Déclaration de politique de protection des données à caractère personnel

Conrad Conseil

Préambule

CONRAD CONSEIL s’engage à respecter une politique en matière de protection des données à caractère personnel, afin de se conformer à la réglementation applicable, et notamment au règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données entrée en vigueur en 2018

Les données auxquelles CONRAD CONSEIL a accès dans l’exercice de ses activités sont susceptibles de relever de la vie privée de leurs clients : données relatives au patrimoine, situation familiale, etc…

Le respect par CONRAD CONSEIL de la réglementation relative à la protection des données à caractère personnel est un facteur de transparence et de confiance à l’égard de ses clients.

Définitions 

Données à caractère personnel :

toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable » une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Destinataire :

la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers.

Responsable du traitement :

la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Traitement :

toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Finalité du traitement et bases juridiques

CONRAD CONSEIL recueille et traite les données à caractère personnel pour une finalité déterminée et légitime, correspondant aux objectifs poursuivis (exemple : gestion de la clientèle, gestion des contrats, suivi clientèle, traitement des réclamations, exécution d’obligations légales, gestion du personnel : recrutement, formation, mise à disposition d’outils informatiques…).

CONRAD CONSEIL ne recueille et traite que les seules informations adéquates, pertinentes et nécessaires à la finalité du traitement. Ces informations peuvent faire l’objet d’un traitement de données à caractère personnel.

Exemple de données non nécessaires   il n’est pas utile d’enregistrer des informations sur l’entourage familial d’une personne lorsque, au regard de la nature de la prestation, seuls sont nécessaires des éléments relatifs à la composition de son patrimoine.

CONRAD CONSEIL se conforme au principe de minimisation des données, seules les données à caractère personnel peuvent faire l’objet d’un traitement si les finalités du traitement ne peuvent être atteintes par un autre moyen.

Dans ce cadre CONRAD CONSEIL s’engage à

• Vérifier la nécessité de traiter des données à caractère personnel pour atteindre les finalités recherchées par le traitement
• Vérifier si le traitement de données à caractère personnel s’avère nécessaire ;
• Identifier les catégories de données traitées ;
• Identifier le volume ou la quantité de données traitées ;
• Vérifier si les données collectées sont plus ou moins nécessaires au traitement, c’est-à-dire compatibles avec les principes liés à la RGPD (pertinence, etc.)

Durée de conservation limitée des données

CONRAD CONSEIL traite et enregistre vos données à caractère personnel tant que cela est nécessaire pour l'accomplissement de nos obligations contractuelles et légales. Si les données ne sont plus nécessaires pour l'accomplissement des obligations contractuelles ou légales, elles sont supprimées

Vos droits de personne concernée

Toute personne concernée par le traitement de données à caractère personnel dispose du droit :

D’information (§ 34 BDSG, art. 15 RGPD),

De correction (art. 16 RGPD),

De suppression (§ 35 BDSG, art. 17 RGPD),

De limitation du traitement (art. 18 RGPD),

De transférabilité des données (art. 20 RGPD) ainsi que

De révocation (art. 21 RGPD).

Des restrictions (art. 23 RGPD) s'appliquent toutefois au droit d'information et de suppression. Il existe en outre un droit de recours auprès d'une autorité de surveillance de la protection des données compétente (art. 77 RGPD).

Principes de sécurité et de confidentialité

Les données contenues dans les fichiers ne peuvent être consultées que par les personnes habilitées à y accéder en raison de leurs fonctions (ex : personnel en charge des activités d’intermédiation). CONRAD CONSEIL est astreint à une obligation de sécurité. Il doit ainsi prendre toutes les mesures nécessaires pour en garantir la confidentialité et éviter toute divulgation d’information.

Respect du droit des personnes

En application de l’article 13 du RGPD, CONRAD CONSEIL communique les informations suivantes lorsque les données sont collectées auprès de la personne concernée : 

• Les coordonnées du responsable du traitement et, le cas échéant, celles du représentant du responsable du traitement
• Le cas échéant, les coordonnées du délégué à la protection des données ;
• Les finalités du traitement auquel sont destinées les données à caractère personnel ;
• La base juridique du traitement ;
• Les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers lorsque ces intérêts légitimes sont la condition de licéité du traitement ;
• Le fait que le responsable de traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ;
• Le cas échéant, l’existence ou l’absence d’une décision d’adéquation rendue par la CNIL, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
• La durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
• L’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
• Lorsque le traitement est fondé sur le consentement de la personne concernée, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
• Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
• Des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
• L’existence d’une prise de décision automatisée, y compris un profilage et, au moins en pareil cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
• Toute personne a le droit de s’opposer, pour un motif légitime, à ce que des données la concernant soient traitées, sauf si le traitement concerné présente un caractère obligatoire.
• Par ailleurs, toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel notamment pour :
• Savoir si des données qui la concernent y figurent ou non ;
• Obtenir la communication des données qui la concernent sous une forme compréhensible, d’une part, et de toutes les informations disponibles quant à leurs origines, d’autre part ;
• Obtenir des informations sur la finalité du traitement, les données collectées et les destinataires.

Portabilité des données

CONRAD CONSEIL se conforme au droit à la portabilité des données permettant aux personnes concernées d’exiger des responsables de traitement la transmission de leurs données à caractère personnel à un autre responsable de traitement, sans que le responsable de traitement ne puisse s’y opposer.

Dans ce cadre, les personnes concernées ont (i) le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable de traitement, dans un format structuré, couramment utilisé et lisible, et de les transmettre à un autre responsable de traitement et (ii) le droit d’obtenir que les données soient transmises directement d’un responsable de traitement à un autre lorsque cela est techniquement possible.

CONRAD CONSEIL qui a initialement traité les données à caractère personnel, est tenu de communiquer les données à caractère personnel relatives à son client ou à un confrère, lorsque le traitement initial repose sur l’un des fondements suivants :

• le client a exprimé son consentement au traitement de ses données à caractère personnel ou le traitement est nécessaire à l’exécution d’un contrat auquel le client est parti ou à l’exécution de mesures pré contractuelles prises à la demande du client ;
• et le traitement est effectué à l’aide de procédés automatisés.

CONRAD CONSEIL devra donc faire droit à la demande de son client si celui-ci demande la transmission de ses données à caractère personnel à un confrère et les transmettre dans un format structuré, couramment utilisé et lisible par machine.

Selon l’article 29 de la RGPD, le droit à la portabilité des données s’applique uniquement si le traitement des données est effectué à l’aide de procédés automatisés et, par conséquent, ne couvre pas la plupart des dossiers papier.

Tenue d’un registre des activités de traitement

CONRAD CONSEIL doit tenir un registre des catégories de traitement de données à caractère personnel mises en œuvre sous sa responsabilité, s’il compote plus de 250 salariés ou si le traitement qu’il effectue est susceptible de comporter un risque au regard des droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur des données sensibles, ou sur des données se rapportant à des condamnations et des infractions pénales.

Le registre doit, conformément à l’article 30 du RGPD, comporter les informations suivantes :

• Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
• Les finalités du traitement ;
• Une description des catégories de données traitées, ainsi que les catégories de personnes concernées par le traitement ;
• Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
• Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou vers une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale, et les documents attestant de l’existence de garanties appropriées ;
• Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
• Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

Capacité à suivre les destinataires de données à caractère personnel

CONRAD CONSEIL doit être en mesure de suivre et d’identifier les destinataires des données à caractère personnel qu’il traite.

Traitement des données personnelles et gestion des clients et prospects de CONRAD CONSEIL

Principes généraux

Dans le cadre de ses activités, les données à caractère personnel correspondent à toutes les données à caractère personnel nécessaires à la constitution du dossier du client, dans la prestation de conseil et/ou d’intermédiation, puis dans le suivi et la gestion du dossier.

Ces données peuvent concerner des données relatives tant à la vie personnelle qu’à la vie professionnelle, dès lors que CONRAD CONSEIL est amené à conseiller le client au regard des éléments de connaissance qu’il aura recueillie : situation patrimoniale, financière, professionnelle, connaissances et expériences, tolérance au risque, capacité à supporter les pertes, objectifs, besoins, etc.

CONRAD CONSEIL ne traite pas des informations sensibles et/ ou confidentielles pouvant donner lieu à un traitement discriminatoire. 

En effet, l’article 9, al.1, du RGPD prévoit l’interdiction de principe du traitement de données discriminatoire et, conformément à l’article 5 du RGPD, CONRAD CONSEIL ne doit collecter que des données adéquates, pertinentes et strictement nécessaires à la finalité du traitement.

Dispositif de traitement des données

Registre de traitement des données

CONRAD CONSEIL doit tenir un registre des activités de traitement dans la mesure où il traite de manière non occasionnelle des données à caractère personnel.

Le registre des activités de traitement doit contenir une fiche dédiée à la gestion des ressources humaines qui doit comporter les éléments suivants :

• Identité et coordonnées du responsable de traitement ;
• Finalités ;
• Catégories de personnes concernées ;
• Catégories de données à caractère personnel ;
• Catégories de destinataires ;
• Transferts vers un pays tiers ou une organisation internationale ;
• Délais prévus pour l’effacement ;
• Description générale des mesures de sécurité techniques et organisationnelles.

Information des clients

Les clients et prospects de CONRAD CONSEIL doivent être informés :

• De l’identité et des coordonnées du responsable de traitement (le cabinet) ;
• De l’objectif poursuivi (gestion et suivi des dossiers de ses clients) ;
• De la base juridique du traitement (exécution contractuelle ou précontractuelle à la demande du client) ;
• De l’intérêt légitime s’il s’agit de la base légale du traitement ;
• Des destinataires des données (des sous-traitants, des huissiers, etc.) ;
• Des flux transfrontières ;
• De la durée de conservation ;
• Des droits dont ils disposent ;
• Des conditions d’exercice de ces droits ;
• Du droit de retirer son consentement s’il s’agit de la base légale du traitement ;
• Du droit d’introduire une réclamation auprès d’une autorité de contrôle ;
• Des informations sur le caractère réglementaire ou contractuel du traitement lorsqu’il s’agit de la base légale du traitement.

Ces informations peuvent figurer au sein des documents contractuels. Ces informations peuvent également faire l’objet d’une communication par courriel ou par document distinct, notamment pour régulariser la situation auprès des clients qui n’ont pas été correctement informés.

Conservation des données

Les données à caractère personnel ne peuvent être conservées que le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte.

Les données relatives aux clients peuvent être conservées le temps de la relation contractuelle CONRAD CONSEIL et son client. Elles ne doivent pas être conservées au-delà d’un an à l’issue de la relation contractuelle au sein des dossiers courants.

Au-delà, les données devraient être archivées pour la période où la responsabilité de CONRAD CONSEIL pourrait être mise en cause et afin de respecter les dispositions relatives à la lutte anti-blanchiment et le financement du terrorisme, avant suppression définitive des données :

• Dossier client ayant souscrit à un investissement : durée de l’investissement/prêt + 5 ans,
• Dossier client conseillé mais n’ayant pas souscrit à un investissement : 5 ans à compter de la fin de la relation contractuelle.

En particulier et dans le cadre de la lutte anti-blanchiment, CONRAD CONSEIL conserve les documents et informations, quel qu’en soit le support, relatifs à l’identité des clients habituels ou occasionnels pendant cinq ans à compter de la cessation des relations avec eux (art. L. 561-12 CMF).

Les données à caractère personnel relatives à un prospect non client peuvent être conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (par exemple, une demande de documentation ou un clic sur un lien hypertexte contenu dans un courriel ; en revanche, l’ouverture d’un courriel ne peut être considérée comme un contact émanant du prospect).

Le choix du mode d’archivage est laissé à l’appréciation du responsable du fichier. Des données peuvent ainsi être archivées :

• Dans une base d’archive spécifique, distincte de la base active, avec des accès restreints aux seules personnes ayant un intérêt à en connaitre en raison de leurs fonctions (par exemple, le service du contentieux) ;
• Ou dans la base active, à condition de procéder à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations) pour les rendre inaccessibles aux personnes n’ayant plus d’intérêt à les traiter.

Lorsque cet archivage est réalisé sous forme électronique, il convient de respecter la recommandation n° 2005-213 de la CNIL du 11 octobre 2005 relative à l’archivage électronique de données à caractère personnel dans le secteur privé.

Sécurité des données

L’accès aux locaux dans lesquels sont stockés les dossiers est suffisamment sécurisé (bureaux fermés à clefs, accès par badge, etc.), ainsi que la sécurité du système d’information sur lequel sont stockés les dossiers sous format numérique (pare- feu, mots de passe, habilitations, etc.).

Prise de décision automatisée et utilisation personnelle du site

Pour l'établissement et l'exécution du contrat ou de votre demande, nous n'utilisons pas de prise de décision entièrement automatisée selon l'art. 22 RGPD. Si nous avons recours à ces procédés dans des cas particuliers, vous en êtes informé séparément. Nous traitons en partie vos données de façon automatisée dans le but d'évaluer certains aspects d’utilisation personnels du site. 

Collecte de données à caractère personnel lors de la visite de notre site Internet

Lors d'une simple utilisation du site Internet à titre informatif, que vous ne nous transmettez pas d'informations d'une autre manière, nous ne collectons que les données à caractère personnel que votre navigateur transmet à notre serveur. Lorsque vous consultez notre site Internet, nous collectons donc les données suivantes qui nous sont nécessaires du point de vue technique afin d'afficher notre site Internet et d'en assurer la stabilité et la sécurité (la base juridique est l'art. 6 alinéa 1 phrase 1 lettre f RGPD):

• Adresse IP
• Date et heure de la demande
• Différence de fuseau horaire par rapport à l'heure de Greenwich (GMT)
• Contenu de la requête (page concrète)
• État d'accès/code d'état HTTP
• Volume de données respectivement transféré
• Site Internet dont provient la requête
• Navigateur
• Système d'exploitation et son interface
• Langue et version du logiciel de navigation
• Pages consultés 

En plus des données susmentionnées, des cookies sont enregistrés sur votre ordinateur lorsque vous utilisez notre site Internet. Les cookies sont des petits fichiers texte qui sont stockés sur votre disque dur, associés au navigateur que vous utilisez, et moyennant lesquels certaines informations sont envoyées à l'autorité qui définit le cookie. Ce dispositif sert notamment à l'analyse de performance du site Internet par les cookies, qui contribuent à améliorer notre site Internet en nous fournissant des statistiques complètes sur le nombre de visiteurs d'une page, les domaines d'un site qui sont le plus consultés et la ville ou l'emplacement des utilisateurs. Ceux-ci peuvent être installés par des fournisseurs d'analyses externes que nous engageons. Ces cookies ne vous identifient pas personnellement. Les cookies ne peuvent pas lancer des programmes ou transmettre des virus à votre ordinateur. Ils servent simplement à rendre l'offre Internet plus conviviale et efficace dans son ensemble. CONRAD CONSEIL utilise les types de cookies suivants : cookies temporaires et cookies permanents.

Les cookies temporaires sont automatiquement supprimés lorsque vous fermez le navigateur. Ceux-ci enregistrent un ID de session avec lequel différentes demandes de votre navigateur peuvent être affectées à la session commune. Votre ordinateur peut ainsi être reconnu lorsque vous consultez à nouveau notre site Internet. Les cookies de session sont supprimés lorsque vous vous déconnectez du site ou que vous fermez le navigateur.

Les cookies permanents sont automatiquement supprimés après une durée prédéterminée qui peut varier selon le cookie. Vous pouvez à tout moment supprimer les cookies dans les paramètres de sécurité de votre navigateur.

Vous pouvez configurer les réglages de votre navigateur selon vos souhaits et p. ex. refuser d'accepter les cookies tiers ou tous les cookies. La plupart des navigateurs vous offrent différentes possibilités pour protéger votre sphère privée. Vous pouvez p. ex. accepter les cookies propriétaires, mais faire bloquer les cookies tiers ou vous faire informer chaque fois qu'un site Internet veut installer un cookie. Veuillez noter qu'une telle désactivation de cookies a pour effet de rendre impossible l'installation de nouveaux cookies. Vous trouvez les instructions de gestion des cookies dans la fonction Aide de votre navigateur ou dans le mode d'emploi de votre smartphone ou du produit fixe ou mobile avec accès Internet utilisé.

Informations sur la protection des données concernant les plug-ins sociaux

Notre site Internet n'utilise actuellement pas de plug-ins sociaux de réseaux sociaux (Twitter, Facebook, etc.). Si cela devait changer à l'avenir, les plug-ins sociaux ne commenceraient le transfert de données qu'une fois que vous avez activé vous-même les boutons.

Informations sur votre droit de révocation selon l'art. 21 du Règlement Général sur la Protection des Données (RGPD)

Vous pouvez à tout moment révoquer votre consentement au traitement de vos données à caractère personnel donné à CONRAD CONSEIL. Veuillez noter que la révocation n'a un effet que pour l'avenir. Les traitements effectués avant la révocation n'en sont pas affectés.

Droit de révocation au cas par cas

Vous avez le droit, pour des raisons tenant à votre situation particulière, de vous opposer à tout moment au traitement de données à caractère personnel vous concernant qui est effectué selon l'art. 6 alinéa 1 e  de la RGPD (traitement des données dans l'intérêt public) ; cela vaut aussi pour un profilage fondé sur cette disposition selon les termes de l'art. 4 n° 4 RGPD. Si vous vous y opposez, nous ne traitons plus vos données à caractère personnel, sauf si nous pouvons justifier de raisons impérieuses et légitimes à ce traitement qui sont prépondérantes par rapport à vos intérêts, droits et libertés ou si le traitement sert à la constatation, à l'exercice ou à la défense de droits en justice.

Si nous basons le traitement de vos données à caractère personnel sur la mise en balance d'intérêts, vous pouvez vous opposer à ce traitement. Si vous avez recours à une telle révocation, nous vous prions d'expliquer les raisons pour lesquelles nous ne devons plus traiter vos données à caractère personnel comme nous le faisions auparavant. En cas de révocation justifiée, nous examinons la situation et nous mettons fin au traitement de vos données, nous l'adaptons ou nous vous exposons les raisons impérieuses et légitimes pour lesquelles nous devons continuer à traiter vos données.

Droit de révocation d'un traitement de données à des fins de publipostage

Dans des cas particuliers, nous traitons vos données à caractère personnel pour faire du publipostage. Vous avez le droit de vous opposer à tout moment au traitement de données à caractère personnel vous concernant à des fins d'une telle publicité ; cela vaut aussi pour le profilage, dans la mesure où il est lié à un tel publipostage. Si vous vous opposez au traitement à des fins de publipostage, nous ne traiterons plus vos données à caractère personnel pour ces finalités. La révocation n'est soumise à aucune condition de forme et doit être adressée si possible à : contact@conrad-conseil.fr

Procédure en cas de violation des données

La violation de données à caractère personnel est une violation de la sécurité entraînante, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Sauf dans les cas où la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, CONRAD CONSEIL la notifie à la CNIL dans les meilleurs délais et si possible, au plus tard dans les 72 heures après en avoir pris connaissance.

Un formulaire de notification de violation de données à caractère personnel est à la disposition du responsable de traitement sur le site de la CNIL :

https://www.cnil.fr/sites/default/files/typo/document/CNIL_Formulaire_  Notification_de_Violations.pdf

Si CONRAD CONSEIL a un sous-traitant, celui-ci devra également notifier au responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

CONRAD CONSEIL informera directement la personne concernée de la violation, sauf dans les cas où la violation n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, d’informer directement la personne concernée de la violation.