Données personnelles

  1. Préambule
  • Contexte

La présente Politique s’inscrit dans le cadre de l’acte additionnel A/SA du 01/01/2010 relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO et de la politique de protection des données à caractère personnel du Groupe BMCE BANK OF AFRICA.

 

  • Périmètre et champ d’application

La présente politique s’applique à tous les collaborateurs et entités de BOA-SÉNÉGAL sans restriction.

Le suivi du respect des principes qui y figurent incombe en premier lieu aux fonctions opérationnelles dans le cadre du contrôle de premier niveau, puis aux fonctions dédiées au contrôle notamment la fonction Conformité.

 

  • Objectifs de la politique générale de Protection des données à caractère personnel

La présente politique générale énonce les principes et lignes directrices applicables à BOA-SÉNÉGAL en matière de traitement des données à caractère personnel.

Il a pour objet de définir les conditions de traitement de données à caractère personnel et de mettre l’accent sur les obligations qui régissent BOA-SÉNÉGAL en matière de respect des droits des personnes concernées (clients, membres du personnel, prospect…) lors du traitement et transfert de leurs données

  • Sources

La présente Politique s’inscrit dans le cadre de l’application des dispositions :

  • De la loi 2008-12 du 25 Janvier 2008 relative à la protection des données à caractère personnel ;
  • Acte additionnel A/SA.1/01/2010 relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO ;
  • Politique de conformité de BOA-SÉNÉGAL ;
  • Politique générale de Protection des données à caractère personnel de BMCE BANK OF AFRICA ;
  • Code de déontologie de BOA-SÉNÉGAL.

 

  • Les principes directeurs

BOA-SÉNÉGAL adhère aux quatre (4) principes directeurs, ci-après :

  • La responsabilité individuelle : la conformité est l’affaire de chacun. Elle ne peut être dissociée de l’exercice de toute activité professionnelle au sein de la banque ou en son nom quelle que soit la mission ou la direction dont chacun relève. L’existence d’une fonction Conformité au sein de la banque ne saurait exonérer quiconque de sa propre responsabilité personnelle dans tous les domaines de la conformité.
  • L’exhaustivité : les missions de l’entité Conformité s’étendent à tous les niveaux de la banque ; pour les exercer dans de bonnes conditions, elle doit avoir accès à toutes les informations nécessaires dans les différentes directions.
  • L’indépendance : les collaborateurs et correspondants conformité au sein de la banque exercent leurs missions dans des conditions qui garantissent leur indépendance de jugement et d’action.
  • La règle du « mieux disant » déontologique: dans le domaine des normes déontologiques, celles retenues par BOA-SENEGAL prévalent sur les règles locales dès lors que ces dernières sont d’un niveau d’exigence et rigueur inférieur.

 

  1. Traitement des données à caractère personnel
  • Définitions :
  • Données à caractère personnel

Les données à caractère personnel ou données personnelles sont des informations existant sous diverses formes et permettant d’identifier directement ou indirectement une personne par référence à un numéro d’immatriculation ou à un ou plusieurs éléments propres à son identité physique, physiologique, biométrique, génétique, psychique, culturelle, sociale ou économique. Elles peuvent être des identifiants   universels permettant de raccorder entre eux, plusieurs fichiers constituant des bases de données, ou de procéder à leur interconnexion.

Une donnée à caractère personnel est une information relative à une personne physique identifiée ou identifiable, de quelque nature qu’elle soit et indépendamment de son support y compris le son et l’image.

 

Est réputée « identifiable », une personne qui peut être identifiée directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique.

Exemples :

  • Identification directe : nom et prénom,
  • Identification indirecte : numéro de compte (ne permet d’identifier une personne que si l’on dispose simultanément du fichier client), …

Les données bancaires (transactions, opérations sur titres, virements…) sont des données à caractère personnel dès lors que les émetteurs, les bénéficiaires, les contreparties ou le personnel chargé des opérations peuvent être identifiés.

De même, les fichiers de personnes morales peuvent contenir des données à caractère personnel dans la mesure où peuvent être enregistrées l’identité des dirigeants, des bénéficiaires effectifs et/ou des contacts ou au moins leurs coordonnées.

 

  • Traitement des données à caractère personnel

Toute opération ou ensemble d’opérations , effectuées à l’aide de procédés automatisés ou non, et appliquées à des données, telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction des données à caractère personnel.

Exemple :

La collecte manuelle ou informatique des nom et prénoms du client constitue un traitement de données à caractère personnel.

 

  • Fichier de données à caractère personnel

Constitue un fichier de données à caractère personnel, tout ensemble structuré et stable de données à caractère personnel accessible selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

 

Les fichiers de données à caractère personnel concernent aussi bien les clients, les salariés, les prestataires, les fournisseurs, les dirigeants sociaux, …, quel que soit leur lieu de résidence et leur nationalité.

Exemple :

Un ensemble structuré de fiches cartonnées classées par ordre alphabétique peut être qualifié de fichier de données à caractère personnel. Il en est de même pour un dossier papier avec un numéro.

 

  • Responsable du traitement Le responsable d’un traitement de données à caractère personnel est la personne physique ou morale, publique ou privée, tout autre organisme ou association qui, seul ou conjointement avec d’autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités. BOA-SÉNÉGAL est le responsable du traitement.

 

  • Sous-traitant

Toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui traite des données pour le compte du responsable du traitement.

Exemple : L’entité Informatique est un sous-traitant de BOA-SÉNÉGAL.

 

  • Transfert international des données à caractère personnel

Constitue un transfert international de données à caractère personnel vers un pays tiers, toute communication, copie ou déplacement de données par l’intermédiaire d’un réseau, ou toute communication, copie ou déplacement de ces données d’un support à un autre, quel que soit le type de ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire.

  • Données sensibles

Une donnée sensible est une donnée à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, la vie sexuelle, de la personne concernée ou qui est relative à sa santé y compris ses données génétiques.

 

  • Conditions préalables au traitement des données à caractère personnel

Les traitements de données à caractère personnel ne font l’objet d’aucune déclaration ou demande d’autorisation préalable.

 

  • Les règles de traitement des données à caractère personnel

BOA-SÉNÉGAL a mis en place un ensemble de principes permettant un traitement loyal et licite des données clients en respectant les orientations réglementaires internationales dans le domaine.

BOA-SÉNÉGAL est tenue de procéder au traitement des données à caractère personnel suivant les règles suivantes :

  • Les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.
  • Il est prohibé de collecter les données dont la finalité n’est pas justifiée. Les données à caractère personnel collectées doivent être proportionnées à la finalité poursuivie c’est-à-dire être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
  • Toutes les données à caractère personnel collectées, sont conservées pour une durée limitée n’excédant pas la durée nécessaire à la réalisation des finalités pour lesquelles elles sont collectées et traitées, ou conformément à la durée de conservation minimale prévue par la législation applicable.
  • Les données doivent être traitées loyalement et licitement, et ne peuvent faire objet de cession externe ou d’utilisation par des personnes/prestataires externes (sous-traitants, consultants…)
  • Il convient de mettre en place les mesures de sécurité nécessaires afin d’assurer la confidentialité, l’exactitude et l’intégrité des données manipulées.
  • Le traitement des données, à caractère personnel ne peut être effectué que si la personne concernée a indubitablement donné son consentement à l’opération ou à l’ensemble des opérations envisagées.
  • Tout traitement effectué pour le compte du responsable du traitement doit être régi par un contrat ou un acte juridique consigné par écrit qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n’agit que sur la seule instruction du responsable du traitement et que les obligations relevées précédemment sont respectées.
    • Les règles de transfert des données à caractère personnel avec un pays tiers

BOA-SÉNÉGAL ne peut transférer des données à caractère personnel vers un pays tiers que si cet Etat assure un niveau de protection suffisant de la vie privée, des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font ou peuvent faire l’objet.

 

  • Restriction à la collecte des données à caractère personnel

Il s’agit d’informations qui ne sont pas recueillies directement auprès de la personne concernée. Dans ce cas, il est nécessaire de demander à la personne qui fournit les informations (le client ou autre) d’informer la personne concernée des informations qu’elle a transmises à la banque. A défaut, c’est la banque qui doit informer la personne dont les données sont collectées indirectement.

Il est interdit de procéder à la collecte et à tout traitement des données sensibles sauf dans les cas ci-après :

  • La personne concernée a donné son consentement par écrit, quel que soit le support, à un tel traitement et en conformité avec les textes en vigueur ;
  • Une procédure judiciaire ou une enquête pénale est ouverte ;
  • Le traitement des données à caractère personnel s’avère nécessaire pour un motif d’intérêt public notamment à des fins historiques, statistiques ou scientifiques.

 

  • Les cas de dérogation à la condition du consentement pour le traitement des données à caractère personnel

Le consentement des personnes concernées n’est pas exigé dans les cas suivants :

  • Le traitement est nécessaire au respect d’une obligation légale à laquelle est soumis(e) le responsable du traitement ou la personne concernée.
  • Le traitement entre dans le cadre de l’exécution d’un contrat auquel la personne concernée est partie.
  • La personne concernée est dans l’incapacité physique ou juridique de donner son consentement et le traitement envisagé permet la sauvegarde d’intérêts vitaux la concernant.
  • Le traitement permet l’exécution d’un service d’intérêt public ou relevant de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel il a communiqué les données ( Cas des déclarations de soupçons de blanchiment d’argent et de financement du terrorisme pour lesquelles la déclaration est réglementairement soumise au secret absolu : le client ne doit en aucune façon apprendre que les opérations ou les sommes qu’il a confiées à la banque ont conduit à une déclaration de soupçons).
  • Le traitement permet la réalisation d’un intérêt légitime poursuivi par le responsable du traitement, à condition de ne pas méconnaître l’intérêt et les droits des personnes concernées.

 

  1. Obligations du Responsable du traitement (BOA-SÉNÉGAL) des données à caractère personnel
  • Obligations de confidentialité

Le traitement des données à caractère personnel est confidentiel. Il est effectué exclusivement par des personnes qui agissent sous l’autorité de BOA-SÉNÉGAL et seulement sur ses instructions.

Pour la réalisation du traitement, BOA-SÉNÉGAL doit choisir des personnes présentant, au regard de la préservation de la confidentialité des données, toutes les garanties tant de connaissances techniques et juridiques que d’intégrité personnelle.

Tous les employés BOA-SÉNÉGAL ainsi que les prestataires ayant accès aux données à caractère personnel (sous-traitants) doivent signer un engagement écrit à traiter les données à caractère personnel conformément aux principes énoncés dans la présente politique générale.

Le contrat liant chaque sous-traitant à BOA-SÉNÉGAL doit comporter l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et doit prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

  • Obligations de sécurité

BOA-SÉNÉGAL est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des personnes non autorisées y aient accès. La banque devra en particulier prendre les mesures visant à :

  • Garantir que, pour l’utilisation d’un système de traitement automatisé de données, les personnes autorisées ne puissent accéder qu’aux données à caractère personnel relevant de leur compétence ;
  • Garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des données à caractère personnel peuvent être transmises ;
  • Garantir que puisse être vérifiée et constatée à posteriori l’identité des personnes ayant eu accès au système d’information et quelles données ont été lues ou introduites dans le système, à quel moment et par quelle personne ;
  • Empêcher toute personne non autorisée d’accéder aux locaux et aux équipements utilisés pour le traitement des données ;
  • Empêcher que des supports de données puissent être lus, copiés, modifiés, détruits ou déplacés par une personne non autorisée ;
  • Empêcher l’introduction non autorisée de toute donnée dans le système d’information ainsi que toute prise de connaissance, toute modification ou tout effacements non autorisés de données enregistrées ;
  • Empêcher que des systèmes de traitements de données puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données ;
  • Empêcher que, lors de la communication de données et du transport de supports de données, les données puissent être lues, copiées, modifiées ou effacées de façon non autorisée ;
  • Sauvegarder les données par la constitution de copies de sécurité
  • Rafraîchir et si nécessaire convertir les données pour un stockage pérenne.

 

  • Obligations de conservation

Les données à caractère personnel ne peuvent être conservées au-delà de la durée nécessaire qu’en vue d’être traitées à des fins historiques, statistiques ou scientifiques.

 

  • Obligations de pérennité

BOA-SÉNÉGAL est tenue de prendre toute mesure utile pour s’assurer que les données à caractère personnel traitées pourront être exploitées quel que soit le support technique utilisé. Elle doit particulièrement s’assurer que l’évolution de la technologie ne sera pas un obstacle à cette exploitation.

 

  1. Droits des personnes à l’égard des traitements de données à caractère personnelle
  • Droit à l’information

La personne concernée par le traitement des données doit être informée de(s) :

  • L’identité du responsable du traitement ;
  • La finalité poursuivie par le traitement ;
  • Destinataires ou catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
  • Ses droits : accès, opposition, rectification, suppression ;
  • La durée de conservation des données ;
  • Le cas échéant, des transferts de données à caractère personnel envisagés à destination de l’étranger.

 

  • Droit d’accès

Toute personne physique, justifiant de son identité, a le droit d’interroger par écrit le responsable d’un traitement automatisé de données à caractère personnel en vue d’obtenir :

  • La confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement ;
  • Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées, aux destinataires ou aux catégories de destinataires auxquelles les données sont communiquées ;
  • Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés.
    • Droit de rectification et de suppression

Toute personne physique justifiant de son identité peut exiger, par écrit, de BOA-SÉNÉGAL que soit, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel le concernant, qui sont inexactes, incomplètes, équivoques, périmées ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Remarque : un prospect peut demander à tout moment à être supprimé des fichiers de prospection commerciale de la banque BOA-SÉNÉGAL doit justifier dans un délai de 1 mois après l’enregistrement de la demande, la mise en œuvre effective de la requête du client.

  • Droit d’opposition

Le droit d’opposition permet à un client personne physique de s’opposer, pour des motifs légitimes, à ce que ses données soient utilisées à des fins de prospection, notamment commerciale.

Un client ou prospect doit pouvoir manifester son accord ou son désaccord à recevoir des sollicitations commerciales avant toute signature de contrat ou de convention. Et même en cas d’accord initial de sa part pour être sollicité, il peut à tout moment revenir sur cet accord et demander à être supprimé des fichiers de prospection commerciale de la banque.

Ainsi, lors de toute nouvelle entrée en relation : la manifestation de l’accord ou de l’opposition du client est recueillie sur un formulaire papier ou sur une case à cocher si le service est hébergé en ligne.

Ce formulaire sera édité en agence par le conseiller clientèle qui est chargé de le faire remplir et signer par le client au même titre que les autres documents demandés lors de l’entrée en relation ou sur le site internet de BOA-SÉNÉGAL en cas d’entrée en relation virtuelle à travers internet. Ainsi, cette autorisation devient une donnée obligatoire dans l’entrée en relation au même titre notamment que la carte d’identité.

 

  1. Dispositif de protection des données à caractère personnel
  • Rôle de la fonction Conformité

La fonction Conformité est l’interlocuteur compétent pour toutes les questions relatives à l’application et à la mise en œuvre des formalités relatives à la protection des données à caractère personnel auprès des autorités compétentes du pays.

Elle assure les missions suivantes :

  • La coordination et la liaison avec les autorités compétentes du pays sur tous les sujets relatifs à la protection des données à caractère personnel des clients ;
  • La définition des procédures opérationnelles et mesures précises nécessaires à l’application de la réglementation locale sur le traitement des données à caractère personnel ;
  • L’animation du réseau des interlocuteurs désignés sur le sujet et les assiste dans la mise en œuvre des formalités préalables qui seront adressées aux autorités compétentes du pays ;
  • Le reporting sur le sujet de la protection des données à caractère personnel vis-à-vis du Groupe.

 

  • Processus opérationnel de traitement de données à caractère personnel

Le traitement des données à caractère personnel s’articule autour de 2 processus :

L’autorisation de la mise en œuvre de traitements de données à caractère personnel par la personne objet du traitement.

Le processus de traitement des droits d’accès aux données, de communication et de rectification, pour répondre aux demandes d’information sur le contenu des fichiers ou de rectification de ces données nominatives. Le client peut effectuer une demande d’exercice de ses droits d’accès, de rectification, de suppression ou d’opposition :

  • Soit en l’adressant par courrier postal ou électronique ;
  • Soit en déposant un courrier sur place dans les différents points de vente ;
  • Soit en intervenant directement sur place (en face à face), dans les différents points de vente en interrogeant oralement les conseillers.

Une fois la demande reçue, l’information est remontée à l’entité Conformité qui traite le sujet de la demande et adresse une réponse écrite au client.

 

  • Reporting

Le reporting interne : à destination des entités Conformité de la maison mère et de la Direction Générale BOA-SÉNÉGAL, ce reporting récapitule les déclarations effectuées, les demandes traitées, les réclamations clients, les rapports avec les autorités compétentes, …

Le reporting réglementaire : aucune obligation de reporting ne pèse sur BOA-SÉNÉGAL. Toutefois elle est tenue, afin d’éviter toute sanction, de répondre dans les plus brefs délais à toute requête ponctuelle d’un organisme administratif relative à la protection des données à caractère personnel.