enregistrement des conversations téléphoniques ou des communications électroniques à des fins de preuve dans le cadre du respect des obligations relatives aux marchés financiers, 
  • la détection et la prévention de la corruption et du trafic d’influence (loi « Sapin 2 »),
  • la prise en charge de la sécurité de l’exécution des services de paiement, notamment la détection et la prévention de la fraude par l’authentification du donneur d’ordre dans le cadre de la Directive sur les Services de Paiement,
  • la communication aux prestataires de services de paiement qui agissent à la demande du client, des informations sur ses comptes, transactions et leurs bénéficiaires ou émetteurs respectifs,
  • la gestion des demandes d’exercice de droits  dans le cadre de la réglementation relative à la protection des données à caractère personnel,
  • le traitement des flux de mobilité bancaire, entrants et sortants, dans le cadre de la loi « Macron »,
  • le traitement des opérations « juridiques » : les procédures civiles d’exécution (recouvrement forcé de créances), les réquisitions judiciaires, les saisies pénales, les droits de communication et les procédures de paiement direct (pension alimentaire).

Sur la base de l’exécution d’un contrat auquel vous êtes partie ou de l’exécution de mesures précontractuelles prises à votre demande, les entités du Groupe effectuent des traitements de vos données personnelles pour notamment :

  • la fourniture d’informations précontractuelles et contractuelles relatives aux produits et services du Groupe,
  • l’offre et la fourniture de produits et services sollicités par vous, conformément au contrat conclu, qu’il s’agisse de comptes bancaires, de produits d’épargne, de crédits ou de valeurs mobilières et de distribution d’assurances (assurance vie et assurance non vie), relatifs aux :
    • comptes bancaires et comptes de paiement : la souscription et l’ouverture du compte en ce compris la fabrication et la mise à disposition des moyens de paiement, le traitement des opérations sur le compte et de la tarification, la gestion des changements de situation du client impactant le compte,
    • produits d’épargne : la gestion des règles applicables aux produits d’épargne réglementée et la collecte des documents justificatifs, le traitement des opérations, la tenue de compte et la production des arrêtés,
    • crédits :  la réalisation de simulations, la gestion des règles applicables aux prêts réglementés et collecte des documents justificatifs nécessaires, l’octroi du crédit, gestion du remboursement du crédit, gestion des sûretés réelles et personnelles,
    • valeurs mobilières : la gestion des règles applicables aux produits concernés, le traitement des ordres de Bourse et des opérations, la tenue du compte-titres, la production des relevés de frais annuels, la conservation des titres et leur transfert, la signature et l’exécution du mandat de gestion le cas échéant,
  •  l’offre et la gestion de services de banque en ligne et d’applications mobiles,
  • l’envoi et la réception d’argent de manière fiable et sécurisée via EPI (« European Payments Initiative »),
  • la réponse aux demandes des clients et l’assistance dans les démarches dans le cadre des opérations bancaires (support à la banque en ligne notamment),
  • le recouvrement des créances,
  • le règlement de la succession du client et la gestion des relations avec ses héritiers.

Sur la base de l’intérêt légitime des entités du Groupe, ces dernières effectuent des traitements de données personnelles telles que :

  • la lutte contre la fraude, afin de prévenir, détecter et gérer les fraudes au moyen de la surveillance des transactions et de l’établissement de listes comportant les personnes auteurs d’actes qualifiés de tentatives de fraudes ou de fraudes avérées,
  • la prospection commerciale par voie postale ou appel téléphonique de la part de La Banque Postale, pour son compte ou pour le compte de ses filiales et partenaires pour les particuliers,
  • la prospection commerciale par tous moyens pour les personnes morales,
  • la réalisation d’opérations de parrainage, entraînant l’utilisation des données de la personne parrainée et celle du client parrain pour identifier le parrainage et les avantages associés,
  • la réalisation de jeux concours, de loteries ou d’opérations promotionnelles,
  • le pilotage commercial du portefeuille de clients par leurs conseillers,
  • L’enregistrement des conversations téléphoniques à des fins d’évaluation et de formation du personnel d’une part et d’amélioration de la qualité de service d’autre part, avec information de la personne concernée au début de l’appel,
  • le pilotage des activités marketing et l’élaboration de nouvelles offres, via notamment le développement de modèles permettant de déterminer les produits et services susceptibles de répondre le mieux possible aux besoins actuels et futurs des clients,
  • la proposition d’offres et de services personnalisés, susceptibles de correspondre aux attentes particulières du client, en s’appuyant sur un exercice de segmentation marketing ainsi que sur l’analyse de son utilisation des différents produits et services souscrits par lui auprès des entités du Groupe,
  • le traitement des réclamations,
  • la gestion des recours en justice et des litiges,
  • la conservation de la preuve d’opérations ou de transactions y compris sous format électronique, notamment les conversations téléphoniques, lorsque cela est nécessaire,
  • la réalisation de cessions de créances ou d’opérations de titrisation,
  • l’évaluation de  la satisfaction du client au regard des produits et services offerts par le Groupe, via la réalisation d’enquêtes de satisfaction ou de sondages notamment,
  • l’amélioration des processus opérationnels via l’automatisation et la digitalisation des services rendus, au travers notamment de la création de chatbots et de callbots,
  • la transmission des données de contact  des clients à des filiales de La Banque Postale, à des fins de prospection commerciale, par elles-mêmes auprès desdits clients, par courrier ou par appel téléphonique,
  • le contrôle de gestion,
  • la gestion de la sécurité des systèmes d’information en ce compris l’amélioration de la cybersécurité, la gestion des plateformes et sites Internet et la poursuite de la continuité des activités,
  • la sécurité des personnes et des biens et la prévention des risques, en ce compris la mise en place de dispositifs de télésurveillance ou de vidéoprotection dans les locaux des entités du Groupe et auprès des automates bancaires et distributeurs automatiques de billets en vue d’assurer la sécurité des personnes et des biens, et la protection des clients et des collaborateurs étant précisé que lorsque de tels dispositifs sont mis en œuvre, une information spécifique est affichée sur place,
  • l’identification des produits et services susceptibles d’être proposés pour répondre au mieux aux besoins, pour créer de nouvelles offres ou identifier de nouvelles tendances chez les clients, pour développer la politique commerciale en tenant compte des préférences des clients (notamment adapter la distribution, le contenu et les tarifs des  produits et services sur la base du profil des  clients),
  • l’élaboration de modèles permettant la constitution de ciblage clients, en vue d’actions commerciales menées par les entités du Groupe,
  • le partage des données personnelles avec les entités du Groupe
    • en tant que groupe intégré de banque-assurance en collaboration avec les différentes entités d’assurance à des fins de réalisation d’études statistiques, développement de  modèles à des fins commerciales, l’amélioration de la fiabilité de certaines données des clients détenues, la personnalisation du  contenu et des prix des produits et services, la facilitation de la conclusion et l’exécution d’un contrat souscrit auprès d’une entité du Groupe La Banque Postale en transmettant les données déjà détenues afin de simplifier les démarches des clients.
    • à des fins de lutte contre la fraude et de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT). 

Sur la base du consentement : 
Les entités du Groupe peuvent, après autorisation de la personne concernée sollicitée au moment de la collecte de ses données ou au moment de la mise en œuvre du traitement, effectuer des traitements de vos données personnelles pour vous fournir certains services, tels que :

  • pour l’accompagnement spécifique, par La Banque, des clients rencontrant des difficultés financières ( « Service l’Appui »),
  • pour utiliser les données de navigation (cookies) afin d’enrichir la connaissance du profil client et réaliser des offres personnalisées (pour plus de renseignements, vous pouvez  lire la politique de cookies sur le site),
  • pour de la prospection commerciale par voie électronique (mail, SMS ou automate d’appel) de La Banque Postale, pour son compte ou pour le compte de ses filiales et de ses partenaires,
  • pour la transmission des  données de contact du client à des filiales de La Banque Postale, à des fins de prospection commerciale auprès de ce dernier par elles-mêmes, par voie électronique (mail, SMS ou automate d’appel).

Sur la base de la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, lorsqu’un client a utilisé son compte pour l’achat d’un produit ou d’un service présentant une menace pour la sécurité des personnes (rappel de produits défectueux, crise sanitaire, etc.), afin de pouvoir identifier et contacter cette personne, ceci dans la limite des données strictement nécessaires à cette fin.

3 - Le Groupe La Banque Postale met-il en œuvre des traitements de profilage ?

Les entités du Groupe mettent en œuvre des traitements de profilage, c’est-à-dire des traitements consistant à utiliser les données personnelles pour évaluer certains aspects personnels des personnes physiques, analyser ou prédire leurs intérêts, leurs comportements ou d’autres attributs. Les profilages réalisés sont de deux ordres :

  • des profilages qui ne produisent pas d’effets juridiques pour la personne ou ne l’affectent pas de manière significative de façon similaire, comme par exemple une segmentation marketing visant à analyser certaines données personnelles pour être à même de proposer des produits ou des services susceptibles de correspondre aux besoins, aux attentes et à la situation des clients   ou encore l’élaboration de modèles permettant d’améliorer et d’automatiser les processus internes des entités du Groupe afin de renforcer l’efficacité de leur action ou pour mieux répondre à leurs obligations relatives à la gestion et au pilotage des risques de conformité.
  • des profilages susceptibles de produire des effets juridiques à l’égard de la personne comme par exemple le calcul d’un score d’octroi de crédit du candidat à l’emprunt. Dans ce cas, les résultats de l’utilisation de ces techniques ne sont qu’une aide à la décision pour l’entité concernée, qui prévoit une intervention humaine dans le processus de décision. Le client a par ailleurs le droit de présenter ses observations ou d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la décision.

4 - A qui le Groupe La Banque Postale communique vos données personnelles ?

Les données personnelles sont susceptibles d’être communiquées notamment aux destinataires suivants, dans le cadre des finalités énoncées ci-dessus :

  • aux entités du Groupe La Banque Postale et plus largement, aux entités du Groupe La Poste qui pourraient avoir à en connaitre,
  • aux sous-traitants, qui réalisent des prestations pour le compte du Groupe, comme la fabrication de chéquiers ou la gestion des cartes bancaires ou des services informatiques ou de communications,
  • aux partenaires des entités du Groupe, pour permettre aux personnes de bénéficier des avantages du partenariat noué,
  • à partenaires bancaires, des agents indépendants, des intermédiaires en opérations de banque, des institutions financières, des contreparties avec qui les entités au Groupe ont des liens si un tel transfert est nécessaire pour vous fournir des services ou des produits ou pour satisfaire à leurs obligations contractuelles ou mener à bien des transactions (par exemple des banques, des banques correspondantes, des dépositaires, des émetteurs de titres, des agents payeurs, des plates-formes d’échange, des compagnies d’assurances, des opérateurs de système de paiement, des émetteurs ou des intermédiaires de cartes de paiement, les sociétés de caution mutuelle ou organismes de garantie financière),
  • à des autorités administratives, financières, fiscales et judiciaires, françaises ou étrangères (dont celles de Monaco), légalement habilitées, pour l’accomplissement de leurs missions et plus largement, tous tiers autorisés,
  • à certaines professions réglementées (commissaires aux comptes, experts comptables…), des régulateurs, la Banque de France, la Caisse des Dépôts et Consignations, pour satisfaire aux obligations légales ou réglementaires auxquelles le Groupe est soumis, comme la fourniture de rapports réglementaires,
  • aux auxiliaires de justice, avocats et officiers ministériels, notamment pour le recouvrement des créances et la défense des intérêts des entités du Groupe.
  • aux entreprises tierces avec lesquelles une entité du Groupe conclut des contrats de cession de créances ou des opérations de titrisation,
  • aux prestataires de services de paiement tiers (informations concernant vos comptes bancaires), pour les besoins de la fourniture d’un service d’initiation de paiement ou d’information sur les comptes, si le client a consenti au transfert de ses données à cette tierce partie,
  • aux bénéficiaires de virements de fonds et les prestataires de services de paiement à des fins de LCB-FT conformément aux dispositions du Règlement (UE) 2015/847 du 20 mai 2015,
  • aux organismes caritatifs auxquels vous avez choisi de faire un don,
  • à tout destinataire qui solliciterait les données strictement nécessaires pour identifier une personne et la contacter lorsqu’elle a utilisé son compte pour l’achat d’un produit ou d’un service présentant une menace pour la sécurité des personnes (rappel de produits défectueux, crise sanitaire, etc.), afin de pouvoir identifier et contacter cette personne.

5 - Vos données personnelles peuvent-elles être transférées en dehors de l’Union Européenne ?

Vos données personnelles peuvent, à l’occasion de certaines opérations, faire l’objet d’un transfert vers des prestataires -ou « sous-traitants » au sens du RGPD - établis dans un pays situé hors de l’Union Européenne. Ces prestataires exécutent des tâches opérationnelles pour le compte des entités du Groupe La Banque Postale en lien avec les finalités de traitement telles que décrites ci-dessus. Dans certains cas, ces prestataires peuvent être situés dans des pays ne faisant pas l’objet d’une décision d’adéquation rendue par la Commission européenne. 
Les transferts vers ces sous-traitants sont encadrés par la conclusion de Clauses Contractuelles Types (CCT) reconnues par la Commission européenne ou par le recours à un sous-traitant ayant adopté des règles contraignantes reconnues par les autorités de contrôles européennes. Afin d’obtenir une copie des mesures mises en place ou savoir où elles sont disponibles, le client peut adresser une demande écrite au Délégué à la Protection des Données de La Banque Postale, par courrier à l’adresse indiquée plus bas.

À l’occasion de diverses opérations de paiement (virement, transfert d’argent, ...) des données personnelles du client peuvent être transférées vers des pays hors de l’Union européenne, pour permettre le dénouement de l’opération (prestataire de paiement du bénéficiaire du paiement) ou à des fins de LCB-FT conformément au Règlement (UE) 2015/847 du 20 mai 2015.

6 - Combien de temps le Groupe La Banque Postale conserve vos données personnelles ?

La durée de conservation de vos données personnelles est déterminée en fonction des produits et services souscrits. Le Groupe s’engage à ne pas conserver vos données personnelles au-delà de la durée nécessaire à la fourniture de ces produits ou services conformément à votre contrat.

La durée de conservation des données personnelles varie en fonction de leur nature et de la finalité poursuivie par l’entité du Groupe concernée. Lorsqu’une donnée personnelle est collectée pour plusieurs finalités, elle est conservée jusqu’à l’épuisement du délai de conservation le plus long.

Les principales durées de conservation des données personnelles par le Groupe sont indiquées ci-dessous.

Pour la gestion du client et des produits et des services offerts par les entités du Groupe :

  • souscription et ouverture du compte, gestion, respect des obligations légales et réglementaires liées à la gestion du compte : 5 ans à compter de la fin de la relation contractuelle,
  • mise en place d’un crédit (analyse préalable, décision d’octroi), sa gestion dans le temps, ainsi que la mise en place des assurances associées : 5 ans au-delà de la durée du crédit ou 12 mois à compter de la notification du refus de la banque ou de la date d’abandon de la démarche par le candidat emprunteur,
  • gestion de la communication et des informations délivrées au client au titre des produits et services souscrits : 5 ans à compter de la fin de la relation commerciale avec le client.
  • traitement des incidents liés aux opérations sur le compte : 5 ans à compter de l’incident,
  • Pour la prospection et l’animation commerciale : gestion de la relation avec le client, pilotage des activités marketing, élaboration de nouvelles offres, proposition d’offres et de services personnalisés : 3 ans à compter de la fin de la relation ou du dernier contact, pour les prospects.
  • Pour l’évaluation et la gestion du risque, la sécurité et la prévention des impayés et de la fraude : déclarations auprès de tiers habilités, réalisation du modèle de cotation, gestion de la conformité et du risque, prévention, détection et gestion de la fraude, sécurité des personnes et des biens : les durées légales de prescription applicables. A titre d’exemple, au titre de la lutte contre la fraude, les données personnelles pourront être conservées pour une durée maximum de 5 ans à compter de la clôture du dossier de fraude avérée.
  • Pour le respect des obligations légales et réglementaires : les durées légales de prescription applicables. Le délai de conservation légal en matière de LCB-FT est de 5 ans à compter de la cessation de la relation d’affaire ou de l’exécution de l’opération, suivant la nature des données (art. L.561-12 du CMF). Dans le cadre du contrôle des opérations et transactions afin d’identifier celles qui sont anormales ou inhabituelles, le délai de conservation est de 5 ans à compter de l’opération ou de la transaction. Pour l’enregistrement des communications conformément à la règlementation sur les marchés financiers, le délai de conservation est de 5 ans à compter de l’enregistrement, pouvant être porté à 7 ans suivant les demandes du régulateur.
  • Les données nécessaires à la gestion d’un recours en justice sont conservées jusqu’au terme de la procédure. Elles sont ensuite archivées suivant les durées légales de prescription. Les données sont conservées 10 ans après la dernière décision en justice pour les litiges avec les clients de la banque.
  • Les enregistrements des images de vidéosurveillance/vidéoprotection sont conservés 30 jours.
  • Les informations de nature comptable sont conservées 10 ans.

Au terme de ces délais le Groupe procède à leur destruction conformément à sa politique interne ou les rend anonymes, pour les utiliser à des fins statistiques. 

7 - Comment le Groupe La Banque Postale sécurise vos données personnelles ?

Conformément à la réglementation en vigueur, le Groupe s’engage à mettre en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir à vos données personnelles un niveau de sécurité adapté et proportionné au risque. Ces mesures (ex : cloisonnement, anonymisation, chiffrement, restriction d’accès…) visent à garantir la confidentialité, l’intégrité, la disponibilité et la résilience de vos données personnelles.

Le Groupe s’engage à mettre en place toutes les mesures nécessaires pour rétablir la disponibilité et vous permettre l’accès à vos données personnelles dans des délais appropriés en cas d’incident physique ou technique. Pour ce faire, le Groupe effectue régulièrement des évaluations de ses niveaux de sécurité. Ces évaluations prennent en compte les risques de destruction, perte, altération, accès et divulgation non autorisée à vos données personnelles.

Le Groupe impose à chacun des destinataires de vos données personnelles de respecter les garanties de sécurité et de confidentialité adaptées.

Le Groupe, en tant que responsable du traitement, notifie les violations de données personnelles à l’autorité de contrôle compétente, à savoir la Commission Nationale de l’Informatique et des Libertés (CNIL), dans les meilleurs délais et, dans la mesure du possible soixante-douze (72) heures après avoir pris connaissance de toute violation de données personnelles susceptible d’engendrer un risque pour vos droits et libertés.
Toute violation de vos données personnelles susceptible d’engendrer un risque élevé pour vos droits et libertés vous sera notifiée dans les meilleurs délais conformément à la réglementation en vigueur.

8 - Quels sont vos droits ?

Lorsque le Groupe collecte vos données personnelles, vous recevez, par le biais des mentions d’information, une information claire et transparente sur les traitements effectués ainsi que sur les modalités d’exercice de vos droits. Selon la Réglementation, vous avez la faculté d’exercer vos droits auprès des entités du Groupe qui traitent vos données.

Ces droits sont :

  • Droit d’accès : il vous est possible de demander à l’entité si elle détient des données personnelles sur vous, celle-ci vous les communiquera dans un format compréhensible ou sous une forme conforme à votre demande dans les limites des moyens techniques disponibles, le cas échéant.
  • Droit de rectification : vous avez le droit de rectifier, compléter, mettre à jour, effacer les données incomplètes, inexactes ou obsolètes.
  • Droit d’opposition : vous pouvez vous opposer à tout moment à ce que l’entité utilise certaines de vos données en indiquant des raisons tenant à votre situation particulière, sauf en cas de prospection commerciale, à laquelle vous pouvez vous opposer sans motif. L’entité ne traitera plus vos données personnelles sauf à ce qu’il existe des motifs légitimes et impérieux de les traiter ou que celles-ci sont nécessaires à la constatation, l’exercice ou la défense de droits en justice. L’entité continuera également d’utiliser vos données personnelles lorsque la loi l’y oblige ou si elle doit le faire pour exécuter une obligation contractuelle.
  • Droit à l’effacement : vous pouvez demander l’effacement de vos données personnelles, sous réserve du respect d’une obligation légale pour l’entité qui traite vos données.
  • Droit à la limitation : vous pouvez demander la suspension du traitement de vos données personnelles, notamment si vous contestez l’exactitude des données utilisées ou si vous vous opposez à ce que vos données soient traitées.
  • Droit à la portabilité : vous pouvez demander à l’entité du Groupe de récupérer les données personnelles que vous lui avez fournies, si elles ont été nécessaires à un contrat ou au traitement auquel vous avez consenti, ceci afin d’en disposer ou pour les transmettre à un tiers.
  • Faculté d’organiser le sort de vos données personnelles après la mort : vous pouvez nous donner des directives relatives à la conservation, à l’effacement et à la communication de vos données après la mort.
  • Droit au retrait du consentement : vous pouvez retirer votre consentement à tout moment, si celui-ci a été préalablement donné. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait.

Si aucun montant n‘est facturé au titre des demandes de la personne concernée dans le cadre de l’exercice des droits susvisés, le Groupe se réserve le droit de facturer la personne en cas de demandes manifestement infondées ou excessives notamment en raison de leur caractère répétitif. En cas de demande manifestement infondée ou excessive, le Groupe pourra refuser de donner suite à la demande.

Pour tout exercice de droit auprès de La Banque Postale, veuillez-vous adresser par courrier à l’adresse postale suivante :

La Banque Postale
Service DPO - CP 524 
115, rue de Sèvres
75275 Paris Cedex 06

ou bien à l’adresse électronique suivante :
dpo.exercicesdedroits@labanquepostale.fr. 

Toute demande doit indiquer votre nom, votre prénom, l’adresse à laquelle vous souhaitez recevoir la réponse et doit être accompagnée d’une copie recto verso de votre pièce d’identité lorsque cela est nécessaire.

Pour tout exercice de droits auprès d’une autre entité du Groupe La Banque Postale, veuillez envoyer vos demandes selon les modalités qui vous ont été communiquées lors de votre entrée en relation avec celle-ci, par le biais des mentions d’information.

Le Groupe s’engage à répondre à vos demandes d’exercice de droits dans les meilleurs délais et en tout état de cause dans le respect des délais légaux.

Vous avez enfin le droit d’introduire une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL), en vous adressant à l’adresse suivante :

CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris - cedex 07

Le client peut s’inscrire gratuitement sur la liste d’opposition au démarchage téléphonique BLOCTEL sur le site internet www.bloctel.gouv.fr. Tout consommateur inscrit sur cette liste ne pourra pas être démarché téléphoniquement par un professionnel, sauf lorsqu'il s'agit de sollicitations intervenant dans le cadre de l'exécution d'un contrat en cours et ayant un rapport avec l'objet de ce contrat, y compris lorsqu'il s'agit de proposer au consommateur des produits ou des services afférents ou complémentaires à l'objet du contrat en cours ou de nature à améliorer ses performances ou sa qualité. Dans ce cas, le Groupe peut utiliser les coordonnées téléphoniques que le client a communiquées pour lui proposer les produits et services du Groupe, sous réserve de l’exercice de son droit d’opposition.

9 - Comment contacter le Délégué à la Protection des Données du Groupe La Banque Postale ?

Le Groupe La Poste a désigné auprès de la CNIL un Délégué à la Protection des Données ou « Data Protection Officer » (DPO). Compte tenu du volume des traitements des données personnelles effectués par le Groupe La Banque Postale et de la nécessité de disposer d’un responsable local pour garantir la bonne application de la réglementation, le Groupe La Banque Postale a nommé un DPO délégué.

Le Délégué à la Protection des Données du Groupe La Poste et le DPO Délégué du Groupe La Banque Postale veillent au respect de la réglementation relative à la protection des données personnelles. 

Pour plus d’information vous pouvez contacter le Délégué à la Protection des Données à l’adresse suivante :

La Banque Postale
Délégué à la Protection des Données
CP 524
115, rue de Sèvres
75275 Paris Cedex 06

ANNEXE : Définitions

  • « Données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité;
  • « Traitement », toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;
  • « Responsable du traitement », la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;
  • « Sous-traitant », la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
  • « Destinataire », la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.