SOMMAIRE
1. A propos de cette Politique
2. Qui est concerné par cette Politique ?
3. Quelles sont les catégories de Données Personnelles que nous collectons et traitons ?
4. Auprès de qui collectons-nous vos Données Personnelles ?
5. Pourquoi traitons-nous vos Données Personnelles ?
5.1 Les finalités concernant une Personne cliente, un Prospect ou une Personne Intermédiaire
5.2 Les finalités concernant les personnes en relation avec LCL par le biais d’un fournisseur, prestataire ou partenaire de LCL
6. Sur quelle base légale utilisons-nous vos Données Personnelles ?
7. À qui pouvons-nous transmettre vos Données Personnelles ?
8. Vos Données Personnelles sont-elles transférées en dehors de l’Union européenne ?
9. Combien de temps conservons-nous vos Données Personnelles ?
10. Quels sont vos droits ?
11. Comment exercer vos droits ?
Dans cette Politique de Protection des Données Personnelles (« Politique »), « Crédit Lyonnais SA », « LCL », « nous » et « notre » désignent CREDIT LYONNAIS, Société Anonyme au capital de 2.037.713.591€, immatriculée sous le n° 954509741 – RCS LYON dont le Siège social se situe au 18, rue de la République - 69002 LYON et le Siège central au 20, avenue de Paris – 94811 VILLEJUIF Cedex.
1. A propos de cette Politique
Dans le cadre de ses activités, LCL est amenée à traiter des données à caractère personnel
(« Données Personnelles ») en qualité de responsable de traitement. Une Donnée
Personnelle désigne toute information qui se rapporte à une personne physique identifiée
ou identifiable directement ou indirectement.
Nous traitons vos Données Personnelles conformément à la réglementation en vigueur, et
notamment le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril
2016 relatif à la protection des personnes physiques à l'égard du traitement des données à
caractère personnel et à la libre circulation de ces données (« RGPD »).
La présente Politique a vocation à vous fournir des informations sur la manière dont vos
Données Personnelles sont traitées par LCL, à savoir les catégories de Données
Personnelles que nous collectons, les sources auprès desquelles nous obtenons vos
Données Personnelles, les finalités que nous poursuivons, la base légale qui nous permet
de traiter vos Données Personnelles, les destinataires de vos Données Personnelles, les
potentiels transferts de vos Données Personnelles en dehors de l’Union européenne, ainsi
que la durée de conservation de vos Données Personnelles. Cette Politique a également
vocation à vous informer sur vos droits et sur les modalités d’exercice de ces droits.
Cette Politique vient compléter et préciser les informations figurant dans les contrats que
vous avez signés avec nous ou contenues au sein d’autres supports (sites internet,
formulaires, coupon-réponse, etc.). En cas de contradiction entre les dispositions de celle-ci et les dispositions figurant dans ces contrats ou autres supports, les dispositions de ces
derniers prévaudront.
Cette Politique sera mise à jour régulièrement pour refléter les évolutions des pratiques de
LCL et de la réglementation. Nous vous invitons à la consulter régulièrement, étant précisé
qu’en cas de modification substantielle, nous vous en informerons spécifiquement.
2. Qui est concerné par cette Politique ?
La présente Politique s’applique à toutes les personnes physiques en relation avec LCL
(« la Personne » ou « les Personnes » ou « vous »), à titre particulier ou professionnel :
- Nos clients personnes physiques ;
- Nos clients potentiels (« Prospect(s) ») ;
- Les personnes physiques en relation avec nous par l’intermédiaire de l’un de nos clients
personne physique ou personne morale (« Personne Intermédiaire »), par exemple :
- les mandataires des clients de LCL ;
- les cautions des clients de LCL ;
- les ayants droit économiques (actionnaires, associés, etc.) des clients de LCL ;
- les représentants légaux, représentants habilités, collaborateurs des clients de LCL ;
- les bénéficiaires effectifs des clients de LCL ;
- les porteurs de carte bancaire ;
- toute autre personne en lien avec les clients (membres de la famille des clients,
donneurs d’ordre ou bénéficiaires d’opérations de paiement, héritiers et ayants
droit, bénéficiaires d’un contrat d’assurance, créanciers, notaires, avocats, etc.) ;
- Les personnes physiques intervenant à un titre quelconque dans le cadre d’une relation
établie avec un partenaire (y compris un apporteur d’affaires), fournisseur ou prestataire
de LCL : ayants droit économiques (actionnaires, associés, etc.), représentants légaux,
mandataires, représentants habilités, bénéficiaires effectifs et collaborateurs, etc.
3. Quelles sont les catégories de Données Personnelles que nous
collectons et traitons ?
LCL est amenée à collecter et traiter les catégories de Données Personnelles suivantes :
- Données d’identification : état civil, identité, adresse postale, adresse électronique,
téléphone, numéros de cartes bancaires, numéros de contrats, numéros de pièces
d’identité, images, photos, signatures, etc. ;
- Données liées à la vie personnelle de la Personne : situation familiale, présence
d’enfants, etc. ;
- Données liées à la vie professionnelle de la Personne : poste occupé, nom de
l’employeur, lieu de travail, etc. ;
- Informations liées à la situation économique et financière de la Personne : revenus,
situation financière et fiscale, montants détenus sur les produits LCL, etc. ;
- Données d’opérations et de transactions bancaires (nature des opérations, dates,
paiements cartes, virements, prélèvements, montants, libellés, etc.) ;
- Données issues des communications entre LCL et la Personne, en agence ou à
distance (entretiens, appels téléphoniques, messages électroniques, messageries
instantanées, communications sur les réseaux sociaux ou tout autre type de
communication) ;
- Données de connexion liées à l’utilisation de nos services en ligne : données
d’identification et d’authentification aux espaces personnels, adresses IP, logs, cookies,
données de navigation sur les sites et applications LCL, données concernant vos
appareils et caractéristiques techniques (téléphone portable, ordinateur, tablette, etc.) ;
- Données du système de vidéoprotection/vidéosurveillance (dont les caméras) et de
géolocalisation : par exemple les lieux des retraits ou des paiements, à des fins de
sécurité.
Par principe, LCL ne traite pas de Données Personnelles dites « sensibles », en particulier
de données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions
religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données
génétiques ou concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique
en lien avec LCL.
Néanmoins, LCL peut collecter des données de santé, des données biométriques, ou des
données relatives aux infractions pénales, dans le respect des conditions strictement
définies par la réglementation en matière de protection des Données Personnelles.
4. Auprès de qui collectons-nous vos Données Personnelles ?
LCL est amenée à collecter des Données Personnelles directement auprès de vous,
notamment lorsque vous signez un contrat avec nous, utilisez nos services, remplissez un
formulaire ou un coupon-réponse, ou naviguez sur nos sites internet et applications mobiles,
lors de l’enregistrement de conversations par téléphone ou par visio-conférence (à des fins
de preuve de l’opération, de formation du personnel et/ou d’amélioration de la qualité de
nos services).
En outre, LCL peut être amenée à collecter des Données Personnelles indirectement
auprès de tiers, à savoir notamment auprès :
- d’autres entités du Groupe Crédit Agricole ;
- de clients ;
- de partenaires : producteurs de produits d’assurance, apporteurs d’affaires, courtiers,
etc. ;
- de prestataires de services de paiement, donneurs d’ordres et bénéficiaires
d’opérations de paiement ainsi que leurs mandataires et ayants-droits, prestataires et
systèmes de règlement interbancaires français et internationaux (y compris systèmes
cartes) ;
- de prestataires réalisant des prestations pour le compte de LCL : prestataires télécoms,
prestataires de services numériques et de services informatiques, prestataires de
mesure d’audience, de gestion des réseaux sociaux, de cookies publicitaires, etc. ;
- de professionnels libéraux : experts-comptables et centres de gestion agréés, officiers
ministériels et auxiliaires de justice, mandataires à la protection des majeurs, etc. ;
- d’autorités, institutions ou organismes publics : Banque de France (notamment lors de
la consultation de fichiers tels que le Fichier des incidents de remboursement des
crédits aux particuliers et le Fichier central des chèques), INSEE (lors de la consultation
du Répertoire National d’Identification des Personnes Physiques dans le cadre de nos
obligations en matière de comptes et coffres-forts inactifs), Direction Générale des
Finances Publiques (notamment pour la vérification de l’absence de multi détention de
livret A), collectivités publiques, organismes de tutelle et de régulation, organismes et
services sociaux, organismes de caution, autorités judiciaires, etc. ;
- de sociétés de recouvrement et agents de recherche privée ;
- de toute personne ou organismes alléguant de faits répréhensibles ;
- de courtiers de données.
5. Pourquoi traitons-nous vos Données Personnelles ?
LCL traite vos Données Personnelles pour atteindre différents objectifs, appelés
« finalités ». Ces finalités sont distinctes selon que :
- la Personne est cliente, Prospect ou Personne Intermédiaire (5.1) ;
- la Personne est en relation avec LCL par le biais d’un partenaire, prestataire ou
fournisseur de LCL (5.2).
5.1 Les finalités concernant une Personne cliente, un Prospect ou une Personne
Intermédiaire
5.1.1 Ces finalités, qui interviennent à différents moments de la relation de la Personne avec
LCL, sont listées ci-dessous :
a) Avant l’entrée en relation de la Personne avec LCL (concerne les Prospects)
Les Données Personnelles recueillies avant l’entrée en relation permettent à LCL de :
- Exécuter des simulations financières sur les offres LCL : LCL utilise les coordonnées
que fournit la Personne à cette occasion pour entrer en contact avec elle et l’assister
dans la réalisation de ses simulations ;
- Proposer des produits et services ;
- Réaliser du parrainage : LCL utilise les Données Personnelles de la Personne parrainée
et celles de son parrain pour identifier la relation de parrainage et les avantages
associés.
b) Lors de l’entrée en relation de la Personne avec LCL (concerne les clients et les
Personnes Intermédiaires)
Les Données Personnelles recueillies lors de l’entrée en relation permettent à LCL de :
- Répondre à ses obligations réglementaires en ce qui concerne l’identification des
Personnes notamment dans le cadre de la lutte contre la fraude, le blanchiment de
capitaux, le financement du terrorisme et le respect de la réglementation en matière de
Sanctions Internationales, embargos et gels des avoirs ;
- Identifier la Personne au sein du système informatique et lui rattacher les comptes
ouverts ou à ouvrir et les produits et services éventuellement souscrits.
Ces informations peuvent également être utilisées dans le cadre de l’offre de services de
mobilité bancaire (pour les particuliers).
c) Après l’entrée en relation de la Personne avec LCL (concerne les clients et les
Personnes Intermédiaires)
Les Données Personnelles recueillies après l’entrée en relation permettent à LCL de :
- Gérer le compte bancaire : tenue du compte, gestion des retraits et des versements
d’espèces, arrêtés de compte, production des relevés annuels de frais, traitement des
virements et prélèvements nationaux et internationaux, gestion des oppositions et
rejets, décisions de paiements, déclarations réglementaires réalisées au Fichier des
comptes bancaires (FICOBA) ;
- Mettre à jour la connaissance client ;
- Gérer la relation : prise de rendez-vous, échanges par voie électronique, réalisation de
comptes rendus d’entretiens ;
- Gérer les pouvoirs et signatures ;
- Offrir et gérer des services de banque en ligne et d’applications mobiles :
authentification des connexions, mise en œuvre des mesures appropriées pour assurer
la sécurité des transactions et des opérations, envoi d’alertes et notifications,
amélioration des services en ligne, possibilité d’effectuer des paiements mobiles
Paylib ;
- Offrir, permettre de souscrire et gérer les moyens de paiement, notamment : offre et
souscription des contrats, fabrication et mise à disposition des moyens de paiement,
gestion des flux de paiement nationaux et internationaux, gestion des pertes et vols,
gestion des obligations légales vis-à-vis des fichiers et registres suivants :
- le Fichier Central des Chèques et des retraits de cartes bancaires (FCC) ;
- le Fichier National des Chèques Irréguliers (FNCI) tenu par la Banque de
France ;
- le registre de certaines opérations de paiement transfrontalières, qui doit être
tenu par LCL dans le cadre de la lutte contre la fraude à la TVA, en tant que
prestataire de services de paiement, et transmis régulièrement à l’administration
fiscale. Ce registre, qui recense les données des paiements transfrontaliers des
personnes ayant reçu plus de 25 paiements transfrontaliers lors d’un trimestre,
est transmis à l’administration fiscale française qui peut être amenée à
transmettre les informations à l’administration fiscale d’autres Etats membres de
l’Union européenne (applicable à compter du 1er janvier 2024).
Plus précisément, pour certains moyens de paiement, les données recueillies par
LCL permettent de :
- Pour les chèques : émettre et délivrer les chéquiers, traiter les remises de
chèques, payer les chèques, gérer les oppositions et mainlevées, émettre les
chèques de banque, gérer les incidents de chèques ;
- Pour les cartes bancaires : gérer les plafonds de transactions, gérer la sécurité
des transactions, offrir et gérer les assurances liées à la possession ou à
l’utilisation des cartes ;
- Offrir, permettre de souscrire et gérer des produits d’épargne bancaire, notamment :
évaluation de l’adéquation et du caractère approprié du service d’investissement fourni,
réalisation de simulations, gestion des règles applicables aux produits d’épargne
réglementée et collecte des documents justificatifs nécessaires, traitement des
opérations, tenue de compte, arrêtés de compte ;
- Offrir, permettre de souscrire et gérer des valeurs mobilières, notamment : évaluation
de l’adéquation et du caractère approprié du service d’investissement fourni, réalisation
de simulations, gestion des règles applicables aux produits réglementés et collecte des
documents justificatifs nécessaires, traitement des ordres de Bourse, traitement des
opérations, tenue de compte, production des relevés de frais annuels, conservation des
titres, transfert des titres, signature et exécution de mandat de gestion ;
- Offrir, permettre de souscrire et gérer des crédits, notamment : réalisation de
simulations, gestion des règles applicables aux prêts réglementés et collecte des
documents justificatifs nécessaires, octroi du crédit, gestion du remboursement du
crédit, gestion des sûretés réelles et personnelles, gestion du surendettement,
recouvrement, cession de créances ;
- Accompagner les clients dans leur projet d’investissement immobilier ;
- Réaliser des analyses patrimoniales dans le cadre du devoir de conseil ;
- Offrir, accomplir le devoir de conseil, permettre de souscrire et gérer des produits
d’assurance en qualité de distributeur, notamment assurance-emprunteur, liés aux
crédits consentis, assurances non-vie, assurance-vie ; gérer les délégations
d’assurance emprunteur externes ; les contrats sont conclus entre les clients et la
compagnie d’assurance, responsable de traitement, qui en assure la gestion ;
- Offrir, permettre de souscrire et gérer les produits et services complémentaires, par
exemple la location de coffres-forts ;
- Réaliser des opérations de comptabilité et de gestion financière ;
- Gérer la fiscalité client, rechercher des indices d’américanité (législation « FATCA »),
déterminer les résidences fiscales pour l’accomplissement des obligations
déclaratives ;
- Gérer les successions, gérer les relations avec les héritiers, traiter les comptes en
déshérence, rechercher les éventuels titulaires décédés de comptes inactifs,
conformément à la loi n°2014-617 du 13 juin 2014 dite « loi Eckert » ;
- Gérer le contentieux ;
- Protéger la clientèle, protéger les Données Personnelles, prévenir et gérer les abus de
marchés ;
- Lutter contre le blanchiment de capitaux et le financement du terrorisme, gérer les
sanctions internationales, embargos et gels des avoirs ;
- Mettre en œuvre un dispositif de lutte contre la fraude pouvant, notamment, conduire
à :
- Différer l’inscription d’un chèque au crédit du compte après l’expiration des délais
d’encaissement ;
- L’inscription sur une liste des identifiants de compte (IBAN) ayant été utilisés
pour des actes qualifiés de fraude ou de tentatives de fraude externe ;
- L’inscription sur une liste des personnes auteurs d’actes qualifiés de fraude ou
de tentatives de fraude externe ;
- Gérer le risque : calcul des indicateurs de risque, élaborer les modèles de risque,
procéder au reporting des risques opérationnels et aux déclarations réglementaires ;
- Réaliser les opérations de contrôle interne ;
- Gérer les opérations visant à proposer à la Personne les produits et services
commercialisés par LCL (sous réserve du droit d’opposition de la Personne, ou du
recueil de son consentement préalable pour les opérations réalisées par
communications électroniques) ;
- Offrir, permettre de souscrire et gérer des programmes de fidélité ;
- Permettre le bénéfice d’offres de la part de partenaires de LCL ;
- Réaliser des études de satisfaction et de recommandation, traiter les réclamations ;
- Organiser des jeux-concours et des événements ;
- De manière très exceptionnelle, permettre l’identification des clients exposés à un
risque sanitaire en raison de l’achat de produits concernés par une crise sanitaire ;
- Mettre à disposition une connexion WiFi.
Certaines finalités ne sont applicables qu’à certains types de marchés, à savoir :
Pour les particuliers et la banque privée uniquement
- Gérer les obligations légales vis-à-vis du Fichier des Incidents de remboursement des Crédits aux Particuliers (FICP) tenu par la Banque de France ;
- Offrir des abonnements à des magazines.
Pour les particuliers, la banque privée et les professionnels
- Prévenir et détecter la fragilité financière des clients.
Pour les professionnels et les entreprises et institutionnels
- Offrir et gérer une convention de télétransmission ;
- Offrir, permettre de souscrire et gérer les contrats monétiques commerçants, traiter la télécollecte des remises monétiques ;
- Offrir, permettre de souscrire et gérer des opérations avec l’étranger : transferts et rapatriements, remises et crédits documentaires import, remises documentaires export, crédits documentaires export, émission et gestion d’engagements par signature, financements export ;
- Offrir des opérations de marché : traiter des opérations de change classiques ou à terme, concevoir et gérer des produits dérivés ou structurés de change, de taux ou de placement ;
- Offrir de la gestion de trésorerie : traiter et gérer un contrat de centralisation de recettes, traiter une remontée automatique de fonds (RAF), traiter une remontée automatique de fonds en valeur (REV), traiter et gérer une fusion de comptes en capital et en intérêts.
5.1.2 D’autres traitements particuliers de Données Personnelles par LCL sont mis en oeuvre :
- Dispositifs de télésurveillance ou vidéoprotection : ces traitements sont mis en oeuvre dans les locaux de LCL et auprès des automates bancaires et distributeurs automatiques de billets pour la sécurité des personnes et des biens, la lutte contre les incivilités, la protection des collaborateurs ; lorsque de tels dispositifs sont mis en oeuvre, une information spécifique est affichée sur place ;
- Enregistrement des conversations téléphoniques : dans le cadre de la gestion de la relation bancaire et financière, la Personne est amenée à échanger avec LCL par communications électroniques ou par téléphone. LCL peut enregistrer ces échanges à des fins de sécurité des opérations effectuées, de preuve des ordres ou opérations réalisées, de formation du personnel, d’amélioration de la qualité de service, de retranscription d’une conversation lors d’une réclamation, de lutte contre la fraude et l’usurpation d’identité, de contrôles liés à la conformité, et le cas échéant de respect des obligations relatives aux marchés financiers (MIFID 2 & MAD/MAR). En cas d’enregistrement, la Personne en est informée au début de son appel ;
- Dispositif de double écoute des conversations téléphoniques : dans le cadre de la formation du personnel et de l’amélioration de la qualité de service, les conversations de la Personne avec ses interlocuteurs LCL peuvent être écoutées par des managers ou des formateurs soumis au respect du secret professionnel. La Personne en est alors informée au début de son appel. La conversation en double écoute n’est pas enregistrée ;
- Pour l’exécution de certaines finalités visées au paragraphe 5.1.1, LCL peut avoir recours à des opérations de profilage et prendre des décisions entièrement automatisées :
- Le profilage consiste à utiliser les Données Personnelles, telles que l’âge, la profession ou la situation financière, pour évaluer certains aspects de cette Personne, analyser ou prédire ses intérêts, son comportement ou d’autres attributs.
- La prise de décision entièrement automatisée consiste à prendre une décision à l’égard de la Personne, par le biais d’algorithmes appliqués à ses Données Personnelles, sans qu’aucun être humain n’intervienne dans le processus. Une décision entièrement automatisée, y compris une décision entièrement automatisée prise sur la base d’un profilage, peut produire des effets juridiques ou affecter de manière significative la Personne et, dans ce cas, la Personne dispose de droits spécifiques, tels que décrits au paragraphe 10, et notamment du droit à une intervention humaine.
LCL peut être amenée à utiliser ces techniques de traitement pour différentes finalités.
Dans certains cas, l’utilisation de ces techniques ne produit pas d’effets juridiques et n’a pas d’impact significatif similaire pour la Personne, ce qui est par exemple le cas des utilisations suivantes :
- Segmentation marketing, afin de proposer des produits et services susceptibles de correspondre aux attentes de la Personne, ou de lui offrir le canal de distribution le plus adapté en ciblant la Personne sur la base d’un profil établi à partir de données agrégées et pseudonymisées, y compris des données de transaction ;
- Analyse du contenu de la correspondance en ligne échangée entre la Personne et LCL en vue d’améliorer la qualité des produits et services ainsi que le traitement des réclamations ;
- Élaboration de modèles statistiques en vue d’optimiser et d’automatiser nos processus internes et d’améliorer la pertinence de nos actions (par exemple gestion du risque, prévention et détection des fraudes, lutte contre le blanchiment de capitaux et le financement du terrorisme).
Dans d’autres cas, l’utilisation de ces techniques est susceptible de produire des effets juridiques à l’égard de la Personne ou de l’impacter significativement, ce qui est par exemple le cas des utilisations suivantes :
- Mise en place de traitements aux fins de respect de nos obligations légales et réglementaires, notamment en matière de lutte contre la fraude, de lutte contre le blanchiment et le financement du terrorisme, de traitement des abus de marché et de respect des sanctions internationales. Ces traitements peuvent aboutir par exemple à la décision de bloquer une carte bancaire suite à une saisie erronée du code plusieurs fois consécutives, de suspendre une opération, dans l’attente de justificatifs complémentaires, de mener des recherches et investigations ou à transmettre des informations à des autorités judiciaires ou administratives ;
- Attribution d’un score d’octroi de crédit, constituant une aide à la décision quant à l’acceptation ou au refus du crédit demandé.
Dans ces derniers cas, LCL veille à ce que ces traitements ne constituent pas des prises de décision entièrement automatisées, en prévoyant une intervention humaine.
5.2 Les finalités concernant les personnes en relation avec LCL par le biais d’un fournisseur, prestataire ou partenaire de LCL
Les Données Personnelles recueillies dans le cadre de ses relations avec ses fournisseurs, partenaires et prestataires permettent notamment à LCL de :
- Connaître les fournisseurs, maintenir à jour la connaissance du fournisseur et évaluer et réévaluer périodiquement le risque fournisseur (fragilité financière, risque d’abus de dépendance économique, sanctions internationales, vérification des engagements sociaux et environnementaux) ;
- Assurer la gestion des relations précontractuelles (notamment dans le cadre des appels d’offres et gré à gré) et contractuelles par l'intermédiaire des personnes physiques en relation avec LCL par le biais des partenaires et prestataires ;
- Garantir que le contrat est juridiquement valable (capacité des représentants des partenaires et prestataires à engager lesdits partenaires et prestataires dans leurs relations contractuelles avec LCL, absence de délit de marchandage ou prêt de main d’oeuvre illicite, présence des clauses réglementaires, etc.) ;
- Passer les commandes et payer les factures pour les fournisseurs et prestataires et gérer les commissions pour les partenaires.
6. Sur quelle base légale utilisons-nous vos Données Personnelles ?
Chaque traitement de Données Personnelles mis en oeuvre par LCL s’appuie sur une base légale précise :
- Le traitement est nécessaire au respect d’une obligation légale ou réglementaire à laquelle LCL est soumis ; c’est notamment le cas pour l’ensemble des traitements liés
à la connaissance client, à la lutte contre le blanchiment de capitaux et le financement du terrorisme, la lutte contre la fraude, la lutte contre les abus de marché ou délits d’initiés, le respect des sanctions internationales, embargos et gel des avoirs, l’exécution et/ou le conseil en matière de services bancaires et/ou services d’investissement, les déclarations réglementaires notamment celles réalisées au Fichier des comptes bancaires (FICOBA), au Fichier des incidents de remboursement des crédits aux particuliers (FICP), au Fichier Central des Chèques et des retraits de cartes bancaires (FCC) ou au Fichier National des Chèques Irréguliers (FNCI), à la consultation du Répertoire National d'Identification des Personnes Physiques (RNIPP) dans le cadre de la loi Eckert (loi du 13 juin 2014), à la détection des clients en situation de fragilité financière en vue de leur appliquer un plafonnement de frais spécifique et leur proposer l’offre réglementaire dédiée, ainsi qu’à la tenue et à la transmission régulière à l’administration fiscale du registre de certaines opérations de paiement transfrontalières, imposés à LCL en sa qualité de prestataire de services de paiement ;
- Le traitement est nécessaire à la gestion et à l’exécution des contrats auxquels la Personne est partie ;
- Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par LCL dans le respect des droits et libertés fondamentaux de la Personne concernée : par exemple la lutte contre la fraude, la prévention des risques, le pilotage et le développement de l’activité de LCL (opérations de prospection commerciale), la formation du personnel et l’amélioration de la qualité de la relation client ;
- La Personne a spécifiquement autorisé le traitement : certains traitements qui ne répondraient pas aux trois fondements détaillés ci-dessus pourraient être mis en oeuvre ; dans une telle hypothèse, la Personne sera sollicitée au cas par cas pour autoriser le traitement concerné au moment de la collecte de données ou au moment de la mise en oeuvre dudit traitement ;
- Dans des cas exceptionnels, LCL pourra mettre en oeuvre des traitements de données basés sur la nécessité de sauvegarder les intérêts vitaux de la Personne ou de ceux d’une autre personne physique, comme par exemple dans le contexte d’une crise sanitaire.
Lorsque la fourniture des Données Personnelles est nécessaire à la mise en oeuvre d’un traitement, LCL peut être conduite à refuser la demande et/ou à résilier le contrat ou encore à mettre un terme à l’ensemble de la relation en cas de non-fourniture des Données Personnelles par la Personne. Le cas échéant, la Personne est informée du caractère obligatoire de la collecte des Données Personnelles concernées.
7. À qui pouvons-nous transmettre vos Données Personnelles ?
La Personne est informée que les Données Personnelles la concernant pourront être transmises aux tiers suivants et pour les finalités suivantes :
- les autorités administratives et judiciaires – locales ou étrangères – ainsi que les établissements ou institutions publics légalement habilités, pour l’accomplissement de leurs missions, que ce soit à leur demande, dans le cadre d’une action ou d’une procédure ou afin de nous conformer à une réglementation ou recommandation émanant d’une autorité compétente ;
- toute entité du Groupe Crédit Agricole, à des fins de prospection commerciale, sous réserve, dans ce cas, de l’exercice de son droit d’opposition (pour la prospection par voie postale et téléphonique) ou de l’obtention de son consentement (pour la prospection par voie électronique) le cas échéant, de conclusion d’autres contrats, d’accomplissement par le destinataire de ses obligations légales ou réglementaires, ou en cas de mise en commun de moyens ou de regroupements de sociétés ;
- toute entité du Groupe Crédit Agricole chargée de la gestion ou de la prévention de risques opérationnels (évaluation du risque, sécurité et prévention des impayés et de la fraude, lutte contre le blanchiment de capitaux et le financement du terrorisme, etc.) au bénéfice de l’ensemble des entités du Groupe.
La liste des entités du Groupe Crédit Agricole susceptibles d’être destinataires d’informations concernant la Personne pourra lui être communiquée sur simple demande de sa part auprès de son agence ;
- les sous-traitants, partenaires ou prestataires de LCL participant notamment à la gestion du compte bancaire, à la gestion du compte-titres et/ou à l’offre de produits et de services bancaires ou financiers, et ce pour les seuls besoins des travaux liés à ces activités ;
- les instituts d’enquête ou de sondage, agissant pour le compte exclusif de LCL, à des fins statistiques ;
- les partenaires de LCL, pour permettre au client de bénéficier des avantages des partenariats auxquels il a adhéré, le cas échéant, et ce dans le cadre exclusif des accords de partenariat ;
- les organismes caritatifs à qui la Personne a choisi de faire un don suite à une sollicitation de LCL en leur faveur, ainsi que les entreprises de l’économie sociale et solidaire auxquelles les clients auront fait des dons dans le cadre de leur livret de développement durable et solidaire ;
- les médiateurs, arbitres, auxiliaires de justice et officiers ministériels, notamment pour le recouvrement des créances, la défense des intérêts de LCL ou la gestion de jeux-concours ;
- les sociétés de recouvrement et agents de recherche privée, aux fins de recouvrement des créances ;
- les experts, notamment experts-comptables, commissaires aux comptes de LCL dans le cadre de l’exécution de leur mission ;
- des entités du groupe ou des entreprises tierces, avec lesquelles LCL conclut des contrats de cession de créances détenues sur la clientèle ou des opérations de titrisation ou de refinancement, y compris dans la phase d’étude préalable à la conclusion de ces contrats ;
- les donneurs d’ordres et bénéficiaires d’opérations de paiement, ainsi que leurs mandataires et ayants droit, et les prestataires de services de paiement, notamment à des fins de lutte contre le blanchiment de capitaux et le financement du terrorisme, conformément aux dispositions du Règlement 2015/847 du Parlement européen et du Conseil du 20 mai 2015 ;
- les intermédiaires en opérations de banque auxquels la Personne a confié un mandat ;
- les co-titulaires de comptes ouverts par les clients (comptes joints, comptes collectifs, etc.) ;
- les cautions, garants ou associés de la Personne ou de la société débitrice ;
- les héritiers et toutes personnes habilitées à obtenir communication d’informations dans le cadre d’une succession ;
- tout destinataire qui solliciterait des données nécessaires pour identifier la Personne et la contacter, notamment dans un contexte de crise sanitaire, et dès lors que cette transmission de données a pour but de sauvegarder les intérêts vitaux de la Personne ou ceux d’une autre personne physique et dans la limite des données strictement nécessaires à la réalisation de cette finalité. Ce serait par exemple le cas des commerçants ou de toute entité appartenant à leur groupe en cas d’achat, par les clients, de produits défectueux, contaminés ou concernés par une crise sanitaire.
Cas des clients ayant des comptes dans les agences de la Principauté de Monaco :
- Pour des raisons administratives ou liées à l'organisation du Groupe et de LCL, certaines opérations ou situations (successions par exemple) peuvent être gérées pour le compte de l'agence du client par d'autres directions ou services de LCL, situées notamment en France, ou par d'autres entités du Groupe sous la responsabilité de LCL.
- Pour des raisons d’efficacité, LCL peut être conduite à mettre le client en relation avec des unités différentes au sein du Groupe auquel LCL appartient. Les agences LCL Monaco sont intégrées dans ce Groupe et ne constituent pas des entités juridiquement distinctes de LCL.
Le client est dûment informé et accepte que, pour des raisons administratives, techniques ou juridiques, liées au traitement global des opérations par le Groupe auquel appartient LCL, notamment, mais pas seulement, en matière de transfert de données, de centralisation des systèmes de traitement de l’information, d’archivage des données, de traitement numérique des données, de procédure de prise de décisions, sans que la présente liste soit exhaustive, que les informations le concernant et qui sont contenues dans son dossier ou dans les livres de LCL puissent être communiquées ou transférées à d’autres entités du Groupe auquel appartient LCL, sous la responsabilité de cette dernière, et dans des conditions de sécurité et de confidentialité comparables à celles applicables en Principauté de Monaco.
8. Vos Données Personnelles sont-elles transférées en dehors de l’Union européenne ?
Les Données Personnelles peuvent, à l’occasion des traitements listés ci-dessus, être communiquées à des destinataires établis dans un pays situé hors de l’Union Européenne. Il s’agit alors d’un transfert de Données Personnelles hors de l’Union européenne (« Transfert(s) »), étant précisé qu’un Transfert a lieu dès lors que les Données Personnelles sont envoyées dans le pays tiers ou accessibles depuis le pays tiers.
Ces destinataires peuvent être situés dans des pays faisant l’objet d’une décision d’adéquation rendue par la Commission européenne, ce qui signifie que la Commission européenne considère que la législation de ces pays protège les Données Personnelles de manière équivalente à la législation européenne.
Lorsque ces destinataires sont situés dans des pays ne faisant pas l’objet d’une décision d’adéquation rendue par la Commission européenne, LCL ne peut transférer les Données Personnelles vers ces pays que dans certaines conditions :
- LCL peut transférer les Données Personnelles sur la base d’une dérogation applicable à la situation spécifique (par exemple, si le Transfert est nécessaire pour exécuter un contrat conclu avec le client, comme notamment lors de l’exécution de diverses opérations de paiement et notamment de transfert de fonds internationaux).
- A défaut, LCL peut transférer les Données Personnelles sur la base de contrats-types conformes aux modèles élaborés par la Commission européenne – le modèle-type actuellement en vigueur est disponible ici – ou par des règles d’entreprise contraignantes, et le cas échéant, par des mesures techniques et organisationnelles supplémentaires.
Pour obtenir une copie des mesures encadrant les Transferts de Données Personnelles hors Union européenne ou savoir comment accéder à ces mesures, il convient de s’adresser au Délégué à la Protection des Données de LCL dont les coordonnées figurent au paragraphe 11.
9. Combien de temps conservons-nous vos Données Personnelles ?
De manière générale, nous conservons et traitons vos Données Personnelles pour la durée nécessaire à la réalisation de la finalité poursuivie, augmentée des délais nécessaires à la liquidation et la consolidation des droits et des durées légales de conservation et de prescription, notamment à des fins de preuve, pour satisfaire à nos obligations légales ou répondre aux demandes des régulateurs et des autorités administratives ou judiciaires, ainsi qu’à des fins de recherches historiques, statistiques ou scientifiques, nous pourrons être amenés à archiver vos données dans les conditions prévues par la loi.
Durée de conservation des Données Personnelles de Prospects
Lorsque la Personne concernée est un Prospect de LCL, ou une personne physique en relation avec LCL par le biais d’une personne morale Prospect, les Données Personnelles traitées à des fins de prospection commerciale peuvent être conservées pour une durée maximale de trois ans à compter du dernier contact de la Personne avec LCL, sauf durée plus courte indiquée dans le canal utilisé. Toutefois, en cas de refus d’entrée en relation à l’initiative de LCL, la lettre de refus est conservée 5 ans.
Durée de conservation des Données Personnelles des Personnes Intermédiaires
Lorsque la Personne est en relation avec LCL par l’intermédiaire d’un client LCL personne physique ou personne morale, ses Données Personnelles peuvent être conservées pour une durée maximale identique à celle des données du client LCL. C’est le cas par exemple de Personnes émettrices ou bénéficiaires d’opérations de paiement, mandataires, cautions, bénéficiaires effectifs, actionnaires ou encore agissant en qualité de représentants légaux. Les durées de conservation des Données Personnelles des Personnes qui sont parties à un contrat avec LCL sont indiquées ci-dessous.
Durée de conservation des Données Personnelles des Personnes parties à un contrat avec LCL
Lorsque la Personne est partie à un contrat avec LCL, ses Données Personnelles sont conservées pour la durée nécessaire à l’accomplissement du service, au respect des obligations réglementaires et à la conservation de la preuve en matière contractuelle, jusqu’à extinction des droits des parties ou des tiers concernés (notamment en matière
d’assurance). En conséquence, sauf délais spéciaux, les Données Personnelles peuvent être conservées durant le délai de prescription maximum.
Les principales durées de conservation sont les suivantes :
- À compter du terme de la relation, les données relatives aux contrats seront conservées pendant une durée pouvant aller jusqu’à 10 ans (hors cas de déshérence au sens de la loi Eckert 2014-617 du 13 juin 2014 et hors contentieux), sauf celles relatives aux contrats d’assurance-vie qui pourront être conservées jusqu’à 30 ans (à compter du décès de l’assuré) ; les Données Personnelles des mandataires sur un ou plusieurs comptes de clients, seront conservées pendant une durée de 10 ans ;
- En cas de succession, les données seront conservées pendant 10 ans après clôture du dossier ; en cas de recouvrement amiable les données seront conservées pendant 5 ans après clôture du dossier ou 10 ans lorsque votre dossier contient des documents ou des pièces justificatives à caractère comptable ; en cas de surendettement, les données seront conservées pendant 10 ans après clôture du dossier ; en cas de recouvrement judiciaire, les données seront conservées pendant 10 ans après la clôture du dossier ;
- En cas de déshérence au sens de la loi Eckert 2014-617 du 13 juin 2014, les données seront conservées selon les modalités prévues par la loi précitée ;
- Les informations ayant un caractère comptable seront conservées pendant une durée de 10 ans ;
- Les enregistrements des images de vidéoprotection sont conservés 30 jours ;
- Les enregistrements des conversations téléphoniques sont conservés pour une durée maximale de 5 ans (durée pouvant être portée à 7 ans pour certains appels, en fonction des exigences du régulateur) ;
- Les données de connexion sont conservées pour une durée maximale de 13 mois.
Durée de conservation des Données Personnelles des Personnes en relation avec LCL par le biais d’un fournisseur, prestataire ou partenaire
Les Données Personnelles sont conservées pendant les durées suivantes :
- Lorsque la Personne en relation avec LCL par le biais d’un fournisseur ou prestataire est utilisatrice de l’outil d'achats de LCL comprenant notamment la signature des contrats et le règlement des factures, son profil est désactivé si elle ne se connecte pas pendant plus d’un an. Ses Données Personnelles sont ensuite anonymisées un an après la désactivation du profil ;
- Lorsque des Données Personnelles de la Personne apparaissent dans le contrat entre LCL et le fournisseur, prestataire ou partenaire, ces Données Personnelles sont conservées pendant 30 ans à compter de la fin du contrat, ou 99 ans à compter de la fin du contrat dans le cas de transfert ou concession de droit de propriété intellectuelle.
En cas de demande d’exercice des droits de la Personne, qu’elle soit un Prospect, une Personne Intermédiaire, un Client ou une Personne en relation avec LCL par le biais d’un fournisseur, prestataire ou partenaire, les données relatives à cette demande seront conservées 5 ans à compter de la clôture du dossier. Les Données Personnelles nécessaires à la gestion d’un éventuel recours en justice ou d’un contentieux sont conservées jusqu’au terme de la procédure. Elles sont ensuite archivées suivant les durées légales de conservation, de prescription.
10. Quels sont vos droits ?
Vous pouvez, à tout moment, dans les conditions prévues par la loi, et sans frais, exercer les droits suivants :
- Le droit d'accéder à vos Données Personnelles et d’obtenir des informations concernant le traitement de vos Données Personnelles. Votre droit d’accès peut se trouver limité lorsque la réglementation le prévoit. C’est le cas de la réglementation relative à la lutte contre le blanchiment des capitaux et le financement du terrorisme qui nous interdit de vous donner directement accès à vos Données Personnelles traitées à cette fin. Dans ce cas, vous devez exercer votre droit d’accès auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) qui nous interrogera ;
- Le droit de rectifier et mettre à jour des données inexactes ou incomplètes vous concernant ;
- Le droit de demander la suppression de vos Données Personnelles dans les conditions prévues par la loi (par exemple, lorsque les données ne sont plus nécessaires au regard
des finalités pour lesquelles elles ont été collectées ; toutefois, des obligations légales ou des raisons légitimes peuvent nous imposer de les conserver) ;
- Le droit de demander la limitation du traitement de vos Données Personnelles dans les conditions prévues par la loi (par exemple, lorsque vous contestez leur exactitude) ; elles pourront alors être conservées, et utilisées pour l’exercice et la défense des droits en justice ou pour la protection des droits d’une autre personne physique ; ou elles pourront encore être utilisées avec votre consentement ;
- Le droit de demander la portabilité de certaines de vos Données Personnelles : ce droit vous permet de récupérer une copie des Données Personnelles vous concernant lorsque le traitement est effectué à l’aide de procédés automatisés, et est fondé sur le consentement ou l’exécution du contrat ou de mesures précontractuelles. Vous pouvez demander à recevoir, dans un format structuré couramment utilisé et lisible par machine, les Données Personnelles que vous nous avez fournies et/ou leur transfert à un tiers, lorsque cela est techniquement possible ;
- Le droit de retirer votre consentement lorsque le traitement a pour base légale le consentement. LCL ne traitera plus vos Données Personnelles, étant précisé que le retrait du consentement ne compromet pas la licéité du traitement effectué avant ce retrait ;
- Le droit de nous communiquer des directives relatives à la conservation, à l'effacement et à la communication de vos Données Personnelles, applicables après votre décès.
Vous pouvez également, à tout moment, dans les conditions prévues par la loi, et sans frais, exercer votre droit d’opposition :
- Pour des raisons tenant à votre situation particulière, à un traitement de Données Personnelles effectué par LCL, lorsque la base juridique du traitement est l’intérêt légitime ; toutefois, LCL pourra démontrer qu’il existe des motifs légitimes et impérieux pour ce traitement qui prévalent sur vos intérêts et droits et libertés, ou pour la constatation, l'exercice ou la défense de droits en justice ;
- Au traitement de vos Données Personnelles à des fins de prospection commerciale ainsi qu’à la transmission éventuelle de vos Données Personnelles à des tiers à des fins de prospection commerciale, sans avoir à justifier votre demande.
En outre, la Personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. Néanmoins, une Personne peut faire l’objet d’une décision entièrement automatisée, même si cette dernière a un effet juridique ou un impact significatif sur elle lorsqu’elle est nécessaire à la conclusion ou à l'exécution d'un contrat conclu avec LCL, autorisée par la réglementation ou si vous avez donné votre consentement.
En cas de décision entièrement automatisée, impliquant ou non une opération de profilage, qui serait prise à votre égard par LCL et qui produirait des effets juridiques ou vous affecterait, de façon similaire, de manière significative, vous disposez des droits suivants :
- Demander l’intervention d’un être humain afin qu’il réexamine ladite décision ;
- Exprimer votre point de vue ;
- Contester la décision.
Vous pouvez enfin introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) située 3, Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07 et dont le site internet est accessible via le lien suivant : www.cnil.fr.
11. Comment exercer vos droits ?
Vous pouvez exercer l’un des droits visés ci-dessus, en contactant :
- soit votre conseiller via la messagerie sécurisée dans votre espace de banque en ligne ;
- soit l’entité LCL qui gère le contrat auquel la Personne est partie (agence, centre d’affaires, pôle banque privée) par demande écrite accompagnée d’un justificatif d’identité ;
- soit le Délégué à la Protection des Données de LCL en écrivant par courrier simple accompagné d’un justificatif d’identité, à l’adresse suivante :
- Délégué à la protection des données LCL – BC 206-09 – 20, avenue de Paris, 94811 VILLEJUIF Cedex.
Aucuns frais ne seront facturés au titre des demandes de la Personne dans le cadre de l’exercice des droits susvisés. Lorsque les demandes seront adressées par courrier postal, les frais de timbre seront remboursés sur simple demande.
Toutefois, et conformément à la réglementation, LCL se réserve le droit de facturer la Personne en cas de demandes manifestement infondées ou excessives notamment en raison de leur caractère répétitif. En cas de demande manifestement infondée ou excessive, LCL pourra également refuser de donner suite aux demandes de la Personne.
En cas d’exercice des droits susvisés, LCL fournira à la Personne des informations sur les suites de la demande qu’elle a formulée, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. LCL informera la Personne de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande.
Concernant le droit d’opposition au traitement de vos Données Personnelles à des fins de prospection commerciale, ainsi qu’à leur transmission à des tiers à ces mêmes fins, ce droit peut s’exercer en outre, à tout moment, sur le site www.lcl.fr via le formulaire de réclamation, ou pour les courriels/SMS, en cliquant sur le lien de désinscription figurant en bas de tout courriel/SMS de prospection commerciale, ou encore en envoyant « STOP SMS » lorsque que cette option est prévue.
Par ailleurs, des pixels de tracking nous permettent de suivre l'activité des courriels que nous envoyons aux clients et prospects nous ayant transmis leur adresse électronique et ayant consenti à recevoir des courriels à des fins de prospection commerciale. Cela nous permet de savoir si les courriels ont été ouverts et/ou cliqués afin d’optimiser les campagnes de communication commerciale. Si vous avez accepté de recevoir de la prospection commerciale par voie électronique, vous êtes alors soumis à ces pixels de tracking. Si vous ne souhaitez plus y être soumis, il vous faudra renoncer à recevoir de la prospection commerciale par voie électronique de la part de LCL suivant les modalités décrites ci-dessus.
La Personne peut s’inscrire gratuitement sur la liste d’opposition au démarchage téléphonique BLOCTEL sur le site internet www.bloctel.gouv.fr. Tout consommateur inscrit sur cette liste ne pourra pas être démarché téléphoniquement par un professionnel, sauf lorsqu'il s'agit de sollicitations intervenant dans le cadre de l'exécution d'un contrat en cours et ayant un rapport avec l'objet de ce contrat, y compris lorsqu'il s'agit de proposer au consommateur des produits ou des services afférents ou complémentaires à l'objet du contrat en cours ou de nature à améliorer ses performances ou sa qualité. Dans ce cas, LCL peut utiliser les coordonnées téléphoniques que la Personne a communiquées pour lui proposer les produits et services de LCL, sous réserve de l’exercice de son droit d’opposition.
Pour de plus amples informations, vous pouvez vous adresser au Délégué à la Protection des Données de LCL (DPO) à l’adresse électronique suivante :
protection_des_donnees@lcl.fr.