Ce document émis par CREDIT-PACK revêt la nature d’une procédure interne.
Cette procédure s’applique à la protection des données personnelles des Clients et des candidats à l’emprunt contactés par l’entreprise d’intermédiation bancaire (IOBSP), mandataire de CREDIT-PACK.
Les Dirigeants effectifs des entreprises d’intermédiation bancaire mandataires de CREDIT-PACK, lui-même IOBSP-Mandataire Non Exclusif d’établissements de crédit, sont invités à prendre en considération les rappels d’informations légales ainsi que leurs modalités d’applications détaillées par le présent document, dans les instructions, dans les procédures ainsi que dans le dispositif de contrôle ou d’audit interne de leurs entreprises.
Rappels :
- les procédures internes d’un professionnel bancaire sont conformes aux dispositions propres aux activités bancaires et financières, qu’elles soient de nature législative ou réglementaire, nationales ou européennes directement applicables, ou qu’il s’agisse de normes professionnelles et déontologiques, ou d’instructions des dirigeants effectifs prises notamment en application des stratégies et politiques régissant la prise, la gestion, le suivi et la réduction des risques ainsi que des orientations et de la politique de surveillance de l’organe de surveillance ;
- le risque de non-conformité se définit comme le risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative ou d’atteinte à la réputation, qui naît du non-respect de dispositions propres aux activités bancaires et financières, qu’elles soient de nature législative ou réglementaire, nationales ou européennes directement applicables, ou qu’il s’agisse de normes professionnelles et déontologiques, ou d’instructions des dirigeants effectifs prises notamment en application des orientations de l’organe de surveillance.
Rappels légaux et modalités d’application,
à l’usage des M-IOB de CREDIT-PACK.
Constituent des données personnelles « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».
Le traitement des demandes de regroupement de crédits nécessite obligatoirement la communication de données personnelles par les demandeurs, candidats à l’emprunt ou prospects. À défaut, ces demandes ne peuvent faire l’objet d’aucune réponse.
La collecte de données personnelles répond à des obligations juridiques spécifiques (Loi 78-17 du 6 janvier 1978, modifiée, notamment par la Loi 2018-439 du 20 juin 2018 intégrant le Règlement Général de Protection des Données personnelles 2016/679 UE du 27 avril 2016 et par l’Ordonnance 2018-1125 du 12 décembre 2018). Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles et publiques.
En tant qu’entreprises indépendantes, les M-IOB de CREDIT-PACK reçoivent directement l’obligation d’appliquer ces dispositions au moyen de mesures d’organisation et de contrôle interne garantissant leur pleine conformité avec les dispositions en vigueur. Il leur appartient de conserver la preuve de la bonne délivrance de leurs obligations.
Les données personnelles collectées par les M-IOB de CREDIT-PACK sont enregistrées dans des fichiers informatisés.
Responsable du traitement : Monsieur Thierry Barkat.
Délégué à la protection des données personnelles : CREDIT-PACK n’a pas désigné de Délégué à la protection des données personnelles, ainsi que la Loi l’y autorise.
1. Nature et catégories des données personnelles
• Données Personnelles liées à l’enregistrement de la simulation
Ces Données Personnelles sont relatives à l’identité et à l’identification de la personne physique, ainsi qu’au résultat d’une simulation de financement.
• Données Personnelles liées à la demande de financement, à l’octroi et au refus
Ces Données Personnelles sont relatives à l’identité et à l’identification de la personne physique, au(x) résultat(s) de simulation(s) de financement, à sa vie personnelle, à sa situation économique et financière (notamment, aux informations permettant de déterminer si le candidat à l’emprunt respectera vraisemblablement les obligations du contrat de crédit, par l’analyse détaillée de sa solvabilité), aux personnes qui lui sont économiquement liées, à ses données de connexion ainsi que, le cas échéant, au mêmes informations portant sur la personne se portant caution.
2. Traitements, finalités, transferts de données personnelles
Les données personnelles sont traitées de manière licite, loyale et transparente. Elles sont collectées et conservées pour des finalités déterminées, explicites et légitimes. Elles sont adéquates, pertinentes et limitées à ce qui est nécessaire en fonction de ces finalités ; elles
sont actualisées.
Les données personnelles sont protégées contre les traitements non autorisés ou illicites, contre la perte ou la destruction accidentelle, à l’aide de mesures organisationnelles d’intégrité et de confidentialité.
• Simulation de financement :
Les données sont recueillies dans le cadre de mesures précontractuelles, afin d’en permettre l’enregistrement et le cas échéant leur reprise pour obtenir des informations et/ou pour souscrire à l’offre.
• Traitement de la demande :
Les données sont recueillies dans le cadre de mesures précontractuelles, afin d’assurer l’étude de la demande de financement par la personne physique.
Dans l’intérêt légitime du Responsable de Traitement, les données personnelles sont analysées par un service centralisé, sans constitution d’un fichier spécifique, pour détecter toute incohérence.
Conformément aux dispositions légales, rappelées contractuellement, ces données sont communiquées par l’Intermédiaire bancaire à ses partenaires, établissements de crédit, seuls autorisés à octroyer (ou non) des crédits. Ces communications de données s’effectuent dans le cadre du secret professionnel bancaire.
Les établissements de crédit partenaires, dans le cadre de leurs propres obligations légales en matière d’octroi de crédit, sont amenées à réaliser des traitements et à consulter des fichiers publics, notamment le FICP (Fichier national des Incidents de remboursement des Crédits aux Particuliers). Ces traitements ou ces consultations de fichiers s’effectuent au moment de l’octroi, ainsi que, le cas échéant, de toute augmentation des fonds prêtés ou mis à disposition, lors de la reconduction annuelle du contrat, ainsi que lors de la vérification triennale de la solvabilité.
3. Conservation et archivage des données personnelles
Lorsqu’elles sont conservées sous une forme permettant l’identification des personnes, leurs durées de conservation n’excèdent pas celles nécessaires, en regard des finalités de leurs collectes et de leurs traitements.
Les données personnelles collectées et traitées sont assorties d’une date d’expiration. Avec la mise à disposition effective du droit à l’effacement, avec l’obligation de mise à jour des données, la condition d’expiration des données personnelles garantit l’utilisation de données actualisées et adéquates, ainsi que leur suppression, lorsque les conditions de celle-ci sont réunies.
Trois étapes de conservation des données personnelles sont considérées, avant leur suppression :
- La conservation (ou « archivage courant ») : phase d’usage courant des données personnelles, qu’il s’agisse d’un usage opérationnel ou commercial, notamment en vue
de la délivrance des prestations promises ; - L’archivage intermédiaire : phase d’usage administratif limité des données personnelles, dont l’accès et l’utilisation est réservée à un nombre très limités de personnes. Les données peuvent faire l’objet d’un accès ponctuel, très limité, notamment en vue de besoins liés à des litiges ou à des contentieux ;
- L’archivage définitif : phase de stockage des données personnelles, sans utilisation opérationnelle, commerciale ou administrative courante. Ces données sont conservées à titre historique, scientifique ou statistique et ne font l’objet d’aucune destruction, sauf exception ;
- La suppression des données personnelles : à l’issue du terme fixé pour l’archivage intermédiaire (voire définitif) des données personnelles, celles-ci sont définitivement détruites.
Par ailleurs, les IOBSP sont tenus de garder toutes les informations communiquées à leurs Clients au titre des « règles de bonne conduite » (articles R. 519-19 à R. 519-31 du Code monétaire et financier), y compris les données personnelles « sur support durable à la disposition du client […] auquel celui-ci a facilement accès » (article R. 519-23 du Code monétaire et financier). Cette obligation n’est assortie d’aucune limite temporelle.
De plus, lorsque le contrat est souscrit sous forme (voie) électronique « le contractant professionnel assure la conservation de l’écrit qui le constate pendant un délai » de « dix ans à compter de la conclusion du contrat » « et en garantit à tout moment l’accès à son cocontractant si celui-ci en fait la demande » (articles L. 213-1 et D. 313-2 du Code de la consommation).
CREDIT-PACK ne commercialise ni ne communique de données personnelles à des tiers, hors les établissements de crédit ou les entreprises d’assurance, conformément à législation en vigueur.
Conservation (Archivage courant) :
- Similation : Un an à compter de la date de simulation
- Abandon ou Refus de crédit : Un an à compter de la date de l’abandon de crédit ou du refus de crédit
- Client (accord de crédit) : Durée du crédit
Archives intermédiaires
- Similation : –
- Abandon ou Refus de crédit : –
- Client (accord de crédit) : Date du terme initial du contrat de crédit + 5 ans
Archives définitives
- Similation : –
- Abandon ou Refus de crédit : –
- Client (accord de crédit) : –
Anonymisation
- Similation : Au bout d’un an à compter de la date de simulation
- Abandon ou Refus de crédit : Au bout d’un an à compter de la date de l’abandon de crédit ou du refus de crédit
- Client (accord de crédit) : Après la durée du financement + 5 ans
Les données personnelles peuvent être conservées sous une forme anonyme, sans possibilité d’identification des personnes (« anonymisées ») afin d’être utilisées en tant qu’informations de gestion, d’études et de statistiques.
4. Droits des personnes quant à leurs données personnelles
Toute personne physique a le droit de s’opposer pour des motifs légitimes à ce que des données à caractère personnel la concernant fasse l’objet d’un traitement.
Sous réserve du consentement explicite de la part d’une personne physique, le professionnel peut communiquer des offres commerciales, par voie postale ou téléphonique. Le professionnel pourra proposer, au moyen de supports électroniques, des offres commerciales portant sur des services analogues à ceux fournis au titre du contrat de service.
Chaque Client dispose également du droit de s’inscrire au dispositif d’opposition au démarchage téléphonique en vigueur au moment de la souscription et de l’exécution du contrat. Chaque professionnel s’assure de l’absence du Client prospecté de ce dispositif, en le consultant, avant toute action de démarchage.
Principaux droits que peut exercer chaque personne relativement à ses données personnelles
- Droit d’opposition : toute personne peut demander que ses données personnelles ne soient plus utilisées par un traitement informatique ;
- Droit d’accès et de rectification : toute personne peut accéder à ses données personnelles et demander la rectification de certaines informations. Les données collectées dans le cadre d’un traitement relatif à la Lutte Contre le Blanchiment et contre le Financement du Terrorisme font l’objet d’un droit d’accès indirect, par contact avec la CNIL : lien vers le site de la CNIL ;
- Droit à l’effacement (ou à l’oubli) : lorsque la durée de conservation des données personnelles est écoulée, toute personne peut demander leur effacement, sous réserve des dispositions de l’article 40 II de la Loi n°78-17 du 6 janvier 1978, modifiée ;
- Droit à la limitation des traitements : si les données ne sont plus nécessaires, toute personne peut demander qu’elles soient moins utilisées ;
- Droit à la portabilité : toute personne peut demander qu’une copie de ses données personnelles lui soit remise ou soit remise à la personne de son choix, clairement désignée par elle ;
- Droit de retirer le consentement d’utilisation : toute personne peut retirer son consentement à l’utilisation des données nécessitant un consentement explicite initial, telles que les données utilisées à des fins commerciales ;
- Droit de fixer le sort des données après la mort : toute personne peut confier des directives à une personne choisie par ses soins, en vue de fixer la conservation, la communication ou l’effacement de ses données personnelles après sa mort.
Modalités d’exercice des droits d’accès, de rectification ou de suppression des données
personnelles :
Toute personne physique directement concernée peut envoyer sa demande :
- soit par courrier électronique à service-clients at credit-pack.fr,
- soit par courrier postal à : CREDIT-PACK Données personnelles – 64 Avenue d’Haïfa – Hermès Park – 13 008 MARSEILLE.
Une copie de sa pièce d’identité en cours de validité lui sera demandée en cas de doute sur son identité.
Si la réponse à sa demande ne satisfait pas le Client, ce dernier peut contacter la CNIL.
Pour toute question relative à un fichier national, les Clients concernés s’adressent directement à la Banque de France, en fonction de leur lieu de domicile.
CREDIT-PACK ne pratique pas le transfert de données personnelles à des tiers à l’étranger, notamment hors de l’Union européenne.