Notice d’information relative à la protection des données personnelles

01 juillet 2024

Avant-propos : principaux changements

En tant que partenaire de confiance, nous accordons une grande importance à la protection de vos données personnelles. Nous avons fait évoluer cette Notice pour qu’elle soit plus transparente en améliorant les informations sur :

• les finalités des nouveaux traitements mis en place ;
• les traitements liés à la collecte des données personnelles via les réseaux sociaux ;
• l’annexe consacrée aux durées de conservation par finalité de traitement.

Introduction

La protection de vos données personnelles est au cœur de nos préoccupations, le Groupe BNP Paribas a adopté des principes forts dans sa Charte de confidentialité des données personnelles disponible à l’adresse suivante : https://group.bnpparibas/uploads/file/bnpparibas_charte_confidentialite_des_donnees_personnelles.pdf

BNP Paribas (“Nous”), en tant que responsable du traitement, notamment à travers nos marques comme Hello Bank! ou BNP Paribas Banque privée, est responsable de la collecte et du traitement de vos données personnelles dans le cadre de ses activités.

Notre métier consiste à aider l’ensemble de nos clients – particuliers, entrepreneurs, TPE (Très Petites Entreprises), PME (Petites et Moyennes Entreprises), grandes entreprises et investisseurs institutionnels – dans leurs activités bancaires quotidiennes ainsi qu’à réaliser leurs projets grâce à nos solutions de financement, d’investissement, d’épargne et d’assurance.

En tant que membre d’un Groupe intégré de banque-assurance en collaboration avec les différentes entités du Groupe, nous fournissons à nos clients une offre complète de produits et services de banque, d’assurance et de location (LOA, LLD).

L’objectif de la présente notice est de vous expliquer comment nous traitons vos données personnelles et comment vous pouvez les contrôler et les gérer.

Le cas échéant, des informations complémentaires peuvent vous être communiquées au moment de la collecte de vos donnéespersonnelles.

1. Êtes-vous concerné par cette notice ?

Vous êtes concernés par cette notice en tant que particulier, si vous êtes (“Vous”) :

• un de nos clients ou en relation contractuelle avec nous (par exemple, en qualité de garant) ;
• un membre de la famille de notre client. En effet, nos clients peuvent parfois être amenés à partager avec nous des informations portant sur leur famille lorsque cela est nécessaire pour leur fournir un produit ou service ou mieux les connaître ;
• une personne intéressée par nos produits ou services dès lors que vous nous communiquez vos données personnelles (en agence, sur nos sites et applications, lors d’événements ou d’opérations de parrainage) pour que nous vous contactions ;
• une personne concernée pour d’autres raisons, par exemple :
  • héritiers et ayants droit d’un client, déclarants d’une succession ;
  • donneurs d’ordres ou bénéficiaires d’opérations de paiement ;
  • clients d’une personne morale cliente ;
  • bénéficiaires d'un contrat, d'une police d'assurance ou d'un trust / d'une fiducie ;
  • propriétaires ;
  • créanciers (par exemple, en cas de faillite).

Vous êtes également concernés par cette notice, en tant que professionnel, si vous êtes :

• représentant légal ou personne habilitée (mandats/délégations de pouvoirs) d’une personne morale cliente de BNP Paribas, d’un partenaire, d’un fournisseur ou d’un prestataire de BNP Paribas ;
• employé d’une entreprise cliente de BNP Paribas (par exemple contact désigné) ;
• porteur d’une carte corporate souscrite par une entreprise cliente de BNP Paribas ;
• bénéficiaire effectif ;
• actionnaire ;
• client entrepreneur individuel ou auto-entrepreneur (vous avez choisi d’exercer votre activité sans créer de personne morale).

Lorsque vous nous fournissez des données personnelles relatives à d’autres personnes, n’oubliez pas de les informer de la communication de leurs données et invitez-les à prendre connaissance de la présente Notice. Nous prendrons soin de faire de même dès lors que nous le pouvons (c’est-à-dire lorsque nous aurons les coordonnées des personnes).

2. Comment pouvez-vous contrôler les traitements que nous réalisons sur vos données personnelles ?

Vous avez des droits qui vous permettent d’exercer un contrôle significatif sur vos données personnelles et la façon dont nous les traitons.

Si vous souhaitez exercer les droits décrits ci-dessous, merci de nous envoyer une demande avec un scan/copie de votre pièce d’identité lorsque cela est nécessaire sur nos sites Internet ⁽¹⁾ ou par courrier postal adressé à BNP Paribas, APAC TDC Val de Marne, TSA 30233, 94729 FONTENAY-SOUS-BOIS Cedex.

Si vous avez des questions concernant l’utilisation de vos données personnelles en vertu de la présente Notice, veuillez contacter notre Délégué à la protection des données à l’adresse suivante BNP Paribas - Délégué à la Protection des Données RISK FRB DPO - 163 boulevard MacDonald - 75019 Paris.

2.1. Vous pouvez demander l’accès à vos données personnelles

Vous pouvez accéder directement à certaines données sur votre espace client sur nos sites Internet ou via nos applications mobiles ⁽²⁾.

Si vous souhaitez avoir accès à vos données personnelles, nous vous fournirons une copie des données personnelles sur lesquelles porte votre demande ainsi que les informations se rapportant à leur traitement.

Votre droit d’accès peut se trouver limité lorsque la réglementation le prévoit. C’est le cas de la réglementation relative à la lutte contre le blanchiment des capitaux et le financement du terrorisme qui nous interdit de vous donner directement accès à vos données personnelles traitées à cette fin. Dans ce cas, vous devez exercer votre droit d’accès auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) qui nous interrogera.

2.2. Vous pouvez demander la rectification de vos données personnelles

Si vous considérez que vos données personnelles sont inexactes ou incomplètes, vous pouvez demander qu’elles soient modifiées ou complétées. Dans certains cas, une pièce justificative pourra vous être demandée.

2.3. Vous pouvez demander l’effacement de vos données personnelles

Si vous le souhaitez, vous pouvez demander la suppression de vos données personnelles dans les limites autorisées par la loi.

2.4. Vous pouvez vous opposer au traitement de vos données personnelles fondé sur l’intérêt légitime

Si vous n’êtes pas d’accord avec un traitement fondé sur l’intérêt légitime, vous pouvez vous opposer à celui-ci, pour des raisons tenant à votre situation particulière, en nous indiquant précisément le traitement concerné et les raisons. Nous ne traiterons plus vos données personnelles sauf à ce qu’il existe des motifs légitimes et impérieux de les traiter ou que celles-ci sont nécessaires à la constatation, l’exercice ou la défense de droits en justice.

2.5. Vous pouvez vous opposer au traitement de vos données personnelles à des fins de prospection commerciale

Vous avez le droit de vous opposer à tout moment au traitement de vos données personnelles à des fins de prospection commerciale, y compris au profilage dans la mesure où il est lié à une telle prospection.

2.6. Vous pouvez suspendre l’utilisation de vos données personnelles

Si vous contestez l’exactitude des données que nous utilisons ou que vous vous opposez à ce que vos données soient traitées, nous procéderons à une vérification ou à un examen de votre demande. Pendant le délai d’étude de votre demande, vous avez la possibilité de nous demander de suspendre l’utilisation de vos données.

2.7. Vous avez des droits face à une décision automatisée

Par principe, vous avez le droit de ne pas faire l’objet d’une décision entièrement automatisée fondée sur un profilage ou non qui a un effet juridique ou vous affecte de manière significative. Nous pouvons néanmoins automatiser ce type de décision si elle est nécessaire à la conclusion/à l'exécution d'un contrat conclu avec nous, autorisée par la réglementation ou si vous avez donné votre consentement.

En toute hypothèse, vous avez la possibilité de contester la décision, d’exprimer votre point de vue et de demander l’intervention d’un être humain qui puisse réexaminer la décision.

2.8. Vous pouvez retirer votre consentement

Si vous avez donné votre consentement au traitement de vos données personnelles, vous pouvez retirer ce consentement à tout moment.

2.9. Vous pouvez demander la portabilité d’une partie de vos données personnelles

Vous pouvez demander à récupérer une copie des données personnelles que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine. Lorsque cela est techniquement possible, vous pouvez demander à ce que nous transmettions cette copie à un tiers.

2.10. Vous pouvez organiser le sort de vos données personnelles après la mort

Vous pouvez nous donner des directives relatives à la conservation, à l’effacement et à la communication de vos données après la mort.  

2.11. Comment déposer une plainte auprès de la CNIL  

En plus des droits mentionnés ci-dessus, vous pouvez introduire une réclamation auprès de l’autorité de contrôle compétente, qui est le plus souvent celle de votre lieu de résidence, telle que la Commission Nationale de l’Informatique et de Libertés (CNIL) en France.

(1) Liste de nos sites : mabanque.bnpparibas, mabanquepro.bnpparibas, mabanqueprivee.bnpparibas, banqueentreprise.bnpparibas, hellobank.fr, hellobankpro.fr

(2) Mes Comptes et Hello Bank!

3. Pourquoi et sur quelle base légale utilisons-nous vos données personnelles ?

L’objectif de cette section est de vous expliquer pourquoi nous traitons vos données personnelles et sur quelle base légale nous nous reposons pour le justifier.

3.1. Vos données personnelles sont traitées pour nous conformer à nos différentes obligations légales

Vos données personnelles sont traitées lorsque cela est nécessaire pour nous permettre de respecter les réglementations auxquelles nous sommes soumis, notamment les réglementations bancaires et financières.

3.1.1. Nous utilisons vos données personnelles pour :

• contrôler les opérations et transactions et ainsi identifier celles qui sont inhabituelles (par exemple lorsque vous retirez une somme d’argent importante dans un pays autre que celui de votre lieu de résidence) ;
• gérer et déclarer les risques (de nature financière, de crédit, de nature juridique, de conformité ou liés à la réputation, etc.) auxquels le Groupe BNP Paribas est susceptible d’être confronté dans le cadre ses activités ;
• enregistrer, conformément à la réglementation concernant les marchés d’instruments financiers (MIFID 2 & MAD/MAR), les communications quelle que soit leur forme en rapport, au moins, avec les transactions conclues dans le cadre d’une négociation pour compte propre et la prestation de services relatifs aux ordres de clients qui concernent la réception, la transmission et l’exécution d’ordres de clients ;
• procéder à une évaluation du caractère approprié et de l’adéquation au profil de chaque client de la prestation de services d’investissements conformément aux règlementations sur les marchés d’instruments financiers (MIF 2) ;
• contribuer à la lutte contre la fraude fiscale et satisfaire nos obligations de notification et de contrôle fiscal ;
• enregistrer les opérations à des fins comptables ;
• réaliser nos obligations de déclaration extra-financière et nos obligations en matière de finance durable ;
• détecter et prévenir la corruption ;
• respecter les dispositions de la réglementation eIDAS relatives à la signature électronique ;
• échanger et signaler différentes opérations, transactions ou demandes ou répondre à une demande officielle émanant d’une autorité judiciaire, pénale, administrative, fiscale ou financière locale ou étrangère dûment autorisée, un arbitre ou un médiateur, des autorités chargées de l’application de la loi, d’organes gouvernementaux ou d’organismes publics ;
• assurer la sécurité de l’exécution des services de paiement, notamment détecter et prévenir la fraude par l’authentification du donneur d’ordre dans le cadre de la Directive sur les Services de Paiement (DSP2) ;
• communiquer aux prestataires de services de paiement qui agissent à votre demande des informations sur vos comptes, transactions et leurs bénéficiaires ou émetteurs respectifs. Il s’agit, par exemple, des initiateurs de services de paiement et des fournisseurs d’un service d’information sur les comptes appelés également “agrégateurs de comptes” ;
• réaliser nos obligations de déclaration et de consultation auprès de la Banque de France : consultation, inscription et désinscription au Fichier national des incidents de remboursement des crédits aux particuliers (FICP), Fichier central des chèques (FCC chèques) et Fichier national des chèques irréguliers (FNCI) ;
• identifier et assurer la gestion des comptes et coffres-forts inactifs aux fins d’interrogation du Répertoire national d’identification des personnes physiques ;
• déclarer l’ouverture, la clôture ou la modification d’un compte ou d’un coffre-fort à la Direction Générale des Finances Publiques pour la tenue du fichier FICOBA. Dans ce cadre, nous transmettons certaines informations relatives au titulaire et ses éventuels mandataires, représentants légaux ou bénéficiaires effectifs ;
• évaluer votre solvabilité financière lors de l’octroi d’un crédit ;
• prévenir les impayés ;
• respecter notre devoir de conseil au titre de la directive sur la distribution d’assurance (DDA) (notamment l’article L. 521-4 du Code des assurances) ;
• proposer une offre spécifique aux clients en situation de fragilité financière en application des dispositions du Code monétaire et financier relatives au droit au compte et relations avec le client (notamment les articles L312-1, L312-1-3, L312-1-1 B, R312-4-3, D312-5-1, R312-13) ;
• proposer une offre de mobilité bancaire règlementée ;
• répondre à notre obligation d’accessibilité aux services pour les personnes handicapées, par exemple avec des outils de speech to text.

3.1.2. Nous traitons aussi vos données personnelles pour lutter contre le blanchiment d’argent et le financement du terrorisme

Nous appartenons à un Groupe bancaire qui doit disposer d’un système robuste de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB/FT) au niveau de nos entités, et piloté au niveau central, ainsi que d’un dispositif permettant d’appliquer les décisions de sanctions aussi bien locales, qu’européennes ou internationales.

Dans ce contexte, nous sommes responsables de traitement conjoints avec les autres entités du Groupe BNP Paribas.

Les traitements mis en œuvre pour répondre à ces obligations légales sont détaillés dans l’annexe « Traitement des données personnelles pour lutter contre le blanchiment d’argent et le financement du terrorisme ».

3.2. Vos données personnelles sont traitées pour exécuter un contrat auquel vous êtes partie ou des mesures précontractuelles prises à votre demande

Vos données personnelles sont traitées lorsqu’elles sont nécessaires à la conclusion ou l’exécution d’un contrat pour :

• définir votre score de risque de crédit et votre capacité de remboursement ;
• évaluer (par exemple sur la base de votre score de risque de crédit) si nous pouvons vous proposer un produit ou un service et à quelles conditions (par exemple le prix) ;
• vous fournir les produits et services souscrits conformément au contrat applicable (par exemple la gestion patrimoniale pour les clients de la Banque Privée France) ;
• gérer les dettes existantes (identification des clients en situation d’impayé) ;
• répondre à vos demandes et vous assister dans vos démarches ;
• souscrire (notamment accord par téléphone ou signature électronique) à des produits et services de BNP Paribas ou distribués par BNP Paribas ; entre autres, de produits d’assurance, de télésurveillance, de location longue durée, étant entendu que l’assureur ⁽³⁾ ou le fournisseur du service, selon le cas, demeure par ailleurs responsable du traitement nécessaire à la mise en œuvre de l’opération d’assurance et à la fourniture du service.

3.3. Vos données personnelles sont traitées pour répondre à notre intérêt légitime ou celui d’un tiers

Lorsque nous fondons un traitement sur l’intérêt légitime, nous opérons une pondération entre cet intérêt et vos intérêts ou vos libertés et droits fondamentaux pour nous assurer qu’il y a un juste équilibre entre ceux-ci. Si vous souhaitez obtenir plus de renseignements sur l’intérêt légitime poursuivi par un traitement, veuillez nous contacter à l’adresse suivante : BNP Paribas - Délégué à la Protection des Données RISK FRB DPO - 163 boulevard MacDonald - 75019 Paris.

3.3.1. Dans le cadre de notre activité de banque-assureur, nous utilisons vos données personnelles pour :

• gérer les risques auxquels nous sommes exposés :
  • nous conservons la preuve d’opérations ou de transactions, y compris sous format électronique, notamment les conversations téléphoniques ;
  • nous œuvrons pour gérer, prévenir et détecter les fraudes, notamment par la surveillance de vos transactions ou via l’établissement de listes de fraudes comportant les auteurs de fraudes avérées ;
  • nous effectuons le recouvrement des dettes ;
  • nous traitons les réclamations légales et les éléments de défense en cas de litige ;
  • nous développons des modèles statistiques individuels afin de faciliter la définition de votre capacité d’emprunt ;
  • nous consultons, lorsque c’est autorisé, le Fichier national des incidents de remboursement des crédits aux particuliers (FICP) et le Fichier central des chèques (FCC chèques) tenus par la Banque de France ;
  • nous assurons la gestion de nos risques environnementaux, sociaux et de gouvernance ;
• améliorer la cybersécurité, gérer nos plateformes et sites Internet, et assurer la continuité des activités ;
• prévenir les dommages corporels et les atteintes aux personnes et aux biens via la vidéoprotection/vidéosurveillance ;
• améliorer l’automatisation et l’efficacité de nos processus opérationnels et nos services à la clientèle ;
• vous accompagner dans la gestion de votre budget par la catégorisation automatique de vos données de transactions (étant précisé que vous pouvez à tout moment désactiver cette fonctionnalité ou catégoriser manuellement vos opérations depuis votre espace personnel sécurisé). Pour catégoriser vos données de transactions, nous réalisons un profilage prenant en compte le type de transaction (carte bancaire, virement, chèque, prélèvement automatique), le montant de la transaction au débit ou au crédit, la date, le libellé de la transaction, le nom et la catégorie du marchand, et le type de client (particulier/professionnel) ;
• vous accompagner dans la gestion de vos comptes en vous envoyant des notifications sur vos appareils ;
• réaliser des opérations financières telles que les ventes de portefeuilles de dettes, les titrisations, le financement ou le refinancement du Groupe BNP Paribas ;
• faire des études statistiques et développer des modèles prédictifs et descriptifs (pouvant relever de l’intelligence artificielle dans le respect des règlementations et lignes directrices des autorités compétentes en la matière) à des fins :
  • commerciales : pour identifier les produits et services que nous pourrions vous offrir pour répondre au mieux à vos besoins, pour créer de nouvelles offres ou identifier de nouvelles tendances chez nos clients, pour développer notre politique commerciale en tenant compte des préférences de nos clients (notamment adapter la distribution, le contenu et les tarifs de nos produits et services sur la base du profil de nos clients) ;
  • d’optimisation et d’automatisation de nos processus opérationnels (par exemple la création d’un chatbot pour les FAQ) ;
  • de sécurité : pour prévenir les potentiels incidents et améliorer la gestion de la sécurité ;
  • de conformité (telle que la lutte contre le blanchiment de capitaux et le financement du terrorisme) et de gestion des risques ;
  • de lutte contre la fraude ;
• organiser des jeux concours, des loteries, des opérations promotionnelles, effectuer des enquêtes d’opinion et de satisfaction des clients ;
• réaliser des opérations de parrainage (notamment permettre à un client d’inviter ses contacts à bénéficier de nos offres et services, ou à rejoindre nos sites et applications) ;
• permettre l’émission de reçus fiscaux par les associations bénéficiaires de vos dons ;
• assurer la formation continue de vos conseillers BNP Paribas avec des outils et cas pratiques basés sur des données réelles ;
• vous permettre de recevoir des virements sans saisie d’IBAN (solution Paylib entre amis ou Wero) en l’absence de souscription à ces services ;
• fournir des produits ou services à nos entreprises clientes dont vous êtes salarié ou client (par exemple, les produits de cash management) ;
• respecter nos engagements en matière de développement durable ;
• assurer le règlement de votre succession (notamment la remise des fonds détenus par BNP Paribas dans le cadre de la succession du défunt) ;
• gérer nos activités et notre présence sur les réseaux sociaux (voir plus de détails à la section 5.3).

3.3.2. Nous utilisons vos données personnelles pour vous envoyer des offres commerciales par voie électronique, courrier papier et téléphone

En tant qu'entité du Groupe BNP Paribas, nous voulons être en mesure de vous offrir l'accès à l’ensemble de notre gamme de produits et services répondant le mieux à vos besoins.

Dès lors que vous êtes client particulier et sauf opposition de votre part, nous pourrons vous adresser ces offres par voie électronique pour nos produits et services et ceux du Groupe dès lors qu’ils sont similaires à ceux que vous avez déjà souscrits.

Nous veillons à ce que ces offres commerciales portent sur des produits ou services en lien avec vos besoins et complémentaires à ceux que vous avez déjà pour s’assurer du juste équilibre entre nos intérêts respectifs.

Nous pourrons aussi vous adresser par téléphone et courrier postal, sauf opposition de votre part, les offres concernant nos produits et services ainsi que ceux du Groupe et de nos partenaires de confiance.

Si vous êtes client professionnel nous pourrons vous adresser par voie électronique ou par téléphone et courrier postal, sauf opposition de votre part, les offres concernant nos produits et services ainsi que ceux du Groupe et de nos partenaires de confiance.

3.3.3. Nous analysons vos données personnelles pour réaliser un profilage standard afin de personnaliser nos produits et nos offres

Pour améliorer votre expérience et votre satisfaction, nous avons besoin de déterminer à quel panel de clients vous appartenez. Pour cela, nous établissons un profil standard à partir des données pertinentes que nous sélectionnons parmi les informations :

• que vous nous avez directement communiquées lors de nos interactions avec vous ou encore lors de la souscription d’un produit ou d’un service ;
• issues de votre utilisation de nos produits ou services comme par exemple celles liées à vos comptes telles que le solde des comptes, les mouvements réguliers ou atypiques, l’utilisation de votre carte à l'étranger ainsi que la catégorisation automatique de vos données de transaction i.e. la répartition de vos dépenses et de vos recettes par catégorie telle qu’elle est visible dans votre espace client ;
• issues de votre utilisation de nos divers canaux : sites et applications (comme par exemple si vous êtes appétent au digital, si vous préférez un parcours client pour souscrire à un produit ou service avec plus d’autonomie (selfcare)).

Sauf opposition de votre part, nous réaliserons cette personnalisation basée sur un profilage standard. Nous pourrons aller plus loin pour mieux répondre à vos besoins, si vous y consentez, en réalisant une personnalisation sur mesure comme indiqué ci-dessous.

3.3.4. Nous enregistrons nos interactions avec vous sur la base de notre intérêt légitime

Dans le cadre des activités de nos plates-formes téléphoniques et de notre réseau d'agence, nous enregistrons toutes les interactions (telles que les conversations téléphoniques, les mails et les chats) réalisées entre les collaborateurs du Groupe et leurs interlocuteurs.

En plus des obligations règlementaires visées au 3 .1, ces enregistrements sont également effectués sur le fondement de nos intérêts légitimes en vue d’accomplir les finalités ci-dessous :

• Constituer une preuve en cas de contestation d’un client sur une opération ou une transaction ;
• Améliorer l’automatisation et l’efficacité de nos processus opérationnels et nos services à la clientèle. Par exemple : test de nos applications, création d’un chatbot pour les FAQ, remplissage automatique des réclamations ou de formulaires en ligne, suivi de vos demandes et amélioration de votre satisfaction, speech to text (vos commandes vocales lorsque vous appellez un call center), compte rendu d’entretien ;
• Servir de support à la formation continue de vos conseillers BNP Paribas ;
• Permettre des analyses techniques dans le cadre de l’amélioration continue de la qualité de la voix et de la protection acoustique des conseillers (présence de grésillements par exemple).

Vous pouvez exercer vos droits selon les modalités précisées dans cette notice au 2 « Comment pouvez-vous contrôler les traitements que nous réalisons sur vos données personnelles ? ».

3.4. Vos données personnelles sont traitées si vous y avez consenti

Pour certains traitements de données personnelles, nous vous donnerons des informations spécifiques et vous demanderons votre consentement. Nous vous rappelons que vous pouvez retirer votre consentement à tout moment.

En particulier, nous vous demandons votre consentement pour : 

• Une personnalisation sur-mesure de nos offres et nos produits ou services basée sur des profilages plus sophistiqués permettant d’anticiper vos besoins et comportements ;
• Toute offre par voie électronique portant sur des produits et services non similaires à ceux que vous avez souscrits ou des produits et services de nos partenaires de confiance, en tant que particulier client ; ou toute offre par voie électronique en tant que particulier non-client ;
• Une personnalisation de nos offres, produits et services sur la base des données de vos comptes dans d'autres banques ;
• Utiliser vos données de navigation (cookies) à des fins commerciales ou pour enrichir la connaissance de votre profil.

D’autres consentements au traitement de vos données personnelles pourront vous être demandés lorsque cela est nécessaire.

(3) Liste des entreprises d’assurance disponible sur le site : mabanque.bnpparibas/fr/notre-offre/tarifs-et-conditions-bnp-paribas/conditions-tarifaires.

4. Quels types de données personnelles collectons-nous ?

Nous collectons et utilisons vos données personnelles, à savoir toute information qui vous identifie ou permet de vous identifier.

En fonction notamment du type de produit ou de service que nous vous fournissons et des échanges que nous avons avec vous, nous utilisons différents types de données personnelles vous concernant, y compris :

• Données d’identification : par exemple, nom complet, genre, lieu et date de naissance, nationalité, numéro de carte d’identité, numéro de passeport, numéro de permis de conduire, numéro d’immatriculation du véhicule, photo, signature ;
• Informations de contact : (privées ou professionnelles) adresse postale, adresse de courrier électronique, numéro de téléphone ;
• Informations relatives à votre situation patrimoniale et vie de famille : par exemple, statut marital, régime matrimonial, nombre d’enfants et âge, études ou emploi des enfants, composition du foyer, date de naissance ou de décès de vos proches, biens que vous possédez : appartement ou maison, indice et détail du DPE (Diagnostic de Performance Énergétique) ;
• Moments importants de votre vie : par exemple, vous venez de vous marier, de divorcer, de vivre en couple, d’avoir des enfants ou de perdre un proche ;
• Mode de vie : loisirs et centres d’intérêts, voyages, votre environnement (nomade, sédentaire) ;
• Informations économiques, financières et fiscales : par exemple, identifiant fiscal, statut fiscal, pays de résidence, salaire et autres revenus, revenu fiscal de référence, montant de vos actifs ;
• Informations relatives à l’éducation et à l’emploi : par exemple, niveau d’étude, emploi, poste occupé, nom de l’employeur et rémunération ;
• Informations bancaires et financières en lien avec les produits et services que vous détenez : par exemple, coordonnées bancaires, produits et services détenus et utilisés (crédit, assurance, épargne et investissements, leasing, protection habitation), numéro de carte, virements de fonds, patrimoine, profil d’investisseur déclaré, antécédents de crédit, incidents de paiement ;
• Données de transaction : mouvements et solde des comptes, transactions comprenant les données relatives aux bénéficiaires et donneurs d’ordres dont leurs noms complets, adresses et coordonnées ainsi que les détails des transactions bancaires (tels que libellé de la transaction, nom et catégorie du marchand), montant, date, heure et type de transaction (carte bancaire, virement, chèque, prélèvement automatique) et la catégorisation des transactions ;
• Données relatives à vos habitudes et préférences en lien avec l’utilisation de nos produits et services ;
• Données collectées dans le cadre de nos interactions avec vous : vos commentaires, suggestions, besoins collectés lors de nos échanges avec vous en physique dans nos Agences (comptes rendus) et en ligne lors de communications téléphoniques (conversation), votre voix et votre image lors de visioconférences, discussions par courrier électronique, chat, chatbot, échanges sur nos pages sur les réseaux sociaux et vos dernières réclamations/plaintes. Vos données de connexion et de suivi collectées grâce à des cookies, pixels et autres traceurs sur nos sites Internet, nos services en ligne, nos applications, nos pages sur les réseaux sociaux, nos communications électroniques ;
• Données du système de vidéoprotection/vidéosurveillance (dont les caméras) et de géolocalisation : par exemple les lieux des retraits ou des paiements à des fins de sécurité, ou afin de déterminer la localisation de l’agence ou du prestataire de services le plus proche de vous ;
• Données concernant vos appareils (téléphone portable, ordinateur, tablette, etc.) : adresse IP, caractéristiques techniques et données d’identification uniques ;
• Identifiants de connexion ou dispositifs de sécurité personnalisés utilisés pour vous connecter au site Internet et aux applications de BNP Paribas, ou exécuter un service de paiement.

Nous pouvons collecter des données sensibles telles que des données de santé, des données biométriques, ou des données relatives aux infractions pénales, dans le respect des conditions strictes définies par les réglementations en matière de protection des données.

5. Auprès de qui collectons-nous des données personnelles ?

Nous collectons des données personnelles directement auprès de vous, cependant nous pouvons aussi collecter des données personnelles d’autres sources.

5.1. Nous collectons parfois des données provenant de sources publiques

• des publications/bases de données mises à disposition par des autorités ou des tierces parties officielles (par exemple le Journal Officiel de la République Française, le Registre du Commerce et des Sociétés, les bases de données gérées par des autorités de contrôle du secteur financier, l’ADEME (Agence de l’Environnement et de la Maîtrise de l’Énergie)) ;
• des sites Internet/pages des réseaux sociaux d’entités juridiques ou de clients professionnels contenant des informations que vous avez rendues publiques (par exemple, votre propre site Internet ou votre page sur un réseau social) ;
• des informations publiques telles que celles parues dans la presse.

5.2. Nous collectons aussi des données personnelles de tierces parties

• d’autres entités du Groupe BNP Paribas ;
• de nos clients (entreprises ou particuliers) ;
• de nos partenaires commerciaux ;
• d’autres établissements de crédit (par exemple pour l’exécution d’un paiement ou d’une mobilité bancaire) ;
• de prestataires de services d’initiation de paiement et d’agrégateurs de compte (prestataires de services d’information sur les comptes) ;
• des tiers tels que les agences de référence de crédit et les agences de prévention de la fraude ;
• des courtiers de données qui sont chargés de s’assurer qu’ils recueillent des informations pertinentes de manière légale ;
• des ayants droits et déclarants dans le cadre d’une succession ;
• certaines professions réglementées telles que des avocats, des notaires, lorsque des circonstances spécifiques l’imposent (litige, succession, etc.) ;
• enfin, nous pouvons également être amenés à collecter des données auprès d’autorités ou d’institutions telles que : la Banque de France, lors de la consultation de fichiers (notamment le Fichier National des Incidents de Remboursement des Crédits aux Particuliers ou le Fichier Central des Chèques), du Répertoire National d’Identification des Personnes Physiques (RNIPP) dans le cadre de nos obligations en matière de comptes et coffres-forts inactifs, de la DGFIP (Direction Générale des Finances Publiques) pour la vérification de l’absence de multi détention de livret A.

5.3. Nous collectons des données personnelles via les réseaux sociaux

Aujourd’hui, l’usage des réseaux sociaux par les entreprises est primordial.

Pour que nous puissions accomplir efficacement Notre mission, il nous est essentiel d’être présents sur les réseaux sociaux, et cette présence est susceptible d’entraîner le traitement de certaines de vos données personnelles.

Ainsi, dans le cadre de notre intérêt légitime pour nos besoins en matière de marketing, communication, publicité et nos publications, ainsi que pour la gestion de crise et la gestion de la relation client, Nous sommes susceptibles de collecter les données personnelles suivantes :

• Les échanges que vous avez eus avec Nous sur nos pages et publications sur les réseaux sociaux, y compris vos dernières réclamations et plaintes ;
• Des données issues des pages et publications des réseaux sociaux contenant des informations que vous avez rendues publiques.

Plus spécifiquement, ces données personnelles seront traitées pour les finalités suivantes :

• Gestion de crise (écoute des réseaux sociaux) et gestion de la relation client, ce qui inclut :
  • la prévention de crise : surveiller et analyser les réseaux sociaux et le web en utilisant des mots clés pour apprécier la réputation de BNP Paribas ainsi que pour être informés de ce qui se dit à propos de sujets spécifiques afin de pouvoir communiquer en fonction ;
  • la gestion de crise : pouvoir analyser les problématiques liées à certaines publications et agir en fonction ; répondre aux publications, postes ou commentaires des utilisateurs des réseaux sociaux ; détecter et signaler les faux comptes et fausses publications ; ou mener des enquêtes en cas d’allégations graves ou de réclamations.
• Marketing, communication, publicité et publications, ce qui inclut :
  • extraction de données pour identifier les sujets tendances en collectant les données accessibles publiquement sur les réseaux sociaux ;
  • publication d’articles ;
  • vous suggérer des publications en fonction de vos centres d’intérêt ;
  • la segmentation de nos prospects et clients et des utilisateurs de réseaux sociaux selon leur influence ;
  • optimiser la publicité / le marketing ciblé via la segmentation des destinataires de la publicité / du marketing.

Dans ce cadre, nous sommes amenés à faire appel à des services fournis par des prestataires externes.

6. Avec qui partageons-nous vos données personnelles et pourquoi ?

a. Avec les entités du Groupe BNP Paribas

En tant que société membre du Groupe BNP Paribas, nous collaborons étroitement dans le monde entier avec les autres sociétés du groupe. Vos données personnelles pourront ainsi être partagées entre les entités du Groupe BNP Paribas, lorsque c’est nécessaire, pour :

• nous conformer à nos différentes obligations légales et réglementaires (voir plus de détails à la section 3.1) ;
• répondre à nos intérêts légitimes qui sont :
  • de gérer, prévenir, détecter les fraudes ;
  • faire des études statistiques et développer des modèles prédictifs et descriptifs à des fins commerciales, de sécurité, de conformité, de gestion des risques et de lutte contre la fraude ;
  • améliorer la fiabilité de certaines données vous concernant détenues par d’autres entités du Groupe ;
  • de vous offrir l’accès à l’ensemble des produits et services du Groupe répondant le mieux à vos envies et besoins ;
  • de personnaliser le contenu et les prix des produits et services ;
  • de faciliter la conclusion et l’exécution d’un contrat souscrit auprès d’une entité du groupe BNP Paribas en transmettant les données que nous détenons déjà afin de limiter vos démarches. Par exemple, dans le cadre de la distribution de produits d’assurance de CARDIF ou de location longue durée d’ARVAL, étant entendu que l’assureur ou le fournisseur du service, selon le cas, demeure par ailleurs responsable du traitement nécessaire à la mise en œuvre de l’opération d’assurance et à la fourniture du service ;
  • nous financer et nous refinancer est également constitutif d’un intérêt légitime impliquant que vos données personnelles puissent être partagées notamment avec les entités du Groupe BNP Paribas et avec la Caisse de Refinancement de l’Habitat qui assurent notre refinancement.

b. Avec des destinataires, tiers au groupe BNP Paribas et des sous-traitants

Afin de réaliser certaines des finalités décrites dans la présente Notice, nous sommes susceptibles lorsque cela est nécessaire de partager vos données personnelles avec :

• des sous-traitants qui réalisent des prestations pour notre compte, par exemple, des services informatiques, des services d’impression, de télécommunication, de recouvrement, de conseil, de distribution et de marketing ;
• des partenaires bancaires et commerciaux, des agents indépendants, des intermédiaires ou des courtiers, des institutions financières, des contreparties, des référentiels centraux avec qui nous avons des liens si un tel transfert est nécessaire pour vous fournir des services ou des produits ou pour satisfaire à nos obligations contractuelles ou mener à bien des transactions (par exemple des banques, des banques correspondantes, des dépositaires, des émetteurs de titres, des agents payeurs, des plates-formes d’échange, des compagnies d’assurances, des opérateurs de système de paiement, des émetteurs ou des intermédiaires de cartes de paiement, les sociétés de caution mutuelle ou organisme de garantie financière) ;
• des autorités financières, fiscales, administratives, pénales ou judiciaires, locales ou étrangères, des arbitres ou des médiateurs, des autorités ou des établissements ou institutions publics (tels que la Banque de France, la Caisse des dépôts et Consignations, la Direction générale des finances publiques), à qui nous ou tout membre du Groupe BNP Paribas sommes tenus de divulguer des données :
  • à leur demande ;
  • dans le cadre de notre défense, d’une action ou d’une procédure ;
  • afin de nous conformer à une réglementation ou une recommandation émanant d’une autorité compétente à notre égard ou à l’égard de tout membre du Groupe BNP Paribas ;
• des prestataires de services de paiement tiers (informations concernant vos comptes bancaires), pour les besoins de la fourniture d’un service d’initiation de paiement ou d’information sur les comptes si vous avez consenti au transfert de vos données à cette tierce partie ;
• certaines professions réglementées telles que des avocats, des notaires, ou des commissaires aux comptes lorsque des circonstances spécifiques l’imposent (litige, audit, etc.) ainsi qu’à nos assureurs ou tout acheteur actuel ou potentiel des sociétés ou des activités du Groupe BNP Paribas.

7. Transferts internationaux de données personnelles

En cas de transferts internationaux depuis l’Espace économique européen (EEE) vers un pays n’appartenant pas à l’EEE, le transfert devos données personnelles peut avoir lieu sur la base d’une décision rendue par la Commission européenne, lorsque celle-ci a reconnuque le pays dans lequel vos données seront transférées assure un niveau de protection adéquat. En cas de transfert de vos donnéesvers un pays dont le niveau de protection de vos données n’a pas été reconnu comme adéquat par la Commission européenne, soitnous nous appuierons sur une dérogation applicable à la situation spécifique (par exemple, si le transfert est nécessaire pour exécuterun contrat conclu avec vous, comme notamment lors de l’exécution d’un paiement international) ou nous prendrons l’une des mesuressuivantes pour assurer la protection de vos données personnelles :

• des clauses contractuelles types approuvées par la Commission européenne ;
• des règles d’entreprise contraignantes.

Pour obtenir une copie de ces mesures visant à assurer la protection de vos données ou recevoir des détails relatifs à l’endroit où ellessont accessibles, vous pouvez nous adresser une demande écrite à BNP Paribas - Délégué à la Protection des Données RISK FRB DPO -163 boulevard MacDonald - 75019 Paris.

8. Pendant combien de temps conservons-nous vos données personnelles ?

Pour plus d’information sur les durées de conservation consulter l’annexe « durées de conservation ».

9. Comment suivre les évolutions de cette notice de protection des données personnelles ?

Dans un monde où les technologies évoluent en permanence, nous revoyons régulièrement cette Notice et la mettons à jour si besoin.Nous vous invitons à prendre connaissance de la dernière version de ce document en ligne, et nous vous informerons de toutemodification significative par le biais de notre site Internet ou via nos canaux de communication habituels.

ANNEXE 1

TRAITEMENT DES DONNÉES PERSONNELLES POUR LUTTER CONTRE LE BLANCHIMENT D’ARGENT ET LE FINANCEMENT DU TERRORISME

Nous appartenons à un Groupe bancaire qui doit disposer d’un système robuste de lutte contre le blanchiment d’argent et lefinancement du terrorisme (LCB/FT) au niveau des entités, piloté au niveau central, d’un dispositif de lutte contre la corruption, ainsique d’un dispositif permettant le respect des Sanctions internationales (il s’agit de toutes les sanctions économiques ou commerciales,y compris toutes les lois, les règlements, mesures de restriction, embargo ou gel des avoirs, décrétés, régis, imposés ou mis en œuvrepar la République Française, l’Union européenne, le US departement of the Treasury’s Office of Foreign Asset Control, et toute autoritécompétente dans le territoire où nous sommes établis).

Dans ce contexte, nous sommes responsables de traitement conjoints avec les entités du Groupe BNP Paribas (le terme « nous » utilisédans la présente section englobe donc également les entités du Groupe BNP Paribas).

À des fins de LCB/FT et de respect des Sanctions internationales, nous mettons en œuvre les traitements listés ci-après pour répondreà nos obligations légales :

• Un dispositif de connaissance de la clientèle (KYC – Know Your Customer) raisonnablement conçu pour identifier, mettre à jour etconfirmer l’identité de nos clients, y compris celle de leurs bénéficiaires effectifs et de leurs mandataires le cas échéant ;
• Des mesures d’identification et de vérification renforcées des clients à risque élevé, des Personnes Politiquement Exposées « PPE »(les PPE sont des personnes désignées par la réglementation qui du fait de leurs fonctions ou position (politiques, juridictionnelles ouadministratives ) sont plus exposées à ces risques) ainsi que des situations à haut risque ;
• Des politiques et des procédures écrites, ainsi que des contrôles raisonnablement conçus pour s’assurer que la Banque n’entre pas enrelation - ni ne maintient - de relation avec des Banques fictives ;
• Une politique, basée sur son évaluation des risques et de la situation économique, consistant à ne généralement pas exécuter ous’engager dans une activité ou relation d’affaires, quelle que soit la devise :
  • pour, pour le compte de, ou au bénéfice de toute personne, entité ou organisation faisant l’objet de Sanctions par la RépubliqueFrançaise, l’Union européenne, les États-Unis, les Nations-Unies, ou, dans certains cas, d’autres sanctions locales dans lesterritoires dans lesquels le Groupe opère ;
  • impliquant, directement ou indirectement des territoires sous sanctions dont la Crimée/Sébastopol, Cuba, l’Iran, la Corée du Nord ou la Syrie ;
  • impliquant des institutions financières ou des territoires qui pourraient être liés à, ou contrôlés, par des organisations terroristes,reconnues en tant que telles par les autorités compétentes en France, au sein de l’Union européenne, des États-Unis ou de l’ONU.
• Le filtrage de nos bases clients et des transactions, raisonnablement conçu pour assurer le respect des lois applicables ;
• Des systèmes et processus visant à détecter les opérations suspectes, et effectuer les déclarations de soupçon auprès des autoritésconcernées ;
• •Un programme de conformité raisonnablement conçu pour prévenir et détecter la corruption et le trafic d’influence conformément àla loi « Sapin II », au U.S FCPA, et au UK Bribery Act.

Dans ce cadre, nous sommes amenés à faire appel :

• à des services fournis par des prestataires externes tels que Dow Jones Factiva (fourni par Dow Jones & Company, Inc.) et le serviceWorld-Check (fourni par les prestataires REFINITIV, REFINITIV US LLC et London Bank of Exchanges) qui tiennent à jour des listes de PPE ;
• aux informations publiques disponibles dans la presse sur des faits en lien avec le blanchiment d’argent, le financement du terrorismeou des faits de corruption ;
• à la connaissance d’un comportement ou d’une situation à risque (existence de déclaration de soupçons ou équivalent) qui peuventêtre identifiés au niveau du Groupe BNP Paribas.

Nous procédons à ces contrôles lors de l’entrée en relation, mais également tout au long de la relation que nous entretenons avecvous, sur vous-même, mais également sur les transactions que vous réalisez. À l’issue de la relation et si vous avez fait l’objet d’unealerte, cette information sera conservée afin de vous identifier et d’adapter notre contrôle si vous entrez de nouveau en relation avecune entité du Groupe BNP Paribas, ou dans le cadre d’une transaction à laquelle vous êtes partie.

Pour répondre à nos obligations légales, nous échangeons entre entités du Groupe BNP Paribas des informations collectées à des fins deLCB/FT, de lutte contre la corruption ou d’application des Sanctions internationales. Lorsque vos données sont échangées avec des payshors de l’Espace Économique Européen ne présentant pas un niveau de protection adéquat, les transferts sont encadrés par les clausescontractuelles types de la Commission Européenne. Lorsque pour répondre à des réglementations de pays non-membres de l’UE, desdonnées complémentaires sont collectées et échangées, ces traitements sont nécessaires pour permettre au Groupe BNP Paribas et àses entités de respecter à la fois leurs obligations légales, et d’éviter des sanctions localement ce qui constitue notre intérêt légitime.

ANNEXE 2

DURÉES DE CONSERVATION

Sont présentées ci-dessous les durées de conservation relatives à vos données personnelles par finalité de traitement.