Données personnelles

Dans cette Politique de protection des données (« Politique »),« Scalexpert », « Société Générale », « SG », « nous » et « notre » désignent « Société Générale », Société anonyme au capital de 1 062 354 722,50 euros au 18 juillet 2022 », immatriculée au RCS sous le numéro unique d’identification 552 120 222 et domiciliée 29, boulevard Haussmann 75009 Paris.

À propos de cette Politique

SG, en sa qualité d’établissement bancaire et de courtier en assurances (enregistré à l’ORIAS sous le n°07022493), construit avec ses clients des relations fortes et durables, fondées sur une confiance réciproque. Afin de préserver cette confiance, nous faisons de la sécurité et de la protection de vos données personnelles une priorité inconditionnelle. Dans cette perspective, Scalexpert Société Générale respecte l’ensemble des réglementations applicables, françaises et européennes, relatives à la protection des données personnelles, en particulier le Règlement Général sur la Protection des Données (EU) 2016/679. En notre qualité de responsable du traitement de vos données personnelles, nous vous informons notamment sur les types de données personnelles que nous collectons, les traitements que nous opérons et les raisons pour lesquelles nous les réalisons, ainsi que sur vos droits et les voies de contacts ou de recours mis à votre disposition. Cette Politique s’adresse et s’applique aux clients et prospects particuliers de SG, aux relations d’affaires potentielles, ainsi qu’aux personnes en lien avec nos clients lorsque cela est justifié (ex : bénéficiaire d’un virement, héritier en cas de succession, garant, etc.) ci-après dénommés « vous/votre/vos ». Elle aborde en particulier :

  1. Les types de données personnelles que nous collectons et traitons ;
  2. Les objectifs poursuivis par le traitement (ses finalités) et les durées de conservation des données associées à chaque traitement ;
  3. Les bases légales sur lesquelles reposent les traitements réalisés ;
  4. Les destinataires et catégories de destinataires ;
  5. Les transferts à l’extérieur de l’Espace Économique Européen ;
  6. Vos droits concernant vos données personnelles ;
  7. La sécurité de vos données personnelles.

Cette Politique est mise à jour régulièrement pour refléter les évolutions des pratiques de SG ainsi que les potentielles évolutions de la réglementation applicable aux données personnelles. Nous vous invitons à la consulter régulièrement pour être informés de la dernière version en vigueur. Si vous êtes client, nous vous informerons de toute nouvelle version ou modification substantielle de celle-ci.

1. Types de données personnelles que nous collectons et traitons

SG est amenée à collecter et traiter les types de données personnelles suivantes :

  • Données d’état civil et données d’identification : nom, prénom(s), genre, date de naissance, copies de pièces d’identité, exemples de signatures, etc. ;
  • Coordonnées de contact : adresses postales, adresses e-mail, numéros de téléphone, etc. ;
  • Données liées à votre situation personnelle : situation familiale, régime matrimonial, nombre et âge des enfants, etc. ;
  • Données liées à votre situation professionnelle : poste occupé, nom de l’employeur, lieu de travail, etc. ;
  • Informations d’ordre économique et financier : revenus, situation financière et fiscale, etc. ;
  • Données d’opérations et de transactions bancaires (nature des opérations, date, paiements carte, virement, prélèvement, montant, libellé, etc.) ;
  • Données de connexion liées à l’utilisation de nos services en ligne : données d’identification et d’authentification à vos espaces connectées, logs, cookies, données de navigation sur les sites et applications SG ;
  • Données issues des correspondances et communications entre vous et nous, en agence ou à distance (entretiens, appels téléphoniques, messages électroniques, messageries instantanées, communications sur les réseaux sociaux ou tout autre type de communication) ;
  • Données liées aux produits et services souscrits (type de produit, mode de règlement, échéance, montant, etc.).

Ces données personnelles sont collectées soit directement auprès de vous ou, en cas de besoin, indirectement (i) auprès des sociétés du groupe Société Générale ; (ii) auprès de la Banque de France lors de la consultation de fichiers (FICP et/ou FCC); (iii) auprès du Répertoire National d’Identification des Personnes Physiques ; (iv) auprès de la Direction Générale des Finances Publiques, (v) ou plus généralement auprès de sources publiques pertinentes au regard des différentes finalités décrites dans le paragraphe 2. Enfin, lorsque cela est pertinent, certaines des données ou des types de données mentionnées ci-dessus peuvent être rapprochées afin de mieux répondre aux finalités décrites dans le paragraphe 2. Ces rapprochements se font toujours en veillant à n’utiliser que les données strictement nécessaires à la réalisation de l’objectif poursuivi par le traitement (en application du principe dit de « minimisation » prévu par la réglementation).

2. Finalités des traitements et durée de conservation des données personnelles

Les données personnelles visées au paragraphe précédent sont traitées, en fonction des situations, pour répondre à différents objectifs ou finalités. À chacune de ces finalités est associé un type de données personnelles, une durée de conservation de ces données au-delà de laquelle ces dernières ne sont plus utilisées et sont anonymisées et/ ou supprimées, hormis certaines d’entre elles qui peuvent faire l’objet d’un archivage avec accès restreint pour une durée déterminée. Les différentes finalités qui nous conduisent à traiter vos données personnelles sont les suivantes :

  • La gestion de la relation bancaire et/ou assurantielle, du (des) compte(s) et/ou des produits et services souscrits, notamment pour des besoins de preuve. Vos données personnelles pourront être conservées depuis l’intégration pour une durée de cinq (5) ans à compter de la fin de la relation commerciale ou à compter de la fin d’une éventuelle procédure de recouvrement.
  • La réalisation d’études d’opinion et de satisfaction et d’études statistiques. Vos données personnelles pourront être conservées pour une durée de trois (3) ans à compter de la réalisation de l’étude.
  • La lutte contre la fraude (exemple : établissement de notations (scores), détection d’opérations atypiques, etc.). Vos données personnelles pourront être conservées pour une durée maximale de cinq (5) ans à compter de la clôture du dossier de fraude avérée ou de l’émission d’une alerte.
  • La collecte d’information relative à la souscription d’un crédit, d’un produit financier ou d’un produit d’assurance (information sur le client : état civil, situation familiale et financière). Vos données personnelles pourront être conservées pour une durée maximale de quatre (4) mois à compter de l’utilisation du service. Vos données personnelles pourront être conservées pour une durée maximale de cinq (5) ans à compter de la clôture du dossier de fraude avérée ou de l’émission d’une alerte.
  • Le respect des obligations légales et réglementaires qui incombent à SG, notamment les obligations en matière de connaissance client (KYC ou « Know Your Customer »), la gestion du risque opérationnel (en particulier la sécurité des réseaux informatiques, la protection de la clientèle, la supervision et le contrôle interne, la sécurité des transactions ainsi que la sécurité de l’utilisation des réseaux de paiements internationaux), les obligations en matière de sécurité financière (lutte contre le blanchiment des capitaux et le financement du terrorisme et les obligations en matière de sanctions et embargos), les obligations liées à l’intégrité des marchés financiers et aux activités sur les marchés financiers, les obligations liées à la détermination du statut fiscal des clients et au respect des réglementations fiscales associées et des règles de bonne conduite des régulateurs français et internationaux, l’éthique et la lutte contre la corruption, la protection des données et d’une manière générale les obligations relatives à la gestion et au pilotage des risques de conformité.

Dans le cadre de ces finalités, vos données personnelles pourront être partagées entre les entités du Groupe. Elles seront conservées pour une durée de cinq (5) ans à dix (10) ans à compter du fait générateur prévu par la réglementation en vigueur (exemple : en matière de réglementation fiscale dite « FATCA », 5 ans à compter de la réception du formulaire d’auto-certification dûment complété).

  • L’identification de comportements ou d’actes gravement répréhensibles (exemple : violence physique à l’égard du personnel de SG). Ces données personnelles pourront être conservées pendant une durée de dix (10) ans à compter de l’enregistrement des faits dans nos systèmes.
  • L’enregistrement de vos conversations et communications avec SG, quel que soit leur support (e-mails, courriers, entretiens téléphoniques, etc.). Cet enregistrement peut être réalisé et donner lieu à des réécoutes aux fins d’amélioration de l’accueil téléphonique, de respect des obligations légales et réglementaires relatives aux marchés financiers, et de sécurité des transactions effectuées ou encore de preuve des ordres ou opérations réalisées. Selon les réglementations applicables, vos données personnelles pourront être conservées pour des durées variables qui ne sauront néanmoins excéder une durée de cinq (5) ans à compter de leur enregistrement.
  • Les traitements comptables : les données comptables pourront être conservées pendant une durée de dix (10) ans conformément aux dispositions légales en vigueur.
  • L’activité de recherche ou d’analyse à des fins d’amélioration de nos procédures et de développement de nos modèles. Vos données personnelles pourront être réutilisées afin de :
    • optimiser nos process de contrôles internes ;
    • améliorer la gestion du risque et de la conformité ;
    • proposer des services personnalisés et produits adaptés.

Ces données sont conservées pendant une durée déterminée de cinq (5 ans) à compter de leur enregistrement.

  • La prospection commerciale, la proposition d’offres commerciales adaptées à votre situation et à votre profil, la réalisation d’animations commerciales et de campagnes publicitaires.
    • Les données pourront être conservées pour une durée maximale de trois (3) ans à compter de la fin de la relation commerciale ou pour les prospects, à compter du dernier contact.
    • SG pourra être amenée à anonymiser et agréger ces données afin d’établir des rapports statistiques.

Il est précisé que les données personnelles collectées et traitées conformément aux finalités susvisées pourront être conservées pour une durée supplémentaire si la défense d’un droit ou d’un intérêt l’exige, ou encore afin de répondre aux exigences des autorités habilitées telles que par exemple une autorité publique, un régulateur français ou international. Dans ce cas, les données personnelles ne seront pas utilisées pour d’autres finalités et seront accessibles uniquement aux seules personnes autorisées ayant un besoin à en connaître (exemples : service juridique, service de conformité, corps d’audit et d’inspection).

3. Bases légales des traitements réalisés

3.1 Règles générales

Les traitements réalisés par SG reposent sur l’une des bases légales suivantes :

  • L’exécution de la relation bancaire et/ou assurantielle (exemple : souscription d’un crédit immobilier). Ainsi, certaines données seront utilisées par Scalexpert Société Générale pour fournir des produits ou des services sollicités et nécessaires pour l’exécution du Contrat passé avec le Client ou en vue de prendre des mesures préalables à l’entrée en vigueur du contrat ;
  • Le respect des obligations légales et réglementaires de SG (exemple : lutte contre le blanchiment d’argent et le financement du terrorisme);
  • La poursuite des intérêts légitimes de SG (exemple : lutte contre la fraude, activités de recherche et de développement, prospection commerciale, y compris le profilage). Le choix de cette base légale est effectué après une mise en balance des intérêts poursuivis par SG avec les intérêts des personnes concernées et l’évaluation des attentes raisonnables en la matière. En outre, des garanties seront mises en place pour préserver les intérêts, droits et libertés fondamentales des personnes (information des personnes, droit d’opposition et mesures de sécurité notamment) ;
  • Le consentement (exemple : données des réseaux sociaux, collecte de la carte vitale comme pièce d’identité) ;
  • La sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, lorsqu’un client a réglé par carte bancaire un produit ou service présentant une menace pour la sécurité des personnes (rappel de produits défectueux, crise sanitaire, etc.).

3.2 Règles spécifiques aux traitements de profilage

SG met en œuvre des traitements de profilage, c’est-à-dire des traitements consistant à évaluer certains aspects concernant la situation économique des personnes physiques, leurs préférences ou centres d’intérêt personnels, l’analyse de leur comportement, ou encore leur localisation et leurs déplacements. Ces traitements de profilage ont différentes finalités, principalement de sécurisation de vos opérations, de lutte contre la fraude, de personnalisation de la relation, de prospection commerciale ou pour mieux répondre à nos obligations relatives à la gestion et au pilotage des risques de conformité. Dans le cas de la prospection commerciale, le traitement consiste à analyser certaines de vos données afin d’établir des profils qui vous correspondent. Ces profils permettent à SG de vous adresser des offres personnalisées plus adaptées à vos besoins, à vos attentes ou à votre situation (ex : arrivée de versements exceptionnels, pré-évaluation de votre capacité d’emprunt). Pour certaines campagnes commerciales ponctuelles, ces profils pourront être enrichis avec des données collectées par des partenaires tiers de type régies publicitaires. Pour chacun de ces traitements, une analyse approfondie est effectuée afin de déterminer si le traitement doit être fondé sur votre consentement, l’intérêt légitime de SG, ou sur un autre fondement juridique :

  • Si le profilage est fondé sur votre consentement :

SG s’assure que votre consentement est recueilli, après vous avoir informé de manière explicite et transparente sur l’utilisation de vos données, ainsi que sur la logique du traitement. SG vous permet également de retirer à tout moment votre consentement.

  • Si le profilage est fondé sur l’intérêt légitime de SG :

SG aura mené une analyse préalable lui permettant de s’assurer, pour chaque traitement envisagé, que vos intérêts ou libertés et droits fondamentaux sont respectés et que vous pouvez raisonnablement vous attendre à ce que vos données soient utilisées dans ce cadre.

SG vous permet à tout moment de vous opposer à ces traitements, dans les conditions prévues par la réglementation et selon les modalités décrites au paragraphe 6.

3.3 Règles spécifiques aux décisions entièrement automatisées

Dans les cas où SG met en œuvre des traitements impliquant une prise de décision entièrement automatisée produisant des effets juridiques vous concernant ou vous affectant de manière significative, ces traitements (i) reposent sur l’une des bases légales suivantes : l’exécution du contrat dans lequel s’inscrit le traitement ou votre consentement, ou encore l’intérêt légitime de SG ; (ii) sont autorisés par le droit de l’Union Européenne ou le droit français. Ces traitements sont réalisés dans le respect de la réglementation applicable, et assortis de garanties appropriées.

4. Catégories de destinataires

Vos données peuvent être communiquées, en fonction des finalités poursuivies :

  • Aux entités du groupe Société Générale, à ses partenaires, courtiers, intermédiaires et assureurs, sous-traitants et prestataires. Cette communication n’intervient que dans le cadre d’un traitement qui poursuit l’une des finalités décrites dans le paragraphe 2 ;
  • Dans le respect des réglementations applicables, à des tiers en France ou à l’étranger à des fins de constatation, de sauvegarde ou de défense d’un droit en justice, dans le cadre d’enquêtes administratives ou pénales d’un ou plusieurs régulateurs, du respect d’engagements pris à leur égard ou dans le cadre de contentieux judiciaires de toute nature ;
  • À certaines professions réglementées telles que les commissaires aux comptes afin de fournir des rapports réglementaires ou les avocats, pour agir pour la défense des droits de SG ;
  • Aux initiateurs de paiement et prestataires de services d’information sur les comptes (agrégateurs), seulement si vous y consentez ou à votre demande.

5. Transferts à l’extérieur de l’Espace Économique Européen

En raison notamment de la dimension internationale du groupe Société Générale, les traitements listés dans le paragraphe 2 ci-dessus sont susceptibles d’impliquer des transferts de données personnelles vers des pays non-membres de l’Espace Économique Européen (EEE), dont les législations en matière de protection des données personnelles diffèrent de celles de l’Union Européenne. En particulier, vos données personnelles peuvent, dans la limite de ce qui est autorisé par la réglementation applicable, être communiquées aux organismes officiels et aux autorités administratives et judiciaires habilitées de pays non-membres de l’EEE, notamment dans le cadre des réglementations sur la lutte contre le blanchiment des capitaux et le financement du terrorisme, les sanctions internationales et embargo, la lutte contre la fraude et la détermination de votre statut fiscal. Lors d’un transfert de données personnelles vers des pays non-membres de l’EEE, un cadre juridique précis et exigeant vient encadrer ce transfert, conformément à la réglementation européenne applicable, notamment par la signature de Clauses contractuelles types approuvées par la Commission européenne. En outre, des mesures de sécurité appropriées et complémentaires peuvent être mises en place pour assurer la protection des données personnelles transférées hors de l’EEE. Les Clauses contractuelles types sont disponibles sur le site de la CNIL (www.cnil.fr). Pour plus d’informations, vous pouvez envoyer votre demande à l’adresse de contact indiquée au paragraphe 6. Pour en savoir plus sur le cas particulier des instructions de virements transmises entre banques par l’intermédiaire de réseaux internationaux sécurisés de télécommunications interbancaires, nous vous invitons à consulter la « Notice d’Information Swift » sur le site internet fbf.fr ou particuliers.sg.fr.

6. Vos droits

Vous disposez d’un droit d’accès à vos données personnelles ainsi qu’un droit de rectification, d’effacement, de limitation du traitement, ainsi que d’un droit à la portabilité de certaines de vos données. Vous pouvez également retirer votre consentement à tout moment, ou vous opposer pour des raisons tenant à votre situation particulière à ce que vos données personnelles fassent l’objet d’un traitement, ou encore définir des directives générales ou spécifiques sur le sort de vos données personnelles en cas de décès. Vous pouvez aussi, à tout moment et sans frais, sans avoir à justifier votre demande, vous opposer à ce que vos données personnelles soient utilisées à des fins de prospection commerciale. Si votre demande d’opposition ne concerne pas la prospection commerciale, SG pourra refuser de donner suite à votre demande si :

  • Il existe des motifs légitimes et impérieux à traiter les données personnelles ou que ces dernières sont nécessaires à la constatation, exercice ou défense de droits en justice ;
  • Vous avez consenti au traitement de vos données, auquel cas vous devez alors retirer ce consentement et non vous opposer ;
  • Le traitement en question est nécessaire à l’exécution d’un contrat qui vous lie à Scalexpert Société Générale ;
  • Une obligation légale impose de traiter vos données personnelles ;
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

Vous pouvez exercer vos droits ainsi que contacter le délégué à la protection des données personnelles selon les modalités suivantes :

  • À l’adresse postale suivante: SG - Protection des données CPLE/FRB/DPO - 17 cours Valmy CS 50318 - 92972 La Défense cedex;
  • Par courrier électronique à l’adresse suivante : Protectiondesdonnees@societegenerale.fr

Vous avez enfin le droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité de contrôle en charge en France du respect des obligations en matière de données personnelles.

7. La sécurité de vos données personnelles

SG prend toutes les mesures physiques, techniques et organisationnelles pour garantir la confidentialité, l’intégrité et la disponibilité des données personnelles, en particulier afin de les protéger contre la perte, la destruction accidentelle, l’altération et l’accès non autorisé. En cas de violation de données personnelles vous concernant, présentant un risque pour vos droits et libertés, SG notifiera la violation en question auprès de la CNIL dans le respect du délai réglementaire. Dans l’hypothèse où cette violation présenterait un risque élevé pour vos droits et libertés, SG vous informerait dans les meilleurs délais de la nature de cette violation et des mesures mises en œuvre pour y remédier.