Politique de confidentialité
1. Introduction
1.1 Dans le but de servir ses clients, Saxo Banque (ci-après « Saxo Banque » ou « Nous ») doit collecter des données à caractère personnel auprès de ses clients et/ou clients potentiels et employés.
Saxo Banque souhaite vous offrir le meilleur niveau de protection des données possible, car celui-ci constitue un facteur essentiel nous permettant de gagner et de conserver votre confiance, celle de nos employés et de nos fournisseurs, tout en assurant la pérennité de notre activité.
La protection des données à caractère personnel exige que des mesures techniques et organisationnelles appropriées soient prises afin d’atteindre le niveau de qualité souhaité. Saxo Banque a donc adopté un certain nombre de procédures internes et externes auxquelles doivent adhérer l’ensemble de nos employés.
En outre, Saxo Banque devra contrôler, auditer et documenter la mise en conformité de ses procédures avec les différentes exigences réglementaire en matière de protection des données, y compris le Règlement Général sur la Protection des Données (« RGPD »).
Saxo Banque prendra également toutes les mesures nécessaires pour s’assurer que son organisation soit conforme en matière de protection des données. Parmi ces mesures, on retrouve la désignation d’un Délégué à la Protection des Données (le « DPO »), la sensibilisation et la formation du personnel aux traitements des données.
Veuillez noter que la présente Politique de confidentialité sera ponctuellement révisée afin de prendre en compte toutes nouvelles obligations et de faire en sorte que l’ensemble des données à caractère personnel soient régies par notre politique en vigueur la plus récente.
La présente Politique, ainsi que les instructions relatives au traitement des données à caractère personnel, font office de cadre général pour le traitement des données à caractère personnel au sein de Saxo Banque.
1.2 Le terme « données à caractère personnel » désigne l'ensemble des informations se rapportant à une personne physique identifiée ou identifiable (« personne concernée »). Par personne physique identifiable nous faisons référence à un individu susceptible d'être identifié, directement ou indirectement, par son nom, son adresse, son numéro de téléphone, son âge, son sexe. Il peut s’agit d’un client, d’un fournisseur, d’un employé, d’un candidat ou de tout d'autre partenaire commercial. Cette définition inclut également des catégories spécifiques de données à caractère personnel (données à caractère personnel sensibles) et des informations confidentielles comme les informations sur la santé, les numéros de compte, les numéros d'identification, les données de géolocalisation, les identifiants en ligne, ainsi que d’autres éléments spécifiques notamment physiologiques, génétiques, mentaux, économiques, culturels ou sociaux.
1.3 Bien que les informations concernant les sociétés/entreprises n'entrent pas dans la catégorie des données à caractère personnel, veuillez noter que les informations que nous détenons relatives aux personnes physiques au sein de ces sociétés/entreprises (par ex. : nom, titre, adresse électronique professionnelle, numéro de téléphone professionnel, etc.) sont considérées comme des données à caractère personnel.
1.4 Les informations personnelles que vous nous fournissez et que Saxo Banque collecte et utilise servent à la réalisation de différentes activités, dont des activités commerciales, notamment l'établissement et la gestion des relations client et fournisseur, la complétude des bons de commande, le recrutement et la gestion des ressources humaines, la communication, le respect des obligations ou exigences légales, l'exécution des contrats, la fourniture de services aux clients, etc.
1.5 Les données à caractère personnel doivent toujours être:
- traitées de manière licite, loyale et transparente;
- collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent être traitées ultérieurement d'une manière incompatible avec ces finalités;
- adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées;
- exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées dans les plus brefs délais;
- conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées;
- traitées de façon à préserver leur sécurité et assurer leur protection contre l’utilisation illicite ou tout autre traitement non autorisé, contre la perte, la destruction ou l’endommagements dû à des causes accidentelles, à l'aide de mesures techniques ou organisationnelles appropriées;
1.6 Saxo Banque est responsable des mesures qui précèdent et doit être capable d’en démontrer la conformité.
2. Base juridique pour le traitement des données à caractère personnel
2.1 Le traitement des données à caractère personnel requiert une base juridique. Au sein de Saxo Banque, les principaux prérequis au traitement des données à caractère personnel sont:
- le consentement de la personne concernée pour une ou plusieurs finalités spécifiques;
- l'exécution d'un contrat dont la personne concernée est partie;
- une obligation ou une exigence légale;
- des intérêts fondés poursuivis par Saxo Banque.
2.2 Consentement
2.2.1 Si pour la collecte, l'enregistrement, etc. le traitement des données à caractère personnel des clients, des fournisseurs, des autres partenaires commerciaux et des employés est requis, Saxo Banque doit être en mesure de prouver que la personne concernée a bien donné son consentement.
2.2.2 Le consentement doit être libre, spécifique, éclairé et univoque.
Vous devez consentir activement au traitement de vos données à caractère personnel au moyen d'une déclaration ou d'un acte positif clair.
2.2.3 Une demande de consentement doit être présentée sous une forme qui la distingue clairement des autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples.
2.2.4 Le traitement de catégories particulières de données à caractère personnel (données personnelles à caractère sensible), suppose un consentement explicite.
2.2.5 Vous êtes en droit de retirer votre consentement à tout moment. À partir de ce retrait, nous arrêterons de collecter ou de traiter les données à caractère personnel vous concernant, à moins que nous ne soyons obligés ou autorisés à le faire en nous basant sur un autre fondement juridique.
2.3 Exécution d'un contrat:
2.3.1 Il sera justifié de la collecte et du traitement de vos données à caractère personnel relatives à l'exécution d'un contrat auquel vous êtes partie ou à l'exécution de mesures précontractuelles prises à votre demande. Cela s'applique à toutes les obligations et les accords contractuels signés avec Saxo Banque, y compris à la phase précontractuelle, indépendamment de la réussite ou non de la négociation du contrat.
2.4 Satisfaire une obligation légale
2.4.1 Saxo Banque est tenu de satisfaire à différentes obligations et exigences légales, conformément à la réglementation européenne ou à la législation française. Ces obligations légales, auxquelles Saxo Banque est assujettie, peuvent s'avérer suffisantes en tant que base légitime pour le traitement des données à caractère personnel.
2.4.2 Ces exigences réglementaires incluent notamment l’obligation de collecter, d'enregistrer et/ou de rendre disponibles certains types d'informations relatives aux employés, aux clients, etc. Lesdites obligations formeront ensuite la base juridique sur laquelle nous nous appuierons pour traiter vos données à caractère personnel. Toutefois, il est important de noter que les dispositions prises par le groupe Saxo Bank relatives au traitement des données définissent également certaines exigences relatives à la conservation, à la divulgation et à la suppression des dites données.
2.5 Finalités du traitement
2.5.1 Les données ne seront traitées que si cela s'avère nécessaire au regard des finalités pour lesquelles Saxo Banque les a collectées. Lors de l’exécution de ses traitements, Saxo Banque devra s’assurer que ceux-ci sont nécessaires aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits de la personne concernée. Par exemple, le traitement des données à caractère personnel d'un client potentiel dans le but d'étendre l'activité et de développer de nouvelles relations commerciales constitue une des finalités de Saxo Banque. La personne concernée doit être informée des finalités pour lesquels sont collectées et traités ses données, cf. Section 4.1 ci-dessous.
3. Traitement et transfert des données à caractère personnel
3.1 Saxo Banque en tant que responsable du traitement
3.1.1 Saxo Banque agit en tant que responsable du traitement dans la mesure où nous décidons par quels moyens les données à caractère personnel doivent être traitées.
3.2 Recours à un responsable du traitement
3.2.1 Un responsable du traitement externe est une entreprise qui traite les données à caractère personnel au nom de Saxo Banque, conformément à ses instructions (ex : l’externalisation des systèmes en lien avec les ressources humaines, les fournisseurs de logiciels ou d’applications informatiques, etc.). Lorsque Saxo Banque externalise le traitement des données à caractère personnel à des sous-traitants, nous devons nous assurer que ledit sous-traitant applique au moins le même niveau de protection des données que nous. S'il n'est pas possible de s'en assurer, Saxo Banque choisira un autre responsable du traitement.
3.3 Accords sur le traitement des données
3.3.1 Avant de transférer les données à caractère personnel à un éventuel responsable du traitement externe, Saxo Banque doit conclure un accord écrit sur le traitement des données avec celui-ci. Cet accord permet de s'assurer que Saxo Banque contrôle le traitement des données à caractère personnel, dont il est responsable, mais qu'il externalise.
3.3.2 Si le responsable du traitement/sous-traitant du responsable du traitement est situé en dehors de l'UE/EEE, les conditions de la clause 3.4.4 ci-dessous s’appliquent.
3.4 Divulgation de données à caractère personnel
3.4.1 Avant de divulguer des données à caractère personnel à autrui, Saxo Banque doit vérifier si le destinataire est l'un de ses employés. De plus, nous sommes autorisés à partager des données à caractère personnel au sein de Saxo Banque uniquement si la divulgation revêt un intérêt commercial légitime.
3.4.2 Il relève de la responsabilité de Saxo Banque de s'assurer que le destinataire possède un intérêt fondé à recevoir des données à caractère personnel et de s'assurer que leur partage soit restreint et limité au strict nécessaire.
3.4.3 Saxo Banque doit prendre toutes les précautions nécessaires avant de partager des données à caractère personnel notamment avec les personnes concernées par ces données, des entités extérieures à Saxo Banque ou tout autre personne. Les données à caractère personnel ne doivent être divulguées qu'à des tiers agissant en tant que responsables du traitement et, dans le cas où, un tel transfert serait justifié. Si le destinataire agit en tant que responsable du traitement, veuillez-vous référer à la clause 3.2 ci-dessus.
3.4.4 Si ces données sont amenées à être transférées en dehors de l'UE/EEE, dans un pays qui n'assure traditionnellement pas un niveau adéquat de protection des données, un accord doit être convenu entre Saxo Banque et le tiers afin que le destinataire des données assure un niveau de protection des données suffisant et approprié. L'accord de transfert doit être basé sur des Clauses contractuelles similaires à celle de l'Union européenne. Sans cette condition, le transfert ne pourrait pas avoir lieu.
4. Droits des personnes concernées
4.1 Droit à l’information
4.1.1 Lors de la collecte et de l’enregistrement de vos données à caractère personnel, Saxo Banque doit vous fournir toutes les informations suivantes:
- L’identité et les coordonnées du délégué à la protection des données;
- les finalités du traitement auquel vos données sont destinées, ainsi que la base juridique du traitement;
- les catégories de données à caractère personnel concernées;
- les intérêts légitimes poursuivis par Saxo Banque, justifiant le traitement;
- les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent; et
- le cas échéant, nous devons vous informer de notre intention de transférer vos données à caractère personnel vers un pays tiers, ainsi que de la base juridique dudit transfert;
- la durée de conservation de vos données ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
- l'existence du droit d’accès, de rectification ou d'effacement de vos informations personnelles, du droit à la portabilité des données, du droit de limitation et d’opposition;
- lorsque le traitement est fondé sur votre consentement, il vous sera notifié l'existence d’un droit de rétractation à tout moment, du consentement, sans que celui-ci ne porte atteinte à la licéité du traitement basé sur votre consentement antérieur;
- le droit d'introduire une réclamation auprès de Saxo Banque via la procédure adaptée ou auprès de l’autorité de contrôle;
- toutes informations en lien avec l'exigence de fourniture de données à caractère personnel, à savoir si elle revêt un caractère réglementaire ou si elle conditionne la conclusion d'un contrat, ainsi que les conséquences éventuelles de la non-fourniture de ces données;
- l'existence d'une prise de décision automatisée, y compris le profilage;
- les informations utiles concernant la logique sous-jacente du traitement, ainsi que concernant l'importance et les conséquences prévues de ce traitement pour vous.
4.2 Droit d'accès
4.2.1 Les personnes dont les données à caractère personnel sont traitées par Saxo Banque, y compris, mais sans s'y limiter, les employés de Saxo Banque, les candidats, les fournisseurs externes, les clients, les clients potentiels, les partenaires commerciaux, etc. ont le droit de demander l’accès à leurs données à caractère personnel, traitées ou conservées par Saxo Banque.
4.2.2 Si Saxo Banque traite ou conserve vos données à caractère personnel vous êtes en droit d'accéder à celles-ci et de connaître les raisons à l'origine du traitement, conformément aux critères définis dans la Section 4.1.1.
4.3 Droit de rectification et d’effacement
4.3.1 Vous avez le droit d'obtenir de Saxo Banque, dans les meilleurs délais, la rectification des données à caractère personnel vous concernant qui sont inexactes.
4.3.2 Vous avez le droit d'obtenir de Saxo Banque l'effacement de données à caractère personnel vous concernant et nous avons l'obligation d'effacer ces données dans les meilleurs délais, à moins que la loi ne nous oblige à les conserver pour une période de temps prédéfinie.
4.4 Droits complémentaires
4.4.1 Vous avez le droit s’il y a lieu, d'obtenir de Saxo Banque la limitation du traitement fait de vos données personnelles.
4.4.2 Vous avez le droit de recevoir vos données à caractère personnel dans un format structuré, couramment utilisé et lisible informatiquement.
4.4.3 Vous pouvez vous opposer à tout moment, pour des raisons relatives à votre situation personnelle, au traitement de vos données ainsi qu’aux opérations de profilage.
4.5 Traitement de vos demandes
4.5.1 Toutes les demandes que nous recevons de votre part, relatives à l’exercice des droits mentionnés dans cette clause, devront faire l'objet d'une réponse dans les meilleurs délais et au plus tard 30 jours à compter de la réception de la demande. Elles seront transmises au service client de Saxo Banque. Le service client sera assisté par le délégué à la protection des données de Saxo Banque pour pouvoir traiter votre demande le plus rapidement possible.
5. Protection des données dès la conception et protection des données par défaut
5.1 Les nouveaux produits, services, solutions techniques, etc. de Saxo Banque devront être mis au point de manière à ce qu'ils respectent les principes de protection des données dès la conception et ceux de protection des données par défaut.
5.1.1 Le principe de protection des données dès la conception signifie que la protection des données est dûment prise en considération lors de la conception de nouveaux produits ou services.
- Saxo Banque prendra en compte le coût de mise en œuvre, la nature, la portée, le contexte et le but du traitement, autant que les risques qu’il pose s’agissant de vos droits et libertés.
- Saxo Banque doit, tant au moment de la détermination des moyens de traitement qu'au moment du traitement lui-même, exécuter les mesures techniques et organisationnelles appropriées telles que la pseudonymisation, de façon effective, et assortir le traitement des garanties nécessaires afin de répondre aux exigences en matière de protection des données et vous permettre ainsi de défendre vos droits.
5.1.2 Le principe de protection des données par défaut nécessite la mise en œuvre de techniques de minimisation de la collecte des données.
- Saxo Banque doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité du traitement soient collectées.
- Cette exigence de minimisation s'applique à la quantité de données personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité.
- Ces mesures doivent garantir que, par défaut, l’accès à ces données à caractère personnel soit restreint au maximum.
6. Registre des activités de traitement
6.1 En tant que responsable du traitement, Saxo Banque doit tenir des registres des activités des traitements relevant de sa responsabilité. Ces registres doivent contenir les informations suivantes:
- le nom et les coordonnées du responsable du traitement;
- les finalités du traitement;
- une description des catégories de personnes concernées et des catégories de données personnelles;
- les destinataires auxquels les données personnelles ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;
- le cas échéant, les transferts de données personnelles vers un pays tiers, y compris l'identification de ce pays tiers et, en cas de besoin, les documents attestant de l'existence de garanties appropriées;
- dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles appliquées.
6.1.1 Saxo Banque doit mettre ses registres à la disposition de l’autorité de contrôle compétente lorsque celle-ci en fait la demande.
7. Suppression des données personnelles
7.1 Vos données personnelles seront supprimées lorsque Saxo Banque n'aura plus de motif légitimant leur traitement continu ou leur conservation, ou lorsque leur conservation ne sera plus obligatoire en vertu des dispositions légales applicables.
7.2 Le détail des périodes de conservation, en fonction des différentes catégories de données personnelles, est spécifié dans la politique de Saxo Banque en matière de conservation des données et de partage des informations.
8. Évaluation des risques
8.1 Lorsque Saxo Banque effectue des opérations de traitement susceptibles d’engendrer un risque élevé pour vos droits et libertés, une analyse d'impact relative à la protection des données devra être effectuée pour évaluer le risque.
8.1.1 Une analyse d'impact relative à la protection des données implique que Saxo Banque, tienne compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques. Saxo Banque mettra en œuvre les mesures techniques et organisationnelles appropriées pour s'assurer d’être en mesure de démontrer, que le traitement est effectué conformément aux exigences en matière de protection des données.
8.2 Ces mesure seront réexaminées et actualisées si nécessaire, et au plus tard tous les 6 mois.
8.2.1 La mise en place de codes de conduite ou de mécanismes de certification approuvés sert à démontrer le respect des mesures techniques et organisationnelles appropriées, conformément à la présente clause.
9. Profilage
9.1 Dans le cadre de la présente politique de protection de la vie privée, le profilage correspond à l’utilisation d’un traitement automatisé de données à caractère personnel pour évaluer ou prédire des éléments concernant le comportement de la personne physique concernée. Saxo Banque peut recourir au profilage dans les circonstances suivantes:
- pour identifier des problèmes potentiels liés à la criminalité économique;
- pour offrir aux clients et aux prospects des informations sur les produits et services de Saxo Banque qui sont susceptibles de les intéresser;
- pour évaluer leur solvabilité.
10. Exigences nationales
10.1 Saxo Banque doit se conformer à la fois au RGPD et à la législation nationale, en matière de protection des données.
10.2 Si la législation nationale applicable exige un niveau de protection des données personnelles plus élevé que celui imposé par le RGDP, alors ces exigences plus strictes doivent être respectées. Si les politiques/instructions de Saxo Banque sont plus strictes que la législation locale, alors lesdites politiques/instructions doivent être respectées.
11. Contacts et réclamations
11.1 Pour toute question concernant le contenu de la présente Politique, veuillez contacter le délégué à la protection des données de Saxo Banque à l'adresse vosdonnées@saxobanque.fr.
11.2 Si vous souhaitez adresser une réclamation au sujet du traitement des données personnelles réalisé par Saxo Banque, veuillez contacter la Commission Nationale de l’Informatique et des Libertés (CNIL), l’agence française de protection des données.
Délégué à la protection des données: M. Marcerou