Xpollens s’engage à ce que les traitements de données à caractère personnel qu’il met en œuvre soient conformes au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Liberté.

La présente Notice vise à vous fournir des informations détaillées sur la manière par laquelle Xpollens, agissant en qualité de responsable de traitement, protège vos données personnelles.

Elle explique de quelle manière vos données sont obtenues, pourquoi elles sont traitées, avec qui elles sont susceptibles d’être partagées, les mesures mises en œuvre pour assurer leur confidentialité et leur sécurité et rappelle les droits dont vous disposez et comment les exercer.

1.  Quelques définitions.

2.  A qui s’adresse cette Notice.

3.  Qui recueille vos données à caractère personnel ?.

4.  Comment nous obtenons les données personnelles vous concernant ?.

5.  Qui accède à vos données ?.

6.  Pourquoi nous traitons vos données à caractère personnel ?.

7.  Combien de temps sont conservées vos données ?.

8.  Comment nous assurons la sécurité et la confidentialité de vos données ?.

9.  Où sont stockées vos données ?.

10. Nos actions de prospection.

11. Nos actions de profilage.

12. Mise en œuvre de traitement particuliers reposant sur une technologie spécifique.

13. Vos droits.

14. Comment exercer vos droits ?.

« XPOLLENS » : l’établissement avec lequel vous avez établi ou souhaitez établir une relation d’affaires,

« Groupe » : les établissements du Groupe BPCE,

« vous » : vous-même ou toute personne physique intervenant dans notre relation (votre représentant légal, votre mandataire, un contact…),

« Agents prestataires de services de paiement » et « Distributeurs de monnaie électronique » : partenaires de Xpollens dans la commercialisation des produits de paiement et de monnaie électronique. Ils agissent en qualité de sous-traitant RGPD de Xpollens.

« traitement » : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;

« données à caractère personnel » ou « données personnelles » ou, « données » : information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement à partir de cette donnée. Il peut s’agir de différentes catégories de données selon le besoin. 

A titre d’exemple :

des informations sur votre identité et/ou de contact telles que nom, prénom, date de naissance, adresse postale et électronique, numéro de téléphone, numéros des documents d’identité, âge,
des informations relatives à vos situations familiale, professionnelle et fiscale,
des informations bancaires et financières liées à vos opérations,
des informations d’identification et d’authentification liées à vos services de banque en ligne et à vos opérations de paiement,
des images de vidéo surveillance dans nos locaux.

La Notice vous est destinée en tant que personne physique concernée par un traitement de données à caractère personnel mis en oeuvre par XPOLLENS, que vous agissiez en tant que particulier à titre privé ou dans le cadre d’une activité professionnelle.

Elle vous concerne notamment si vous êtes :

un client de Xpollens
un client potentiel ou un prospect de Xpollens,
une personne physique intervenant à titre quelconque dans le cadre d’une relation établie avec un client de Xpollens personne physique ou morale, par exemple :
un mandataire ou un signataire autorisé,
un représentant légal,
un contact désigné,
un adhérent,
un préposé ou un bénéficiaire effectif

XPOLLENS

Nous collectons et traitons des données à caractère personnel dans le cadre de la mise en œuvre de nos services offerts par le biais de nos Agents prestataires de services de paiement et de nos Distributeurs sur les différents canaux de communication privilégiés par ces derniers.  Nous intervenons à ce titre en qualité de RESPONSABLE DE TRAITEMENT. Pour rendre ces services, nous ne sommes pas seuls, nous recourons également à des prestataires.

Toutes ces sociétés peuvent contribuer aux services qui vous sont fournis et veillent au respect des mêmes principes. Pour ce faire, elles sont susceptibles d’avoir communication de vos données à caractère personnel pour les finalités spécifiques liées aux produits et services souscrits.

NOS AUTRES PARTENAIRES

Les informations applicables à la protection des données à caractère personnel relatives à un produit souscrit auprès d’autres partenaires vous sont habituellement communiquées par ce dernier, en qualité de RESPONSABLE DE TRAITEMENT pour la collecte et le traitement qu’il met en œuvre pour son propre compte. Parfois, ces partenaires peuvent également traiter vos données à caractère personnel dans le cadre d’activités en tant que nos Agents prestataires de services de paiement ou en tant que nos Distributeurs. Pour ces activités, ils ont alors la qualité de SOUS-TRAITANT pour notre compte.

Au cours de notre relation d’affaires, nous allons recueillir et traiter des données à caractère personnel vous concernant.

Ces données peuvent varier en fonction de la nature du produit ou du service souscrit. Il s’agit notamment :

Des données relatives à l’identification telles que le nom, prénom(s), adresse postale, numéro(s) de téléphone, adresse(s) de courrier électronique …) ; 
Des données bancaires et financières telles que les références BIC et IBAN, les données de paiement par carte bancaire ; 
Des données de connexion (adresse IP …) ;
Certaines informations sur le matériel de connexion utilisé (ordinateur, appareil mobile) à des fins d’administration de ses systèmes, de lutte contre la fraude, de maintien de la qualité des services et de fourniture des statistiques générales concernant leur utilisation.

XPOLLENS ne collecte pas et ne traite pas, par principe, les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données personnelles concernant la santé ou les données personnelles concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

En revanche, XPOLLENS peut être amené à traiter des données biométriques aux fins d’identifier une personne physique de manière unique, notamment :

Pour les entrées en relation à distance avec des clients personnes physiques ayant choisi de procéder au scan facial ou à la signature électronique au titre de la diligence complémentaire demandée par le code monétaire et financier,
Pour la mise en place d’un système d’authentification forte vous permettant d’accéder à vos services bancaires en ligne, pour effectuer un paiement, ou pour signer électroniquement, en ayant recours à des dispositifs de reconnaissance biométrique (reconnaissance vocale, reconnaissance faciale, empreintes digitales…). L’utilisation de ces données permet notamment de prévenir la fraude et l’usurpation de votre identité par un tiers. Ces dispositifs de reconnaissance biométrique sont alternatifs à d’autres mécanismes de contrôle et font l’objet de mesures de sécurité spécifiques pour garantir la sécurité et la confidentialité des données à caractère personnel.

En tout état de cause, le traitement de cette catégorie particulière de données à caractère personnel ce fait conformément à la législation/réglementation applicable qui prévoit dans certains cas le recueil préalable de votre consentement explicite.

LES DONNEES A CARACTERES PERSONNEL ET INFORMATIONS QUE VOUS NOUS COMMUNIQUEZ

Lors de l’entrée en relation, puis lors de la souscription de tout nouveau produit ou service (compte de paiement, compte de monnaie électronique), nous collectons directement auprès de vous les données nécessaires à cette opération.

Ces données sont nécessaires :

Pour la souscription et la gestion de vos produits ou services
Pour nous permettre de remplir nos obligations légales et réglementaires telles que l’obligation de connaître notre client, nos obligations fiscales ou relative à la lutte contre le blanchiment d’argent et le financement du terrorisme,

Certaines données peuvent également être collectées lorsque vous procédez à demander des renseignements ou sollicitez un contact.

LES DONNEES A CARACTERE PERSONNEL PROVENANT DE TIERS OU D’AUTRES SERVICES

Les données à caractère personnel peuvent également provenir :

De tiers fournisseurs,
D’un partenaire de XPOLLENS et notamment de ses distributeurs de monnaie électronique, agents prestataires de services de paiement ou d’un tiers introducteur,
D’autres produits ou services fournis par des tiers, y compris des sociétés du Groupe BPCE, auxquels vous avez souscrit,
Des autres personnes intervenant dans le cadre de notre relation (vos mandataires, contacts désignés, préposés, bénéficiaires effectifs, membres de votre famille, représentants légaux …)

LES DONNEES A CARACTERE PERSONNEL PUBLIQUES

Nous pouvons être amenés à collecter des données à caractère personnel publiques vous concernant.

Les données à caractère personnel publiques sont les informations ou données personnelles produites ou reçues par une autorité administrative dans le cadre de sa mission de service public, publiées par une autorité administrative ou communicables à toute personne en faisant la demande.

Nous pouvons utiliser les informations ou données à caractère personnel publiques quand cela est autorisé par les textes législatifs ou réglementaires et dans le respect des règles spécifiques de communication et de réutilisation précisées par lesdits textes.

En tant qu’établissement de monnaie électronique, nous sommes tenus au secret professionnel et ne pouvons partager vos données que dans des conditions strictes ou avec votre consentement.

Ce même principe de secret et de confidentialité s’applique à l’ensemble des intervenants impliqués, qu’il s’agisse de nos collaborateurs, de nos prestataires, de nos partenaires et de leurs propres collaborateurs.

Vos données peuvent être transmises ou accessibles :

A BPCE SA ainsi qu’aux filiales et succursales du groupe BPCE en France et dans l’Union Européenne, dont Xpollens relève ; 
Nos prestataires dans le seul but de réaliser les traitements pour lesquels elles ont été recueillies initialement. Dans ce contexte, nos prestataires sont des sous-traitants de données à caractère personnel au sens de la réglementation, ils agissent sur nos instructions et pour notre compte. Ils ne sont ni autorisés à les vendre ni à les divulguer à d’autres tiers ;
Distributeurs de monnaie électronique et Agents Prestataires de services de paiement de Xpollens ;
Certaines professions réglementées telles qu’avocats, notaires ou commissaires aux comptes
Toute autorité de contrôle publique, administrative ou judiciaire ou tiers autorisé missionné afin de respecter les obligations légales, règlementaires, statutaires ou contractuelles auxquelles nous sommes assujettis.

Les traitements réalisés par Xpollens répondent à une finalité explicite, légitime et déterminée. Dans le cadre de notre relation d’affaires, nous utilisons tout ou partie des données à caractère personnel vous concernant, pour les finalités décrites ci-dessous et sur la base des fondements suivants :

EXECUTER LE CONTRAT RELATIF AU SERVICE QUE VOUS AVEZ SOUSCRIT OU QUE VOUS SOUHAITEZ SOUSCRIRE

Nous traitons avant tout vos données à caractère personnel en vue de fournir les produits et services que vous souscrivez, ou que vous souhaitez souscrire.

Le traitement est mis en œuvre car il est nécessaire à l’exécution du contrat, ou à l’exécution de mesures précontractuelles prises à votre demande en tant que client, dans le cadre d’une relation déjà établie, ou en tant que prospect ou client potentiel si aucune relation d’affaires n’a encore été établie (mesures précontractuelles telle que la délivrance d’un conseil, d’une proposition, d’une simulation).

Les traitements mis en œuvre dans le cadre de la gestion de notre relation concernent notamment :

La tenue de vos comptes de paiement et/ou comptes de monnaie électronique) et la réalisation des opérations, la gestion de vos produits, la fabrication de vos instruments de paiement tels que votre carte bancaire ainsi que la gestion de leur fonctionnement et la sécurité des opérations de paiement. Préalablement à l’autorisation d’une opération de paiement, nous pouvons mettre en œuvre une prise de décision automatisée reposant notamment sur l’analyse des informations de l’instrument de paiement, du contexte de l’opération, du solde du compte sur lequel fonctionne l’instrument de paiement et des plafonds d’utilisation de celui-ci. Cette prise de décision automatisée aboutit à l’autorisation ou au refus de l’opération de paiement,
La gestion de votre service en ligne et des différents services mis à votre disposition dans ce cadre. Ceux‑ci incluent notamment des traitements liés à la restitution de vos opérations et de vos documents sous une forme dématérialisée, des fonctionnalités de gestion budgétaire incluant la catégorisation de vos dépenses et revenus, des formulaires de contacts pouvant faire appel à un traitement automatisé pour identifier/catégoriser et répondre à votre demande, des fonctionnalités liées à la souscription de produits et services et à la signature électronique de vos documents, des fonctionnalités de type « self care » vous permettant de réaliser directement certaines opérations de gestion. Ces services et fonctionnalités font l’objet d’évolutions constantes pour vous proposer une expérience optimale,
La prévention des impayés, le recouvrement et la gestion du contentieux (amiable, surendettement et contentieux judiciaires),
La gestion des réclamations, la gestion des successions.

Sans ces traitements, nous ne serions pas en mesure de conclure ou d’exécuter le contrat.

REPONDRE A NOS OBLIGATIONS LEGALES ET REGLEMENTAIRES

Notre activité intervient dans un environnement réglementaire très encadré, qu’il s’agisse de la réalisation d’opérations de monnaie électronique ou de services de paiement.

Pour répondre à ces obligations légales, nous mettons en œuvre des traitements de données à caractère personnel.

En conséquence, nous pouvons être amenés à collecter ou demander des informations précises concernant certaines opérations si la législation ou la réglementation nous l’impose.

Echange automatique d’information en matière fiscale

Nous sommes tenus d’identifier, à des fins fiscales, la résidence du titulaire de compte et de remplir les obligations déclaratives annuelles à l’égard de l’administration fiscale française relatives aux comptes déclarables des personnes non-résidentes fiscales en France (y compris les Personnes américaines déterminées, au sens de la loi FATCA).

L’administration fiscale française procède à la transmission de ces informations à l’administration fiscale du pays de résidence fiscale du titulaire du compte déclarable si la réglementation concernant l’échange automatique d’informations l’exige.

Lutte contre le blanchiment d’argent et le financement du terrorisme

Nous sommes tenus de procéder à l’identification de nos clients et, le cas échéant, des bénéficiaires effectifs des opérations et à une obligation de vigilance constante à l’égard de notre clientèle pendant toute la durée de la relation d’affaires (montant et nature des opérations, provenance et destination des fonds, suivi de la situation professionnelle, économique et financière du client…). Les informations que vous nous communiquez à ce titre doivent être régulièrement actualisées.

À ce titre, nous sommes tenus d’appliquer des mesures de vigilance particulières à l’égard des Personnes Politiquement Exposées définies par le code monétaire et financier.

Nous sommes aussi tenus de déclarer aux autorités compétentes certaines opérations en particulier :

les sommes inscrites dans nos livres et les opérations portant sur des sommes qui pourraient provenir d’une infraction passible d’une peine privative de liberté ou qui pourraient participer au financement du terrorisme ou à une opération de blanchiment de fraude fiscale,
les opérations pour lesquelles l’identité du donneur d’ordre ou du bénéficiaire effectif de l’opération demeure douteuse malgré les diligences effectuées au titre de l’obligation de vérification d’identité qui incombent à Xpollens.

Prévention, recherche et détection de fraude en matière de paiements et d’accès à distance de vos comptes de monnaie électronique et/ou de paiement

Nous sommes tenus de mettre en œuvre des mesures de sécurité impliquant le traitement de certaines de vos données à caractère personnel dans le cadre de nos procédures d’authentification et en vue de protéger l’intégrité et la confidentialité de vos données.

Transmission des renseignements nécessaires pour la tenue des fichiers réglementaires

Nous communiquons les données à caractère personnel nécessaires dans le cadre de la tenue du des fichiers réglementaires suivants :

FICOBA. Les banques ont l’obligation lors de l’ouverture pour un client d’un compte bancaire ou assimilé de déclarer un certain nombre d’informations à la Direction Générale des Finances Publiques en charge du fichier FICOBA et de l’informer d’éventuelles modifications ou clôture du compte et ce, pendant une durée de 10 ans après la fermeture du compte.
Fichier central des retraits de ces cartes bancaires. Ce fichier géré par la Banque de France recense les décisions de retrait de carte CB lorsqu’un incident de paiement résultant directement de l’usage de la carte CB n’a pas été régularisé.

Autres obligations réglementaires

Les comptes en déshérence. La réglementation impose que les établissements concernés recensent chaque année les comptes inactifs ouverts dans leurs livres. À cette fin, nous devons annuellement consulter pour les comptes inactifs le Répertoire National d’Identification des Personnes Physiques (RNIPP) afin de rechercher l’éventuel décès du (des) client(s) concerné(s).

Les réponses aux demandes d’exercice des droits au titre de la réglementation relative à la protection des données à caractère personnel. L’exercice de vos droits nécessite de traiter des données à caractère personnel vous concernant à des fins d’identification, de gestion de vos demandes et de conservation de la preuve.

Notre activité en tant qu’entreprise (comptabilité générale, facturation, gestion du bilan, reporting, audit etc.) nous impose de traiter un volume important de données à caractère personnel de nos clients.

REPONDRE A NOS INTERETS LEGITIMES

Nous pouvons invoquer un « intérêt légitime » à traiter vos données, en particulier lorsque nous nous trouvons face à des situations pouvant présenter des risques pour notre activité, notamment :

Prévenir la fraude, notamment sur les opérations de paiement, et gérer les éventuels recours en justice,
Lutter contre la criminalité financière tant à l’égard du secteur financier qu’à l’égard de nos clients et de nos collaborateurs,
Prévenir et gérer les incivilités à l’égard de nos collaborateurs, 
Assurer la sécurité de nos réseaux et des informations.

Cet intérêt légitime peut être lié à l’analyse de notre risque en matière d’engagements, notamment lors de l’entrée en relation et tout au long de la relation contractuelle. Les traitements automatisés mis en œuvre dans ce cadre incluent, in fine, une intervention humaine et aboutissent à une décision d’octroi ou de refus d’ouverture de compte. Vous avez le droit de présenter vos observations et de contester la décision prise à l’issue de ce processus.

Notre intérêt légitime peut également être lié à la gestion :

D’études statistiques et d’enquêtes de satisfaction,
De la relation avec nos clients (amélioration de la connaissance client, amélioration de nos produits et services, veille, conception, développement et suivi de l’activité commerciale),
De la prospection, du profilage et à la segmentation marketing incluant le cas échéant la combinaison de données à des fins d’analyse,
De nos activités de communication.

Ces traitements sont mis en œuvre en prenant en compte vos intérêts et droits fondamentaux. À ce titre, ils s’accompagnent de mesures et garanties permettant d’assurer l’équilibre entre la protection de vos intérêts et droits et la poursuite de nos intérêts légitimes.

METTRE EN ŒUVRE CERTAINS TRAITEMENTS AVEC VOTRE CONSENTEMENT

Dans certains cas, vous serez informé et sollicité préalablement à la mise en œuvre du traitement de vos données pour exprimer votre consentement, de manière spécifique, au regard de la finalité qui vous sera indiquée. Le traitement de vos données ne pourra pas être réalisé sans votre consentement.

Une fois les finalités de traitement des données atteintes, et en tenant compte des éventuelles obligations légales ou réglementaires imposant de conserver certaines données, nous procédons à la suppression ou à l’anonymisation de vos données.

La durée de conservation est variable et dépend de la nature des données et des finalités poursuivies. Les données sont généralement conservées pendant le temps nécessaire à l’exécution du contrat et jusqu’à l’expiration des différents délais légaux applicables.

Lorsqu’une donnée à caractère personnel est collectée pour plusieurs finalités, elle est conservée jusqu’à épuisement du délai de conservation ou d’archivage le plus long.

Le tableau ci-après reprend les principaux délais applicables à la relation d’affaires

Le respect de la vie privée et du secret bancaire, la sécurité et à la confidentialité des données et particulièrement des données personnelles confiées par nos clients est notre priorité.

Nous prenons, au regard de la nature des données à caractère personnel et des risques présentés par le traitement, les mesures techniques et organisationnelles nécessaires pour préserver la sécurité de vos données, et, notamment, empêcher qu’elles ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès ou prévenir toute utilisation impropre.

Ainsi, nous nous engageons à prendre les mesures de sécurité physiques, techniques et organisationnelles nécessaires pour :

Préserver la sécurité des données à caractère personnel de nos clients contre tout accès non autorisé, modification, déformation, divulgation, ou destruction des données à caractère personnel que nous détenons,
Protéger nos activités.

Nous diligentons régulièrement des audits internes et externes afin de nous assurer de la sécurité des données à caractère personnel et de nous prémunir contre tout accès non autorisé à nos systèmes.

Néanmoins, la sécurité et la confidentialité des données à caractère personnel reposent sur les bonnes pratiques de chacun, ainsi vous êtes invité à vous montrer vigilant.

Dans le souci de protéger la confidentialité de vos données à caractère personnel, nous vous invitons, en particulier dans des règles d’usage d’Internet, à prendre toutes les dispositions utiles notamment en effaçant, dès la fin de votre consultation, les traces de navigation et en interdisant l’accès aux tiers non autorisés dans l’hypothèse où vous téléchargeriez ces données vers un logiciel de gestion. Nous vous invitons à consulter les conseils de sécurité mis à votre disposition sur le site internet de l’Agence Nationale de la Sécurité des Systèmes d’Information.

Conformément à nos engagements, nous choisissons nos sous‑traitants et prestataires avec soin et leur imposons :

Un niveau de protection des données à caractère personnel équivalent au nôtre,
Un accès et une utilisation des données à caractère personnel ou des informations strictement nécessaires pour les services qu’ils doivent fournir,
Un respect strict de la législation et de la règlementation applicables en matière de confidentialité, de secret bancaire, et de données personnelles,
La mise en œuvre de toutes les mesures adéquates pour assurer la protection des données à caractère personnel qu’ils peuvent être amenés à traiter,
La définition des mesures techniques et organisationnelles nécessaires pour assurer la sécurité des données.

Nous nous engageons à conclure avec nos sous-traitants, conformément aux obligations légales et réglementaires, des contrats définissant précisément les conditions et modalités de traitement des données à caractère personnel.

Les données à caractère personnel à nos Clients sont stockées dans nos systèmes d’information ou dans celui de nos sous-traitants ou prestataires.

Nous nous engageons à choisir des sous-traitants et prestataires répondant aux critères de qualité et de sécurité, et présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles y compris en matière de sécurité des traitements.

À ce titre, nous imposons à nos sous-traitants et à nos prestataires des règles de confidentialité au moins équivalentes aux nôtres.

Par principe, nous privilégions les solutions techniques et le stockage des données à caractère personnel dans des centres d’hébergement situés au sein de l’Union Européenne. Si tel n’est pas le cas, nous prenons les mesures nécessaires pour nous assurer que les sous-traitants et prestataires offrent les mesures de sécurité et de protection adéquates telles que décrites ci-après.

VOS DONNÉES SONT-ELLES COMMUNIQUÉES OU ACCESSIBLES DEPUIS UN PAYS HORS UNION EUROPÉENNE ?

Vos données à caractère personnel transmises conformément aux finalités convenues peuvent, à l’occasion de diverses opérations, faire l’objet d’un transfert dans un pays de l’Union Européenne ou hors Union Européenne.

Dans le cadre éventuel d’un transfert vers un pays hors Union Européenne, des règles assurant la protection et la sécurité de ces informations ont été mises en place : soit la Commission européenne a adopté une décision d’adéquation qui reconnaît à la réglementation locale en matière de protection des données personnelles un niveau de protection équivalent à celui de l’Union Européenne, soit des garanties appropriées sont mises en place telles que des clauses contractuelles type approuvées par la Commission européenne.

En cas de paiement ou transfert de fonds hors Union Européenne, certaines données à caractère personnel doivent être communiquées à la banque du bénéficiaire même si elle est située dans un pays hors Union européenne dont la réglementation n’offre pas un niveau de protection équivalent, car ce transfert de données est nécessaire à l’exécution du contrat.

Ces données à caractère personnel peuvent être communiquées, à leur requête, aux organismes officiels et aux autorités administratives ou judiciaires habilités, ou à des tiers habilités.

Dans tous les cas, nous prenons les mesures nécessaires et adéquates pour assurer la sécurité des données à caractère personnel.

Nous pouvons être amenés à vous contacter, par courrier électronique, afin de vous proposer de nouveaux produits et des services qui paraissent correspondre à vos besoins ou désirs ou répondant à de nouveaux usages.

Vous pouvez vous opposer à tout moment et sans frais aux traitements initiés à des fins de prospection commerciale.

La prospection commerciale par courrier électronique, vise exclusivement les personnes physiques agissant à titre professionnel.

L’adresse électronique professionnelle peut être utilisée afin de vous adresser de la prospection commerciale par courrier électronique pour des objets en relation avec votre profession.

Vous pouvez à tout moment faire valoir votre droit d’opposition à la prospection commerciale.

Les adresses professionnelles génériques attribuées à une personne morale (société) ne sont pas soumises aux principes du consentement, de l’information préalable et ne bénéficient pas du droit d’opposition. Les messages et notifications liés à la gestion administrative d’un produit ou service préalablement souscrits (alertes, notifications de mise à disposition d’un document dématérialisé sur votre espace de banque à distance…) ne relèvent pas de la prospection commerciale.

Le paramétrage des messages et notifications peut dans ce cas être réalisé dans le cadre du service souscrit, étant entendu que certaines de ces notifications peuvent relever d’obligations réglementaires et présenter un caractère impératif.

Dans le cadre de notre relation, nous pouvons être amenés à mettre en œuvre deux catégories de profilage :

Des profilages marketing qui ne produisent pas d’effets juridiques à votre égard comme une segmentation marketing afin de vous suggérer des services et des produits innovants susceptibles de correspondre à vos attentes/besoins, des offres complémentaires ou promotionnelles en ciblant au mieux vos besoins,
Des profilages susceptibles de produire des effets juridiques à votre égard et aboutissant à une décision.

Concernant le profilage marketing, nous utilisons des techniques pour opérer des segmentations et des sélections marketing qui ne produisent pas d’effets juridiques.

À ce titre, les données personnelles que nous collectons nous aident également à personnaliser et à améliorer continuellement la relation bancaire et la relation commerciale afin de vous proposer les offres de produits et services les plus adaptés à vos besoins. Dans ce cadre, nous pouvons être amenés à utiliser différentes techniques de profilage, telles que le recours à des algorithmes.

Nous pouvons également être amenés à agréger et à anonymiser ces données afin d’établir des rapports et modèles marketing.

Quand nous avons recours à de telles techniques, nous prenons les mesures nécessaires pour écarter les risques d’erreurs et d’atteintes aux droits et libertés fondamentaux des personnes.

Dans l’hypothèse où ce profilage a des conséquences juridiques à votre égard, comme par exemple en cas d’utilisation d’un traitement d’évaluation des risques en vue de l’ouverture de compte, les résultats de l’utilisation de ces techniques ne seront qu’une aide à la décision de XPOLLENS :

Une intervention humaine de Xpollens est toujours prévue dans le processus de décision,
Et vous avez le droit de nous présenter vos observations ou d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation, et de contester la décision.

COOKIES ET AUTRES TRACEURS

On entend par Cookies ou autres traceurs, les traceurs déposés et lus par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé.

Vous êtes informé que lors de vos visites sur l’un de nos sites, des cookies et des traceurs peuvent être installés sur votre équipement terminal. Vous pouvez consulter, sur le site concerné, la politique cookies mise en œuvre. Lorsque cela est nécessaire nous recueillons votre consentement préalablement à l’installation sur votre équipement terminal de tels traceurs mais également lorsque nous accédons à des données stockées sur votre équipement.

La durée de vie de ces traceurs est de 13 mois maximum.

ENREGISTREMENT TELEPHONIQUE

Les conversations téléphoniques entre vous et nos services peuvent faire l’objet d’enregistrements téléphoniques à des fins de formation, d’évaluation ou d’amélioration de la qualité des produits et des services ou de preuve d’opération passée à distance.

Préalablement à un enregistrement, nous vous en informons et vous avez le droit de vous y opposer. Toutefois, en cas de refus, il ne sera peut-être pas possible d’exécuter votre demande d’opération faute de pouvoir en conserver la preuve.

Les supports d’enregistrement ou leur reproduction seront conservés pendant des durées proportionnées à la finalité de l’enregistrement en cause (de 3 mois à des fins de gestion, à 5 ans lorsque l’enregistrement téléphonique est susceptible d’être utilisé à des fins de preuve.

Dans les limites et conditions autorisées par la réglementation en vigueur, vous pouvez :

Accéder à l’ensemble de vos données à caractère personnel,
Faire rectifier, mettre à jour et effacer vos données à caractère personnel, étant précisé que l’effacement ne peut intervenir que lorsque :
Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière,
Vous avez retiré votre consentement sur lequel le traitement était fondé,
Vous vous êtes opposé au traitement de vos données et qu’il n’existe pas de motif légitime impérieux pour le poursuivre,
Les données à caractère personnel ont fait l’objet d’un traitement illicite,
Les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit français auquel Xpollens est soumis,
Vous opposez au traitement de vos données à caractère personnel pour des raisons qui vous sont propres,
Vous opposez au traitement de vos données à caractère personnel à des fins de prospection commerciale,
Recevoir les données à caractère personnel vous concernant et que vous nous avez fournies, pour les traitements automatisés reposant sur votre consentement ou sur l’exécution d’un contrat, et demander la portabilité de ces données,
Demander une limitation des traitements de données à caractère personnel que nous opérons vous concernant lorsque :
Vous contestez l’exactitude des données à caractère personnel et ce pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel,
Vous vous opposez à l’effacement des données vous concernant alors que le traitement est illicite,
Nous n’avons plus besoin des données mais celles-ci vous sont encore nécessaire pour la constatation, l’exercice ou la défense de droits en justice,
Vous vous êtes opposé au traitement de vos données, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par Xpollens prévalent sur les vôtres,
Lorsque le traitement est fondé sur votre consentement, retirer ce consentement à tout moment,
Introduire une réclamation auprès d’une autorité de contrôle. En France, l’autorité de contrôle est la :

CNIL – 3 place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07

www.cnil.fr

En outre, vous avez la possibilité de nous communiquer des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès, lesquelles directives peuvent être enregistrées également auprès « d’un tiers de confiance numérique certifié ». Ces directives peuvent désigner une personne chargée de leur exécution. Ces droits ne peuvent cependant avoir pour effet de contrevenir aux droits des héritiers ou à permettre la communication d’informations auxquelles seuls ces derniers peuvent légitimement avoir accès.

Si vous souhaitez en savoir plus sur les dispositions de cette notice d’information, exercer vos droits, vous pouvez contacter notre Délégué à la Protection des Données (DPO), à l’adresse suivante :

DPO des entités du Métier Paiements

Secrétariat général

Direction Sécurité Groupe / Sécurité des Métiers de la Communauté BPCE

50, avenue Pierre Mendès France – 75201 Paris Cedex 13

Courriel : dpo-xpollens@bpce.fr

Pour exercer vos droits sur les données vous concernant, merci de joindre la copie d’une pièce d’identité en cours de validité (carte d’identité ou passeport au format suivant : GIF, JPG, PNG, PDF), sauf si les éléments communiqués dans le cadre de votre demande permettent de vous identifier de façon certaine.

L’exercice de vos droits d’accès, de rectification, d’opposition, d’effacement, de votre droit à la limitation du traitement ou à la portabilité des données à caractère personnel s’effectuent sans frais.

Au titre de l’exercice du droit d’accès, nous vous fournirons une copie des données à caractère personnel faisant l’objet d’un traitement. En cas de demandes manifestement infondées ou excessives notamment en raison de leur caractère répétitif, nous pourrons exiger le paiement de frais raisonnables tenant compte des coûts administratifs supportés pour fournir ces informations, procéder aux communications ou prendre les mesures demandées, ou refuser de répondre à votre demande.

DROIT D’ACCES SPECIFIQUE

Pour le fichier FICOBA : Le droit d’accès aux données d’identification (nom, prénom, adresse) s’exerce par la personne titulaire du compte auprès du centre des impôts de rattachement de votre domicile ;

Le droit d’accès portant sur la nature et l’identification des comptes s’exerce par la personne qui est titulaire des comptes, de manière indirecte, par l’intermédiaire de la CNIL.

Si vous êtes héritier, vous pouvez obtenir directement les données issues de ce fichier, relatifs aux comptes ouverts par la personne décédée en vous adressant au Centre national de traitement FBFV – BP31 – 77421 MARNE LA VALLÉE CEDEX 02.

Pour les traitements mis en œuvre en application des article L.561-5 à L561-23 du Code Monétaire et Financier ayant pour finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme :

Le droit d’accès indirect s’exerce auprès de la CNIL (L. 561-45 du Code Monétaire et Financier).