Notice d’information sur les traitements des données à caractère personnel
Cette notice d’information a pour objet de vous informer de manière transparente sur les traitements que nous sommes susceptibles de mettre en œuvre tout au long de la relation bancaire, à l’égard de nos clients, prospects ou des personnes physiques intervenant dans le cadre d’une relation avec un client tel qu’un mandataire, un représentant légal, une caution, un contact désigné, un préposé ou un bénéficiaire effectif…
1. Qui recueille vos données à caractère personnel ?
Vous utilisez les services du Crédit Foncier quotidiennement et vous nous connaissez bien. Nous vous accompagnons par l’intermédiaire de nos collaborateurs, des services à distance mis à votre disposition. Pivot de cette relation bancaire, nous sommes chargés de la collecte et du traitement des données à caractère personnel liées à cette relation principale. Nous intervenons à ce titre en qualité de responsable de traitement.
Pour rendre ces services et vous offrir une gamme de produits variés destinés à répondre à vos besoins, nous ne sommes pas seuls. Nous faisons partie d’un groupe plus large de sociétés, le Groupe BPCE, et nouons des partenariats avec des entreprises. Toutes ces sociétés contribuent aux services qui vous sont fournis ou qui sont distribués par notre intermédiaire et veillent au respect des mêmes principes. Pour ce faire, elles sont susceptibles d’avoir communication de vos données à caractère personnel. Les informations applicables à la protection des données à caractère personnel relatives à un produit souscrit auprès d’un partenaire vous sont communiquées par ce dernier, en qualité de responsable de traitement pour la collecte et le traitement qu’il met en œuvre pour son propre compte.
Par exemple, vous pouvez être amené à souscrire par notre intermédiaire des produits ou services que nous commercialisons mais qui émanent d’une autre société. Dans ce cas, vous établissez une relation contractuelle directe avec le partenaire concerné. Selon le produit ou service souscrit, nous interviendrons soit en qualité de distributeur (le contrat sera établi et souscrit par notre intermédiaire en notre qualité de représentant du partenaire), soit en qualité d’indicateur ou d’apporteur (vous souscrirez le contrat directement avec le partenaire avec lequel nous vous aurons mis en contact). Dans ces situations, vos données à caractère personnel seront collectées et traitées par nos soins en tant que distributeur ou apporteur et le partenaire, chacun pour ce qui le concerne et chacun pour les finalités spécifiques liées aux produits et services souscrits.
Les informations applicables à la protection des données à caractère personnel relatives à un produit souscrit auprès d’un partenaire vous sont communiquées par ce dernier, en qualité de responsable de traitement pour la collecte et le traitement qu’il met en œuvre pour son propre compte.
Si vous souhaitez obtenir des informations supplémentaires sur les sociétés membres du Groupe BPCE et leurs différents métiers, consultez le site www.groupebpce.fr/.
2. Comment obtenons-nous les données personnelles vous concernant ?
Au cours de notre relation, nous allons recueillir et traiter des données à caractère personnel vous concernant. Ces données peuvent varier en fonction de la nature du produit ou du service souscrit.
Les données à caractère personnel et informations que vous nous communiquez
Lors d’une entrée en relation, puis lors de la souscription de tout nouveau produit ou service (crédit, assurance, services annexes…), nous avons collecté directement auprès de vous les données nécessaires à cette opération.
Ces données sont nécessaires :
- pour nous permettre de remplir nos obligations légales et réglementaires telles que l’obligation de connaître notre client, nos obligations fiscales ou relatives à la lutte contre le blanchiment d’argent et le financement du terrorisme ;
- pour vous connaître et vous conseiller et vous proposer l’offre de produits et services répondant à vos besoins ;
- pour la souscription du produit ou service concerné ;
- pour son fonctionnement.
A ce titre, vous nous communiquez des données à caractère personnel relatives à votre identité, votre situation familiale, votre vie professionnelle et plus généralement votre situation économique, fiscale, patrimoniale et financière. Vous nous fournissez également vos données de contact et notamment votre courriel et votre numéro de téléphone portable pour que nous puissions vous envoyer des informations dans le cadre de la fourniture du service, pour procéder à des notifications comme celles relatives à la gestion de vos contrats et documents dématérialisés ou pour la réalisation d’opérations bancaires, mais également, si vous l’acceptez, pour l’envoi de sollicitations commerciales (e-mail, SMS, MMS). Certaines données à caractère personnel peuvent être collectées à des fins réglementaires ou contractuelles, ou conditionner la conclusion d’un contrat. Vous êtes informés, le cas échéant, des conséquences d’un refus de communication.
Par exemple, refuser :
- de nous communiquer des données obligatoires pour l’ouverture et la gestion d’un compte ne nous permettrait pas de procéder à cette ouverture ;
- de nous communiquer des éléments relatifs à votre situation financière ne nous permettrait pas d’étudier votre demande de crédit ;
- de nous délivrer les informations nécessaires à l’analyse de votre situation et de vos besoins peut nous empêcher de vous délivrer un conseil adapté.
Certaines données peuvent également être collectées :
- lors de votre participation à des jeux que nous organisons ;
- lorsque vous procédez à des simulations sur nos sites internet, demandez des renseignements ou sollicitez un contact.
Les données à caractère personnel issues de l’utilisation des produits et services de l’établissement
Lorsque vous utilisez nos services et produits ou réalisez des transactions et des opérations, des données à caractère personnel sont traitées dans nos systèmes d’information.
Les données à caractère personnel provenant de tiers ou d’autres services
Les données à caractère personnel peuvent également provenir :
- de tiers fournisseurs, sous-traitants comme les réseaux Carte Bancaire, Visa, Mastercard ;
- des partenaires de l’établissement si leurs politiques de protection des données personnelles le permettent ;
- d’autres produits ou services fournis par les tiers auxquels vous avez souscrit et pour lesquels vous autorisez le partage avec l’établissement ;
- de fichiers que l’établissement doit consulter pour fournir certains services, dans des conditions réglementaires déterminées, comme le Fichier National des Incidents de Remboursement des Crédits aux Particuliers (FICP) tenu par la Banque de France ou le Fichier Central des Chèques (FCC).
Les données à caractère personnel publiques
Nous pouvons être amenés à collecter des données à caractère personnel publiques vous concernant. Les données à caractère personnel publiques sont les informations ou données personnelles produites ou reçues par une autorité administrative dans le cadre de sa mission de service public, publiées par une autorité administrative ou communicables à toute personne en faisant la demande. Nous pouvons utiliser les informations ou données à caractère personnel publiques quand cela est autorisé par les textes législatifs ou réglementaires et dans le respect des règles spécifiques de communication et de réutilisation précisées par lesdits textes.
Les données à caractère personnel enrichies par le Crédit Foncier
A partir des données à caractère personnel déclaratives ou de fonctionnement, nous pouvons générer ou calculer de nouvelles données à caractère personnel. C’est le cas notamment lors d’une demande de crédit lorsque nous analysons votre demande et procédons au calcul d’un score d’octroi, ou lorsque nous déterminons, conformément à nos obligations légales et réglementaires, le risque de crédit, le risque de fraude ou toute autre évaluation. Par ailleurs, pour connaître notre clientèle, adapter nos produits et services, personnaliser les offres qui peuvent vous être faites, nous définissons des profils et segments de clientèle.
Exclusion des catégories particulières de données à caractère personnel
Les catégories particulières de données à caractère personnel sont les données qui révèlent de l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données personnelles concernant la santé ou les données personnelles concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Par principe, nous ne collectons ni ne traitons aucune de ces catégories de données à caractère personnel particulières.
Certaines de ces données peuvent néanmoins être collectées et traitées dans des situations spécifiques.
Par exemple :
- Pour la mise en place d’un système d’authentification forte vous permettant d’accéder à vos services bancaires en ligne, pour effectuer un paiement, ou pour signer électroniquement, en ayant recours à des dispositifs de reconnaissance biométrique (reconnaissance vocale, reconnaissance faciale, empreintes digitales…). L’utilisation de ces données permet notamment de prévenir la fraude et l’usurpation de votre identité par un tiers. Ces dispositifs de reconnaissance biométrique sont alternatifs à d’autres mécanismes de contrôle et font l’objet de mesures de sécurité spécifiques pour garantir la sécurité et la confidentialité des données à caractère personnel.
- Lors de la souscription d’un contrat d’assurance, tel qu’une assurance emprunteur. Dans ce cas, l’assureur pourrait avoir besoin d’éléments relatifs à votre état de santé pour vous accorder ses garanties et fixer d’éventuelles exclusions. Les procédures mises en œuvre visent à assurer un parfait respect du principe de cloisonnement : seul l’assureur recevra communication de ces données et procédera à leur traitement selon les règles qui lui sont propres dans le respect de la réglementation applicable, alors que l’établissement n’aura connaissance que de la décision d’accord ou de refus.
En tout état de cause, si nous devons procéder à un traitement de ces catégories particulières de données à caractère personnel, sous réserve qu’il ne soit pas interdit par la législation ou la réglementation applicable, votre consentement sera recueilli préalablement.
3. Qui accède à vos données ?
En tant qu’établissement bancaire, nous sommes tenus au secret professionnel et nous ne pouvons partager vos données que dans des conditions strictes ou avec votre consentement. Ce même principe de secret et de confidentialité s’applique à l’ensemble des intervenants impliqués, qu’il s’agisse de nos collaborateurs, de nos prestataires de nos partenaires et de leurs propres collaborateurs.
Au sein du Groupe BPCE, nous pouvons être amenés à communiquer vos données à caractère personnel aux entités suivantes :
- BPCE S.A. agissant en qualité d’organe central du Groupe BPCE afin que celle-ci puisse satisfaire aux différentes missions qui lui sont dévolues par la loi, au bénéfice de notre établissement et du Groupe, notamment en matière de déclarations prudentielles auprès de toute autorité de régulation compétente ou aux fins de gestion de la gouvernance des données pour le compte des établissements du Groupe BPCE (la gouvernance des données désigne l’organisation et les procédures mises en place pour encadrer les pratiques de collecte et d’utilisation des données au sein du Groupe BPCE, et à optimiser l’efficacité de l’usage de ces données dans le respect du cadre juridique et déontologique) ;
- toute entité du Groupe BPCE afin de pouvoir vous présenter des produits ou services gérés par ces entités ;
- aux entités appartenant au Groupe BPCE pour l’étude ou l’élaboration de tous types de contrats ou d’opérations vous concernant ;
- toute entité du Groupe BPCE avec laquelle vous entrez ou êtes entré en relation contractuelle aux fins d’actualisation des données relatives à votre état civil, votre situation familiale, patrimoniale et financière, au fonctionnement de votre compte ainsi que la note qui vous est attribuée pour l’application de la réglementation bancaire, collectées par ces entités, y compris des informations relatives à votre statut fiscal. Ces données pourront également être utilisées pour l’étude de votre dossier, l’utilisation des produits et/ou services souscrits ou leur recouvrement ;
- aux entités prestataires du Groupe BPCE, en cas de mise en commun de moyens techniques, notamment informatiques pour le compte de notre établissement. A cet effet, les données personnelles vous concernant pourront être pseudonymisées à des fins de recherches et de création de modèles statistiques. La pseudonymisation signifie que les données en question ne pourront plus être reliées à votre personne sans avoir recours à des informations complémentaires, conservées séparément et soumises à des mesures techniques et organisationnelles destinées à garantir que les données initiales ne peuvent plus être attribuées à une personne physique identifiée ou identifiable ;
Avec des tiers, nous pouvons partager vos données dans les cas suivants :
- avec les entreprises qui assurent ou garantissent vos crédits (entreprises d’assurances, sociétés de caution mutuelle, par exemple) ;
- avec les établissements de crédit et plus généralement avec les établissements habilités à fournir des services de paiement, ainsi qu’avec la Banque de France, les schémas de carte de paiement dont les marques figurent sur votre carte (CB, Visa, Mastercard…), les commerçants ou prestataires de services accepteurs de carte bancaire, pour les finalités liées aux cartes bancaires et instruments de paiement ;
- avec des entreprises de recouvrement intervenant pour notre compte ;
- avec des tiers (prestataires, sous-traitants…) en vue de leur confier des fonctions opérationnelles (par exemple, l’alerte sur l’utilisation de l’autorisation de découvert, le recours à des solutions de paiement mobile, la gestion des cartes bancaires, ou la fabrication de chéquiers) ;
- avec des entreprises tierces en cas de cession de créances ou d’opération de titrisation ;
- aux partenaires de l’établissement bancaire, pour vous permettre de bénéficier des avantages d’un partenariat auquel vous auriez préalablement décidé d’adhérer, et ce dans le cadre exclusif des accords de partenariat ;
- dans le cadre des jeux concours, avec les huissiers de justice en charge du suivi et de la gestion du jeu ;
- avec nos intermédiaires en opération de banque ;
- aux sous-traitants et prestataires pour les seuls besoins des prestations à réaliser pour notre compte et notamment la fourniture des services ou des produits bancaires et financiers ou la réalisation d’enquêtes ou de statistiques.
Nous partageons à ces tiers vos données à caractère personnel dans les cas suivants :
- lorsque cela est prévu dans la présente charte ;
- lorsque c’est nécessaire pour vous fournir les produits et services souscrits ;
- lorsque vous consentez à ce partage.
Nous devons également partager vos données lorsque le secret professionnel est levé par la loi et notamment à l’égard de l’administration fiscale et des douanes, de la Banque de France (Fichier Central des Chèques, Fichier National des Incidents de Remboursement de Crédit aux Particuliers, par exemple), des organismes de sécurité sociale (dans les conditions prévues par les articles L. 114-19 à L. 114-21 du Code de la sécurité sociale), de l’Autorité de Contrôle Prudentiel et de Résolution, des commissions d’enquête parlementaires. Le secret est en outre levé à l’égard des informations requises pour l’application des conventions conclues par la France organisant un échange automatique d’informations à des fins fiscales (article 1649 AC du Code général des impôts). Le secret ne peut être opposé à l’autorité judiciaire agissant dans le cadre d’une procédure pénale, ainsi que dans le cadre d’une procédure civile lorsqu’un texte spécifique le prévoit expressément.
4. Pourquoi nous traitons vos données à caractère personnel ?
Dans le cadre de notre relation, le Crédit Foncier utilise tout ou partie des données à caractère personnel vous concernant pour les finalités décrites ci-dessous et sur la base des fondements suivants.
Exécuter le contrat relatif aux produits et services que vous avez souscrits ou que vous souhaitez souscrire
Nous traitons avant tout vos données à caractère personnel en vue de fournir les produits et services que vous souscrivez ou que vous souhaitez souscrire. Le traitement est mis en œuvre car il est nécessaire à l’exécution du contrat ou à l’exécution de mesures précontractuelles prises à votre demande en tant que client, dans le cadre d’une relation déjà établie. Le traitement mis en œuvre dans le cadre de la gestion de notre relation concerne notamment l’octroi et la gestion de vos crédits, la délivrance ou l’obtention de garanties, la délivrance ou l’obtention de caution, la prévention et la gestion des impayés et du surendettement, la gestion de contrats d’assurance, le recouvrement et la gestion du contentieux. Sans ces traitements, nous ne serions pas en mesure de conclure ou d’exécuter le contrat.
Répondre à nos obligations légales et réglementaires
Notre activité intervient dans un environnement réglementaire très encadré, qu’il s’agisse de la réalisation d’opérations de banque ou d’opérations connexes, de la distribution de produits d’assurance ou d’autres opérations d’intermédiation. Pour répondre à ces obligations légales, nous mettons en œuvre des traitements de données à caractère personnel. En conséquence, nous pouvons être amenés à demander des informations précises concernant certaines opérations si la législation ou la réglementation nous l’impose.
Échange automatique d’information en matière fiscale
Nous sommes tenus d’identifier, à des fins fiscales, la résidence du titulaire de compte et de remplir les obligations déclaratives annuelles à l’égard de l’administration fiscale française relatives aux comptes déclarables des personnes non-résidentes fiscales en France (y compris les Personnes américaines déterminées, au sens de la loi FATCA). L’administration fiscale française procède à la transmission de ces informations à l’administration fiscale du pays de résidence fiscale du titulaire du compte déclarable si la réglementation concernant l’échange automatique d’informations l’exige.
Lutte contre le blanchiment d’argent et le financement du terrorisme
Nous sommes tenus de procéder à l’identification de nos clients et, le cas échéant, des bénéficiaires effectifs des opérations et à une obligation de vigilance constante à l’égard de notre clientèle pendant toute la durée de la relation d’affaires (montant et nature des opérations, provenance et destination des fonds, suivi de la situation professionnelle, économique et financière du client…). Les informations que vous nous communiquez doivent donc être régulièrement actualisées. A ce titre, nous sommes tenus d’appliquer des mesures de vigilance particulières à l’égard des Personnes Politiquement Exposées définies par le code monétaire et financier.
Nous sommes aussi tenus de déclarer aux autorités compétentes certaines opérations en particulier :
- les sommes inscrites dans nos livres et les opérations portant sur des sommes qui pourraient provenir d’une infraction passible d’une peine privative de liberté ou qui pourraient participer au financement du terrorisme ;
- les opérations pour lesquelles l’identité du donneur d’ordre ou du bénéficiaire effectif de l’opération demeure douteuse malgré les diligences effectuées au titre de l’obligation de vérification d’identité qui incombent au Crédit Foncier.
Renseignements nécessaires pour la tenue de fichiers réglementaires
A titre d’exemple, nous communiquons les données à caractère personnel nécessaires dans le cadre de la tenue des fichiers réglementaires suivants, que nous pouvons également être amenés à consulter.
- Le Fichier Central des Chèques recense les données à caractère personnel obligatoirement fournies par les banques relatives à l’identité des personnes ayant émis un chèque sans provision et à l’identité des personnes auxquelles s’appliquent une interdiction pour une autre raison (par exemple, certains co-titulaires d’un compte joint).
- Les banques ont l’obligation lors de l’ouverture pour un client d’un compte bancaire ou assimilé de déclarer un certain nombre d’informations à la Direction générale des finances publiques en charge du fichier FICOBA (Fichier des Comptes Bancaires) et de l’informer d’éventuelles modifications ou clôture du compte et ce pendant une durée de 10 ans après la fermeture du compte.
- Les banques ont l’obligation de déclarer au Fichier National des Incidents de Crédit les incidents caractérisés liés aux crédits accordés aux personnes physiques pour des besoins non professionnels. Elles ont également l’obligation de consulter ce fichier dans certains cas (octroi d’un crédit, d’une autorisation de découvert remboursable dans un délai supérieur à un mois, reconduction annuelle d’un contrat de crédit renouvelable). Il peut également être consulté à l’occasion de l’attribution de moyens de paiement, ou lors de l’attribution ou du renouvellement d’une carte de paiement.
Nos partenaires assureurs ont des obligations similaires, notamment pour les déclarations auprès de FICOVIE (inscription au fichier des contrats de capitalisation et d’assurance vie FICOVIE).
Autres obligations réglementaires
Nous devons anticiper des situations dans lesquelles les clients peuvent potentiellement rencontrer des difficultés afin de prendre des mesures appropriées et personnalisées en réponse à ces difficultés.
Les comptes en déshérence. La réglementation impose que les banques recensent chaque année les comptes inactifs ouverts dans leurs livres. A cette fin, nous devons annuellement consulter pour les comptes inactifs le Répertoire National d’Identification des Personnes Physiques (RNIPP) afin de rechercher l’éventuel décès du (des) client(s) concerné(s).
Des obligations similaires s’appliquent aux coffres forts inactifs et, pour les assureurs, aux contrats d’assurance vie.
Les réponses aux demandes d’exercice des droits au titre de la réglementation relative à la protection des données à caractère personnel. L’exercice de vos droits, mentionnés au chapitre 11 du présent document, nécessite de traiter des données à caractère personnel vous concernant à des fins d’identification, de gestion de vos demandes et de conservation de la preuve.
Répondre à nos intérêts légitimes
Nous pouvons invoquer un « intérêt légitime » à traiter vos données, en particulier lorsque nous nous trouvons face à des situations pouvant présenter des risques pour notre activité tels que nous prémunir contre les abus de marché ou les délits d’initiés, de prévenir la fraude notamment sur les instruments de paiement et gérer les éventuels recours en justice, de lutter contre la criminalité financière tant à l’égard du secteur financier qu’à l’égard de nos clients et collaborateurs, de prévenir et gérer les incivilités à l’égard de nos collaborateurs, d’assurer la sécurité de nos réseaux et des informations, de surveiller l’accès à nos locaux, notamment par un dispositif de vidéo-surveillance.
Cet intérêt légitime peut être lié à l’analyse de notre risque en matière d’engagements, notamment lors de l’évaluation des risques liés aux demandes de crédit et tout au long de la relation contractuelle. Les traitements automatisés mis en œuvre dans ce cadre incluent, in fine, une intervention humaine et aboutissent à une décision d’octroi ou de refus de crédit. Vous avez le droit de présenter vos observations et de contester la décision prise à l’issue de ce processus.
Notre intérêt légitime peut également être lié à la gestion de notre activité en tant qu’entreprise (comptabilité générale, facturation, gestion du bilan, reporting, études statistiques et enquêtes de satisfaction), à la gestion de notre relation clients (amélioration de la connaissance client, amélioration de nos produits et services), à la prospection, au profilage et à la segmentation marketing incluant, le cas échéant, la combinaison de données à des fins d’analyse ou d’anonymisation, ou encore pour nos activités d’audit, d’inspection et de communication.
Ces traitements sont mis en œuvre en prenant en compte vos intérêts et droits fondamentaux. A ce titre, ils s’accompagnent de mesures et garanties permettant d’assurer l’équilibre entre la protection de vos intérêts et droits et la poursuite de nos intérêts légitimes.
Mettre en œuvre certains traitements avec votre consentement
Nous pouvons procéder à des traitements lorsque vous y avez consenti pour une ou plusieurs finalités spécifiques. Dans ces cas, vous serez préalablement sollicité pour exprimer votre consentement, de manière spécifique, à la collecte et au traitement de vos données pour une ou plusieurs finalités identifiées. Ainsi, lorsque nous souhaitons procéder à la prospection commerciale par courrier électronique, nous recueillons votre consentement préalablement à l’envoi de nos offres commerciales.
5. Combien de temps sont conservées vos données ?
Une fois les finalités de traitement des données atteintes et en tenant compte des éventuelles obligations légales ou réglementaires imposant de conserver certaines données, nous procédons à la suppression ou à l’anonymisation de vos données. La durée de conservation est variable et dépend de la nature des données et des finalités poursuivies.
Données à caractère personnel collectées à des fins de gestion d’un contrat
Les données sont conservées pendant le temps nécessaire à l’exécution du contrat et jusqu’à l’expiration des délais légaux applicables.
Ces délais sont de plusieurs natures.
- Conformément aux dispositions du Code de commerce, les documents comptables et pièces justificatives doivent être conservées pendant une durée de 10 ans. Les données personnelles nécessaires pour l’exécution de cette obligation seront en conséquence conservées pendant cette durée. Le délai de 10 ans court en général à compter de l’opération.
- Le délai de prescription de droit commun en matière civile et commerciale est de 5 ans. Par exemple, les données relatives à votre prêt seront conservées pendant une durée de 5 ans à compter du remboursement total de votre prêt ou de la cessation de notre relation.
- Les délais relevant de législations spécifiques comme en matière de lutte contre le blanchiment d’argent et le financement du terrorisme sont de 5 ans.
- Le délai nécessaire à la finalité poursuivie comme, par exemple, en matière de lutte contre la fraude, qui est de 5 ans.
Ces délais peuvent être plus longs dans certaines situations spécifiques, lorsque la réglementation l’exige, par exemple pour la gestion des comptes en déshérence, pour respecter des dispositions fiscales (relatives à l’épargne réglementée notamment). Ils peuvent également être plus longs en cas de recours en justice. Dans ce cas, les données sont conservées jusqu’au terme de la procédure judiciaire, puis archivées selon les durées légales de prescription applicables.
Lorsqu’une donnée à caractère personnel est collectée pour plusieurs finalités, elle est conservée jusqu’à épuisement du délai de conservation ou d’archivage le plus long.
Après la cessation de la relation, nous pouvons également conserver vos données et exploiter certaines de ces informations (vos noms, prénoms, adresse, date et lieu de naissance, caractéristiques du produit précédemment souscrit) à des fins de prospection commerciale pendant une durée maximale de 5 ans (à compter du dernier contact entrant). Vous pouvez à tout moment vous opposer au traitement réalisé à des fins de prospection commerciale dans les conditions prévues au chapitre 11 des présentes.
Données à caractère personnel collectées à des fins précontractuelles, sans conclusion effective d’un contrat
Lorsque vous êtes entré en contact avec nous pour une demande de produit ou service ou une simulation et que votre demande n’a pas été suivie d’une souscription, nous conservons vos données pendant une durée limitée à la finalité initialement poursuivie (par exemple, pouvoir réémettre une simulation ou conserver trace du conseil que nous avons été amenés à vous prodiguer). Lorsque vous avez formulé une demande de crédit ayant entraîné l’émission d’une offre, finalement non acceptée par vos soins, nous conservons les données s’y rapportant jusqu’à l’expiration du délai légal de prescription. Le cas échéant, le résultat du traitement d’analyse des risques en matière d’octroi de crédit est conservé pendant une durée de 6 mois à compter de la demande.
Données à caractère personnel relatives à un prospect non-client
Les données personnelles relatives à un prospect non-client sont conservées, à des fins de prospection commerciale, pendant une durée maximale de trois ans à compter du dernier contact émanant du prospect. Ces données sont également conservées pendant une durée de 5 ans à des fins de lutte contre le blanchiment d’argent et le financement du terrorisme et de lutte contre la fraude.
6. Comment nous assurons la sécurité et la confidentialité de vos donnes ?
Le respect de la vie privée et du secret bancaire, la sécurité et la confidentialité des données et particulièrement des données personnelles confiées par nos clients est notre priorité. Nous prenons, au regard de la nature des données à caractère personnel et des risques présentés par le traitement, les mesures techniques et organisationnelles nécessaires pour préserver la sécurité de vos données et, notamment, empêcher qu’elles ne soient déformées, endommagées ou que des tiers non autorisés y aient accès ou prévenir toute utilisation impropre.
Ainsi, nous nous engageons à prendre les mesures de sécurité physiques, techniques et organisationnelles nécessaires pour :
- préserver la sécurité des données à caractère personnel de nos clients contre tout accès non autorisé, modification, déformation, divulgation ou destruction ;
- protéger nos activités.
Nous diligentons régulièrement des audits internes afin de nous assurer de la sécurité des données à caractère personnel et de nous prémunir contre tout accès non autorisé à nos systèmes. Néanmoins, la sécurité et la confidentialité des données à caractère personnel reposent sur les bonnes pratiques de chacun, ainsi vous êtes invité à vous montrer vigilant. Dans le souci de protéger la confidentialité de vos données à caractère personnel, nous vous invitons, en particulier dans des règles d’usage d’internet, à prendre toutes les dispositions utiles, notamment en effaçant, dès la fin de votre consultation, les traces de navigation et en interdisant l’accès aux tiers non autorisés dans l’hypothèse où vous téléchargeriez ces données vers un logiciel de gestion.
Conformément à nos engagements, nous choisissons nos sous‑traitants et prestataires avec soin et leur imposons :
- un niveau de protection des données à caractère personnel équivalent au nôtre ;
- un accès et une utilisation des données à caractère personnel ou des informations strictement nécessaires pour les services qu’ils doivent fournir ;
- un respect strict de la législation et de la réglementation applicables en matière de confidentialité, de secret bancaire et de données personnelles ;
- la mise en œuvre de toutes les mesures adéquates pour assurer la protection des données à caractère personnel qu’ils peuvent être amenés à traiter ;
- la définition des mesures techniques et organisationnelles nécessaires pour assurer la sécurité des données.
Nous nous engageons à conclure avec nos sous-traitants, conformément aux obligations légales et réglementaires, des contrats définissant précisément les conditions et modalités de traitement des données à caractère personnel.
7. Où sont stockées vos données ?
Les données à caractère personnel et les informations relatives à nos clients sont stockées dans nos systèmes d’information ou dans celui de nos sous-traitants ou prestataires. Nous nous engageons à choisir des sous-traitants et prestataires répondant aux critères de qualité et de sécurité, et présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles, y compris en matière de sécurité des traitements. A ce titre, nous imposons à nos sous-traitants et à nos prestataires des règles de confidentialité au moins équivalentes aux nôtres.
Par principe, nous privilégions les solutions techniques et le stockage des données à caractère personnel dans des centres d’hébergement situés au sein de l’Union Européenne. Si tel n’est pas le cas, nous prenons les mesures nécessaires pour nous assurer que les sous-traitants et prestataires offrent les mesures de sécurité et de protection adéquates telles que décrites ci-après.
Vos données sont-elles communiquées ou accessibles depuis un pays hors Union Européenne ?
Vos données à caractère personnel transmises conformément aux finalités convenues peuvent, à l’occasion de diverses opérations, faire l’objet d’un transfert dans un pays de l’Union Européenne ou hors Union Européenne. Dans le cadre éventuel d’un transfert vers un pays hors Union Européenne, des règles assurant la protection et la sécurité de ces informations ont été mises en place. Pour ces mêmes raisons, en cas de transfert de fonds, certaines données à caractère personnel doivent être transmises à la banque du bénéficiaire du virement située dans un pays de l’Union Européenne ou hors Union Européenne. Ces données à caractère personnel peuvent être communiquées, à leur requête, aux organismes officiels et aux autorités administratives ou judiciaires habilités, ou à des tiers.
Potentiellement, des transferts d’informations ou de données à caractère personnel en dehors du pays du Crédit Foncier et/ou vers des pays non-membres de l’Union Européenne peuvent intervenir et être soumis à des législations ou des réglementations différentes de celles applicables dans l’Union Européenne. A titre d’exemple, certaines données à caractère personnel peuvent être amenées à être hébergées aux Etats-Unis lorsque la banque exécute certaines opérations telles que les virements par l’intermédiaire du réseau sécurisé de la Société de télécommunications interbancaires mondiales (SWIFT). Dans tous les cas, nous prenons les mesures nécessaires et adéquates pour assurer le secret bancaire et la sécurité des données à caractère personnel.
Pour sécuriser les transferts d’informations ou de données à caractère personnel hors de l’Union Européenne, qui ne sont pas nécessaires à l’exécution de l’opération ou du contrat qui nous lie ou à la mise en œuvre de mesures précontractuelles prises à votre demande, nous pouvons, par exemple, mettre en place des clauses types définies par la Commission Européenne afin d’encadrer les flux.
8. Nos actions de profilage
Le profilage consiste à utiliser des données à caractère personnel pour évaluer certains aspects de la personne concernée, analyser ou prédire ses intérêts, son comportement ou d’autres attributs. Dans le cadre de notre relation, nous pouvons être amenés à mettre en œuvre des profilages susceptibles de produire des effets juridiques à votre égard et aboutissant à une décision comme, par exemple, un score d’octroi de crédit.
Concernant le profilage marketing, le Crédit Foncier utilise des techniques pour opérer des segmentations et des sélections marketing qui ne produisent pas d’effets juridiques. A ce titre, les données personnelles que nous collectons nous aident également à personnaliser et à améliorer continuellement la relation bancaire et la relation commerciale afin de vous proposer les offres de produits et services les plus adaptés à vos besoins. Dans ce cadre, nous utilisons différentes techniques de profilage, tel que le recours à des algorithmes.
Vous avez le droit de vous opposer à tout moment au traitement des données à caractère personnel vous concernant réalisés à des fins de prospection commerciale. Nous pouvons également être amenés à agréger et à anonymiser ces données afin d’établir des rapports et modèles marketing. Quand nous avons recours à de telles techniques, nous prenons les mesures nécessaires pour limiter les risques d’erreurs et d’atteintes aux droits et libertés fondamentaux des personnes.
Dans l’hypothèse où ce profilage a des conséquences juridiques à votre égard, comme par exemple en cas d’utilisation d’un traitement d’évaluation des risques en vue de l’octroi d’un crédit (scoring), les résultats de l’utilisation de ces techniques ne seront qu’une aide à la décision de l’établissement :
- une intervention humaine du Crédit Foncier est toujours prévue dans le processus de décision ;
- et vous avez le droit de nous présenter vos observations ou d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation, et de contester la décision.
9. Mise en œuvre de traitements particuliers reposant sur une technologie spécifique
Vidéo protection
Dans le cadre de la mise en œuvre des mesures de sécurité de nos locaux, nous utilisons des systèmes de vidéo-protection dans le respect des règles prévues par le code de la sécurité intérieure et notamment des autorisations délivrées par les préfectures compétentes, ou des réglementations relatives à la protection des données personnelles. Vous êtes informé que ces images font l’objet d’un enregistrement et d’une conservation, et qu’elles peuvent mener à l’identification des personnes filmées, soit par les systèmes mis en œuvre, soit par les agents ayant accès aux images. Des panneaux dans les lieux filmés vous indiquent l’existence de ce type de dispositif, l’identité du responsable et les modalités d’exercice de vos droits d’accès aux enregistrements visuels vous concernant. Les images sont conservées pendant une durée d’un mois, sauf en cas de procédure pénale. Si une telle procédure est engagée, les images sont alors extraites du dispositif (après consignation de cette opération dans un recueil spécifique) et conservées pendant la durée de la procédure.
Cookies et autres traceurs
On entend par cookies ou autres traceurs, les traceurs déposés et lus par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé. Vous êtes informé que lors de vos visites sur l’un de nos sites, des cookies et des traceurs peuvent être installés sur votre équipement terminal. Vous pouvez consulter, sur le site concerné, la politique cookies mise en œuvre. Lorsque cela est nécessaire nous recueillons votre consentement préalablement à l’installation sur votre équipement terminal de tels traceurs mais également lorsque nous accédons à des données stockées sur votre équipement. La durée de vie de ces traceurs est de 13 mois maximum.
Enregistrement téléphonique
Les conversations téléphoniques entre vous et nos services peuvent faire l’objet d’enregistrements téléphoniques à des fins de formation, d’évaluation ou d’amélioration de la qualité des produits et des services ou de preuve d’opération passée à distance. Préalablement à un enregistrement, nous vous en informons. Les supports d’enregistrement ou leur reproduction seront conservés pendant des durées proportionnées à la finalité de l’enregistrement en cause.
10. Vos droits
Dans les limites et conditions autorisées par la réglementation en vigueur, vous pouvez :
- accéder à l’ensemble de vos données à caractère personnel ;
- faire rectifier, mettre à jour et effacer vos données à caractère personnel, étant précisé que l’effacement ne peut intervenir que lorsque :
- les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
- vous avez retiré votre consentement sur lequel le traitement était fondé ;
- vous vous êtes opposé au traitement de vos données et qu’il n’existe pas de motif légitime impérieux pour le poursuivre ;
- les données à caractère personnel ont fait l’objet d’un traitement illicite ;
- les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit français auquel le Crédit Foncier est soumis ;
- vous opposer au traitement de vos données à caractère personnel pour des raisons qui vous sont propres ;
- vous opposer au traitement de vos données à caractère personnel à des fins de prospection commerciale ;
- recevoir les données à caractère personnel vous concernant et que vous nous avez fournies pour les traitements automatisés reposant sur votre consentement ou sur l’exécution d’un contrat, et demander la portabilité de ces données :
- demander une limitation des traitements de données à caractère personnel que nous opérons vous concernant lorsque :
- vous contestez l’exactitude des données à caractère personnel et ce pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;
- vous vous opposez à l’effacement des données vous concernant alors que le traitement est illicite ;
- nous n’avons plus besoin des données mais celles-ci vous sont encore nécessaires pour la constatation, l’exercice ou la défense de droits en justice ;
- vous vous êtes opposé au traitement de vos données, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le Crédit Foncier prévalent sur les vôtres ;
- lorsque le traitement est fondé sur votre consentement, retirer ce consentement à tout moment ;
- introduire une réclamation auprès d’une autorité de contrôle.
En France, l’autorité de contrôle est la Commission Nationale de l’Informatique et des Libertés (CNIL) – 3 place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07 – www.cnil.fr
En outre, vous avez la possibilité de nous communiquer des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès, lesquelles directives peuvent être enregistrées également auprès « d’un tiers de confiance numérique certifié ». Ces directives peuvent désigner une personne chargée de leur exécution. Ces droits ne peuvent cependant avoir pour effet de contrevenir aux droits des héritiers ou à permettre la communication d’informations auxquelles seuls ces derniers peuvent légitimement avoir accès.
11. Comment exercer vos droits ?
Si vous souhaitez en savoir plus sur les dispositions de cette notice d’information, exercer vos droits ou contacter notre Délégué à la Protection des Données, vous pouvez nous écrire à l’adresse suivante : Crédit Foncier – Délégué à la Protection des Données – 182 avenue de France – 75013 PARIS ou nous contacter par e-mail à l’adresse protection-des-donnees-personnelles@creditfoncier.fr.
Vous devez impérativement justifier de votre identité en indiquant clairement vos nom et prénoms, l’adresse à laquelle vous souhaitez que la réponse vous soit envoyée, signer votre demande et y joindre la photocopie d’un document d’identité comportant votre signature. L’exercice de vos droits d’accès, de rectification, d’opposition, d’effacement, de votre droit à la limitation du traitement ou à la portabilité des données à caractère personnel s’effectue sans frais.
Au titre de l’exercice du droit d’accès, nous vous fournirons une copie des données à caractère personnel faisant l’objet d’un traitement. En cas de demandes manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, nous pourrons exiger le paiement de frais raisonnables tenant compte des coûts administratifs supportés pour fournir ces informations, procéder aux communications ou prendre les mesures demandées, ou refuser de répondre à votre demande.
Cette notice d’information est susceptible d’être modifiée.