Juillet 2024
Le Groupe La Banque Postale place la protection de vos données à caractère personnel au cœur de ses préoccupations. Découvrez ci-après la politique de protection des données à caractère personnel du Groupe La Banque Postale.
Juillet 2024
Le Groupe La Banque Postale place la protection de vos données à caractère personnel au cœur de ses préoccupations. Découvrez ci-après la politique de protection des données à caractère personnel du Groupe La Banque Postale.
Le Groupe La Banque Postale, fort de ses valeurs de proximité, de confiance et de modernité au service de tous, place la protection des données à caractère personnel (ci-après « données personnelles ») au cœur de ses préoccupations. Cette attention vis-à-vis de vos données personnelles contribue, comme celle portée à la responsabilité sociale d’entreprise ou celle liée à la sécurité de ses systèmes d’information, à sa démarche de banque et assurance citoyenne.
La présente Politique de Protection des Données à Caractère Personnel (ci-après « la Politique ») s’applique à toutes les données personnelles traitées par les entités du Groupe La Banque Postale, c’est-à-dire par La Banque Postale SA et les entités qu’elle contrôle au sens du code du commerce (ci-après le « Groupe ») qui ne disposent pas de leur propre politique en la matière et qui agissent en qualité de responsables de traitement. Elle concerne les personnes physiques qui agissent en tant que particuliers d’une part (prospects, clients, membres de la famille des clients ou toute personne partageant leurs vies lorsque cela est nécessaire, héritiers et ayants droits des clients, déclarants d’une succession, garants, créanciers, propriétaires, bénéficiaires d’un contrat, utilisateurs du site internet, …) ou en qualité de professionnels d’autre part (entrepreneurs individuels ou auto-entrepreneurs, représentants légaux ou toutes personnes habilitées à agir au nom d’une personne morale qui est soit cliente, partenaire, fournisseur ou prestataire ainsi enfin que les personnes physiques dirigeants, garants ou actionnaires).
Le Groupe s’engage à respecter la réglementation en vigueur en matière de traitement de données personnelles et notamment le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « RGPD ») ainsi que toute réglementation nationale applicable (ci-après « la Réglementation »).
La présente Politique illustre l’attachement que le Groupe porte au respect des libertés et droits fondamentaux, à la vie privée et à la protection des données personnelles. Le Groupe s’assure que vos données personnelles sont traitées de manière loyale et licite, et en toute transparence.
Les entités du Groupe rendent, le cas échéant, la Politique accessible sur leur site internet. Celle-ci est actualisée régulièrement et le respect de ses dispositions est contrôlé. Des mentions d’information relatives à la protection des données personnelles, spécifiques aux différents produits et/ou services proposés par le Groupe, peuvent préciser et compléter la Politique lorsque cela est nécessaire et cela sur les divers supports de collecte utilisés.
Vous êtes informés de la mise en œuvre d’un traitement de vos données personnelles et de ce qui le justifie, de l’identité du responsable de traitement, des finalités poursuivies par ce dernier, des destinataires des informations, des mesures prises pour assurer la sécurité des données personnelles, des droits dont vous disposez et de la manière de les exercer, ainsi que de l’existence éventuelle de transferts de vos données.
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Le Groupe respecte le principe de minimisation des données à savoir que seules sont traitées les données personnelles adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la réalisation de la finalité pour lequel elles ont été collectées. Dans cette démarche, le Groupe s’attache également à maintenir vos données personnelles exactes et à jour.
Les entités du Groupe traitent principalement des données personnelles qu’elles collectent directement auprès de vous, telles que :
Le Groupe peut être amené à collecter des données sensibles, notamment des données de santé ou biométriques et des données relatives aux infractions pénales dans le respect des conditions strictement définies par la réglementation en matière de protection des données personnelles.
Une entité du Groupe peut créer de nouvelles données personnelles à partir de celles fournies par le client ou issues de l’utilisation des produits et services de l’entité. C’est le cas lorsque La Banque Postale, par exemple, détermine un score d’octroi de crédit, un risque de fraude ou toute autre évaluation, obligatoire ou pas, comme une segmentation de clientèle pour personnaliser les offres.
Les entités du Groupe peuvent également, lorsque cela est nécessaire être amenées à collecter de manière indirecte des données personnelles auprès de :
Le Groupe s’engage à traiter les données personnelles qu’il collecte ou détient sur vous, pour des finalités déterminées, explicites et légitimes, et à ne pas les traiter ultérieurement d’une manière incompatible avec ces finalités. La finalité d’un traitement correspond à l’objectif poursuivi par celui qui l’a décidé et qui le met en œuvre et qui en est, à ce titre, responsable.
Base juridique des Traitements
Chaque traitement effectué par les entités du Groupe, en tant que Responsables du Traitement, repose sur l’un des fondements juridiques prévus par la réglementation en vigueur, à savoir :
Les Finalités des Traitements
Les entités du Groupe La Banque Postale traitent vos données personnelles principalement pour les finalités suivantes et sur la base de fondements juridiques présentés ci-après. Certains traitements spécifiques ou qui concernent un nombre limité de personnes ne sont pas mentionnés ci-après ; ils font l’objet d’une information particulière aux personnes concernées par le biais de moyens de communication appropriés.
Sur la base du respect d’obligations légales et réglementaires auxquelles les entités du Groupe sont soumises, notamment les réglementations bancaires et financières, afin de s’y conformer :
Sur la base de l’exécution d’un contrat auquel vous êtes partie ou de l’exécution de mesures précontractuelles prises à votre demande, les entités du Groupe effectuent des traitements de vos données personnelles pour notamment :
Sur la base de l’intérêt légitime des entités du Groupe, ces dernières effectuent des traitements de données personnelles telles que :
Sur la base du consentement :
Les entités du Groupe peuvent, après autorisation de la personne concernée sollicitée au moment de la collecte de ses données ou au moment de la mise en œuvre du traitement, effectuer des traitements de vos données personnelles pour vous fournir certains services, tels que :
Sur la base de la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, lorsqu’un client a utilisé son compte pour l’achat d’un produit ou d’un service présentant une menace pour la sécurité des personnes (rappel de produits défectueux, crise sanitaire, etc.), afin de pouvoir identifier et contacter cette personne, ceci dans la limite des données strictement nécessaires à cette fin.
Les entités du Groupe mettent en œuvre des traitements de profilage, c’est-à-dire des traitements consistant à utiliser les données personnelles pour évaluer certains aspects personnels des personnes physiques, analyser ou prédire leurs intérêts, leurs comportements ou d’autres attributs. Les profilages réalisés sont de deux ordres :
Les données personnelles sont susceptibles d’être communiquées notamment aux destinataires suivants, dans le cadre des finalités énoncées ci-dessus :
Vos données personnelles peuvent, à l’occasion de certaines opérations, faire l’objet d’un transfert vers des prestataires -ou « sous-traitants » au sens du RGPD - établis dans un pays situé hors de l’Union Européenne. Ces prestataires exécutent des tâches opérationnelles pour le compte des entités du Groupe La Banque Postale en lien avec les finalités de traitement telles que décrites ci-dessus. Dans certains cas, ces prestataires peuvent être situés dans des pays ne faisant pas l’objet d’une décision d’adéquation rendue par la Commission européenne.
Les transferts vers ces sous-traitants sont encadrés par la conclusion de Clauses Contractuelles Types (CCT) reconnues par la Commission européenne ou par le recours à un sous-traitant ayant adopté des règles contraignantes reconnues par les autorités de contrôles européennes. Afin d’obtenir une copie des mesures mises en place ou savoir où elles sont disponibles, le client peut adresser une demande écrite au Délégué à la Protection des Données de La Banque Postale, par courrier à l’adresse indiquée plus bas.
À l’occasion de diverses opérations de paiement (virement, transfert d’argent, ...) des données personnelles du client peuvent être transférées vers des pays hors de l’Union européenne, pour permettre le dénouement de l’opération (prestataire de paiement du bénéficiaire du paiement) ou à des fins de LCB-FT conformément au Règlement (UE) 2015/847 du 20 mai 2015.
La durée de conservation de vos données personnelles est déterminée en fonction des produits et services souscrits. Le Groupe s’engage à ne pas conserver vos données personnelles au-delà de la durée nécessaire à la fourniture de ces produits ou services conformément à votre contrat.
La durée de conservation des données personnelles varie en fonction de leur nature et de la finalité poursuivie par l’entité du Groupe concernée. Lorsqu’une donnée personnelle est collectée pour plusieurs finalités, elle est conservée jusqu’à l’épuisement du délai de conservation le plus long.
Les principales durées de conservation des données personnelles par le Groupe sont indiquées ci-dessous.
Pour la gestion du client et des produits et des services offerts par les entités du Groupe :
Au terme de ces délais le Groupe procède à leur destruction conformément à sa politique interne ou les rend anonymes, pour les utiliser à des fins statistiques.
Conformément à la réglementation en vigueur, le Groupe s’engage à mettre en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir à vos données personnelles un niveau de sécurité adapté et proportionné au risque. Ces mesures (ex : cloisonnement, anonymisation, chiffrement, restriction d’accès…) visent à garantir la confidentialité, l’intégrité, la disponibilité et la résilience de vos données personnelles.
Le Groupe s’engage à mettre en place toutes les mesures nécessaires pour rétablir la disponibilité et vous permettre l’accès à vos données personnelles dans des délais appropriés en cas d’incident physique ou technique. Pour ce faire, le Groupe effectue régulièrement des évaluations de ses niveaux de sécurité. Ces évaluations prennent en compte les risques de destruction, perte, altération, accès et divulgation non autorisée à vos données personnelles.
Le Groupe impose à chacun des destinataires de vos données personnelles de respecter les garanties de sécurité et de confidentialité adaptées.
Le Groupe, en tant que responsable du traitement, notifie les violations de données personnelles à l’autorité de contrôle compétente, à savoir la Commission Nationale de l’Informatique et des Libertés (CNIL), dans les meilleurs délais et, dans la mesure du possible soixante-douze (72) heures après avoir pris connaissance de toute violation de données personnelles susceptible d’engendrer un risque pour vos droits et libertés.
Toute violation de vos données personnelles susceptible d’engendrer un risque élevé pour vos droits et libertés vous sera notifiée dans les meilleurs délais conformément à la réglementation en vigueur.
Lorsque le Groupe collecte vos données personnelles, vous recevez, par le biais des mentions d’information, une information claire et transparente sur les traitements effectués ainsi que sur les modalités d’exercice de vos droits. Selon la Réglementation, vous avez la faculté d’exercer vos droits auprès des entités du Groupe qui traitent vos données.
Ces droits sont :
Si aucun montant n‘est facturé au titre des demandes de la personne concernée dans le cadre de l’exercice des droits susvisés, le Groupe se réserve le droit de facturer la personne en cas de demandes manifestement infondées ou excessives notamment en raison de leur caractère répétitif. En cas de demande manifestement infondée ou excessive, le Groupe pourra refuser de donner suite à la demande.
Pour tout exercice de droit auprès de La Banque Postale, veuillez-vous adresser par courrier à l’adresse postale suivante :
La Banque Postale
Service DPO - CP 524
115, rue de Sèvres
75275 Paris Cedex 06
ou bien à l’adresse électronique suivante :
dpo.exercicesdedroits@labanquepostale.fr.
Toute demande doit indiquer votre nom, votre prénom, l’adresse à laquelle vous souhaitez recevoir la réponse et doit être accompagnée d’une copie recto verso de votre pièce d’identité lorsque cela est nécessaire.
Par ailleurs, pour les particuliers, vous pouvez également transmettre vos demandes via la messagerie sécurisée de votre espace client « banque en ligne ».
Pour tout exercice de droits auprès d’une autre entité du Groupe La Banque Postale, veuillez envoyer vos demandes selon les modalités qui vous ont été communiquées lors de votre entrée en relation avec celle-ci, par le biais des mentions d’information.
Le Groupe s’engage à répondre à vos demandes d’exercice de droits dans les meilleurs délais et en tout état de cause dans le respect des délais légaux.
Vous avez enfin le droit d’introduire une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL), en vous adressant à l’adresse suivante :
CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris - cedex 07
Le client peut s’inscrire gratuitement sur la liste d’opposition au démarchage téléphonique BLOCTEL sur le site internet www.bloctel.gouv.fr. Tout consommateur inscrit sur cette liste ne pourra pas être démarché téléphoniquement par un professionnel, sauf lorsqu'il s'agit de sollicitations intervenant dans le cadre de l'exécution d'un contrat en cours et ayant un rapport avec l'objet de ce contrat, y compris lorsqu'il s'agit de proposer au consommateur des produits ou des services afférents ou complémentaires à l'objet du contrat en cours ou de nature à améliorer ses performances ou sa qualité. Dans ce cas, le Groupe peut utiliser les coordonnées téléphoniques que le client a communiquées pour lui proposer les produits et services du Groupe, sous réserve de l’exercice de son droit d’opposition.
Le Groupe La Poste a désigné auprès de la CNIL un Délégué à la Protection des Données ou « Data Protection Officer » (DPO). Compte tenu du volume des traitements des données personnelles effectués par le Groupe La Banque Postale et de la nécessité de disposer d’un responsable local pour garantir la bonne application de la réglementation, le Groupe La Banque Postale a nommé un DPO délégué.
Le Délégué à la Protection des Données du Groupe La Poste et le DPO Délégué du Groupe La Banque Postale veillent au respect de la réglementation relative à la protection des données personnelles.
Pour plus d’information vous pouvez contacter le Délégué à la Protection des Données à l’adresse suivante :
La Banque Postale
Délégué à la Protection des Données
CP 524
115, rue de Sèvres
75275 Paris Cedex 06