Data Protection Policy
La Banque et Caisse d’Epargne de l’Etat, Luxembourg, établie et ayant son siège social au 1, Place de Metz, L-2954 Luxembourg, ci-après « Spuerkeess », traite des données à caractère personnel (ci-après « DCP ») relatives à des personnes physiques dans le cadre de ses activités statutaires. En sa qualité de Responsable du Traitement des données, Spuerkeess souscrit au respect des règles de protection des DCP qui sont autant de facteurs de transparence et de confiance à l’égard des personnes concernées.
La présente politique générale en matière de protection des DCP entend décrire la manière dont les DCP sont utilisées et protégées par Spuerkeess selon le type de relation concernée.
Champ d’application
La politique de protection des DCP de Spuerkeess s’applique à tous les traitements, automatisés ou non automatisés, de données personnelles réalisés par Spuerkeess et énonce les principes et lignes directrices de ses obligations en tant que « Responsable du Traitement » (personne qui détermine les finalités et les moyens de traitement des DCP) découlant du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des DCP et à la libre circulation de ces données, entré en vigueur le 25 mai 2018 (ci-après « le Règlement »).
Personnes concernées
Spuerkeess traite des DCP des personnes physiques et d’entités juridiques avec lesquelles elle a, a eu ou a potentiellement une relation directe ou indirecte, à savoir :
- les clients ou clients potentiels qui témoignent de l’intérêt pour les services et produits de Spuerkeess,
- les ayants droit, les mandataires et toute personne physique agissant en tant que représentant d’un client de
- Spuerkeess,
- les garants,
- les prestataires de services externes et sous-traitants, leurs employés, représentants et personnes de contact,
- les visiteurs,
- les utilisateurs des sites Internet et applications mobiles de Spuerkeess,
- les représentants légaux, mandataires sociaux et personnes habilitées d’une personne morale cliente de Spuerkeess,
- les bénéficiaires effectifs et actionnaires d’une personne morale cliente de Spuerkeess,
- les donneurs d’ordres et/ou bénéficiaires en relation avec les transactions effectuées par un client de Spuerkeess,
- les candidats dans le cadre du processus de recrutement,
- toute autre personne physique contactant Spuerkeess.
Données collectées
Les données à caractère personnel collectées se limitent à celles nécessaires à la réalisation des finalités identifiées par Spuerkeess.
Différentes catégories de DCP sont collectées :
- les données d’identification personnelles (p.ex. le nom, la date et lieu de naissance, le numéro de carte d’identité/de passeport, l’adresse, la profession, le numéro de téléphone, l’adresse email, l’adresse IP de votre ordinateur ou appareil mobile, le représentant légal, le mandataire,…) ;
- les données relatives à la situation familiale (p.ex. composition de famille) ;
- les données d’identification bancaires et financières (p.ex. le numéro de client, le numéro de compte bancaire, le numéro de portefeuille, le numéro de carte de crédit, le NIF (Numéro d'identification fiscale), les données relatives aux produits et services auxquels vous avez souscrit) ;
- les données sur les transactions financières ;
- les données sur la situation patrimoniale (p.ex. revenus, dépenses, crédits, patrimoine) ;
- les données, ratios et ratings relatifs à votre profil d’investisseur ou d’emprunteur et autres données nécessaires à une gestion saine des risques de Spuerkeess conformément à la loi (p.ex. capacité de remboursement de vos crédits, solvabilité) ;
- les données relatives à vos habitudes et préférences :
- les données liées à votre utilisation de nos produits et services souscrits (données bancaires, financières et transactionnelles) ;
- les données récoltées dans le cadre de nos échanges avec vous dans nos agences, nos sites Internet, nos applications mobiles, nos pages sur les réseaux sociaux, lors de réunions, appels téléphoniques, chats, courriers électroniques, entretiens, ou collectées lors de panels d’optimisation de l’expérience utilisateur (UX) ;
- les données de localisation géographique (p.ex. guichets automatiques bancaires utilisés, agences fréquentées) ;
- les données liées au comportement et aux préférences lors de la navigation sur nos sites Internet. De plus amples informations sont disponibles dans notre politique de cookies publiée sur le site www.spuerkeess.lu ; - les données relatives à votre utilisation de notre application bancaire S-Net :
- données propres à l’appareil mobile (p.ex. identifiants techniques, données de connexion) ;
- données financières (p.ex. consultations de soldes et mouvements, données de paiement lorsque vous réalisez des transactions financières en ligne) ;
- données liées à vos comptes de paiement détenus auprès d’autres banques auxquelles vous accédez via S-Net (dans le cadre de PSD2, Revised Payment Services Directive ) ;
- données relatives à vos achats de produits et services bancaires dans S-Net ;
- données de contact, images, messages, y compris documents numérisés que vous échangez avec nous via S-Net ;
- données relatives aux simulations (p.ex. prêts, Speedinvest) ;
- données relatives à l’outil MIA, outil de type « Personal Finance Manager » destiné à vous aider dans la gestion quotidienne de vos finances ;
- données relatives à l’utilisation du service Payconiq intégré dans S-Net (p.ex. scans de codes QR au moyen de votre caméra, liste de contacts de votre appareil mobile). S-Net sollicite votre autorisation pour accéder à votre liste de contacts et partage avec Payconiq le numéro de GSM du contact que vous sélectionnez afin d’effectuer un paiement) ;
- documents conservés dans votre coffre-fort de l’Espace fiscal S-Net ;
- géolocalisation lorsque vous cherchez le GAB ou l’agence Spuerkeess la plus proche. - les données d’authentification (p.ex. votre spécimen de signature, les données biométriques caractérisant votre signature sur signing pad) ;
- les enregistrements vidéo et la vidéosurveillance (CCTV) à l’intérieur et aux alentours de nos bâtiments et installations ;
- les enregistrements de certaines conversations téléphoniques ;
- les enregistrements de réunions en face à face, les sessions de chat, conversations vidéo ;
- toute correspondance papier et électronique ;
- les données que vous nous avez demandé de collecter pour vous (p.ex. les données relatives aux comptes bancaires et avoirs détenus auprès d’autres banques partagées dans le cadre de la réglementation PSD2) ;
- les informations dont Spuerkeess a besoin pour respecter ses obligations légales et réglementaires (p.ex. informations traitées en vue de la détection de toute activité suspicieuse ou frauduleuse, données nécessaires aux contrôles relatifs à la lutte contre le blanchiment de capitaux et le financement du terrorisme ;
- les données qui servent à évaluer les capacités d’un candidat à un poste (p. ex. les diplômes, les expériences professionnelles, les formations).
Ces données sont notamment recueillies aux occasions suivantes :
- lors de l’entrée en relation d’affaires et au cours de celle-ci (p.ex. contacts avec vos conseillers, mises à jour de vos données client, participations aux enquêtes ou panels d’optimisation de l’expérience utilisateur (UX) …) ;
- lorsque vous utilisez nos applications (p.ex. S-net, S-net mobile) ou naviguez sur nos sites Internet ;
- lorsque vous vous abonnez à un service ou une publication produite sous quelque forme que ce soit par Spuerkeess (p.ex. des newsletters) ;
- lorsque vous répondez à des invitations pour des événements organisés par Spuerkeess ;
- lorsque vous êtes filmé par nos caméras de surveillance lors d’une visite de nos agences ou bureaux et lors de l’utilisation d’un guichet automatique bancaire ;
- lorsque vous intégrez vos comptes de paiement détenus auprès d’autres banques dans S-net (dans le cadre de PSD2) ;
- lorsque vous remettez à Spuerkeess un dossier de candidature dans le cadre d’un processus de recrutement. De plus amples informations quant à la protection de vos données en cette matière sont disponibles sur le site www.mylittlebigstep.lu
- dans les médias, la presse et/ou lorsque vous publiez des données sur des médias sociaux auxquels nous fournissons l’accès ;
- auprès de tiers (p.ex. autorités ou institutions publiques, établissements exploitant des bases de données professionnelles, autres établissements financiers, partenaires, sous-traitants).
Les DCP que vous communiquez concernant des tiers (membres de la famille, employeur, mandataires, représentants ou encore bénéficiaires effectifs,…), sont traitées au même titre que vos DCP, en fonction des prestations et finalités correspondantes. Il vous incombe d’en informer les personnes concernées.
Aux fins de l’exécution des obligations de Spuerkeess et dans la mesure du nécessaire, Spuerkeess est susceptible de traiter des « catégories particulières de données », telles que les données relatives à la santé, aux condamnations et infractions et à l’exercice d’une fonction publique.
Conditions de licéité et finalités des traitements de DCP
Spuerkeess collecte et traite les DCP pour accomplir des finalités déterminées. Elle veille dans tous les cas à ce que les DCP soient traitées uniquement pour ce qui est nécessaire au regard de la finalité poursuivie. L’ensemble des traitements de DCP effectués par Spuerkeess se base sur au moins l’une des conditions de licéité suivantes :
- les obligations légales et réglementaires, p.ex. pour les traitements visant les finalités ci-dessous :
- la lutte contre le blanchiment et le financement du terrorisme ;
- le reporting réglementaire et échange automatique d’informations (p.ex. DAC - Directive on Administrative Cooperation, FATCA - Foreign Account Tax Compliance Act, CRS - Common Reporting Standard) ;
- la conformité aux demandes et exigences des autorités locales ou étrangères ;
- la législation applicable en matière de sanctions internationales et d’embargos ;
- la détection des transactions anormales ou inhabituelles ;
- la définition de votre note de risque-crédit et de votre capacité de remboursement ;
- la tenue de la comptabilité. - l’exécution d’un contrat, y compris les mesures précontractuelles, p.ex. pour les traitements visant les finalités ci-dessous :
- la fourniture de services et de produits ;
- l’exécution et l’enregistrement de vos transactions financières ;
- l’octroi et la gestion de crédits ;
- la gestion de S-Net et S-Net mobile. - les intérêts légitimes de Spuerkeess, p.ex. pour les traitements visant les finalités ci-dessous :
- la fourniture de services et de produits ;
- la gestion des relations commerciales avec les clients, prospects, fournisseurs, sous-traitants, partenaires et autres tiers ;
- la détection et la prévention de fraudes et d’abus ;
- la protection de vos actifs contre des activités frauduleuses ;
- l’analyse du fonctionnement de votre compte et l’utilisation de nos services ;
- la réalisation d’enquêtes de satisfaction et de sondages ;
- l’élaboration d’études et de modèles statistiques internes dans le but d’optimiser la gestion des risques et d’améliorer notre offre de produits et services par des actions commerciales, telles que la prospection, la publicité, la gestion d’évènements-clients ;
- l’amélioration de nos sites Internet et applications mobiles ;
- la gestion de nos besoins opérationnels et gestion des risques ;
- garantie de la sécurité des biens et des personnes ;
- garantie de la continuité des services et la sécurité informatique ;
- la gestion des litiges et contentieux éventuels et protection de nos droits ;
- la gestion des recrutements. - le consentement, p.ex. lors de :
- la collecte de données biométriques caractérisant votre signature sur signing pad ;
- l’intégration de vos comptes de paiement détenus auprès d’autres banques dans S-net (dans le cadre de PSD2). Sauf opposition (voir chapitre "Droit de s'ooposer à certains traitements (Opt-Out)" ci-après) de votre part, les comptes ainsi importés font également l’objet des traitements de données généralement appliqués à vos comptes Spuerkeess, dont entre autres la catégorisation de vos transactions ;
- la réutilisation de vos données saisies ou générées dans notre assistant fiscal myTax, à d’autres fins que l’établissement de votre déclaration fiscale, afin de simplifier vos démarches en vue de l’obtention d’un produit et/ou service, ou de vous proposer des produits ayant pour objet de réduire vos charges fiscales ;
- tout autre traitement spécifique auquel la personne concernée a consenti.
Ces traitements sont mis en œuvre en prenant en compte vos intérêts et vos droits fondamentaux.
Dans certains cas, il se peut que vous ayez exprimé votre volonté de ne pas voir vos DCP utilisées mais que Spuerkeess soit néanmoins dans l’obligation de les traiter et/ou conserver pour différentes raisons. Dans ce cas, Spuerkeess continuera à traiter et/ou conserver les DCP si (i) la loi ou la réglementation l’y oblige, (ii) l’exécution d’un contrat le requiert ou (iii) Spuerkeess a un intérêt légitime à le faire.
Décisions fondées exclusivement sur un traitement automatisé, y compris le profilage
En règle générale, Spuerkeess n’utilise pas de processus de prise de décision fondé exclusivement sur un traitement automatisé au sens de l’article 22 du Règlement. Dans le cas où Spuerkeess aurait ponctuellement recours à un tel processus, vous en serez informé au préalable et aurez le droit d’obtenir une intervention humaine dans la prise de décision.
Spuerkeess peut mettre en œuvre des traitements automatisés afin de vous fournir rapidement des services et produits adaptés à vos besoins. Ainsi, dans le cas d’une demande de financement en ligne ou d’une demande de modification de votre limite de carte de crédit via S-net, le système peut uniquement approuver la demande automatiquement (si des critères prédéfinis sont remplis), étant entendu que toute demande n’ayant pas pu être approuvée de la sorte (automatiquement) sera traitée manuellement si le demandeur le souhaite.
Spuerkeess recourt au profilage, c’est-à-dire toute forme de traitement automatisé de DCP consistant à utiliser ces DCP pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour rechercher ou identifier des catégories de personnes relativement homogènes, en termes de produits détenus et/ou de comportements bancaires, susceptibles d’être intéressées par un nouveau produit ou une offre commerciale personnalisée.
Dans ce contexte, vos DCP peuvent faire l’objet d’un profilage, entre autres dans les cas suivants :
- la réglementation MiFID II instaure une meilleure protection de l’investisseur : votre profil d’investisseur est déterminé sur base d’un questionnaire visant à mesurer vos connaissances en matière d’instruments financiers et votre expérience des marchés, en fonction duquel Spuerkeess peut vous proposer des investissements adaptés à votre profil ;
- en souscrivant au produit Speedinvest, votre profil d’investisseur est déterminé sur base d’un questionnaire visant à mesurer vos connaissances en matière d’instruments financiers et votre expérience des marchés. Les investissements sont ensuite réalisés de façon automatisée en fonction du profil déterminé ;
- lors de la catégorisation de vos transactions, du calcul de vos soldes disponibles et de l’envoi de propositions et de recommandations commerciales susceptibles de correspondre au mieux à vos besoins. Ce traitement permet entre autres d’utiliser l’outil MIA outil de type « Personal Finance Manager » destiné à vous aider dans la gestion quotidienne de vos finances. MIA analyse et classe les recettes et dépenses en différentes catégories ;
- lors de la promotion de produits et services bancaires complémentaires à vos produits et services déjà souscrits, des actions de marketing (envoi des newsletters, de courriers commerciaux et informatifs et d’invitations à des évènements, participations à des concours,…) ;
- afin de respecter ses obligations de lutte contre la fraude, le blanchiment d’argent et le financement du terrorisme ;
- lors de l’évaluation de votre solvabilité et comportement bancaire. Ce « scoring » permet à Spuerkeess p.ex. de déterminer la probabilité selon laquelle un client remplira ses obligations de remboursement d’un crédit. Le scoring repose sur un modèle mathématique et statistique défini et éprouvé. Le scoring est influencé notamment par les recettes du client, ses dépenses, ses engagements courants, sa profession, son employeur, le remboursement antérieur de ses crédits, l’appréciation de la relation d’affaires, informations publiques. Il aide à prendre des décisions en vue de la vente de services (p.ex. demande de prêt personnel, modification de la limite de la carte de crédit et à gérer les risques). En ce qui concerne les prêts en ligne sur deux têtes, les charges/revenus du co-emprunteur entrent dans l’évaluation de la solvabilité et font partie du scoring.
Droit de s’opposer à certains traitements (Opt-Out)
Vous avez la possibilité de vous opposer à certains traitements décrits ci-dessus, sans avoir à justifier d’un motif :
- Opt-Out concernant la catégorisation des transactions (s’applique également aux données de vos comptes bancaires auprès d’autres banques que vous décidez d’agréger dans S-net dans le contexte PDS2). Veuillez toutefois noter que procéder à cet opt-out empêchera l’utilisation de certains services, dont e.a. MIA et les demandes de prêt online ;
- Opt-Out concernant l’ensemble des communications et actions commerciales (mailings, invitations à des conférences, concours,…) ;
- Vous avez également le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (cf. chapitre « Décisions fondées exclusivement sur un traitement automatisé, y compris le profilage »). Dans ce cas, vous pouvez demander que la décision soit réexaminée en vous adressant directement à votre agence.
Ce droit d’opposition peut s’exercer en agence ou via message S-Net, email ou courrier à l’adresse suivante :
Banque et Caisse d’Epargne de l’Etat, Luxembourg
Data Protection Officer
1, Place de Metz
L-2954 Luxembourg
dpo@spuerkeess.lu
Vous pouvez en plus gérer ces paramètres directement dans S-Net.
Veuillez noter que l’opt-out prendra effet au plus tard dans le mois qui suit sa demande.
Consentement
Dans la mesure où certains traitements de DCP reposent sur votre consentement, il n’y sera procédé qu’après l’avoir explicitement recueilli. Un consentement donné peut être à tout moment retiré, selon les mêmes modalités que celles prévues pour l’opt-out.
Par exemple, votre consentement est requis en cas de :
- collecte de données biométriques, telles que celle opérée lors de la signature sur le signing pad en agence.
- réutilisation de vos données collectées via myTax (outil pour la déclaration fiscale).
En vertu de PSD2, avant de procéder à l’import dans S-net de vos comptes de paiement détenus auprès d’autres banques, votre consentement sera demandé.
La légalité d’un traitement fondé sur le consentement accordé avant son retrait ne sera pas affectée.
Transfert de vos données vers des tiers
Dans les limites de son activité et le respect des lois et réglementations applicables, Spuerkeess est susceptible de transférer des DCP à des tiers, notamment :
- institutions financières et professionnels financiers avec lesquels nous collaborons dans le cadre d’opérations de paiement nationaux et internationaux, d’opérations de crédit et de transactions sur instruments financiers, tels que par exemple les banques et entreprises financières spécialisées, courtiers, émetteurs et intermédiaires de cartes de paiement et de crédit, fournisseurs de solutions de paiement en ligne, chambres de compensation, bourses, sous-dépositaires, distributeurs, gestionnaires de produits d’investissement, contreparties de marché et émetteurs d’instruments financiers que vous détenez par l’intermédiaire de Spuerkeess,… ;
- sous-traitants, fournisseurs, contreparties et prestataires de services auxquels Spuerkeess fait appel pour vous fournir au mieux les services auxquels vous avez souscrits, tels que par exemple les fournisseurs spécialisés du secteur financier, compagnies d’assurances, prestataires de reporting fiscal ainsi que les fournisseurs qui nous aident dans la conception et la maintenance de nos outils informatiques, dans l’organisation d’évènements, dans la gestion des communications avec la clientèle et le développement et/ou la gestion de nos produits et services, organismes d’identification et de certification électronique, sociétés dont vous possédez des instruments financiers par l’intermédiaire de Spuerkeess, … ;
- sous-traitants, fournisseurs, contreparties et prestataires de services auxquels Spuerkeess fait appel pour répondre à des obligations légales, tels que par exemple les entités de certification des comptes de la banque, reporting de clients lors d’entrées en relation d’affaires à distance (digitales), gestionnaires de dossiers KYC, prestataires de reporting légal MiFIR … ;
- entités tierces présentant un lien avec notre client, tels que par exemple les personnes qui effectuent des transactions bancaires pour compte de notre client, bénéficiaires, donneurs d’ordre, ayants-droits, successeurs, mandataires, délégataires, gestionnaires et conseillers en investissement,… ;
- toute entité exerçant une profession réglementée et intervenant dans le cadre des missions qui lui ont été confiées, tels que par exemple les auditeurs, avocats, huissiers, notaires, réviseurs,…;
- agences de contrôle de solvabilité, agences de recouvrement de créances et agences réalisant des investigations et enquêtes ;
- personnes impliquées en cas de litige au regard d’une opération spécifique ;
- certains partenaires tels que des innovateurs ou des universités, qui les traitent dans le cadre de leurs recherches. Il est veillé à ce que les DCP soient transmises sous forme pseudonymisée, agrégée et les résultats des recherches sont anonymes ;
- autorités fiscales, judiciaires, policières, réglementaires et administratives, régulateurs et autorités de contrôle et de surveillance ;
- prestataires de services cloud computing. Il est veillé à ce que les centres de données utilisés sont localisés à l’intérieur de l’Espace économique européen et qu’un cryptage approprié des données soit assuré en transit et au repos ;
- autres parties avec votre autorisation ou selon vos instructions. Avec votre accord et à votre demande, Spuerkeess peut communiquer des DCP vous concernant à des tiers.
Ces tiers sont par ailleurs eux-mêmes tenus de respecter les obligations légales ou contractuelles en matière de protection des données personnelles en tant que responsable du traitement ou sous-traitant.
Dans certaines juridictions, les dispositions légales et réglementaires applicables aux (transactions impliquant des) instruments financiers et droits similaires exigent que l’identité des détenteurs (in)directs ou des bénéficiaires économiques de ces instruments ainsi que leurs positions dans lesdits instruments soient révélées.
Echange automatique d’information en matière fiscale
Spuerkeess est légalement obligée d’identifier, à des fins fiscales, la résidence du titulaire de compte et de remplir les obligations déclaratives annuelles à l’égard de l’administration fiscale luxembourgeoise relatives aux comptes déclarables des personnes non résidentes fiscales au Luxembourg (y compris les personnes américaines telles que déterminées par la loi du 24 juillet 2015 relative à FATCA (Foreign Account Tax Compliance Act).
L’administration fiscale luxembourgeoise procède à la transmission de ces informations à l’administration fiscale du pays de résidence fiscale du titulaire du compte déclarable si la règlementation concernant l’échange automatique d’informations l’exige.
Conformément aux lois et règlements qui leur sont éventuellement applicables eu égard aux dispositions de la réglementation FATCA et de la Norme Commune de Déclaration (NCD ou CRS, Common Reporting Standard), les clients sont tenus de fournir à Spuerkeess le formulaire relatif à leur statut FATCA et/ou NCD (ou tout autre formulaire équivalent) ainsi que toute mise à jour les concernant, le cas échéant.
Sans ces informations fiscales, Spuerkeess n’est pas en mesure d’établir ou de maintenir une relation d’affaires.
Transfert de vos données hors Espace économique européen
Vos DCP ne sont transférées par Spuerkeess en dehors de l’Espace économique européen (« EEE ») que si une disposition légale ou réglementaire l’y contraint, si le transfert est nécessaire à l’exécution d’un contrat ou si vous y avez explicitement consenti. Conformément au Règlement, Spuerkeess veillera, pour les pays hors EEE en question, à l’existence d’une décision d’adéquation rendue par la Commission européenne ou à ce que des garanties appropriées (p.ex. clauses contractuelles types) aient été mises en place.
A titre d’exemple :
- dans le cadre de transferts de fonds ou d’opérations sur instruments financiers, les données nécessaires à l’exécution des transactions sont traitées par des tiers intervenant lors de la transaction (ex. banques correspondantes, bourses, fournisseurs de services de messagerie financière,…) et qui peuvent être situés hors EEE.
Durée de conservation de vos données
Spuerkeess conserve vos DCP conformément à ses obligations légales et pour une durée n’excédant pas celle nécessaire au regard des finalités poursuivies par Spuerkeess.
La durée de conservation de vos données est variable et dépend de la nature des données, des finalités poursuivies auxquels s’ajoutent les délais de conservation imposées par des dispositions légales et réglementaires applicables.
Les données comptables sont conservées pendant une durée de dix ans à partir de la clôture de l’exercice auquel elles se rapportent, conformément à la réglementation applicable.
Pour des motifs légitimes et selon les circonstances, Spuerkeess pourra conserver les données au-delà de la durée définie dans le respect des dispositions législatives et réglementaires applicables.
Sécurité de vos données
Spuerkeess s’engage à protéger et sécuriser vos DCP afin d’assurer leur confidentialité et empêcher leur destruction, leur perte, leur modification ou leur divulgation.
A cette fin, Spuerkeess a mis en place des mesures de protection physiques, techniques, organisationnelles et procédurales :
- le personnel de Spuerkeess est sensibilisé à la protection des DCP via des formations internes, des notes régulières, la diffusion de bonnes pratiques… ;
- Spuerkeess garantit que toutes les mesures nécessaires à la protection des DCP sont intégrées dès la conception (« Privacy by Design »), que ce soit dans les nouvelles applications technologiques ou commerciales, ou dans des applications existantes pour lesquelles des fonctionnalités sont ajoutées, remplacées ou modifiées ;
- Spuerkeess garantit par défaut le plus haut niveau possible de protection des DCP qu’elle traite (« Privacy by Default »). Par défaut, seules les données susceptibles d’être réellement utilisées doivent être collectées et stockées. Cette règle s’étend à la quantité de DCP, l’étendue du traitement, la durée de conservation des données et l’accessibilité des données. Les catégories particulières de DCP (données sensibles) font l’objet de mesures de sécurité renforcées ;
- En cas de sous-traitance de traitements de DCP, Spuerkeess impose contractuellement à ses sous-traitants de présenter les mêmes garanties de sécurité des DCP qu’elle s’impose à soi-même ;
- La Politique de Sécurité de Spuerkeess garantit un niveau de protection des DCP conforme au Règlement.
Toutes ces mesures sont revues régulièrement et actualisées.
Par ailleurs, la confidentialité et la sécurité des DCP reposent sur les bonnes pratiques de chacun. Ainsi, nous vous recommandons la vigilance et la prise de précautions, telles que l’installation d’un logiciel antivirus et antispyware, l’utilisation de mots de passe complexes strictement confidentiels, l’effacement de vos traces de navigation sur Internet et enfin, l’information immédiate de Spuerkeess en cas de perte ou de vol de vos cartes bancaires.
Notification
En cas de violation de DCP, Spuerkeess notifie ce fait à la Commission Nationale pour la Protection des Données (CNPD) dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Au cas où cette violation concerne vos DCP et si l’incident est susceptible d’engendrer un risque élevé pour vos droits et libertés, Spuerkeess vous en informera dans les meilleurs délais.
Vidéo-surveillance et enregistrements téléphoniques
Spuerkeess se réserve le droit de faire usage de la vidéo-surveillance à l’intérieur et aux alentours de ses locaux et installations (agences, parkings, guichets automatiques,…), afin de garantir votre sécurité et celle de son personnel, ainsi que le respect des biens et installations. Les enregistrements vidéo et photo sont conservés, en vue de servir de preuves d’un délit ou dommage ou encore aux fins d’identification d’une personne (témoin, victime, …).
Spuerkeess enregistre et conserve les conversations téléphoniques que vous avez avec ses agents (p.ex. via le Service Center « Spuerkeess Direct ») pour des besoins de contrôle et de preuve des communications commerciales, pour assurer la sécurité des transactions financières, ainsi que pour se conformer à certaines obligations légales qui l’imposent (p.ex. MiFID II). Ces enregistrements sont gardés pendant une durée de 10 ans.
Il est entendu que ces enregistrements restent couverts par le secret professionnel et qu’ils ne peuvent servir à d’autres fins que celles indiquées ci-avant.
Vos droits
Le Règlement vous confère une série de droits sur vos DCP traitées par Spuerkeess :
- droit d’accéder à vos DCP et le cas échéant d’obtenir une copie de ces données ;
- droit de demander la rectification ou la mise à jour de vos DCP, si vous jugez qu’elles sont incomplètes ou incorrectes ;
- droit d’obtenir l’effacement de vos DCP, à moins qu’un motif légitime ne justifie leur conservation ;
- droit de vous opposer à tout moment aux traitements de vos DCP assortis d’une possibilité d’opt-out, à moins qu’un motif légitime ne prévale sur vos intérêts et vos droits et libertés ;
- droit de demander la limitation du traitement de vos DCP ;
- droit à la portabilité de certaines DCP, c’est-à-dire de les recevoir dans un format structuré couramment utilisé et lisible afin de les transmettre à un autre responsable de traitement.
Si vous souhaitez exercer l’un des droits cités ci-dessus, vous pouvez envoyer votre demande par message S-Net, email ou courrier à l’adresse suivante :
Banque et Caisse d’Epargne de l’Etat, Luxembourg
Data Protection Officer
1, Place de Metz
L-2954 Luxembourg
dpo@spuerkeess.lu
Dans un souci de confidentialité et de protection des données, Spuerkeess doit s’assurer de votre identité avant de répondre à votre demande. Ainsi, toute demande non transmise par S-Net devra être accompagnée d’une copie d’une pièce d’identité.
Spuerkeess s’efforcera de donner suite à votre demande dans les meilleurs délais et dans un délai d’un mois à compter de la réception de la demande. Selon la complexité de la demande ou du nombre de demandes à traiter, Spuerkeess a la possibilité de prolonger ce délai de deux mois. Vous serez informé de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande.
Spuerkeess se réserve le droit de refuser la demande si elle est dans l’impossibilité de vous identifier de manière certaine ou si elle juge la demande excessive ou infondée. Vous serez informé des motifs du refus dans un délai d’un mois à compter de la réception de la demande. Spuerkeess peut également exiger le paiement de frais raisonnables en cas de demandes infondées ou excessives, notamment en raison de leur caractère répétitif.
Si vous n’êtes pas satisfait de la suite donnée à votre demande, vous pouvez introduire une réclamation auprès de la Commission Nationale pour la Protection des Données (informations sur le site www.cnpd.public.lu).
Si vous n’êtes pas satisfait du traitement réservé à vos DCP, vous pouvez adresser une réclamation par message S-Net, email ou courrier à l’adresse suivante :
Banque et Caisse d’Epargne de l’Etat, Luxembourg
Service Compliance
1, Place de Metz
L-2954 Luxembourg
Tél. : (+352) 4015 2226
reclamations@spuerkeess.lu
Contact
Si vous avez des questions en matière de protection des DCP, vous pouvez contacter le délégué à la protection des données, par message S-Net, email ou courrier à l’adresse suivante :
Banque et Caisse d’Epargne de l’Etat, Luxembourg
Data Protection Officer
1, Place de Metz
L-2954 Luxembourg
dpo@spuerkeess.lu
Révision de la politique
La présente politique est revue annuellement et est adaptée sitôt que les pratiques ou la réglementation l’imposent ou que les technologies évoluent. Chaque nouvelle version est soumise à l’approbation du Data Protection Committee de Spuerkeess avant publication. Afin de vous assurer que vous disposez à tout temps de la dernière version, nous vous invitons à consulter ce document sur notre site Internet.
Date de publication : 1er février 2023