Avis de confidentialité
Le présent Avis de confidentialité (« l’Avis de confidentialité ») détaille les conditions sous lesquelles la Banque, en tant que responsable du traitement, traite les données personnelles des Personnes concernées (telles que définies ci-dessous). Il doit être lu conjointement avec les conditions générales de la Banque (les « Conditions générales »).
Les termes en majuscules qui ne sont pas autrement définis dans le présent document ont la signification qui leur est donnée dans les Conditions générales.
Aux seules fins du présent article 1.2.1, le terme Client concerne également les clients potentiels de la Banque (les prospects).
La Banque traite les Données personnelles de ses Clients conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données, et à toute modification ou tout remplacement de celui-ci (le « RGPD »), ainsi qu’à toute loi ou réglementation complémentaire ou autre relative à la protection des Données personnelles applicables à la Banque.
Les dispositions du présent article 1.2.1 s’appliquent au traitement par la Banque en qualité de Responsable du traitement des Données personnelles concernant (i) tous les Clients de la Banque qui sont des personnes physiques, ou (ii) lorsque le Client est une personne morale, le mandataire, l’ayant droit, le dirigeant, le représentant, l’employé et tout autre mandataire de ces Clients, et (iii) toute autre personne physique au sujet de laquelle la Banque traite des Données personnelles (ci-après dénommées les « Personnes concernées »).
Conformément au principe de transparence, le présent Avis de confidentialité vise à informer les Personnes concernées, entre autres, sur les opérations de traitement effectuées par la Banque en tant que Responsable du traitement, mais aussi sur leurs droits concernant le traitement des Données personnelles les concernant.
La Banque, en tant que Responsable du traitement, ne collecte que les informations personnelles qui sont nécessaires à l’accomplissement de ses missions et uniquement dans le cadre de la prestation de services à ses Clients et/ou pour le respect de ses obligations légales ou réglementaires. Les Données personnelles sont collectées auprès des Personnes concernées (par exemple, lors de l’établissement d’une relation d’affaires) et auprès de tiers (par exemple, selon les services fournis, les autorités publiques, les avocats et/ou les notaires), y compris à partir de sources accessibles au public et de bases de données d’abonnement.
Le refus de communiquer des Données personnelles à la Banque et l’interdiction de les traiter, à la discrétion du Client, peuvent dans certaines circonstances constituer un obstacle à la conclusion d’un contrat ou à la poursuite d’une relation avec la Banque ou empêcher le Client d’utiliser certains produits ou services commercialisés par la Banque. La Banque informera les Personnes concernées de cet empêchement dès qu’un tel refus se produira.
Dans le cadre de ses activités et des services qu’elle fournit à ses Clients, la Banque traite généralement les informations personnelles non exhaustives suivantes concernant les Personnes concernées:
- les données d’identification personnelle (par exemple : le nom, l’adresse, le pays de résidence, les numéros de téléphone) et les données électroniques (adresses électroniques, adresse IP, informations recueillies du fait de l’utilisation de cookies sur les sites web);
- les données personnelles (par exemple : la date de naissance, le sexe et l’état civil) et les habitudes de vie et de consommation (consommation de biens et de services, régimes alimentaires particuliers) ;
- La formation et la profession (par exemple : le cursus universitaire, l’employeur, le poste, la fonction, le lieu de travail);
- les données d’identification électronique (par exemple : l’adresse électronique);
- les données d’identification bancaires et financières (par exemple : les numéros de comptes bancaires et leur solde, les numéros de cartes de crédit);
- les enregistrements des transactions financières;
- les données relatives à la situation financière du Client ou de la Personne concernée (par exemple, les revenus, les biens et les propriétés, les crédits, le solde du compte bancaire, les préférences en matière d’investissement);
- l’identification de la résidence fiscale et le numéro d’identification fiscale;
- les images et le son (par exemple : les enregistrements téléphoniques, les photos sur les copies de documents d’identité, les enregistrements vidéo grâce aux systèmes CCTV installés dans les locaux de la Banque);
- toute information résultant de contrôles liés à la réglementation en matière de lutte contre le blanchiment d’argent et le financement du terrorisme (« AML/CTF ») et de connaissance de votre client (« KYC »).
Les catégories de données susmentionnées peuvent inclure des catégories spéciales de Données personnelles, telles que des informations sur les opinions politiques, l’affiliation à des syndicats, les croyances religieuses et des informations sur les condamnations pénales et les infractions.
La Banque traite les Données personnelles des Personnes concernées en fonction des services fournis à ses Clients, mais aussi pour le respect de ses obligations légales en général.
En particulier, la Banque traite les Données personnelles relatives à une Personne concernée lorsqu’un traitement est nécessaire:
- pour prendre les mesures préalables nécessaires à la conclusion du contrat, à son exécution et aux fins de fournir ses services à ses Clients et d’exécuter ses obligations conformément aux conditions contractuelles; gérer sa relation d’affaires avec le Client (y compris l’administration des comptes, la gestion des instructions de paiement et des dépôts, les prêts, les hypothèques et les titres connexes, l’évaluation de la solvabilité financière et de la capacité à rembourser un crédit, les investissements et les transactions financières similaires), mais aussi pour mettre à jour les informations du Client et de la Personne concernée; the Client and Data Subject’s information;
- pour le respect des obligations légales ou réglementaires auxquelles la Banque est soumise, y compris notamment aux fins de:
- se conformer aux exigences de déclaration aux autorités compétentes, que ce soit en termes de fiscalité ou autre (telles que la Norme commune de déclaration de l’OCDE pour l’échange d’informations (« CRS »), le FATCA, l’échange automatique d’informations (« AEI ») et tout régime d’échange d’informations auquel la Banque est soumise de temps à autre) ou la déclaration légale/réglementaire à l’autorité de surveillance, auquel cas la remise d’informations à la Banque est toujours obligatoire. Le défaut de réponse peut entraîner une déclaration incorrecte ou double; dans ce cas-là, les Données personnelles des Personnes concernées seront partagées avec les autorités fiscales luxembourgeoises (et tout prestataire de services avec lequel la Banque opère) qui peuvent à leur tour communiquer ces informations aux autorités fiscales étrangères;
- prendre des mesures contre le blanchiment d’argent et le financement du terrorisme, notamment:
- les obligations en matière de KYC (Customer Due Diligence (« CDD ») et contrôles KYC);
- la lutte contre le blanchiment d’argent et le financement du terrorisme (AML/CTF);
- les obligations de coopération avec les autorités luxembourgeoises et internationales;
- la tenue d’un registre des services et des transactions.
- pour répondre à l’intérêt légitime de la Banque ou d’un tiers, notamment
à des fins liées à:- la stratégie de développement commercial des Banques afin d’offrir des services supplémentaires pour répondre aux besoins de leurs Clients (y compris le marketing direct sous la forme de communications commerciales non sollicitées) et/ou pour répondre à leurs besoins spécifiques, le cas échéant;
- sécuriser les locaux, les circuits de communication et les systèmes informatiques utilisés par la Banque;
- la comptabilité, la démonstration d’une transaction, la gestion des risques ou la prévention d’une fraude.
- sur la base du consentement de la Personne concernée (par exemple, pour tout traitement ultérieur des Données personnelles).
Toute personne qui, en tant que Client ou pour le compte d’un Client, communique à la Banque ou à l’un de ses représentants des Données personnelles concernant toute Personne concernée, doit d’abord fournir à cette dernière les informations sur la manière dont la Banque traite les Données personnelles comme décrit dans le présent Avis de confidentialité. La Banque considérera donc que les Personnes concernées sont informées du traitement des Données personnelles les concernant que la Banque peut effectuer et du transfert de leurs Données personnelles à certains Destinataires tels que décrits dans les présentes. La banque considérera aussi que le Client a obtenu le consentement préalable et écrit des Personnes concernées pour autant que nécessaire.
Dans certains cas particuliers, la Banque peut demander le consentement des Personnes concernées pour un traitement spécifique de Données personnelles. La Banque informe les Personnes concernées qu’elles peuvent retirer leur consentement à tout moment, conformément aux lois applicables et dans les limites de celles-ci.
1.2.7.1
Les numéros de téléphone de la Banque utilisés pour des « transactions commerciales ou financières » sont enregistrés. À cet égard, le Client est informé que la Banque peut (et dans l’intérêt du Client, sous certaines circonstances, est tenue légalement, comme décrit plus en détail dans les Conditions générales) enregistrer des conversations téléphoniques ou des communications électroniques. Ces enregistrements ont pour but de garder la trace des transactions à des fins de preuve, de se conformer aux lois et règlements, de permettre l’assistance et les enquêtes de la Banque ou des autorités compétentes (y compris dans le cas où il existe un litige entre le Client et la Banque en lien avec une transaction).
1.2.7.2
Néanmoins, si le Client (ou toute Personne concernée agissant pour le compte du Client) a une conversation téléphonique avec un employé de la Banque et que l’objet de cette conversation n’a rien à voir avec une « transaction commerciale ou financière », alors le Client a la possibilité de demander audit employé de transférer l’appel vers une ligne non enregistrée. Dans ce cas-là, le Client est informé qu’aucun ordre ou transaction ne sera traité ou même considéré par la Banque. Enfin, le Client ne pourra à aucun moment prétendre avoir transmis un ordre ou effectué une transaction par téléphone s’il avait expressément demandé l’utilisation d’une ligne non enregistrée.
1.2.7.3
Le Client est informé qu’en cas de litige entre les parties aux présentes, les enregistrements pourront servir de preuve, notamment si le Client a demandé qu’un appel téléphonique soit considéré comme un moyen de communication valable concernant le compte lors de son ouverture.
1.2.8.1 Principe de conservation
Sauf mention contraire dans les Conditions générales, la Banque conservera les Données personnelles aussi longtemps que nécessaire ou requis pour satisfaire aux objectifs poursuivis par la Banque tels que détaillés ci-dessus, mais pas plus longtemps. La durée maximale de conservation est soit (i) la fin de la relation entre le Client et la Banque plus les durées de prescriptions légales applicables pour l’exercice ou la défense d’une action en justice, tel que le délai de prescription commerciale de 10 ans à compter de la fin de la relation contractuelle avec un Client) soit (ii) la fin de l’obligation légale de conserver les Données personnelles pendant une certaine période, même après la fin de la relation entre le Client et la Banque, la date la plus tardive étant retenue.
1.2.8.2 L’archivage/la tenue de dossiers
- Pour assurer le respect de ses obligations légales telles que régies par la loi de 2004, la Banque est tenue de:
- conserver les informations et les documents relatifs à la CDD pendant une période de cinq (5) ans après la fin de la relation d’affaires ou après la date d’une transaction occasionnelle;
- conserver les pièces justificatives et les enregistrements des transactions pendant une période de cinq (5) ans après la fin d’une relation d’affaires avec le Client ou après la date d’une transaction occasionnelle.Les autorités de régulation peuvent ordonner la conservation de ces informations ou documents pour une période supplémentaire de cinq (5) ans lorsque la nécessité et la proportionnalité de cette conservation supplémentaire ont été établies pour la prévention, la détection, l’enquête ou la poursuite de soupçons de blanchiment d’argent ou de financement du terrorisme.
- Afin d’assurer le respect de ses obligations légales de tenue de livres, la Banque conserve ses registres, documents comptables, correspondances et archives, qui peuvent contenir des Données personnelles, que ce soit des originaux ou des copies sur tout support qu’elle juge approprié, pendant une période de dix (10) ans à compter de la fin de l’exercice auquel ils se rapportent.
- La Banque conservera les enregistrements des conversations téléphoniques et des communications électroniques aussi longtemps que nécessaire aux fins susmentionnées (à savoir, le suivi des opérations à des fins de preuve, le respect des lois et règlements, l’assistance et les enquêtes de la Banque ou des autorités compétentes), mais pas plus longtemps. La durée maximale est soit (i) la fin de la relation entre le Client et la Banque plus les périodes de prescriptions légales applicables à l’exercice ou à la défense d’une action en justice, soit (ii) la fin de l’obligation légale de conserver les Données personnelles pendant une certaine période, même après la fin de la relation entre le Client et la Banque, la date la plus tardive étant retenue. Les enregistrements téléphoniques et les communications électroniques relatifs à certaines opérations doivent légalement être conservés par la Banque pendant une période de cinq (5) ans, ou jusqu’à sept (7) ans si la CSSF l’exige.
La Banque met en œuvre les moyens physiques et techniques pour protéger les Données personnelles des Personnes concernées contre toute tentative d’utilisation malveillante et frauduleuse. Les solutions techniques utilisées pour stocker et traiter les Données personnelles font l’objet d’une surveillance accrue conformément à la politique de sécurité et à l’approche basée sur les risques de la Banque, qui reste sa priorité.
À titre d’exemple, les garanties techniques et organisationnelles comprennent le cryptage, les antivirus, les pare-feux, les contrôles d’accès, la sélection stricte du personnel et des fournisseurs afin de prévenir et de détecter l’accès, la perte ou les divulgations inappropriées des Données personnelles des Personnes concernées.
En cas de violation de la sécurité qui pourrait potentiellement compromettre la protection des Données personnelles des Personnes concernées sous le contrôle de la Banque, la Banque agira rapidement pour identifier la cause de cette violation et prendra des mesures correctives. En fonction de la nature et de l’étendue du problème identifié, la Banque informera les Personnes concernées conformément aux dispositions légales applicables.
Les Données personnelles des Personnes concernées peuvent être transférées par la Banque aux catégories de Destinataires suivantes, dans la mesure où la Banque estime que cette divulgation ou transmission est requise ou nécessaire pour atteindre les objectifs susmentionnés:
- d’autres sociétés du groupe auquel la Banque appartient, d’autres institutions financières, notamment des banques, des compagnies d’assurance et des émetteurs de cartes de crédit et de débit, des courtiers, des organisations impliquées dans les transferts d’argent telles que SWIFT (Society for Worldwide Interbank Financial Telecommunication);
- toute entité juridique susceptible de racheter la Banque ou certains de ses actifs en cas de fusion et d’acquisition ou de restructuration;
- les avocats, notaires, auditeurs externes ou huissiers de la Banque;
- les entités publiques, gouvernementales ou judiciaires, au Luxembourg ou à l’étranger;
- Les destinataires (tels que définis à l’article 1.3.6 des Conditions générales), dont l’intervention est requise aux fins telles que détaillées dans ledit article 1.3.6 des Conditions générales et respectivement situés au Luxembourg ou en Andorre.
La Banque peut également transférer les Données personnelles, en vertu d’une obligation légale ou réglementaire à laquelle la Banque est soumise, ou en vertu d’une contrainte émanant d’une autorité publique ou judiciaire dans les limites légales applicables. Conformément aux exigences légales et réglementaires propres à l’échange automatique d’informations avec les pays qui y ont adhéré, la Banque peut divulguer certaines Données personnelles relatives au statut de résidence fiscale du Client aux autorités fiscales luxembourgeoises.
Les autorités fiscales luxembourgeoises peuvent communiquer les données transmises par la Banque à chaque autorité fiscale étrangère compétente conformément aux exigences légales et réglementaires applicables. Dans certaines juridictions, les exigences légales et réglementaires applicables aux transactions portant sur des instruments financiers et des droits similaires exigent que l’identité des détenteurs (in)directs ou des ayants droit de ces instruments et leurs positions dans ces instruments soient divulguées.
Le non-respect de ces obligations peut entraîner le gel des instruments financiers avec toutes les conséquences possibles qui en découlent, telles que l’impossibilité d’exercer les droits de vote, la non-perception des dividendes, l’impossibilité de vendre les instruments concernés ou toute autre sanction ou mesure restrictive, notamment en application des dispositions légales et réglementaires applicables auxquelles le Client est également tenu de se conformer.
À cette fin, le Client est informé que la Banque peut être légalement tenue de divulguer aux autorités compétentes l’identité du Client et/ou de l’ayant droit, ainsi que leurs positions dans lesdits instruments financiers.
Le Client est informé que la Principauté d’Andorre est un pays qui est actuellement reconnu par la Commission européenne comme offrant un niveau adéquat de protection des données sur la base d’une décision d’adéquation (protection considérée comme équivalente à celle de l’Union européenne). Par conséquent, les garanties appropriées prévues au chapitre V du RGPD ne sont pas mises en œuvre par la Banque avec les Destinataires (notamment les prestataires de services agissant en tant que Processeurs) situés dans la Principauté d’Andorre.
Tout transfert de Données personnelles par la Banque à un Destinataire (agissant en tant que Processeur ou Responsable du traitement lors du traitement des Données personnelles) situé en dehors de l’Espace économique européen (« l’EEE ») sera effectué conformément aux garanties prévues au chapitre V du RGPD.
Sous réserve des conditions du RGPD, toute Personne concernée peut demander à la Banque l’un des éléments suivants:
1.2.11.1 Le droit d’accès
Chaque Personne concernée a le droit d’obtenir de la Banque la confirmation que des Données personnelles la concernant sont ou non traitées et, le cas échéant, l’accès aux Données personnelles et aux informations pertinentes à cet égard.
1.2.11.2 Le droit de rectification
La Personne concernée a le droit d’obtenir de la Banque, sans retard excessif, la rectification des Données personnelles inexactes la concernant et, compte tenu des finalités du traitement, le droit de faire compléter les Données personnelles incomplètes.
1.2.11.3 Le droit de restreindre le traitement des Données personnelles
Ce droit permet à la Personne concernée de « bloquer » ou de supprimer un traitement spécifique de ses Données personnelles.
1.2.11.4 Le droit à l’effacement
Ce droit permet à la Personne concernée de demander à la Banque d’effacer ou de supprimer ses Données personnelles lorsqu’il n’y a pas de raison impérieuse de continuer à les traiter.
1.2.11.5 Le droit d’opposition
La Personne concernée a le droit de s’opposer, pour des raisons tenant à la situation particulière de la Personne concernée, à tout moment, au traitement des Données personnelles la concernant qui est fondé sur la satisfaction des intérêts légitimes poursuivis par la Banque. Si ce droit est exercé, la Banque ne traitera plus les Données personnelles, à moins que la Banque ne démontre des motifs légitimes impérieux pour le traitement qui l’emportent sur les intérêts, droits et libertés de la Personne concernée ou pour la constatation, l’exercice ou la défense de droits en justice.
1.2.11.6 Le droit à la portabilité
Les Personnes concernées auront également un droit à la portabilité de leurs Données personnelles, à savoir le droit de recevoir les Données personnelles les concernant ou de demander leur communication à un autre Responsable du traitement dans un format structuré, couramment utilisé et lisible par machine.
1.2.11.7 Le retrait du consentement
La Personne concernée peut à tout moment retirer le consentement qu’elle a donné dans les cas où la Banque aura dû préalablement exiger ce consentement pour le traitement des Données personnelles la concernant. La légalité des opérations de traitement fondées sur le consentement effectuées avant ce retrait ne sera pas affectée.
Le délégué à la protection des Données (DPD) est la personne à contacter pour toutes les questions concernant le traitement et la protection des Données personnelles.
Les Personnes concernées peuvent soumettre à la Banque une demande d’exercice des droits susmentionnés en adressant une demande écrite, signée et justifiant de son identité à la Banque, envoyée par courrier électronique à:
ou par lettre à l’adresse suivante : Banque de Patrimoines Privés,
Délégué à la protection des Données
30, Boulevard Royal, L-2449 Luxembourg
Par l’intermédiaire du délégué à la protection des Données désigné, la Banque s’engage à traiter la demande du Client dans les meilleurs délais.
Le Client est également informé qu’il a le droit de déposer une plainte auprès de l’autorité compétente en matière de protection des données, notamment dans l’État membre de sa résidence habituelle.
Au Luxembourg, cette autorité est :
La Commission Nationale de Protection des Données (CNPD), 1, Rock’n’Roll Avenue – L-4361 Esch/Alzette.
Nonobstant ce qui précède, le Client est informé que, conformément aux dispositions de la loi de 2004, le droit d’accès aux Données personnelles susmentionné peut être limité ou différé par la Banque lorsque cette mesure est nécessaire pour:
- la Banque, ou toute autorité de régulation, ou la Cellule de renseignement financier de l’État pour effectuer les tâches mentionnées dans la loi de 2004;
- éviter de faire obstacle aux enquêtes, analyses, enquêtes ou procédures officielles ou judiciaires aux fins de la loi de 2004 et veiller à ce que la prévention, l’enquête et la détection du blanchiment d’argent et du financement du terrorisme ne soient pas compromises.
Toutes les informations concernant l’utilisation des cookies sont incluses dans la politique de la Banque en matière de cookies. Ces informations sont disponibles sur demande et peuvent également être consultées directement en ligne sur le site Internet de la Banque à l’adresse suivante:
- « Données personnelles »
Toute information relative à une personne physique identifiée ou identifiable (« la Personne concernée ») ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique. - « Traitement »
Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés sur des données ou des ensembles de Données personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. - « Responsable du traitement »
La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des Données personnelles. - « Processeur »
La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite les Données personnelles pour le compte du Responsable du traitement. - « Destinataire »
Une personne physique ou morale, une autorité publique, une agence ou un autre organisme, à qui les Données personnelles sont divulguées, qu’il s’agisse d’un tiers ou non. Toutefois, les autorités publiques qui peuvent recevoir des Données personnelles dans le cadre d’une enquête particulière conformément au droit de l’Union ou des États membres ne sont pas considérées comme des Destinataires ; le traitement de ces données par ces autorités publiques doit être conforme aux règles de protection des données applicables en fonction des finalités du traitement. - « Tiers »
Une personne physique ou morale, une autorité publique, une agence ou un organisme autre que la Personne concernée, le Responsable du traitement, le Processeur et les personnes qui, sous l’autorité directe du Responsable du traitement ou du Processeur, sont autorisées à traiter les Données personnelles.
Des informations plus spécifiques concernant le traitement des Données personnelles et toute mise à jour ou modification du présent Avis de confidentialité peuvent être fournies au Client par la Banque par l’envoi de toute lettre de notification (y compris par e-mail) ou de tout autre moyen approprié.
Le Client communiquera cet Avis de confidentialité mis à jour à toute Personne concernée par les opérations de traitement conformément au présent Avis de confidentialité.