Politique de protection des données personnelles


Préambule


Le Groupe La Banque Postale, fort de ses valeurs de proximité, de confiance et de modernité au service de tous, place la protection des données à caractère personnel (ci-après « données personnelles ») au cœur de ses préoccupations. Cette attention vis-à-vis de vos données personnelles contribue, notamment comme celle portée à la responsabilité sociale d’entreprise ou celle liée à la sécurité de ses systèmes d’information, à sa démarche de banque et assurance citoyenne.

Filiale du Groupe La Banque Postale, LBP AM place également la protection des données à caractère personnel au cœur de ses missions et des services qu’elle propose.

La présente Politique de Protection des Données à Caractère Personnel (ci-après « la Politique ») a pour objet de vous informer (clients, prospects, utilisateurs du site internet, intermédiaire, contrepartie ou encore personnes physiques mandatées par des clients professionnels tels que les dirigeants, garants, bénéficiaires effectifs mandataires et signataires autorisés) sur les traitements mis en œuvre par LBP AM.

Dans le cadre de notre engagement en matière de protection des données à caractère personnel, nous souhaitons donc vous informer :

De la manière et des raisons pour lesquelles LBP AM collecte, utilise et conserve vos données à caractère personnel ; du fondement légal en vertu duquel vos données à caractère personnel sont traitées ; de vos droits et de nos obligations dans la mise en œuvre de ces traitements.

Cette politique s’applique à toutes les données personnelles collectées et traitées sous la responsabilité de LBP AM qui intervient, à ce titre, en qualité de Responsable de Traitement.  En outre, des mentions d’information relatives à la protection des données personnelles spécifiques aux différents produits et/ou services proposés par LBP AM précisent et complètent la présente Politique, et ce sur les divers supports utilisés. Vous êtes ainsi informés de la mise en œuvre d’un traitement, de l’identité du responsable de traitement, des finalités, des destinataires des informations, des droits dont vous disposez, ainsi que des éventuels transferts de données.

1. Quel type de données à caractère personnel collectons-nous ?

La règlementation en vigueur en matière de protection des données (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 « RGPD » et la loi ° 78-17 du 6 janvier 1978 Informatique et Libertés modifiée) définit une donnée personnelle comme toute information se rapportant à une personne physique pouvant être identifiée ou identifiable directement ou indirectement (plutôt qu'à une entité juridique, telle qu'une société).

LBP AM respecte le principe de minimisation des données à savoir que seules sont traitées les données personnelles adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la réalisation de l’objectif pour lequel elles ont été collectées. Dans cette démarche, LBPAM s’attache également à maintenir vos données personnelles exactes et à jour.

1.1 Cas de la collecte directe de Données personnelles

La règlementation en vigueur en matière de protection des données (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 « RGPD » et la loi ° 78-17 du 6 janvier 1978 Informatique et Libertés modifiée) définit une donnée personnelle comme toute information se rapportant à une personne physique pouvant être identifiée ou identifiable directement ou indirectement (plutôt qu'à une entité juridique, telle qu'une société). LBPAM respecte le principe de minimisation des données à savoir que seules sont traitées les données personnelles adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la réalisation de l’objectif pour lequel elles ont été collectées. Dans cette démarche, LBPAM s’attache également à maintenir vos données personnelles exactes et à jour. LBP AM collecte et traite, en fonction du produit ou du service sollicité ou fourni, des données à caractère personnel vous concernant, y compris :

  • Des données d’identification telles que votre nom, votre date de naissance, vos documents KYC (Know Your Customer) qui comprennent une copie de votre carte d'identité nationale ou de votre passeport ;
  • Des données de contact telles que votre numéro de téléphone, votre adresse postale et électronique ;
  • Des données professionnelles telles que l’intitulé de votre poste et votre expérience professionnelle, vos connaissances et votre expérience en matière d'investissement ou encore les détails de votre nomination pour un mandat ;
  • Des données d’ordre économique et financier telles que l’historique de transactions, situation financière et patrimoniale ;
  • Des données fiscales telle que votre domicile fiscal et autres documents ou renseignements fiscaux ;
  • Des données d’interactions avec LBPAM lorsque vous utilisez nos produits ou services ;
  •  Des données de connexions transmises par votre navigateur et enregistrées automatiquement par notre serveur lorsque vous accédez à notre site Web. 


Catégories particulières de données personnelles : les catégories particulières de données à caractère personnel sont les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données personnelles concernant la santé ou les données personnelles concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Par principe, nous ne collectons ni ne traitons aucune de ces catégories de données à caractère personnel particulières. En tout état de cause, si nous devions procéder à un traitement de ces catégories particulières de données à caractère personnel, vous en serez informé et votre consentement sera recueilli préalablement.

1.2 Cas de la collecte indirecte de Données personnelles

En plus de la collecte directe de données personnelles auprès de vous, nous pouvons collecter des données vous concernant de manière indirecte et ce, afin de nous conformer à une obligation légale ou réglementaire, vérifier ou enrichir nos bases de données. Nous procédons à cette collecte auprès des sources suivantes : 

  • Publications et bases de données rendues accessibles par les autorités officielles (par exemple Journal Officiel) ;
  • Fichiers que LBP AM doit consulter, dans des conditions réglementaires déterminées, pour fournir certains services (par exemple registre des bénéficiaires effectifs) ;
  • Clients entreprises LBP AM ou prestataires de services ; 
  • Sites internet ou pages des réseaux sociaux contenant des informations que vous avez rendues publiques (par exemple, votre propre site internet ou média social).

Dans certaines circonstances, nous pouvons également être amenés à collecter des informations de personnes non clientes avec lesquelles nous n’avons pas de relation directe. Cela peut être le cas, par exemple, lorsque votre employeur nous fournit des informations vous concernant, ou lorsque vos coordonnées nous sont fournies par l’un de nos clients, car vous êtes par exemple :

  • Membre de sa famille ; 
  • Représentant légal (mandats/délégations de pouvoirs) ou agent(s) ;
  • Actionnaire(s) de sociétés ;
  • Représentant(s) d’une société légale (laquelle peut être cliente ou prestataire) ; 
  • Membre du personnel de nos prestataires de services et de nos partenaires commerciaux.

 2. Pour quelles finalités et sur quelle base juridique vos données personnelles sont elles traitées ?

LBP AM est amenée à traiter vos données à caractère personnel, de manière automatisée ou non, pour les finalités pour lesquelles elles ont été collectées. Ainsi, chaque traitement de données mis en œuvre poursuit une finalité légitime, déterminée et explicite selon les bases juridiques suivantes :


2.1 Pour exécuter le contrat relatif aux produits et services que vous avez suscrit ou que vous souhaitez souscrire :

Nous traitons avant tout vos données à caractère personnel en vue de fournir les produits et services que vous souscrivez, ou que vous souhaitez souscrire. Le traitement est mis en œuvre car il est nécessaire à l’exécution du contrat, ou à l’exécution de mesures précontractuelles prises à votre demande en tant que client, dans le cadre d’une relation déjà établie, ou en tant que prospect si aucune relation d’affaires n’a encore été établie (mesures précontractuelles telle que la délivrance d’un conseil, d’une proposition, d’une simulation). Le traitement mis en œuvre dans le cadre de la gestion de notre relation permet notamment de :

  • Vous fournir des informations relatives à nos produits et services ; 
  • Vous assister et répondre à vos demandes ;
  • Évaluer si nous pouvons vous proposer un produit ou un service et le cas échéant, sous quelles conditions ;
  • Fournir des produits ou services à nos clients entreprises dont vous êtes salarié ou client. 
  • Sans ces traitements, nous ne serions pas en mesure de conclure ou d’exécuter le contrat.

2.2 Pour répondre à nos obligations légales et réglementaires :

En tant que société de gestion, notre activité est strictement encadrée par un environnement réglementaire complexe et exigeant. Nous utilisons vos données personnelles pour nous conformer à diverses obligations légales et réglementaires auxquelles nous sommes tenus, parmi lesquelles : 

  • La règlementation bancaire et financière en application de laquelle nous détectons des transactions anormales, surveillons et signalons les risques que nous pouvons encourir ;
  • Les réponses aux requêtes officielles d’autorités de contrôle ou judiciaires dûment autorisées ;
  • La lutte contre le blanchiment d’argent et le financement du terrorisme, la lutte contre l’évasion fiscale FATCA-CRS ou encore la gestion des alertes et la surveillance des abus de marché ;
  • La gestion et le traitement des réclamations ou demandes d’informations de nos clients ou prospects.

2.3 Pour répondre à nos intérêts légitimes :

Nous pouvons invoquer un « intérêt légitime » à traiter vos données, en particulier lorsque nous nous trouvons face à des situations pouvant présenter des risques pour notre activité tels que prévenir la fraude et gérer les éventuels recours en justice, assurer la sécurité des biens et des personnes , lutter contre la criminalité financière tant à l’égard du secteur financier qu’à l’égard de nos clients et collaborateurs, assurer la sécurité de nos réseaux et des informations ou assurer la défense de nos droits.

Notre intérêt légitime peut également être lié à la gestion de notre activité en tant qu’entreprise (comptabilité générale, facturation, gestion du bilan, reporting, études statistiques et enquêtes de satisfaction, gestion des personnes sur nos sites), à la gestion de notre relation clients ou encore pour nos activités d’audit et d’inspection.

Ces traitements sont mis en œuvre en prenant en compte vos intérêts et droits fondamentaux. À ce titre, ils s’accompagnent de mesures et garanties permettant d’assurer l’équilibre entre la protection de vos intérêts et droits et la poursuite de nos intérêts légitimes.

2.4  Pour respecter votre choix lorsque nous vous avons demandé votre consentement pour un traitement spécifique :

Nous pouvons procéder à des traitements lorsque vous y avez consenti pour une ou plusieurs finalités spécifiques. Dans ces cas, vous serez préalablement sollicité pour exprimer votre consentement, de manière spécifique, à la collecte et au traitement de vos données pour une ou plusieurs finalités identifiées.

Ainsi, si nous souhaitions procéder à de la prospection commerciale par courrier électronique, nous recueillons votre consentement préalablement à l’envoi de nos offres commerciales.

3. Qui sont destinataires de vos données ?


Afin d’accomplir les finalités précitées au point 2, nous pouvons être amenés à communiquer vos données à caractère personnel :

  • Aux entités appartenant au Groupe La Poste et La Banque Postale (par exemple pour vous faire profiter de notre gamme complète de produits et services, afin de pouvoir vous présenter des produits ou services gérés par ces entités – en cas de mise en commun de moyens techniques, notamment informatiques pour le compte de LBP AM) ;
  •  Aux prestataires, mandataires, courtiers ou autres intermédiaires, partenaires, professions réglementées (avocats, commissaires aux comptes …) ou prestataires de service qui réalisent des prestations pour le compte de LBP AM et du Groupe La Poste ;
  • Aux autorités administrative ou judiciaire habilitées ou plus généralement à tout tiers autorisé pour satisfaire aux obligations légales ou réglementaires auxquelles LBP AM est soumise.

4. Vos données personnelles peuvent-elles être transférées en dehors de l’Union européenne ?

LBP AM réalise l’ensemble des traitements de vos données à caractère personnel sur le territoire de l’Union européenne (UE). Toutefois, pour certaines prestations spécifiques, LBP AM peut être amenée à avoir recours à des prestataires établis hors territoire de l’UE. Dans ce cas, vos données personnelles leur sont communiquées pour les stricts besoins de la réalisation de leurs missions. En cas de transferts de vos données personnelles vers un pays hors UE, LBP AM s’engage à mettre en place toutes les garanties appropriées disponibles, au regard de la réglementation en vigueur, pour assurer l’encadrement et la sécurité de ces transferts.

Afin de connaître les garanties visant à assurer la protection de vos données, ou pour savoir comment en prendre connaissance, vous pouvez nous adresser une demande écrite selon les modalités indiquées au point 9 ci-dessous.

5. Pendant combien de temps conservons nous vos données ?

La durée de conservation de vos données personnelles est déterminée en fonction des produits et services souscrits. LBP AM s’engage à ne pas conserver vos données personnelles au-delà de la durée nécessaire à la fourniture de ces produits ou services conformément à votre contrat.

Certaines de vos données personnelles pourront être conservées pour des durées plus longues en application des dispositions légales ou réglementaires particulières, ou pour répondre à des demandes d’autorités ou de tiers autorisés.

Parmi les délais légaux applicables à LBP AM :

  • Au regard de la lutte contre le blanchiment et le financement du terrorisme les délais de conservation des documents et informations relatifs à votre identité sont de cinq (5) ans à compter de la clôture de vos comptes ou de la cessation de nos relations bancaires. Au même motif, les documents et informations relatifs à vos opérations bancaires sont conservés pour une durée de cinq (5) ans à compter de leur exécution.
  • Les délais de conservation pour les documents comptables et pièces justificatives sont de dix (10) ans à compter de vos opérations.
  • Conformément au délai de prescription de droit commun en matière civile et commerciale, les délais de conservation en la matière sont de cinq (5) ans à compter de la clôture de vos comptes.

Ces délais sont susceptibles d’évolutions si les obligations légales et réglementaires l’exigeaient.

Les données personnelles qui du fait de leur usage, pour divers traitements, sont assujetties à plusieurs durées de conservations, sont soumises à la durée de conservation la plus longue. Sauf cas susmentionnés, la conservation de toute donnée personnelle est limitée par la ou les seules finalités pour lesquelles elle est soumise à un traitement, sauf mention contraire vous en informant.

Au terme de ces délais, LBP AM procède à leur destruction conformément à sa politique interne ou les rend anonymes, pour les utiliser à des fins statistiques.

6. Mise en œuvre de traitements particuliers reposant sur une technologie spécifique

6.1 Cookies et autres traceurs :

On entend par cookies ou autres traceurs, les traceurs déposés et lus par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé.

Vous êtes informé que lors de vos visites sur notre site, des cookies et des traceurs peuvent être installés sur votre équipement terminal. Vous pouvez consulter la politique cookies mise en œuvre. Lorsque cela est nécessaire, nous recueillons votre consentement préalablement à l’installation sur votre équipement terminal de tels traceurs mais également lorsque nous accédons à des données stockées sur votre équipement.

Pour en savoir plus vous pouvez vous rendre sur notre page Informations cookies accessible ici.

6.2 Enregistrements téléphoniques à des fins de preuve :

LBP AM est amenée à enregistrer les conversations téléphoniques de certains de ses collaborateurs et de leurs interlocuteurs professionnels. En effet, afin de sécuriser les transactions et les services d’investissement fournis et afin de veiller au respect des règles d’intégrité du marché (tant en cas de litige qu'en cas de contrôle de la régularité des transactions et des services d’investissement en interne ou vis-à-vis des autorités de tutelle), les conversations téléphoniques des collaborateurs qui sont en relation avec les émetteurs ou réalisent les émissions, la prise d’ordres, les instructions, les confirmations d’ordres ou qui interviennent auprès des clients existants ou potentiels dans le cadre d’un service d’investissement, doivent être enregistrées.

Le traitement d’enregistrement des conversations téléphoniques, à des fins probatoires, des ordres est mis en œuvre par LBP AM en qualité de Responsable de Traitement. Il a comme base juridique une obligation légale à laquelle le responsable du traitement est soumis (article 6.1 c du RGPD).

Préalablement à un enregistrement, nous vous en informerons par la diffusion d’un message enregistré.

Les données issues des enregistrements téléphoniques (données d’identification, données professionnelles, techniques et financières) sont conservées conformément aux dispositions légales et réglementaires applicables et auxquelles LBP AM est soumise ; ainsi, les données sont conservées pendant une durée maximale de 5 ans (ce délai peut être prolongé en cas de demande d’une autorité de contrôle) à compter de leur enregistrement.

6.3 Vidéosurveillance

LBP AM a placé ses locaux sis 36, Quai Henri IV à Paris (75004) sous vidéosurveillance afin d’assurer la sécurité des personnels et de ses biens. La base légale du traitement est l’intérêt légitime de la société (cf. article 6.1.f du RGPD). Des panneaux d’affichage dans les lieux filmés indiquent aux personnes concernées l’existence du dispositif. 

Les données personnelles collectées et traitées sont les images issues du système de vidéosurveillance. Les enregistrements réalisés sont visionnés uniquement lorsque la situation l’exige (telle qu’une intrusion, un vol…) par les personnels habilités par LBP AM et, en cas d’incident, par les autorités publiques habilitées. Par ailleurs, les personnels des prestataires externes mandatés par LBP AM, par exemple ceux en charge de la sécurité ou de la télésurveillance, ont accès aux images dans la limite de leurs habilitations. De manière ponctuelle et encadrée, le personnel du prestataire en charge de la maintenance du système de vidéosurveillance peut également accéder aux images pour la seule réalisation de sa mission.

Les images sont conservées un mois. En cas d’incident lié à la sécurité des personnes et des biens, les images de vidéosurveillance peuvent néanmoins être extraites du dispositif. Elles sont alors conservées sur un autre support le temps du règlement des procédures liées à cet incident et sont accessibles aux seules personnes habilitées dans ce cadre.

7. Comment vos données personnelles sont-elles protégées ?

Conformément à la réglementation en vigueur, LBP AM s’engage à mettre en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir à vos données personnelles un niveau de sécurité adapté et proportionné au risque. Ces mesures (ex : cloisonnement, anonymisation, chiffrement, restriction d’accès…) visent à garantir la confidentialité, l’intégrité, la disponibilité et la résilience de vos données personnelles.

LBP AM s’engage à mettre en place toutes les mesures nécessaires pour rétablir la disponibilité et vous permettre l’accès à vos données personnelles dans des délais appropriés en cas d’incident physique ou technique. Pour ce faire, LBPAM effectue régulièrement des évaluations de ses niveaux de sécurité. Ces évaluations prennent en compte les risques de destruction, perte, altération, accès et divulgation non autorisée à vos données personnelles.

LBP AM impose à chacun des destinataires de vos données personnelles de respecter les garanties de sécurité et de confidentialité adaptées.

LBP AM, en tant que responsable du traitement, notifie les violations de données personnelles à l’autorité de contrôle compétente, à savoir la Commission Nationale de l’Informatique et des Libertés (CNIL), dans les meilleurs délais et, dans la mesure du possible soixante-douze (72) heures après avoir pris connaissance de toute violation de données personnelles susceptible d’engendrer un risque pour vos droits et libertés. Toute violation de vos données personnelles susceptible d’engendrer un risque élevé pour vos droits et libertés vous sera notifiée dans les meilleurs délais conformément à la réglementation en vigueur.

8. Délégué à la Protection des Données

La désignation d’un Délégué à la Protection des Données témoigne de l’attachement de LBP AM et du groupe La Banque Postale à la protection des Données Personnelles de ses clients.
Pour toutes informations complémentaires sur les dispositions de cette politique, vous pouvez contacter le Délégué à la Protection des Données à l’adresse suivante :

La Banque Postale- Délégué à la Protection des Données
115 rue de Sèvres 75275 Paris cedex 06

9. Quels sont vos droits et comment les exercer ?

Lorsque nous collectons vos données personnelles, vous recevez, par le biais des mentions d’information, une information claire et transparente sur les traitements effectués ainsi que sur les modalités d’exercice de vos droits.

Selon la Réglementation, vous avez la faculté d’exercer vos droits auprès de LBP AM qui traite vos données en qualité de Responsable de Traitement. Ces droits sont :

  • Droit d’accès : il vous est possible de demander LBP AM si elle détient des données personnelles sur vous, celui-ci vous les communiquera dans un format compréhensible, ou sous une forme conforme à votre demande dans les limites des moyens techniques disponibles, le cas échéant.
  • Droit de rectification : vous avez le droit de rectifier, compléter, mettre à jour, effacer les données incomplètes, inexactes ou obsolètes.
  • Droit d’opposition : vous pouvez vous opposer à tout moment à ce que LBP AM utilise certaines de vos données en indiquant des raisons tenant à votre situation particulière, sauf en cas de prospection commerciale, à laquelle vous pouvez vous opposer sans motif.
  • Droit à l’effacement : vous pouvez demander l’effacement de vos données personnelles, sous réserve du respect d’une obligation légale pour l’entité qui traite vos données.
  • Droit à la limitation : vous pouvez demander la suspension du traitement de vos données personnelles, notamment si vous contestez l’exactitude des données utilisées ou si vous vous opposez à ce que vos données soient traitées.
  • Droit à la portabilité : vous pouvez demander à LBPAM de récupérer les données personnelles que vous avez fournies, si elles ont été nécessaires à un contrat ou au traitement auquel vous avez consenti, ceci afin d’en disposer ou pour les transmettre à un tiers.
  • Droit au retrait du consentement : vous pouvez retirer votre consentement à tout moment, si celui-ci a été préalablement donné.

Pour tout exercice de droits auprès de LBP AM, veuillez-vous adresser à l’adresse postale suivante :
La Banque Postale Asset Management
36, Quai Henri IV
75004 Paris

Pour tout exercice de droits auprès de LBP AM, veuillez-vous adresser à l’adresse électronique suivante : privacy@labanquepostale-am.fr 
Toute demande doit indiquer votre nom, votre prénom, l’adresse à laquelle vous souhaitez recevoir la réponse et doit être accompagnée d’une copie recto verso de votre pièce d’identité.
Nous nous engageons à répondre à vos demandes d’exercice de droits dans les meilleurs délais et en tout état de cause dans le respect des délais légaux.

 Pour toute réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL), veuillez-vous adresser à l’adresse suivante :
CNIL
3 Place de Fontenoy
75007 PARIS

L’exercice de vos droits d’accès, de rectification, d’opposition, d’effacement, de votre droit à la limitation du traitement ou à la portabilité des données à caractère personnel s’effectue sans frais. Néanmoins, en cas de demandes manifestement infondées ou excessives notamment en raison de leur caractère répétitif, nous pourrons exiger le paiement de frais raisonnables tenant compte des coûts administratifs supportés pour fournir ces informations, procéder aux communications ou prendre les mesures demandées, ou refuser de répondre à votre demande.

10. Comment être informé des modifications apportées à la Politique Protection des Données ?

Dans un monde où les technologies évoluent en permanence, nous actualiserons régulièrement cette Politique.  Nous vous invitons à prendre connaissance de la dernière version de ce document sur notre site et nous vous informerons de toute modification significative par le biais de notre site internet ou via nos canaux de communications habituels. 


Date de mise à jour : mai 2023