Pourquoi une « Politique de protection des données personnelles » et pourquoi êtes-vous concernés ?
En tant que responsable de traitement, « nous », Caisse régionale de Crédit Agricole, traitons vos données personnelles conformément à la réglementation en vigueur et notamment le règlement Général sur la Protection des Données. L’objectif de cette Politique de protection des données personnelles est de vous informer, de façon claire et détaillée, sur les traitements que nous opérons sur vos données à caractère personnel.
Cette Politique « vous » concerne pour une ou plusieurs des raisons suivantes :
- vous êtes « Client » : nous sommes ou avons été directement en relation avec vous en votre qualité de client, personne physique, de la Caisse régionale. Vous avez, dans ce cas, signé un ou plusieurs contrats avec nous
- vous êtes « Personne Intermédiaire » : nous traitons vos données lorsque vous êtes en relation avec nous par l’intermédiaire de l’un de nos Clients personnes physiques ou personnes morales. Vous pouvez notamment être son représentant, son mandataire, son garant, son ayant-droit, son bénéficiaire effectif, le donneur d’ordre ou le bénéficiaire d’opérations, un membre de son foyer fiscal, son actionnaire ou son associé
- vous êtes « Prospect » : vos données personnelles font l’objet d’un traitement alors même que vous n’avez pas de relation contractuelle établie avec nous
Cette Politique vient compléter et préciser les informations figurant dans les contrats que vous avez signés avec nous ou contenues au sein d’autres supports (sites internet, formulaires, coupon-réponse, etc.). En cas de contradiction entre les dispositions de cette Politique de protection des données personnelles et les dispositions figurant dans ces contrats ou autres supports, les dispositions de ces derniers prévaudront. Lorsque nous collectons vos données par l’intermédiaire de l’un de nos Clients et que nous les traitons, il appartient à ce Client ou son représentant de vous en informer, notamment au moyen de cette Politique de protection des données personnelles.
Certains traitements spécifiques ou qui concernent un nombre limité de personnes ne sont pas mentionnés dans cette Politique de protection des données. Ils font alors l’objet d’une information particulière à destination de ces personnes par des moyens de communication appropriés.
Comment collectons-nous vos données personnelles ?
Nous collectons vos données personnelles à travers différents canaux de communication, en face à face ou à distance, et selon différentes modalités :
- directement auprès de vous lorsque vous signez un contrat avec nous, utilisez nos services, que vous remplissez un formulaire ou un coupon-réponse, ou que vous naviguez sur nos sites internet et applications mobiles, lors de l’enregistrement de conversations par téléphone ou par visio-conférence (à des fins de preuve de l’opération, de formation du personnel et/ou d’amélioration de la qualité de nos services), etc.
- ou indirectement, par l’intermédiaire de nos Clients lorsque vous êtes en relation avec eux
- ou indirectement par des sources externes, publiques ou privées, qui nous permettent, dans le respect de vos droits et de la réglementation, de mieux vous connaître (navigation sur des sites tiers, opérations de parrainage, bases de données, publications rendues accessibles par des autorités officielles, etc.)
Vous pouvez retrouver plus de détails quant à ces sources de collecte dans les tableaux et l’inventaire accessibles par lien.
Pourquoi traitons-nous vos données personnelles ?
D’une façon générale, les traitements de données personnelles que nous opérons nous permettent d’assurer la fourniture ou la promotion de nos différents produits et services. A ce titre, certaines données collectées ou traitées peuvent être requises par la réglementation ou être nécessaires à la conclusion et l’exécution des contrats.
Nous traitons vos données personnelles en nous fondant, selon les cas, sur les bases juridiques suivantes :
- l’exécution des contrats relatifs aux produits et services que vous avez souscrits avec nous, notamment votre compte bancaire, ou de mesures précontractuelles prises à votre demande
- nos obligations légales
- nos intérêts légitimes ou ceux de tiers, dans le respect de vos droits
- votre consentement
- la sauvegarde des intérêts vitaux des personnes concernées
Nous utilisons vos données personnelles principalement pour les finalités (objectifs) suivantes, détaillées plus amplement dans les tableaux ci-dessous :
- la gestion de la relation au quotidien avec le Client, la Personne Intermédiaire et le Prospect, de nos produits et services bancaires, assurantiels et immobiliers
- la gestion des réclamations, du contentieux, des impayés, du recouvrement des créances
- la prospection et l’animation commerciale
- l’évaluation et la gestion des risques de crédit, financiers et autres risques associés
- l’évaluation et la gestion du contrôle interne, du contrôle de la conformité, de la fraude, de la sécurité financière et de lutte contre le blanchiment, la sécurité des personnes et des biens.
Certains traitements de données personnelles sont mis en œuvre conjointement avec un (d’) autre(s) responsable(s) de traitement. Dans une telle hypothèse, vous êtes informé de cette responsabilité conjointe, par nous-même et/ou par ce(s) responsable(s) conjoint(s), ainsi que des modalités d’exercice de vos droits. Des précisions figurent dans les tableaux.
Sur la base de vos données, y compris les données d’opérations et de transactions bancaires lorsque vous êtes client, nous pouvons avoir recours à des opérations de ciblage, de profilage ou de notation (« score ») dans le but de répondre à nos obligations légales et réglementaires, et permettre la gestion de nos risques. Ces traitements ont également pour objectif, dans le respect de vos intérêts et de vos droits, de piloter nos activités marketing, élaborer de nouvelles offres, vous proposer un conseil et des offres personnalisées afin de vous apporter un service de plus grande qualité.
Combien de temps conservons-nous vos données personnelles ?
Nous conservons et traitons vos données personnelles pour la durée nécessaire à la réalisation de la finalité poursuivie. Ces durées sont détaillées plus amplement dans les tableaux ci-dessous.
À l’issue de celle-ci, les données personnelles peuvent être conservées en archivage intermédiaire (c’est-à-dire avec accès restreint), à des fins de gestion de la preuve, au maximum pour une durée correspondant à la durée de la relation contractuelle ou de la relation d’affaires, augmentée des délais nécessaires à la liquidation et la consolidation des droits, des durées légales de conservation et de prescription et d’épuisement des voies de recours.
À qui transmettons-nous vos données personnelles ?
Nous sommes tenus, en notre qualité d’établissement de crédit, au secret professionnel. Nous pouvons toutefois, dans le respect de nos obligations relatives au secret bancaire, être amenés à communiquer vos données personnelles à des destinataires.
Ainsi nous pouvons être tenus de communiquer des documents ou des renseignements pouvant comprendre des données personnelles aux autorités légalement habilitées. Ces transmissions sont réalisées dans le respect du « Recueil des procédures « tiers autorisés » » publié par la CNIL et accessible ici >
Nous pouvons également avoir recours à des sous-traitants, entités appartenant ou non au groupe Crédit Agricole, lesquels traitent vos données personnelles pour notre compte et selon nos instructions, sans pouvoir utiliser ces données à d’autres fins que la réalisation des opérations sous-traitées.
Vos données peuvent aussi être communiquées à d’autres responsables de traitement appartenant ou non au Groupe Crédit Agricole, en particulier :
- dans le cadre de la réalisation de vos opérations ou de la gestion de votre situation, par exemple à d’autres établissements de crédit, à des sociétés de caution ou de recouvrement, à un notaire
- dans le cadre de partenariats pour vous proposer des offres et solutions adaptées à vos besoins, par exemple dans les domaines de l’assurance ou de l’épargne
- dans le cadre du pilotage de notre activité, par exemple pour mesurer votre satisfaction
Vous pouvez retrouver plus de détails quant aux destinataires de vos données personnelles dans les tableaux et l’inventaire accessibles par lien.
Comment traitons-nous vos données personnelles en cas de transfert hors de l’Union Européenne ?
Nous apportons la plus grande attention à ce que vos données à caractère personnel soient traitées et conservées sur le territoire de l’Union Européenne (ou dans un pays dont la législation est reconnue adéquate par une décision de la Commission Européenne conformément à l’article 45 du RGPD), ce qui est le cas pour la quasi-totalité des traitements réalisés.
Des transferts de données hors Union Européenne existent néanmoins en particulier dans les situations suivantes (vous pouvez obtenir les clauses contractuelles évoquées ci-dessous auprès de notre DPO) :
- la réalisation des opérations (virements, crédits …) à l’international hors UE demandées par le client ainsi qu’en cas de mobilité bancaire lorsqu’il existe des virements ou des prélèvements récurrents dont les destinataires ou les émetteurs sont situés dans des pays en dehors de l’Union Européenne. Le cas échéant, ce transfert interviendra dans le cadre de la dérogation prévue à l’article 49 1.b) du RGPD, relatif aux transferts nécessaires pour l’exécution du mandat de mobilité bancaire
- la préparation et la restitution de rendez-vous clients lorsqu’une technologie de transcription des échanges oraux vers l’écrit est utilisée
Les pays concernés peuvent être les Etats-Unis, le Chili, Singapour ou Taïwan. Les données font l’objet d’un transit sans stockage. Elles concernent l’identité du client et les éléments d’information personnels exprimés lors de l’entretien. Les transferts sont encadrés par des clauses contractuelles dédiées (Clauses contractuelles type de la Commission européenne) et des engagements de sécurité offrant le niveau de garantie exigé par la réglementation de l’Union européenne - le recours à des prestataires de service dans le cadre de la réalisation d’opérations de ciblage marketing et d’enquêtes d’opinion
Il s’agit de prestations d’hébergement de données auprès d’entreprises de droit américain. Les données concernées sont les coordonnées de contact. Ces transferts de données sont couverts par des clauses contractuelles dédiées (Clauses contractuelles type de la Commission européenne) et des engagements de sécurité offrant le niveau de garantie exigé par la réglementation de l’Union européenne - l’utilisation de traceurs/cookies sur Internet à des fins publicitaires et de connaissance client/prospect – dans ce cas le consentement de l’utilisateur est systématiquement requis – ou à des fins de fonctionnement tels que les mesures d’audience
Il s’agit de prestations auprès d’entreprises de droit américain. Les transferts concernent des données de connexion. Ces transferts de données sont couverts par des clauses contractuelles dédiées (Clauses contractuelles type de la Commission européenne) et des engagements de sécurité offrant le niveau de garantie exigé par la réglementation de l’Union européenne - La détection des tentatives de connexion frauduleuses sur les espaces sécurisés de banque à distance mis à disposition des clients. Les données de contexte de connexion peuvent être accédées sans stockage par nos prestataires dont des bureaux peuvent être situés en dehors de l’Union Européenne, mais qui sont couverts par une décision d’adéquation validée par la Commission Européenne
Par ailleurs, des accès à des données, sans stockage, par des prestataires de services en vue d’opérations de maintenance informatique peut intervenir de manière occasionnelle. Ces accès sont couverts par des clauses contractuelles dédiées (Clauses contractuelles type de la Commission européenne) et des engagements de sécurité offrant le niveau de garantie exigé par la réglementation de l’Union européenne. Les pays concernés sont les Etats-Unis, la Suisse, la Chine, Singapour. Les données concernées sont des logs d’incident et, si nécessaire, des informations hébergées dans le système d’information.
Quels sont vos droits et comment les exercer ?
Vous pouvez, à tout moment, dans les conditions et limites prévues par la loi :
- accéder à vos données personnelles : vous pouvez obtenir des informations concernant le traitement de vos données personnelles ainsi que leur communication
- les faire rectifier : vous pouvez demander la rectification de vos données personnelles qui seraient inexactes ou incomplètes
- vous opposer :
– à leur traitement pour des raisons tenant à votre situation particulière, lorsque la base juridique du traitement est l’intérêt légitime de la Caisse régionale ou de tiers (sauf à ce que la Caisse régionale ne prouve qu’il existe des motifs légitimes et impérieux pour ce traitement qui prévalent sur vos intérêts et vos droits et libertés, ou pour la constatation, l’exercice ou la défense de droits en justice)
– à tout moment et sans justification, à leur traitement à des fins de prospection commerciale par la Caisse régionale ou par des tiers - demander leur effacement : vous pouvez demander la suppression de vos données personnelles, et en particulier lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, à l’exception notamment des traitements nécessaires au respect d’une obligation légale ou à la constatation, à l’exercice ou à la défense de droits en justice
- demander la limitation de leur traitement : vous pouvez demander la suspension ou la restriction du traitement de vos données
- demander leur portabilité : lorsque le traitement est automatisé et est fondé sur le consentement ou l’exécution du contrat ou de mesures précontractuelles, vous pouvez demander la restitution des données personnelles que vous nous avez fournies et/ou leur transfert à un tiers
- communiquer des instructions sur leur sort en cas de décès : vous pouvez définir des directives relatives à la conservation, à l’effacement et à la communication de vos données à caractère personnel, applicables après votre décès
Vous pouvez enfin, lorsque le traitement a pour base légale le consentement, retirer ce consentement pour l’avenir et mettre ainsi fin au traitement de vos données, étant précisé que le retrait du consentement ne remet pas en cause la licéité des traitements effectuées jusqu’alors.
Vous pouvez exercer ces droits en écrivant par lettre simple à Crédit Agricole Centre-Est , Délégué à la Protection des données –DPO, – 1, rue Pierre de Truchis de Lays – 69410 CHAMPAGNE AU MONT D’OR Ou ou par mail à dpo@ca-centrest.fr.
L’utilisateur peut, en cas de contestation, former une réclamation auprès de la CNIL dont le site internet est accessible à l’adresse suivante http:// www.cnil.fr et le siège est situé 3 Place de Fontenoy, 75007 Paris.