Protection des Données à Caractère Personnel

Une donnée personnelle est toute information (ex. un nom de famille, une photo d’identité, une adresse, une signature manuscrite…) se rapportant à une personne physique identifiée, c’est-à-dire que son identité est connue ou bien identifiable, c’est-à-dire que son identité pourra être connue et ceci directement (ex. sur une image vidéo) ou bien indirectement (ex. via un numéro de téléphone ou une adresse IP).

Le Groupe La Banque Postale traite principalement des données personnelles ayant trait à l’identité, la situation personnelle, professionnelle et financière des personnes concernées mais aussi des données de connexion, des données liées aux produits souscrits et aux opérations bancaires réalisées.

Vous nous communiquez généralement ces données vous-même, lorsque vous entrez relation avec un établissement au sein du Groupe La Banque Postale (La Banque Postale, La Banque Postale Consumer Finance, …) et que vous souhaitez ouvrir un compte ou que vous sollicitez un crédit par exemple. Ces données peuvent également nous être transmises par des partenaires (ex. un indicateur d’affaires que vous avez approché pour la recherche d’un crédit) ou par des tiers (ex. La Banque de France, la Direction Générale des Finances Publiques, …).

Le Groupe respecte le principe de minimisation des données, à savoir que seules sont traitées les données personnelles adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la réalisation de la finalité pour lequel elles ont été collectées. Dans cette démarche, le Groupe s’attache également à maintenir vos données personnelles exactes et à jour.

Les entités du Groupe traitent principalement des données personnelles qu’elles collectent directement auprès de vous, telles que :

• Données d’identification et coordonnées de contact : nom, prénom(s), genre, date et lieu de naissance, adresse postale, adresse de messagerie électronique, numéros de téléphone, images (vidéo, photo), informations présentes sur vos justificatifs d’identité, etc.
• Données de vie personnelle : statut marital, régime matrimonial, nombre d’enfants, les moments importants de votre vie (installation, mariage, divorce, naissance, décès d’un proche), etc.
• Données de vie scolaire et professionnelle : employeur, fonction, niveau d’études, etc.
• Données de situation économique et financière : revenus, situation financière et fiscale, montants des actifs, etc.
• Données de connexion liées à l’utilisation de nos services en ligne : adresse IP, logs, cookies, données de navigation sur les sites internet et les applications mobiles du Groupe. Vous pouvez consulter notre politique de cookies sur le site de La Banque Postale et de l’application mobile La Banque Postale pour avoir plus d’informations sur la façon dont nous utilisons les cookies.
• Données liées aux caractéristiques techniques de votre téléphone mobile : données physiques (taille d’écran, état de la batterie…) et des données logicielles (version du système du téléphone, version de l’application…).Données collectées dans le cadre de vos interactions avec les entités du Groupe : vos commentaires, suggestions, besoins collectés lors de nos échanges avec vous en physique, en ligne ou lors de communications téléphoniques (conversation), votre voix et votre image lors de visioconférences, discussion par courrier électronique, chat, chatbot, échanges sur nos pages sur les réseaux sociaux, vos réclamations et plaintes etc.
• Données du système de vidéoprotection/vidéosurveillance.

Le Groupe peut être amené à collecter des données sensibles, notamment des données de santé ou biométriques et des données relatives aux infractions pénales dans le respect des conditions strictement définies par la réglementation en matière de protection des données personnelles.

Une entité du Groupe peut créer de nouvelles données personnelles à partir de celles fournies par le client ou issues de l’utilisation des produits et services de l’entité. C’est le cas lorsque La Banque Postale, par exemple, détermine un score d’octroi de crédit, un risque de fraude ou toute autre évaluation, obligatoire ou pas, comme une segmentation de clientèle pour personnaliser les offres.

Les entités du Groupe peuvent également, lorsque cela est nécessaire être amenées à collecter de manière indirecte des données personnelles auprès de :

• tiers (sous-traitants, partenaires commerciaux, autres entités du Groupe La Banque Postale et avec votre accord d’autres entités du Groupe La Poste, clients, autres établissements de crédit, prestataires de services d’initiation de paiement ou d’information sur les comptes, ...)
• sources accessibles au public (données issues de publications/bases de données rendues accessibles par les autorités officielles, données issues de sites internet/réseaux sociaux contenant des informations rendues publiques par la personne elle-même...) ou
• d’administrations et autorités publiques (La Banque de France, l’Administration fiscale, l’INSEE...). Il s’agit notamment de données issues du Fichier National des Incidents de Remboursement des Crédits aux Particuliers ou du Fichier Central des Chèques, de données issues du Répertoire National d’Identification des Personnes Physiques et enfin de données issues du répertoire de la Direction Générale des Finances Publiques.

Le profilage consiste à utiliser les données personnelles d’un individu en vue d’analyser et de prédire son comportement. Un traitement de profilage repose sur l’établissement d’un profil individualisé relatif à une personne et vise à évaluer certains de ses aspects personnels, en vue d’émettre un jugement ou de tirer des conclusions sur elle.

Par principe, vous avez le droit de ne pas faire l’objet d’une décision entièrement automatisée, souvent basée sur votre profilage, et qui a un effet juridique ou vous affecte sensiblement. Quand une telle décision est néanmoins possible au regard de la réglementation, vous avez la possibilité : d’être informé qu’une décision entièrement automatisée a été prise à votre encontre, de demander à connaitre la logique et les critères employés pour prendre cette décision, de contester la décision et d’exprimer votre point de vue et enfin de demander l’intervention d’un être humain pour qu'il puisse réexaminer la décision qui a été prise.

Les entités du Groupe mettent en œuvre des traitements de profilage, c’est-à-dire des traitements consistant à utiliser les données personnelles pour évaluer certains aspects personnels des personnes physiques, analyser ou prédire leurs intérêts, leurs comportements ou d’autres attributs. Les profilages réalisés sont de deux ordres :

• des profilages qui ne produisent pas d’effets juridiques pour la personne ou ne l’affectent pas de manière significative de façon similaire, comme par exemple une segmentation marketing visant à analyser certaines données personnelles pour être à même de proposer des produits ou des services susceptibles de correspondre aux besoins, aux attentes et à la situation des clients ou encore l’élaboration de modèles permettant d’améliorer et d’automatiser les processus internes des entités du Groupe afin de renforcer l’efficacité de leur action ou pour mieux répondre à leurs obligations relatives à la gestion et au pilotage des risques de conformité. 
• des profilages susceptibles de produire des effets juridiques à l’égard de la personne comme par exemple le calcul d’un score d’octroi de crédit du candidat à l’emprunt. Dans ce cas, les résultats de l’utilisation de ces techniques ne sont qu’une aide à la décision pour l’entité concernée, qui prévoit une intervention humaine dans le processus de décision. Le client a par ailleurs le droit de présenter ses observations ou d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la décision.

En leur qualité d’établissements bancaires pour la plupart, les entités du Groupe La Banque Postale sont tenues au secret professionnel et bancaire et ne peuvent communiquer vos données personnelles à des tiers que pour des raisons précises et limitées en nombre, sauf à devoir vous demander votre consentement au préalable pour pouvoir le faire ou bien que ce soit vous-même qui le demandiez. Vos données personnelles peuvent ainsi être communiquées à d’autres entités que celle qui les a collectées au sein du Groupe La Banque Postale ou bien à des tiers extérieurs au Groupe.

En tant qu’établissement bancaire, nous sommes tenus au secret professionnel et ne pouvons partager vos données que dans des conditions strictes ou avec votre consentement.

Vous êtes informé que les données personnelles vous concernant sont susceptibles d’être communiquées aux destinataires suivants, en fonction des finalités poursuivies telles qu’énoncées au chapitre 2 intitulé « Pourquoi et sur quelle base juridique le Groupe La Banque Postale traite-t-il vos données personnelles ? » :

Au sein du Groupe La Banque Postale

• afin que chaque entité du Groupe puisse répondre à ses obligations légales et réglementaires,
• à des fins de lutte contre la fraude et de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT), 
• aux fins de gestion des contrats, de la relation client et de la prévention et gestion des risques liés aux contrats,
• à des fins de prospection et d’animation commerciale, de conclusion de contrats, d’amélioration des services rendus,
• en tant que groupe intégré de banque-assurance en collaboration avec les différentes entités d’assurance à des fins de réalisation d’études statistiques et du pilotage commercial, développement de  modèles à des fins commerciales, amélioration de la satisfaction client et de l’amélioration de la fiabilité de certaines données des clients détenues, la personnalisation du  contenu et des prix des produits et services, la facilitation de la conclusion et l’exécution d’un contrat souscrit auprès d’une entité du Groupe La Banque Postale en transmettant les données déjà détenues afin de simplifier les démarches des clients,
• aux fins d’études statistiques, modèles prédictifs, profilage et segmentation,
• afin de permettre aux entités du Groupe de mutualiser les moyens liés aux opérations visées ci-dessus.

A des destinataires, tiers au Groupe La Banque Postale et des sous-traitants

• aux sous-traitants et prestataires du Groupe, pour les besoins des prestations qui leur sont ou seront confiées par votre établissement bancaire, comme la fabrication de chéquiers ou la gestion des cartes bancaires ou des services informatiques ou de communication, ou encore le recouvrement de créances.
• aux partenaires de votre établissement bancaire pour vous permettre de bénéficier des avantages des accords de partenariat auxquels votre établissement aurait adhéré,
• aux institutions financières et aux contreparties avec lesquelles votre établissement bancaire a des liens si une telle communication est nécessaire pour fournir des services ou des produits ou pour satisfaire à leurs obligations réglementaires ou contractuelles ou exécuter des transactions (par exemple : d’autres banques ou des banques correspondantes),
• à des autorités de contrôle, de la Banque de France, de l’administration fiscale ou des autorités judiciaires et administratives habilitées pour l’accomplissement de leurs missions,
• aux auxiliaires de justice, avocats et officiers ministériels, notamment pour le recouvrement des créances et la défense des intérêts des entités du Groupe,
• aux entreprises tierces avec lesquelles une entité du Groupe conclut des contrats de cession de créances ou des opérations de titrisation,
• aux prestataires de services de paiement tiers (informations concernant vos comptes bancaires), pour les besoins de la fourniture d’un service d’initiation de paiement ou d’information sur les comptes, si vous avez consenti au transfert de ses données à cette tierce partie,
• aux bénéficiaires de virements de fonds et les prestataires de services de paiement,
• à tout destinataire qui solliciterait les données strictement nécessaires pour identifier une personne et la contacter lorsqu’elle a utilisé son compte pour l’achat d’un produit ou d’un service présentant une menace pour la sécurité des personnes (rappel de produits défectueux, crise sanitaire, etc.), afin de pouvoir identifier et contacter cette personne.

Les données personnelles ne peuvent pas être conservées indéfiniment. Une fois que les raisons pour lesquelles elles étaient utilisées ont disparu, elles doivent être supprimées ou rendues anonymes, ce qui a pour conséquence que ce ne sont plus alors des données personnelles. Elles sont conservées durant tout le temps nécessaire à l’exécution du contrat par le Groupe La Banque Postale et jusqu’à la fin des durées fixées par les lois ou les règlements applicables.

Le Groupe s’engage à ne pas conserver vos données personnelles au-delà de la durée nécessaire à la fourniture de ces produits ou services conformément à votre contrat.

La durée de conservation des données personnelles varie en fonction de leur nature et de la finalité poursuivie par l’entité du Groupe concernée. Lorsqu’une donnée personnelle est collectée pour plusieurs finalités, elle est conservée jusqu’à l’épuisement du délai de conservation le plus long.

Les principales durées de conservation des données personnelles par le Groupe sont indiquées ci-dessous.

Les durées de conservation des données issues des cookies sont précisées dans la politique cookie de La Banque Postale ou de l’Application mobile de La Banque Postale.

Pour la gestion du client et des produits et des services offerts par les entités du Groupe :

• souscription et ouverture du compte, gestion, respect des obligations légales et réglementaires liées à la gestion du compte : 5 ans à compter de la fin de la relation contractuelle,
• mise en place d’un crédit (analyse préalable, décision d’octroi), sa gestion dans le temps, ainsi que la mise en place des assurances associées : 5 ans au-delà de la durée du crédit ou 6 mois à compter de la notification du refus de la banque ou de la date d’abandon de la démarche par le candidat emprunteur,
• gestion de la communication et des informations délivrées au client au titre des produits et services souscrits : 5 ans à compter de la fin de la relation commerciale avec le client.
• traitement des incidents liés aux opérations sur le compte : 5 ans à compter de l’incident,

Pour la prospection et l’animation commerciale : gestion de la relation avec le client, pilotage des activités marketing, élaboration de nouvelles offres, proposition d’offres et de services personnalisés : 3 ans à compter de la fin de la relation ou du dernier contact, pour les prospects.

Pour l’évaluation et la gestion du risque, la sécurité et la prévention des impayés et de la fraude : déclarations auprès de tiers habilités, réalisation du modèle de cotation, gestion de la conformité et du risque, prévention, détection et gestion de la fraude, sécurité des personnes et des biens : les durées légales de prescription applicables. A titre d’exemple, au titre de la lutte contre la fraude, les données personnelles pourront être conservées pour une durée maximum de 5 ans à compter de la clôture du dossier de fraude avérée.

Pour le respect des obligations légales et réglementaires : les durées légales de prescription applicables. Le délai de conservation légal en matière de LCB-FT est de 5 ans à compter de la cessation de la relation d’affaire ou de l’exécution de l’opération, suivant la nature des données (art. L.561-12 du Code monétaire et financier). Dans le cadre du contrôle des opérations et transactions afin d’identifier celles qui sont anormales ou inhabituelles, le délai de conservation est de 5 ans à compter de l’opération ou de la transaction. Pour l’enregistrement des communications conformément à la règlementation sur les marchés financiers, le délai de conservation est de 5 ans à compter de l’enregistrement, pouvant être porté à 7 ans suivant les demandes du régulateur.

• Les données nécessaires à la gestion d’un recours en justice sont conservées jusqu’au terme de la procédure. Elles sont ensuite archivées suivant les durées légales de prescription. Les données sont conservées 10 ans après la dernière décision en justice pour les litiges avec les clients de la banque.
• Les enregistrements des images de vidéosurveillance/vidéoprotection sont conservés 30 jours.
• Les informations de nature comptable sont conservées 10 ans.

Au terme de ces délais le Groupe procède à leur destruction conformément à sa politique interne ou les rend anonymes, pour les utiliser à des fins statistiques.

Le Groupe La Banque Postale est responsable de la sécurité de vos données personnelles. 

En tenant compte de la nature de vos données personnelles, c’est-à-dire suivant leur caractère plus ou moins sensible et en fonction des risques que le traitement présente pour vous, le Groupe La Banque Postale met en place des mesures dites « techniques et organisationnelles » dans la réglementation pour assurer la sécurité de vos données, et, notamment, éviter qu’elles ne soient modifiées, perdues, ou que des tiers non autorisés y accèdent ou en fasse un mauvais usage.

Conformément à la réglementation en vigueur, le Groupe s’engage à mettre en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir à vos données personnelles un niveau de sécurité adapté et proportionné au risque. Ces mesures (ex : cloisonnement, anonymisation, chiffrement, restriction d’accès…) visent à garantir la confidentialité, l’intégrité, la disponibilité et la résilience de vos données personnelles.

Le Groupe s’engage à mettre en place toutes les mesures nécessaires pour rétablir la disponibilité et vous permettre l’accès à vos données personnelles dans des délais appropriés en cas d’incident physique ou technique. Pour ce faire, le Groupe effectue régulièrement des évaluations de ses niveaux de sécurité. Ces évaluations prennent en compte les risques de destruction, perte, altération, accès et divulgation non autorisée à vos données personnelles.

Le Groupe impose à chacun des destinataires de vos données personnelles de respecter les garanties de sécurité et de confidentialité adaptées.

Le Groupe, en tant que responsable du traitement, notifie les violations de données personnelles à l’autorité de contrôle compétente, à savoir la Commission Nationale de l’Informatique et des Libertés (CNIL), dans les meilleurs délais et, dans la mesure du possible soixante-douze (72) heures après avoir pris connaissance de toute violation de données personnelles susceptible d’engendrer un risque pour vos droits et libertés. 
Toute violation de vos données personnelles susceptible d’engendrer un risque élevé pour vos droits et libertés vous sera notifiée dans les meilleurs délais conformément à la réglementation en vigueur.

Toute demande doit indiquer votre nom, votre prénom, l’adresse à laquelle vous souhaitez recevoir la réponse. Une copie recto verso de votre pièce d’identité pourra vous être demandée s’il subsiste un doute raisonnable sur votre identité.

Par ailleurs, pour les particuliers, vous pouvez également transmettre vos demandes via la messagerie sécurisée de votre espace client « banque en ligne ».

Pour tout exercice de droits auprès d’une autre entité du Groupe La Banque Postale, veuillez envoyer vos demandes selon les modalités qui vous ont été communiquées lors de votre entrée en relation avec celle-ci, par le biais des mentions d’information. Le Groupe s’engage à répondre à vos demandes d’exercice de droits dans les meilleurs délais et en tout état de cause dans le respect des délais légaux.

Vous avez enfin le droit d’introduire une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL), en vous adressant à l’adresse suivante : CNIL, 3 Place de Fontenoy, TSA 80715 - 75334 Paris - cedex 07.

Le client peut s’inscrire gratuitement sur la liste d’opposition au démarchage téléphonique BLOCTEL sur le site internet www.bloctel.gouv.fr. Tout consommateur inscrit sur cette liste ne pourra pas être démarché téléphoniquement par un professionnel, sauf lorsqu'il s'agit de sollicitations intervenant dans le cadre de l'exécution d'un contrat en cours et ayant un rapport avec l'objet de ce contrat, y compris lorsqu'il s'agit de proposer au consommateur des produits ou des services afférents ou complémentaires à l'objet du contrat en cours ou de nature à améliorer ses performances ou sa qualité. Dans ce cas, le Groupe peut utiliser les coordonnées téléphoniques que le client a communiquées pour lui proposer les produits et services du Groupe, sous réserve de l’exercice de son droit d’opposition.

Les permissions d’accès sont des dispositifs mis en œuvre par votre mobile pour vous permettre de choisir les fonctionnalités accessibles aux applications mobiles pour des raisons de sécurité et de protection de la vie privée. 

Vous trouvez ci-dessous la liste des principales fonctionnalités associées aux permissions d’accès présentes dans l’application mobile La Banque Postale :

• Appareil photo de votre mobile :  pour permettre le scan d’un document (RIB, pièces justificatives…).

• Photos & médias de votre mobile : pour permettre le téléchargement d’un RIB, la transmission de pièces d'identités justificatives, l’ajout d’un bénéficiaire.

• Push Notification : pour permettre la réception de notification sur votre mobile lorsqu’un évènement nécessite une attention particulière (validation d’opération, information sur le solde du compte…)

• Biométrie : accès au(x) dispositif(s) d'identification biométrique fourni(s) par votre mobile pour permettre de vous connecter et/ou accéder à certaines fonctionnalités de l’application mobile. NB : La Banque Postale ne collecte pas la donnée biométrique en tant que telle qui reste uniquement stockée au niveau de votre mobile.

Ces permissions ne sont pas obligatoires pour l’usage de l’application mobile La Banque Postale mais leur refus pourra vous empêcher d’utiliser certaines fonctionnalités ou d’avoir un usage optimal de l’application. Elles vous seront proposées de manière contextualisée au moment où elles seront nécessaires à l’usage d’une fonctionnalité. Vous pouvez à tout moment désactiver les différentes permissions dans les paramétrages de votre téléphone mobile.

L’accès à certaines informations liées à votre téléphone mobile (données techniques liées au type de votre téléphone ou version de l’application utilisée par exemple) peut être nécessaire pour i) mettre en œuvre les fonctionnalités attendues de l’application mobile, ii) analyser le fonctionnement de l’application, ou encore iii) assurer votre sécurité.