Politique de protection des données

1. L’importance de la protection des données

DE PURY PICTET TURRETTINI BELGIQUE (La Société) accorde une grande importance à la protection adéquate des données qu’elle traite, et en particulier les données à caractère personnel. Par le biais de cette politique, La Société souhaite définir, à un niveau stratégique, de quelle manière les données sont protégées, quelles responsabilités sont attribuées à cet égard et quelles priorités La Société a défini dans le cadre de la protection des données.

En particulier, La Société souhaite protéger les données des clients et les données à caractère personnel que ceux-ci mettent à sa disposition contre :

  • la perte: les données ne sont plus disponibles
  • les fuites: les données tombent entre de mauvaises mains
  • les erreurs: les données sont incorrectes, p. ex. désuètes ou incomplètes
  • l’inaccessibilité: au moment des soins, les données ne sont pas accessibles
  • la consultation illicite: la consultation par des personnes qui n’y sont pas autorisées
  • l’impossibilité de vérifier qui consulte les données, les modifie ou les supprime
  • les traitements non conformes à la réglementation, aux directives et aux normes.

Dans cette politique, la direction souhaite appeler chaque personne impliquée dans le traitement électronique et papier à veiller ensemble au traitement correct des données à caractère personnel qui nous sont confiées, dans le cadre d’une vision commune et sur la base de notre volonté commune d’offrir des services de qualité.

Le présent manuel de politique approfondit la protection de la vie privée et, plus particulièrement, le respect du caractère privé des informations. La présente politique sert de norme pour le traitement des données à caractère personnel des clients.  Il sert de fil conducteur pour tous les processus de traitement et offre une norme de référence pour les activités d’audit et de contrôle. Le manuel de politique offre à chaque partie impliquée, collaborateur ou personne impliquée externe la possibilité de consulter la politique en matière de protection des données et la manière dont nous gérons les données à caractère personnel sensibles.

Le manuel est également rédigé pour toute personne endossant une fonction au sein de La Société nécessitant de traiter des données à caractère personnel. Ils utilisent (partiellement) la politique pour élaborer des procédures et directives pour les collaborateurs et les externes, tels que les fournisseurs ICT. Les parties pertinentes de la politique sont traitées dans des contrats signés avec le personnel et les fournisseurs.

2. L’organisation de la protection des données

Compétence

En tant que responsable du traitement, la compétence de la présente politique incombe à La Société, représentée par sa Direction Effective qui est responsable de formuler les principes de politique au sein de la Société, ainsi que de constater et de veiller à leur respect.

Exécutant responsable

La Direction effective sert de plate-forme décisionnelle formelle pour la protection des données. Elle est compétente pour prendre des décisions relatives aux aspects suivants:

  • L’analyse des risques et la méthodologie y afférente;
  • Le développement de la politique de protection des données et les directives y liées;
  • L’implémentation de mesures de sécurité (c’est-à-dire le contenu du plan de sécurité);
  • La réaction structurelle aux problèmes de protection des données et les conseils à cet égard (dans les 3 mois).

Le DPO

Le suivi du contenu de la politique de protection des données incombe au Data Protection Officer (DPO). Il exécute cette tâche conformément aux dispositions du RGPD  et est plus particulièrement chargé des aspects suivants:

  • Présenter des conseils et recommandations à la direction effective;
  • Favoriser la conscientisation de tous les acteurs au sein de LA SOCIÉTÉ;
  • Veiller au respect de la politique de protection des données au sein de LA SOCIÉTÉ;
  • Documenter le nécessaire dans le cadre de la protection des données, notamment un plan de sécurité et le registre de traitement;
  • Réaliser les tâches spécifiques attribuées au DPO dans le cadre du RGPD;
  • Enregistrer les infractions et les transmettre, assorties de conseils, au comité de direction.

Le collaborateur

Tout individu (interne ou externe) qui traite des données (p. ex. qui les consulte, les enregistre, les modifie…) le fait conformément aux principes de politique du présent manuel de politique. L’utilisateur traite les données conformément au devoir de discrétion et aux principes suivants:

  • Il est responsable des données des résidents qu’il traite;
  • Il applique les directives en matière de sécurité dans le cadre de sa mission de traitement;
  • Il traite uniquement les données relatives à ses tâches;
  • Il traite les données avec soin;
  • Il signale les infractions;
  • Il respecte l’article 458 du Code pénal: l’utilisateur respecte le secret professionnel.

Collaborateur ICT ou utilisateur clé

Outre les responsabilités de l’utilisateur, le collaborateur ICT ou utilisateur clé est responsable des éléments suivants:

  • La mise en œuvre des mesures techniques;
  • L’application des paramètres de sécurité conformément au présent manuel de politique;
  • Le signalement au DPO des problèmes de sécurité qui surviennent avant, durant ou après la mise en place de moyens ICT;
  • Le rôle d’expert, dans le cadre duquel il participe à l’identification et aux remèdes des risques en matière de protection des données;
  • Le respect du code déontologique.

Fournisseur ICT

Le fournisseur ICT a les mêmes responsabilités que celles d’un collaborateur ICT, auxquelles s’ajoutent les éléments suivants:

  • Il signale les risques en matière de sécurité des applications fournies;
  • Il exécute les tâches de sécurité qui lui sont confiées.

Le fournisseur vise une politique de protection des données transparente en communiquant au sujet du niveau de sécurité actuel et du traitement des incidents de sécurité.

3. Étendue de la politique de protection des données

La présente politique s’applique durant toute la durée de vie des informations au sein de LA SOCIÉTÉ, depuis l’obtention des informations jusqu’à la suppression définitive des informations au sein de la Société.

La présente politique s’applique à LA SOCIÉTÉ:

  • Les bureaux de LA SOCIÉTÉ;
  • Tous les membres du personnel de La Société, aussi bien les collaborateurs internes qu’externes engagés au sein de La Société à durée déterminée ou indéterminée.
  • Tous les moyens de l’entreprise et les systèmes de traitement des informations gérés par La Société, de même que les systèmes gérés par des parties externes en vue du traitement des informations pour La Société, tels que les bases de données, les informations sur tout support, les réseaux, les centres de données, etc. ;
  • Toutes les activités de traitement, aussi bien en tant que responsable du traitement que sous-traitant.

Pour certains domaines ou processus au sein de LA SOCIÉTÉ, des directives ou procédures complémentaires peuvent être élaborées, qui décrivent en détail quelles mesures sont prises pour atteindre le niveau souhaité de protection des données. La présente politique est le point de départ dont relèvent toutes les autres directives ou procédures.

Au vu du rôle important des fournisseurs ICT dans la mise en place de l’environnement ICT destiné à traiter des données, la politique en définit les principes.

4. La gestion des risques

LA SOCIÉTÉ cartographie les risques en matière de protection des données à l’aide d’une analyse des risques, réalisée sur la base des critères suivants (cadre de test):

  • Les règles relatives à la sécurité des informations des données à caractère personnel, telles que publiées par la Commission de la protection de la vie privée ;
  • Le règlement général sur la protection des données ;
  • La norme ISO 27001 relative à la sécurité des informations.

L’analyse a permis de répertorier les risques opérationnels et tactiques. Ces risques ont été discutés avec la direction le 11/01/2022. Les constatations de l’analyse des risques ont été discutées et reprises dans un plan d’action visant à traiter les risques trouvés. Dans ce cadre, LA SOCIÉTÉ distingue quatre possibilités de traitement des risques :

  • Accepter : un risque est accepté et aucune mesure complémentaire n’est prise. LA SOCIÉTÉ vise à accepter le moins de risques possible.
  • Transférer : un risque est transféré. La responsabilité relative au risque n’incombe donc plus à LA SOCIÉTÉ
  • Limiter : LA SOCIÉTÉ prend les mesures nécessaires pour limiter un risque, afin qu’il soit ramené à un niveau acceptable.
  • Exclure : LA SOCIÉTÉ prend des mesures pour éviter qu’un risque puisse se produire.

L’objectif est que l’analyse des risques soit revue au moins une fois par an. Cela fait partie des tâches du DPO.

Les points d’action actuellement prioritaires selon l’analyse des risques réalisée figurent au chapitre 6.

5. Objectifs de la politique pour la protection des données

LA SOCIÉTÉ, tant dans son rôle de responsable du traitement que de sous-traitant :

  • Est transparente au sujet des données à caractère personnel qu’elle traite et de la finalité du traitement, tant envers la personne concernée que les autorités de surveillance. La communication menée est honnête, facilement accessible et compréhensible. Le principe de transparence s’applique également lorsque les données à caractère personnel sont échangées.
  • L’essentiel des données collectées constituant des données à caractère personnel au sens de la Législation sur la Protection des Données
  1. nous est tout d'abord fourni par vous-même, lors de l'entrée en relation d'affaires et au cours de celle-ci (pour la conclusion de toute convention vous permettant de bénéficierde tout produit ou service fourni par La Société, par exemple), lorsque vous utilisez nos applications et/ou naviguez sur nos sites internet, ou encore lorsque vous interagissez avec nous sous toute forme que ce soit (notamment par communications téléphoniques ou par échange de courriers électroniques).
  2. vous pouvez également dans certaines situations,  être amené à nous communiquer des données à caractère personnel relatives à d'autres personnes physiques avec lesquelles vous êtes en relation à quelque titre que ce soit (dirigeants, représentants, actionnaires, bénéficiaires effectifs, mandataires, agents, etc.), notamment lorsque vous intervenez comme représentant légal, membre de famille, d’une personne morale. Les données à caractère personnel concernant des tiers sont alors traitées au même titre que les données à caractère personnel vous concernant que vous nous transmettez.
  3. Nous recueillons en outre des données à caractère personnel auprès de tiers (partenaires et fournisseurs avec lesquels nous sommes déjà en relation d’affaires, autorités ou institutions publiques, établissements exploitants des bases de données professionnelles, autres établissements de crédit ou entreprises d'investissement, etc.) et notamment des personnes avec qui nous pourrions développer des relations (prospects).
  4. Enfin, nous pouvons également obtenir certaines de ces données auprès de sources accessibles au public.
  • Traite uniquement les données pertinentes pour l’exécution de ses tâches. Chaque tâche dans le cadre de laquelle des données à caractère personnel sont traitées est licite. Ce point est chaque fois évalué pour toute nouvelle finalité de traitement, le cas échéant, au moyen d’une analyse d’impact relative à la protection des données.
  • Traite uniquement les données à caractère personnel strictement nécessaires à la réalisation des finalités identifiées par la Société, et notamment au bon exercice de ses activités, à la fourniture de produits et services de qualité ou encore au respect des obligations légales et règlementaires qui lui sont applicables.
  • Les données à caractère personnel incluent par exemple (cette liste n’étant pas limitative) les données permettant de:
  1. vous identifier : nom, prénom, numéro de carte d’identité et/ou de passeport, nationalité, lieu et date de naissance, photo, signature, numéro de compte(s) bancaire(s), pays de résidence, numéro national ou numéro fiscal, adresse IP, cookies, identifiant ou encore codes permettant l'accès aux sites internet;
  2. vous contacter: adresse(s) postale(s), adresse(s) électronique(s) ou encore numéro(s) de téléphone;
  3. connaître votre situation personnelle: état civil, régime marital, nombre d’enfants, patrimoine et source de vos revenus;
  4. connaître vos habitudes et vos préférences: historique de crédit, historique de vos transactions et investissements, adresse de facturation, autres informations collectées au travers de nos entretiens personnels ou téléphoniques, ou encore des échanges de courriers électroniques;
  5. vous permettre d’accéder à des produits ou services exigeant des informations d’ordre médical (contrats d’assurance-vie ou de capitalisation, par exemple) ou fiscales (instruments financiers); ou encore nous offrir vos services: employeur, profession/fonction, niveau d’études ou expériences professionnelles.

Certaines données sont issues ou ont été collectées dans le cadre de notre relation commerciale : coordonnées bancaires et numéro de carte de crédit, historique des opérations sur vos comptes incluant les destinataires de vos paiements et les valeurs de vos différents actifs, et bien sûr votre profil d’investisseur.

Certaines données sont collectées pour des raisons de sécurité ou par obligations vis-à-vis des autorités officielles :

  1. données de vidéosurveillance pour la protection de nos clients, employés et locaux;
  2. enregistrements téléphoniques;
  3. données fournies par les autorités officielles; ou encore ;
  4. données collectées auprès de sources externes: agences de luttes contre la fraude, fournisseurs de données publiques.
  • Vérifie l’intégrité des données à caractère personnel tout au long du cycle de vie du traitement.
  • Ne conserve pas les données plus longtemps que nécessaire. La nécessité est vérifiée par rapport aux obligations légales, ainsi qu’aux droits et libertés de la personne concernée.
  • Évite les violations découlant du traitement des données à caractère personnel. La sécurité des informations, la protection des données dès la conception et les paramètres standard respectueux de la vie privée constituent des outils dans ce cadre. Lorsqu’une violation se produit, celle-ci est rapportée conformément à la réglementation en la matière.o Est capable d’exécuter tous les droits d’une personne concernée voir infra 7.
  • Surveille activement que les droit de la personne concernée soient préservés dans le cadre du traitement des données à caractère personnel pour une finalité bien définie.
  • Traite les données conformément aux droits et libertés applicables au sein de l’Espace économique européen et contrôle leur application lorsque les données sont échangées en dehors de l’Espace. Elle suit, en outre, les codes déontologiques en vigueur dans le secteur et les applique;
  • Peut prouver son respect de tous les objectifs de politique, conformément aux dispositions légales. Ce devoir de responsabilité est surveillé par un suivi et un contrôle interne, et est exécutable conformément aux principes légaux.

6. Finalité du traitement

Tout traitement de données à caractère personnel effectué par La Société se base sur l'une des conditions de licéïté suivantes:

L’exécution d’un contrat

  • vous fournir des informations relatives à nos produits et services,
  • vous assister et répondre à vos demandes,
  • satisfaire aux mesures précontractuelles incombant à La Société, notamment évaluer les conditions auxquelles nous pouvons vous offrir un produit ou un service, ou encore
  • obtenir votre consentement pour le choix de nouveaux services ou produits;

Les obligations légales et réglementaires de la Société, notamment en matière de

  • lutte contre le blanchiment de capitaux et le financement du terrorisme,
  • conformité à la législation applicable en matière de sanctions internationales et de mesures restrictives,
  • lutte contre la fraude fiscale et respect des obligations en matière de contrôle fiscal et de
  • déclaration,
  • réglementations bancaires et financières en vertu desquelles nous devons notamment:
  • mettre en place des mesures de sécurité pour prévenir les abus et les fraudes,
  • détecter les transactions qui s’écartent de votre activité normale,
  • évaluer votre niveau de risque de crédit et votre capacité de remboursement,
  • émettre des rapports obligatoires (reportings) régulièrement,
  • réaliser les enregistrements requis par toute règlementation applicable, et
  • contrôler et déclarer les risques auxquels nous pourrions être exposés, ou encore
  • réponses apportées aux demandes officielles d’autorités ;

Les intérêts légitimes de LA SOCIÉTÉ

  • poursuite de fins commerciales, y inclus entre autres actions de marketing, promotion de services et produits, ou encore personnalisation des offres commerciales
  • en améliorant la qualité des produits ou services bancaires, financiers ou d’assurance, ou
  • en vous proposant des produits ou services correspondant à votre situation et à votre profil,
  • conservation de preuves relatives aux transactions et opérations effectuées,
  • défense des intérêts de la Société en justice,
  • détection et prévention de la fraude et gestion du risque,
  • gestion informatique, y compris la gestion de l’infrastructure (par exemple, des plateformes d’échanges), le maintien de la continuité des activités et de la sécurité informatique,
  • traitement des données de communications électroniques. On entend par communications électroniques : les échanges téléphoniques, l’utilisation de systèmes de messagerie (e-mails,messageries instantanées, SMS, technologies similaires) ou encore la connexion aux services internet (site internet ou coffres forts électroniques par exemple), ou encore
  • mise en oeuvre de toute réorganisation, transfert, cession, fusion ou acquisition au niveau de la Société.

Pour respecter le choix de la personne dont les données à caractère personnel sont traitées, lorsqu'elle a donné son consentement. Dans certains cas, votre consentement est nécessaire pour que la Société puisse traiter vos données à caractère personnel. Ce sera notamment le cas:

  • lorsqu’un traitement donne lieu à une prise de décision automatisée produisant des effets juridiques vous concernant ou qui, de façon similaire, vous affecte de manière significative. A cette occasion, nous vous informerons de la raison sous-jacente ainsi que de l’importance et des conséquences prévues de ce traitement,
  • lorsque nous procédons à un traitement à des fins autres que celles décrites dans cette notice, nous vous en informerons et vous demanderons votre consentement si nécessaire, ou encore
  • lorsque nous fournissons des services de paiement qui requièrent un consentement explicite de votre part.

7. Quels sont les droits dont vous disposez et de quelle manière pouvez-vous les exercer?

Conformément à la Législation sur la Protection des Données, vous et/ou, dans la mesure où cela est permis au titre de la Législation sur la Protection des Données, toute personne physique concernée avec laquelle vous êtes en relation, disposez de plusieurs droits sur les données à caractère personnel, entre autres:

  • Droit d’accès aux données à caractère personnel vous concernant ainsi qu’une copie de ces données,
  • Droit d'examiner et de rectifier les données à caractère personnel si vous les estimez inexactes ou incomplètes,
  • Droit d'obtenir l’effacement de vos données à caractère personnel (« Droit à l’oubli »), dans les
  • conditions et limites prévues par la Législation sur la Protection des Données,
  • Droit à demander la limitation du traitement de vos données à caractère personnel,
  • Droit de s'opposer au traitement de vos données à caractère personnel, dans les conditions et limites prévues par la Législation sur la Protection des Données, pour des motifs liés à votre situation particulière. Vous disposez du droit absolu de vous opposer au traitement de vos données à caractère personnel à des fins de marketing direct, y compris le profilage lié au marketing direct.
  • Droit de retirer à tout moment votre consentement au traitement de vos données à caractère personnel, et
  • Droit à la portabilité de certaines de vos données à caractère personnel, c’est-à-dire que vous pouvez demander à recevoir ces données dans un format structuré couramment utilisé, lisible par machine, afin de les transférer à un tiers.

Si vous souhaitez exercer l’un des droits cités ci-dessus ou encore si vous avez des questions concernant l’utilisation de vos données à caractère personnel, nous vous invitons à contacter notre Délégué à la Protection des Données, DPO par email ou courrier à l’adresse suivante:

De Pury Pictet Turrettini (Belgique)
Data Protection Officer
70 B , Drève Richelle, Bat i
1410 Waterloo
Belgique
Info@ppt.be

Dans un souci de confidentialité et de protection des données, La Société est tenue de s'assurer de
l'identité de la personne à l'initiative de cette demande. Elle s’efforcera ensuite de répondre à votre demande dans un délai d’un (1) mois à compter de la réception de la demande. Selon la complexité de la demande ou du nombre de demandes à traiter, la Banque a la possibilité de porter ce délai à deux (2) mois, sous réserve de vous en avoir préalablement informé.

La Société PPTB se réserve le droit de refuser toute demande pour laquelle elle est dans l’impossibilité d'identifier son auteur de manière certaine ou encore si elle juge la demande excessive ou infondée.

Vous serez alors informé des motifs du refus dans un délai d’un (1) mois à compter de la réception de la demande.

La Société peut également exiger le paiement de frais raisonnables en cas de demandes infondées ou excessives, notamment en raison de leur caractère répétitif.

Si vous n’êtes pas satisfait du traitement des données personnelles ou encore de la suite donnée à une demande adressée au Délégué à la Protection des Données, vous pouvez introduire une réclamation auprès de l’Autorité de Protection des Données (APD) autorité en charge du contrôle et de la vérification de la légalité de la collecte et de l'utilisation des données en Belgique.

https://www.autoriteprotectiondonnees.be/

Conformément à la Législation sur la Protection desDonnées, vous et/ou, dans la mesure où cela est permis au titre de laLégislation sur la Protection des Données, toute personne physique concernée avec laquelle vous êtes en relation, disposez de plusieurs droits sur les données à caractère personnel, entre autres :

8. Points d’action prioritaires de l’analyse des risques

Voici ci-dessous les différents points d’action prioritaires mis en avant par l’analyse des risques. Il s’agit des constatations assorties d’un score Élevé ou Critique.

Retour
Drève Richelle 161 bâtiment I – B70
B-1410 Waterloo
T. +32 (0)2 882 18 10
Contact
Vie Privée
Légal
FR
EN
© de Pury Pictet Turrettini (Belgique) 2024