Préambule
Le droit au respect de la vie privée est un droit humain fondamental. La vie privée des individus doit être protégée contre toutes les atteintes qui peuvent l’affecter notamment celles qui portent sur leurs informations personnelles.Conscient de l’importance de ce droit, le Groupe Banque Centrale Populaire (ci-après « Groupe BCP ») veille en permanence à la protection des données à caractère personnel (ou données personnelles) et au respect des obligations qui s’imposent pour la collecte, l’utilisation et la conservation des données.Dans un souci de transparence et de strict respect de ses obligations, le Groupe BCP a adopté la présente Politique de protection des données personnelles.Cette Politique a pour objectif de définir les conditions et modalités de la collecte et du traitement des données personnelles effectuées par le Groupe BCP. Elle décrit également les engagements mis en œuvre par le Groupe BCP afin de veiller à la protection des données à caractère personnel et de la vie privée conformément à la réglementation en vigueur.Les stipulations de la Politique peuvent être modifiées à tout moment par le Groupe BCP. Néanmoins, il veille à publier les nouvelles versions sur le site web et à informer les personnes concernées, par tout moyen, en leur offrant également la possibilité de les consulter aisément à travers différentes sections du site web. La présente Politique est complétée par des mentions d’informations spécifiques à la protection des données personnelles relatives aux différents produits et services proposés par le Groupe BCP. Ces mentions détaillées et exhaustives sont disponibles également sur les différents supports utilisés.
Qu’est ce qu’on entend par donnée personnelle ?
- Donnée à caractère personnel : Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres (tels que : nom, prénom, numéro d’identification, adresse électronique, adresse IP, voix, photographie, données de localisation…).
- Données personnelles sensibles : Ces données sensibles forment une catégorie particulière des données personnelles. Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
- Traitement : Toute opération ou ensemble d’opérations portant sur des données à caractère personnel, quel que soit le procédé utilisé (traitements automatisés ou traitements non automatisés de données à caractère personnel), et notamment la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, ainsi que le verrouillage, l’effacement ou la destruction.
- Personne concernée : Constitue une personne concernée au sens de la loi, toute personne physique identifiée ou identifiable dont les données à caractère personnel la concernant font l’objet d’un traitement.
- Destinataire : La personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit la communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers.
- Collecte de données personnelles : consiste, comme son nom l’indique, en l’action de réunir des informations personnelles sur une ou plusieurs personnes et ce par quelconque moyen (formulaire à la main lors d’une rencontre physique), et quelles qu’en soient les finalités.
- Sous-traitant : La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du, et sur instructions d’un responsable du traitement.
- Transfert de données : Toute communication, copie, ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers.
Conformité à la réglementation applicable
Le traitement des données personnelles effectué par le Groupe BCP est notamment soumis au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (Règlement Général sur la Protection des Données Personnelles) ainsi que toute réglementation locale applicable.
Organisation de la gestion des données personnelles au sein du groupe BCP
Dans un objectif de pilotage et de surveillance du fonctionnement des dispositifs de la Data Privacy, le Groupe BCP a mis en place une filière Data Privacy Groupe, pilotée en centrale par le Data Protection Officer (DPO) Groupe.
Le Groupe déploie une organisation similaire au sein des filiales, en l’adaptant en fonction de leurs tailles, de leurs activités et de leurs profils de risque respectifs.
Règles de traitement des données à caractère personnel au sein du groupe BCP
Le Groupe BCP a mis en place un ensemble de principes permettant un traitement loyal et licite des données personnelles collectées, et ce dans le respect des orientations réglementaires en vigueur.
Toute collecte de données à caractère personnel est conditionnée par le respect des règles suivantes :
Le consentement explicite des individus est recueilli avant toute collecte ou utilisation des données personnelles des personnes concernées ;
Les données sont collectées uniquement pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ;
Il est interdit de collecter des données dont la finalité n’est pas justifiée. Les données à caractère personnel collectées doivent être proportionnées à la finalité poursuivie c’est-à-dire être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
Toutes les données doivent être conservées pendant la durée nécessaire à la réalisation de la finalité pour laquelle elles sont collectées, sauf si une autre période de conservation est exigée par la loi ou si le consentement de la personne concernée a été obtenu ;
Le Groupe met en place toutes les mesures de sécurité afin d’assurer la confidentialité, l’exactitude, l’intégrité des données manipulées.Typologie de données personnelles traitées par le Groupe BCP
Une donnée personnelle se définit comme toute information se rapportant à une personne physique identifiable ou qui peut être utilisée pour l’identifier, directement ou indirectement tels que le nom, prénom, adresse électronique et postale, numéro de téléphone.Le Groupe BCP s’engage à ne collecter que les données pertinentes et nécessaires à la réalisation des produits et services souscrits.Les principales catégories de données personnelles que le Groupe BCP est amené à traiter et collecter directement auprès des personnes concernées :- Données d’état civil et données d’identification administrative et de contact : nom, prénom, genre, date de naissance, copies de pièces d’identité, numéro de téléphone, email professionnel et/ou personnel, etc. ;
- Données liées à la situation personnelle : situation familiale, régime matrimonial, nombre et âge des enfants, etc. ;
- Données liées à la formation et à la situation professionnelle : diplômes, niveau d’étude, poste occupé, nom de l’employeur, lieu de travail, etc. ;
- Informations d’ordre économique et financier : revenus, situation financière et fiscale, etc. ;
- Données d’opérations et de transactions bancaires : nature des opérations, date, paiements par carte, virement, prélèvement, montant de la transaction, libellé ;
- Données de connexion liées à l’utilisation de nos services en ligne : données d’identification et d’authentification aux espaces connectées, logs, cookies, données de navigation sur les sites et applications ;
- Données issues des correspondances et communications entre les personnes concernées, en agence ou à distance : entretien, appels téléphoniques, messages électroniques, messageries instantanées, communications sur les réseaux sociaux ou tout autre type de communication ;
- Données liées aux produits et services souscrits : type de produit, mode de règlement, échéance, montant, etc. ;
- Données d’authentification collectées dans le cadre du KYC et de la réglementation inhérente à la lutte contre le blanchiment.
Dans le cadre de ses activités, le Groupe BCP est susceptible de collecter des catégories spéciales de données personnelles (ou « données sensibles ») telles que des données de santé, des données relatives aux convictions religieuses ou encore des données biométriques, uniquement lorsque cela est strictement nécessaire, notamment dans le cadre du recrutement de ses salariés, de la gestion de l’héritage ou de la souscription à des contrats d’assurance.Par ailleurs, le Groupe BCP ne réalise aucun traitement de données relatives aux origines raciales, aux opinions politiques, aux croyances philosophiques, à l’appartenance syndicale, aux données génétiques ou l’orientation sexuelle, à moins qu’une obligation légale ne l’y contraigne. Le Groupe BCP pourrait obtenir également les données à caractère personnel précédemment citées auprès notamment de tiers (partenaires, fournisseurs, etc.), de sources accessibles au public ou d’administrations et autorités publiques.
Finalités et bases légales de l’utilisation des données personnelles
La finalité d’un traitement se définit comme l’objectif ou le but pour lequel les données personnelles sont collectées, utilisées, traitées ou conservées.Le Groupe BCP s’engage à traiter les données personnelles, pour des finalités déterminées, explicites et légitimes, et à ne pas les traiter ultérieurement d’une manière incompatible avec ces finalités.Ainsi, chaque traitement des données mis en œuvre poursuit une finalité sur la base des fondements suivants :
- L’exécution d’un contrat auquel la personne concernée est partie prenante, lors de la proposition, la mise en place et l’exécution d’un produit ou d’un service, notamment :
- La tenue et la gestion de compte ;
- L’octroi de crédit ;
- La souscription à un produit ou service.
- Le respect d’obligations légales et réglementaires auxquelles le Groupe ou une de ses entités est soumise, telles que :
- La lutte contre le blanchiment d’argent et le financement du terrorisme ;
- La lutte contre la fraude fiscale ;
- L’échange d’informations avec l’administration fiscale (FATCA) ;
- Les demandes officielles d’autorités publiques ou judiciaires compétentes (BAM, Tribunaux, etc.).
- La sauvegarde des intérêts vitaux de la personne concernée, ou d’une autre personne physique : Le traitement ne peut être fondé sur l’intérêt vital d’une personne que s’il est motivé par l’urgence de la situation médicale et qu’il est nécessaire à l’administration de soins correspondants ;
- L’exécution d’une mission d’intérêt public, notamment les cas de déclarations de soupçons de blanchiment d’argent et de financement du terrorisme pour lesquelles la déclaration est réglementairement soumise au secret absolu ;
- Les intérêts légitimes poursuivis par le Groupe BCP à condition de ne pas méconnaître l’intérêt et les droits de la personne concernée. On peut citer à cet égard :
- Analyse du recours aux produits et services, dans une perspective d’amélioration des produits et services commercialisés par le Groupe BCP ;
- La gestion des risques.
- Consentement de la personne concernée : le Groupe BCP pourrait être amené à transmettre aux personnes concernées des informations avec la possibilité de leur permettre de retirer leur consentement à tout moment. Il pourrait s’agir essentiellement de toute offre commerciale par voie électronique portant sur des produits
Partage des données personnelles
Partage à l’échelle nationale :
Dans le but de respecter les finalités susmentionnées, le Groupe BCP serait appelé à partager les données à caractère personnel avec les individus et les entités habilités et autorisés, notamment :- Aux entités du groupe BCP, à ses partenaires, sous-traitants et prestataires, et ce pour les seuls besoins des finalités décrites ci-dessus ;
- Aux autres établissements teneurs de compte pour les transferts de fonds ;
- Aux intermédiaires pour l’exécution de certaines opérations bancaires ;
- Aux autorités financières, fiscales, administratives, judiciaires et de tutelle habilitée ;
- Aux services d’intérêt commun ;
- Aux compagnies d’assurance et aux courtiers agréés ;
- Aux ayants droit, tuteurs et mandataires habilités ;
- Aux arbitres, médiateurs et aux autorités chargées de l’application de la loi ;
- À certaines professions réglementées telles que les commissaires aux comptes, les notaires, les avocats, afin de fournir des rapports réglementaires ou pour agir pour la défense des droits du Groupe BCP ;
- Aux prestataires de services de paiement tiers pour les besoins de la fourniture d’un service d’initiation de paiement ou d’information sur les comptes en cas de consentement de la personne concernée.
Partage à l’international :
Les traitements évoqués précédemment peuvent impliquer des transferts de données à caractère personnel vers des pays, dont la législation en matière de protection des données personnelles est inexistante ou moins stricte que la loi nationale.Dans ce cas, le Groupe BCP prend les dispositions nécessaires avec ses sous-traitants et partenaires afin de garantir un niveau de protection des données personnelles adapté et conforme aux normes de protection des données personnelles en vigueur.A ce titre, le Groupe BCP met en œuvre toutes les mesures contractuelles, techniques, organisationnelles et physiques appropriées pour préserver la sécurité et la confidentialité des données personnelles tout au long du processus de transfert.
Conservation des données personnelles
Le Groupe BCP s’engage à conserver les données personnelles pour la durée nécessaire à la finalité de leur traitement, dans les conditions et limites prévues par la réglementation en vigueur. A l’issue de la période réglementaire de conservation, les données concernées sont supprimées.
Par exception, les données personnelles pourront être archivées pour gérer les réclamations et contentieux en cours ainsi que pour répondre aux autorités habilitées à en faire la demande.
En outre, certaines données personnelles pourront être conservées et anonymisées à des fins d’analyses statistiques.
Exercice des droits des personnes concernées
Conformément à la règlementation applicable, le Groupe BCP garantit aux personnes concernées d’exercer leurs droits auprès de toutes les entités du Groupe qui traitent les données personnelles à savoir :
- Droit à l’information : Le droit à l’information concerne l’information préalable de toute personne, de manière précise et claire, sur la manière dont les données sont collectées, traitées et protégées.
- Droit d’accès : Toute personne concernée a le droit de demander par écrit, à des intervalles raisonnables, l’accès à ses données à caractère personnel et de savoir si ses données sont traitées ou non, ainsi que d’obtenir des informations sur les finalités du traitement, les catégories de données, les informations sur les finalités du traitement, les catégories des données concernées et les destinataires auxquels ses données sont éventuellement communiquées.
- Droit de rectification : Toute personne concernée peut exiger par écrit, dès lors qu’elle constate que ses données à caractère personnel sont inexactes ou incomplètes, de les modifier en conséquence.
- Droit à l’effacement : Toute personne concernée peut demander à l’établissement d’effacer ses données personnelles si ces dernières ne sont plus nécessaires à des fins de traitement, si elles ont été traitées illégalement ou si la personne concernée retire son consentement.
- Il est important de noter que le Groupe BCP n’est pas tenu de supprimer les données si leur traitement est nécessaire pour se conformer à une obligation légale.
- Droit à la limitation : Toute personne concernée peut demander la limitation des traitements de ses données à caractère personnel sauf pour la conservation ou dans le cas où il y a un intérêt légitime pour la poursuite du traitement.
- Droit d’opposition : Toute personne concernée peut formuler une opposition au traitement de ses données à caractère personnel, pour des motifs légitimes tenant à sa situation particulière notamment en matière de prospection commerciale.
- Retrait de consentement : lorsque la personne concernée donne son consentement pour le traitement de ses données à caractère personnel, elle a le droit de retirer son consentement à n’importe quel moment.
Les personnes souhaitant exercer l’un des droits évoqués en dessus, peuvent adresser leurs demandes en ligne en renseignant le formulaire d’exercice des droits, le Groupe BCP s’efforcera de donner suite à toutes les demandes dans un délai raisonnable et, en tout état de cause, dans les délais fixés par la loi. Pour toute question relative à l’exercice des droits, les personnes concernées peuvent contacter, le Délégué à la protection des données à caractère personnel (DPO) en envoyant un courrier électronique à l’adresse : DPOGroupe@cpm.co.ma ou par courrier postal à l’adresse : Délégué à la Protection des Données de BCP -- 101, boulevard Mohamed Zerktouni – BP 10.622 - 20100- Casablanca. Toute personne concernée peut introduire un recours devant les juridictions compétentes, sans préjudice de son droit de soumettre une réclamation auprès de l’Autorité de Contrôle compétente, si elle s’estime victime d’une violation de la règlementation relative à la protection des données à caractère personnel.
Mesures de sécurité
Le Groupe BCP prend toutes les mesures physiques, techniques et organisationnelles pour garantir la confidentialité, l’intégrité et la disponibilité des données personnelles, en particulier afin de les protéger contre la perte, la destruction accidentelle, l’altération et l’accès non autorisé. Le Groupe BCP s’emploie à protéger les données à caractère personnel en tenant compte de leur sensibilité et de la finalité de leur traitement.
Les données personnelles sont conservées dans des systèmes d’information répondant à des critères de sécurité élevés dont l’accès est restreint aux seules personnes autorisées. A ce titre, le Groupe BCP s’assure que l’ensemble de ses collaborateurs ainsi que toutes personnes intervenant dans le traitement de ses données pour son compte (et notamment ses sous-traitants) respectent des mesures de protection et de confidentialité des données traitées conformément à la réglementation en vigueur et ses exigences.