INFORMATION RELATIVE AU RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES (RGPD) entré en application le 25/05/2018

La collecte et l’utilisation des données personnelles des clients étant à la base de l’activité bancaire, la protection de ces données est primordiale pour BGFIBank Europe. Les banques étant particulièrement concernées par les nouvelles obligations induites par le Règlement Général sur la Protection des Données (RGPD ou GDPR de l’anglais General Data Protection Regulation), et partant du fait que le règlement s’applique au traitement de données à caractère personnel ainsi qu’aux traitements effectués par le responsable du traitement sur le territoire de l’UE, que le traitement ait lieu ou non dans l’UE, BGFIBank Europe a été naturellement impacté de ces nouvelles dispositions.

  • Le RGPD, qu’est-ce que c’est ?

Le règlement no 2016/679 dit RGPD (Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne. Après quatre années de négociations législatives, ce règlement a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions sont directement applicables dans l’ensemble des 28 États membres de l’Union européenne à compter du 25 mai 2018. Ce règlement remplace la directive sur la protection des données personnelles adoptée en 1995 (article 94 du règlement) ; contrairement aux directives, les règlements n’impliquent pas que les États membres adoptent une loi de transposition pour être applicables.

Ce règlement s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 établissant des règles sur la collecte et l’utilisation des données sur le territoire français. Il a été conçu autour de 3 objectifs : renforcer les droits des personnes ; responsabiliser les acteurs traitant des données et crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

  • Qui est concerné par cette nouvelle réglementation ?

Le RGPD s’adressent à toute structure privée ou publique effectuant de la collecte et/ou du traitement de données. Le règlement s’applique à tous les organismes établis sur le territoire de l’Union Européenne, mais aussi tout organisme implanté hors de l’UE mais dont l’activité cible directement des résidents européens. À noter que le RGPD concerne également les sous-traitants, c’est-à-dire toute structure qui traiterait ou collecterait des données pour le compte d’une autre entité.

  • Quels sont les objectifs du RGPD ?

Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ce nouveau règlement régit le traitement des données personnelles.

Par traitement, il faut entendre la collecte, le stockage, l’utilisation, la transmission et la suppression des données, qui peuvent appartenir aux clients, aux employés et/ou aux fournisseurs. Ces données englobent les informations sur les transactions des clients, leurs coordonnées, les copies de leur passeport, etc. Les personnes ont désormais davantage de contrôle sur leurs informations personnelles, peuvent être informés et prendre connaissance des raisons pour lesquelles leurs données sont traitées. Les personnes peuvent également faire valoir leurs droits sur la base de ces informations.

  • Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle (ou donnée à caractère personnel) est décrite par la CNIL comme toute information se rapportant à une personne physique identifiée ou identifiable. Il existe 2 types d’identifications : identification directe (par le nom, le prénom, une photographie, etc.) ou l’identification indirecte (par un identifiant, un numéro, une adresse IP, un identifiant de connexion informatique, une adresse postale, une empreinte, un enregistrement vocal, un numéro de sécurité sociale, un mail, etc.).

Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, il s’agit de traitement de données. La CNIL donne les actions suivantes à titre d’exemple du traitement des données : tenue d’un fichier de ses clients, collecte de coordonnées de prospects via un questionnaire ou encore la mise à jour d’un fichier de fournisseurs.

Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés : par exemple, une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la CNIL et dont l’intérêt public est avéré.

Les personnes concernées par des traitements de données personnelles disposent de droits leur permettant de garder la maîtrise des informations les concernant. Le responsable de fichier doit expliquer aux personnes concernées la procédure  (où, comment et à qui s’adresser ?) permettant de les exercer concrètement. Le responsable du fichier dispose d’un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.

Pour être loyale et licite, la collecte de données personnelles doit s’accompagner d’une information claire et précise des personnes sur :  

  • l’identité du responsable du fichier ;
  • la finalité du fichier ;
  • le caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse ;
  • les destinataires des données ;
  • leurs droits (droit d’accès, de rectification, et d’opposition) ;
  • les éventuels transferts de données vers des pays hors UE.
L’ information est préalable à toute collecte des données : 
Le support de cette information varie en fonction des caractéristiques du fichier (exemple, panneau d’information pour une vidéosurveillance, mention d’information sur un formulaire, lecture de cette information en cas de recueil de données par téléphone). Le consentement est une démarche active de l’utilisateur, explicite et de préférence écrite, libre, spécifique et informée.

Les anciens droits toujours applicables avec le RGPD : 

  • Le droit d’accès 

Le droit d’accès aux données existait déjà avant le RGPD, mais celui-ci permet à la personne concernée de demander de nouvelles informations complémentaires. Vous avez désormais le droit de connaître :

  • la durée de conservation des données qui vous concernent,
  • la source des données quand elles n’ont pas été collectées auprès de vous,
  • les informations concernant un profilage éventuel,
  • les garanties prises en cas de transfert des données hors périmètre de l’UE.

Toute personne peut accéder à l’ensemble des informations la concernant, connaître l’origine des informations le concernant, accéder aux informations sur lesquelles BGFIBank Europe s’est fondé pour prendre une décision le concernant (par exemple, les éléments qui auraient servi pour ne pas vous accorder une promotion ou le score attribué par une banque et qui a conduit au rejet de votre demande de crédit), en obtenir la copie (des frais n’excédant pas le coût de la reproduction peuvent être demandés) ou exiger que ses données soient rectifiées, complétées, mises à jour ou supprimées.

Le droit d’accès peut s’exercer par écrit : courrier postal, accompagné d’une copie d’une pièce d’identité. Idéalement, en recommandé avec accusé de réception ou sur place avec présentation d’une pièce d’identité. Il est possible de se faire accompagner par la personne de son choix. La consultation doit durer suffisamment longtemps pour prendre note commodément et complètement des informations. Il est possible de demander une copie des données. Le responsable du fichier dispose d’un délai de réponse maximal d’un mois à compter de la date de réception de la demande.

Si la demande exercée sur place ne peut être satisfaite immédiatement, un avis de réception daté et signé doit être remis au demandeur. Si la demande est incomplète (absence de la pièce d’identité par exemple), le responsable du fichier est en droit de demander des compléments : le délai est alors suspendu et courre à nouveau une fois ces éléments fournis.

  • Le droit d’opposition 

Les personnes doivent pouvoir s’opposer à la réutilisation par BGFIBank Europe de leurs coordonnées à des fins de sollicitations, notamment commerciales, lors d’une commande ou de la signature d’un contrat par exemple. Une case à cocher, non cochée par défaut, permet d’exprimer leur choix directement. La simple mention de l’existence de ce droit dans les conditions générales n’est pas suffisante. Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données par BGFIBank Europe, sauf si celui-ci répond à une obligation légale (par exemple le fichier des impôts ou les exigences réglementaires en matière de connaissance client). Le même droit s’exerce, à tout moment pour des raisons tenant « à la situation particulière » de la personne concernée.

  • Le droit de rectification

Les personnes physiques disposent d’un droit de rectification de leurs données. Si les données personnelles sont inexactes ou incomplètes, la personne peut obtenir que ces dernières soient complétées ou modifiées en fournissant une « déclaration complémentaire » à BGFIBank Europe, qui lui accordera une réponse complète dans les meilleurs délais.

  • Le droit à l’oubli 

Le RGPD renforce fortement le droit à l’oubli et  prévoit que les données doivent être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Concrètement, les informations ne peuvent donc pas être conservées de façon indéfinie par BGFIBank Europe. Les personnes physiques peuvent demander l’effacement (droit à l’oubli) dans les meilleurs délais de leurs données, ce dans plusieurs hypothèses :

  • dès lors que les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées,
  • si la personne retire son consentement sur lequel est fondé le traitement ou si elle s’oppose au traitement,
  • ou si le traitement est illicite.

Les nouveaux droits apportés par le RGPD : 

  • Le droit à la portabilité

Les personnes physiques peuvent demander à BGFIBank Europe une copie des données personnelles les concernant sous un format structuré, courant et électronique. L’objectif est de permettre aux utilisateurs de changer de fournisseur sans perdre de données (par exemple, dans le cas d’un changement de plateforme numérique avec transfert des données à une autre plateforme).

  • Le droit au refus du profilage ou de décisions automatisées

L’utilisation d’un algorithme visant à analyser les données d’un individu afin d’évaluer son intérêt pour certains types de produits et services, la probabilité qu’il les achète, qu’il se comporte de telle ou telle manière ou encore qu’il soit à tel ou tel endroit, peut être qualifiée de profilage, et donc faire l’objet d’un droit d’opposition.

Le droit d’opposition au profilage ne s’applique pas lorsque le profilage est nécessaire dans le cadre d’un contrat entre la personne concernée et BGFIBank Europe, autorisé par le droit de l’Union ou d’un État membre ou fondé sur le consentement explicite de l’individu.

  • Le droit à la limitation du traitement des données

Une personne physique peut demander à BGFIBank Europe de conserver les données qu’il détient la concernant, mais sans pouvoir les utiliser. Ce droit s’applique si :

  • l’exactitude des données à caractère personnel est contestée par la personne concernée,
  • les données font l’objet d’un traitement illicite,
  • les données personnelles ne sont plus nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice,
  • la personne concernée s’est opposée au traitement en vertu de son droit d’opposition.

 

Ces droits peuvent être exercés pour les clients de BGFIBank Europe en écrivant par courrier simple ou mail à l’adresse ci-dessous :

BGFIBank Europe
Délégué à la protection des données
10/12 rue du Général Foy 75008 PARIS
dpo_bbe@bgfi.fr (en indiquant dans l’objet du mail « Saisie DPO » suivi de l’objet de votre demande).

Désignation DPO à la CNIL : DPO-1819 (depuis le 19/04/2018).

Dans le cas où votre demande ne recevrait pas de réponse ou si cette réponse ne vous convenait pas, vous pouvez déposer une réclamation en ligne auprès de la CNIL via le lien suivant : https://www.cnil.fr/fr/plaintes.

La CNIL intervient auprès du responsable du fichier pour faire respecter vos droits. Elle peut prononcer des sanctions (avertissement, sanctions pécuniaires, injonctions, etc.).

 

Quand adresser une réclamation ?

  • Quand vous ne parvenez pas à exercer vos droits “Informatique et Libertés“. Par exemple, vous avez demandé à votre banque une copie des données vous concernant enregistrées dans ses fichiers il y a plus d’un mois et elle ne vous a toujours pas répondu.
  • Quand vous souhaitez signaler une atteinte aux règles de protection des données personnelles par un organisme public ou privé. Par exemple, si votre employeur a installé une caméra de vidéosurveillance sans en informer les salariés.

Comment adresser une réclamation ?

  • Sur le site internet de la CNIL:
  • Par courrier postal en écrivant à : CNIL – 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07 

Quels documents devez-vous fournir avec votre réclamation ? 

Tout document attestant les faits décrits dans votre réclamation. Par exemple, la copie du courrier, resté sans réponse, que vous avez adressé à votre banque afin d’exercer votre droit d’accès il y a plus d’un mois. 
A savoir ! Les délais de traitement des réclamations peuvent être importants en raison du grand nombre de saisines que nous recevons et de la complexité de votre dossier (réponses apportées par le responsable du fichier, actions entreprises par la CNIL pour instruire votre plainte, etc.). 

Lexique et termes :

Data Protection Officer) : chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme. Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions. La responsabilité du délégué est similaire à celle du CIL. Les lignes directrices du G29 précisent que le délégué n’est pas responsable en cas de de non-respect du règlement. Ce dernier établit clairement que c’est le responsable du traitement ou le sous-traitant qui est tenu de s’assurer et d’être en mesure de démontrer que le traitement est effectué conformément à ses dispositions (article 24.1 du règlement). 

Responsable du traitement : sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, il s’agit de la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal. Le responsable du traitement concerné ici est BGFIBank Europe domiciliée au 10-12 rue du Général Foy, 75008 Paris.

 

Pour en savoir plus :