Politique de protection des données personnelles
UBAF
Préambule
Depuis le 25 mai 2018, le Règlement (UE) 2016/679 (Règlement Général sur la Protection des Données, "RGPD") a remplacé la Directive 95/46/EC ("la Directive"). Le RGPD confirme certains des principes fondateurs de la Directive et introduit également de nouvelles obligations venant réviser en profondeur le cadre existant en matière de protection des données à caractère personnel au sein, mais également en dehors, de l’UE.
Cette politique de protection des données à caractère personnel (la "Politique") a pour objet d’expliquer comment l’UBAF ("nous") se conforme à cette réglementation dans le cadre de la gestion (i) de nos activités commerciales avec nos clients (ou prospects) corporate et institutionnels ("clientèle"), (ii) de nos relations avec nos prestataires de service et partenaires ("partenaires") et (iii) du processus de recrutement à un poste au sein de l'UBAF ("candidats").
En particulier, cette Politique explicite la nature des données collectées, les catégories de personnes concernées, les finalités et fondements juridiques des traitements opérés, les destinataires de données, les mécanismes d’encadrement des transferts de données hors de l’espace économique européen (EEA), les durées de conservation ainsi que les modalités d’exercice de droits des personnes concernées.
1) UBAF, responsable de traitement
Agissant dans le cadre d’une activité réglementée, nous vous proposons et fournissons des produits et des services nécessitant la collecte et l’utilisation, en tant que responsable de traitements, de données personnelles de personnes physiques en lien avec vous (non exhaustivement : employés, actionnaires, mandataires, représentants légaux, bénéficiaires effectifs, membres de la famille, représentants tiers, …) (les "Personnes Concernées").
Il appartient à notre clientèle et à nos partenaires d'informer ces personnes de la manière dont nous traitons leurs données à caractère personnel.
Avant de nous transmettre les données personnelles d’une Personne Concernée, notre clientèle et nos partenaires s'engagent à l’avoir préalablement informée du contenu de cette Politique et vous nous assurez que nous pouvons colleter, utiliser et transmettre ces données selon les conditions établies dans la Politique.
2) Données personnelles
Pour pouvoir vous proposer nos services commerciaux ou conclure un contrat de prestation de service, nous sommes amenés à collecter, utiliser voire transmettre des données personnelles de plusieurs natures :
- Etat civil et données d'identification (nom, date et lieu de naissance, nationalité, adresse/pays de résidence, numéro de passeport et/ou de carte d’identité, photo, …)
- Vie professionnelle (profession/fonction, employeur, données de contact, certifications/agréments, etc.)
- Informations d’ordre judiciaire, économique et financier (revenu, patrimoine, situation fiscale, …)
Seules les données utiles aux finalités poursuivies sont collectées.
Pour les candidats, les données concernent toutes les informations qu'ils nous communiquent (c.v., lettre de motivation, etc.) et, le cas échéant, les données de criblage par rapport aux listes de Sanctions Internationales.
3) Catégories de personnes concernées
Dans le cadre de nos activités, des produits et services que nous proposons à notre clientèle, nous pouvons être amenés à collecter, utiliser et transmettre les données personnelles des catégories de personnes suivantes en lien avec vous (non exhaustivement) : employés, actionnaires, mandataires, représentants légaux, bénéficiaires effectifs, membres de la famille, représentants tiers, etc.
4) Finalités des traitements
Les traitements que nous sommes amenés à réaliser nécessitent la collecte et l’utilisation de données personnelles afin d’assurer :
- La gestion de la relation d’affaires ou de la relation de partenariat (connaissance clients ou du prestataire, désignation des correspondants, information sur nos produits, …),
- La gestion des risques, la lutte contre le blanchiment des capitaux et le financement du terrorisme, la détermination du statut fiscal de notre clientèle, la prévention de la fraude,
- La prospection commerciale, la réalisation d’animations commerciales et de campagnes événementielles ciblées,
- L’exécution de services ou de contrats en négoce international (trade finance),
- La gestion des opérations (recensement des contacts chez les contreparties pour les échanges relatifs aux paiements et aux confirmations, exemplaire des signatures des signataires autorisés…),
- La gestion des accès aux locaux et les éventuels dispositifs de vidéosurveillance des locaux,
- Pour les candidats, la gestion des candidatures, y compris la mise en oeuvre / le suivi des entretiens et le processus de sélection, notamment dans le respect des obligations en matière de lutte contre la délinquance financière (criblage de certains candidats par rapport aux listes de Sanctions Internationales), la gestion des recommandations et références, de vivier de candidats et le pré-recrutement et l'établissement des promesses d'embauche et des contrats.
5) Fondements juridiques des traitements
Conformément à la réglementation applicable, nous ne pouvons utiliser vos données personnelles qu’en présence d’une au moins des justifications suivantes :
- pour l’exécution d’un contrat que nous avons l’intention de conclure ou avons conclu avec vous, ou
- si une obligation légale nous contraint à utiliser vos données personnelles pour une raison particulière, comme par exemple dans le cadre de la gestion de la connaissance du client, dans le cadre de la prévention du blanchiment et du financement du terrorisme, à des fins de respect des embargos et des mesures de gel des avoirs, ou
- lorsque cette utilisation correspond à nos intérêts légitimes, par exemple les traitements de données personnelles à de fins de prévention contre la fraude, ou
- lorsque vous y consentez, par exemple le consentement de la personne concernée pour l’acceptation d’une newsletter à des fins de communication.
6) Destinataires des données
Les données à caractère personnel transmises par notre clientèle et nos partenaires sont susceptibles d'être communiquées à :
- nos entités dans et en dehors de l’EEA ;
- nos sous-traitants pour les seuls besoins de la sous-traitance opérationnelle ou technique ;
- nos mandataires indépendants, intermédiaires ou courtiers ;
- les autorités de contrôle ou de tutelle françaises et étrangères, autorités administratives et judiciaires françaises et étrangères, organisme public sur demande et dans la limite de ce qui est permis par la règlementation ;
- certaines professions règlementées telles que commissaires aux comptes, avocats et notaires.
Lorsque nous faisons appel à des sous-traitants, nous nous assurons qu’ils présentent les garanties suffisantes pour que le traitement soit conforme aux principes du RGPD et pour que la confidentialité et la sécurité des données personnelles soient assurées.
En ce qui concerne les candidats, pour les besoins des traitements décrits ci-dessus, leurs données personnelles pourront dans certains cas être communiquées aux destinataires suivants :
- les entités du Groupe UBAF,
- les sous-traitants informatiques, les éditeurs de tests de recrutement ou les sous-traitants en charge de la gestion des accès aux locaux et des éventuels dispositifs de vidéosurveillance,
- les services de l'Etat dans le cadre du respect des obligations en matière de lutte contre la délinquance financière.
7) Comment est assurée la sécurité des données personnelles ?
Assurer la sécurité des données que vous nous confiez est l’une de nos plus importantes responsabilités. Pour assurer la sécurité et la confidentialité des données personnelles que nous collectons et utilisons, nous avons a mis en place de longue date des mesures techniques et organisationnelles, notamment :
- Le contrôle des accès et des habilitations sur les équipements informatiques permettant les traitements des données personnelles ;
- Des mesures de sécurisation des infrastructures techniques (poste de travail, réseau, serveur) et des données (sauvegarde, plan de continuité d'activité) ;
- La prise en compte de la sécurité des données et des traitements dès la conception d’un produit ou d’une solution ;
- La limitation des personnes autorisées à traiter des données personnelles en fonction des finalités et des moyens prévus pour chaque traitement ;
- Des obligations de confidentialité strictes imposées à nos sous-traitants ;
- La sensibilisation de tous nos collaborateurs mondialement et la formation de nos collaborateurs les plus concernés par la collecte ou la gestion des données personnelles
- La mise en place de procédures afin de réagir promptement dans le cas où les données personnelles feraient l'objet d'un incident de sécurité.
8) Transfert de données en dehors de l’Espace Economique Européen (EEA)
Afin d’exécuter la réalisation de nos services ou de satisfaire à nos obligations légales et réglementaires, nous pouvons être amenés à transférer les données personnelles des Personnes Concernées vers un pays en dehors de l’EEA. Les mesures appropriées sont mises en oeuvre pour garantir un niveau de protection suffisant tel que requis dans le RGPD. Ces garanties peuvent être des Clauses Contractuelles Types de protection des données personnelles adoptées par la Commission européenne (c'est-à-dire un contrat de transfert entre le responsable de traitement et un destinataire précisant les obligations du responsable de traitement et du destinataire dans le cas d'un transfert de données personnelles hors de l’Union européenne).
9) Durée pendant laquelle nous conservons les données
En ce qui concerne notre clientèle et nos partenaires, nous conservons les données personnelles des Personnes Concernées pour la durée nécessaire à la réalisation de la finalité poursuivie.
Nous ne conservons ces données que pendant la durée pour laquelle nous en avons besoin. Cette durée dépend des raisons pour lesquelles nous les utilisons, comme pour vous fournir nos services, pour répondre à nos intérêts légitimes, pour que nous puissions nous conformer à nos obligations légales et réglementaires ou pour l'exercice ou la défense de nos droits en justice. Elles pourront également être conservées ou archivées pour les durées légales de prescription.
En ce qui concerne les candidats, leurs données personnelles sont conservées dans les conditions suivantes :
1. Lorsque le candidat n'est pas retenu :
- conservation dans la base active pendant dix-huit (18) mois à compter de la dernière utilisation de l'outil de recrutement interne par le candidat,
- à l'issue des dix-huit (18) mois, destruction des données.
A tout moment, le candidat peut demander à supprimer ses données immédiatement.
2. Lorsque le candidat est retenu
- Pendant la durée de la relation de travail : conservation dans la base active,
- à la rupture du contrat de travail, en fonction du traitement considéré et sous réserve de textes spéciaux : conservation dans la base active pendant cinq (5) ans - puis archivage intermédiaire pour une durée maximale de cinquante (50) ans (pour toutes les données : contrats de travail, entretiens, bulletins de paie, tous documents en lien avec la retraite...) - puis destruction des données.
Les données personnelles reccueillies pour la gestion des accès aux locaux sont conservées pendant une durée de trois (3) mois. Les données personnelles recueillies pour la gestion des éventuels dispositifs de vidéosurveillance sont conservées pendant une durée de trente (30) jours.
Pendant toute la durée de conservation de ces données personnelles, l'accès aux données personnelles des candidats est limité aux seules personnes qui doivent y accéder, et qui disposent des habilitations correspondantes, selon les finalités de traitements prévus. A l'issue de cette durée, les données personnelles des candidats seront effacées définitivement ou anonymisées de manière irréversible.
10) Modalités d'exercice des droits
Les Personnes Concernées disposent des droits suivants sur leurs données personnelles les concernant que nous collectons et traitons en qualité de responsable de traitement :
- droit d'accès, de rectification et d’effacement des données (inexactes, incomplètes, équivoques, ou périmées);
- droit d’opposition au traitement de vos données à tout moment dans le cadre de la prospection commerciale ;
- droit à la limitation du traitement de vos données dans les conditions prévues par la règlementation ;
- droit à la portabilité des données ;
- droit de retirer votre consentement à tout moment ;
- droit d'introduire une réclamation auprès de l’autorité de contrôle compétente.
Elles peuvent exercer ces droits :
- auprès de notre chargé de relation ou de notre contact commercial habituel ;
- en écrivant par lettre simple à l'adresse suivante : UBAF – Département de la Conformité - 2 avenue Gambetta - 92066 Paris La Défense cedex (France)
- ou au Data Protection Officer : compliance.paris@ubaf.fr
Lorsqu’elles nous transmettent une demande d’exercice de droit, afin d’en faciliter l’examen et de nous permettre de revenir rapidement vers elles, elles doivent préciser autant que possible (1) le périmètre de la demande, (2) la nature de la demande/type de droit exercé, (3) le traitement de données personnelles concerné, et tout autre éléments de contexte utile. Il leur sera demandé de préalablement justifier de leur identité.
Dans certains cas, il peut également être adressée une réclamation à la Comission Nationale de l'Informatique et des Libertés (CNIL), dont le siège se trouve 3 Place de Fontenoy - 75007 Paris, dans le cas où il serait considéré qu'un traitement de données personnelles ne respecte pas la réglementation sur la protection des données personnelles.
11) Mise à jour
Cette politique est actualisée régulièrement pour tenir compte des évolutions réglementaires et des traitements que nous opérons.
Dernière mise à jour : novembre 2020