POLITIQUE DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL DU GROUPE LA BANQUE POSTALE

POLITIQUE DE PROTECTION DES DONNEES PERSONNELLES

version mise à jour : 25 octobre 2023

Préambule 

SOFIAP (Société Financière Pour l’Accession à la Propriété), forte de ses valeurs de proximité, de confiance et de modernité au service de tous, place la protection de vos données à caractère personnel (ci-après « données personnelles ») au cœur de ses préoccupations. L’attention que SOFIAP porte vis-à-vis de vos données personnelles contribue à sa démarche d’établissement financier citoyen, tout comme notamment celle portée à la responsabilité sociale d’entreprise ou celle liée à la sécurité de ses systèmes d’information.

La présente Politique de Protection des Données à Caractère Personnel (ci-après « la Politique ») a pour objet de renseigner les personnes dont les données personnelles sont traitées par SOFIAP, en qualité de responsable de traitement. Cette politique concerne des personnes physiques (clients, prospects, utilisateurs du site internet) et des personnes morales (entreprises, associations, collectivités publiques…). En effet, SOFIAP traite les données personnelles de personnes physiques mandatées par des clients professionnels (dirigeants, garants, bénéficiaires effectifs ou toute personne au sein de la société dont les mandataires et signataires autorisés).

SOFIAP s’engage à respecter la réglementation en vigueur en matière de traitement de données personnelles et notamment le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « RGPD ») ainsi que toute réglementation nationale applicable (ci-après « la Réglementation »). 

La présente Politique illustre l’attachement que SOFIAP porte au respect des libertés et droits fondamentaux, à la vie privée et à la protection des données personnelles. Elle s’assure que vos données personnelles sont traitées de manière loyale et licite, et en toute transparence.

SOFIAP rend la Politique accessible sur son site internet. Celle-ci est actualisée régulièrement et le respect de ses dispositions est contrôlé.

Des mentions d’information relatives à la protection des données personnelles spécifiques aux différents produits et/ou services proposés par SOFIAP précisent et complètent la présente Politique, et ce sur les divers supports utilisés.

Vous êtes ainsi notamment informés de la mise en œuvre d’un traitement de données personnelles, de ses finalités, des destinataires, des éventuels transferts de ces données et des droits dont vous disposez.

1. Quelles données personnelles sont traitées par SOFIAP ?

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.

SOFIAP respecte le principe de minimisation des données à savoir que seules sont traitées les données personnelles adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la réalisation de l’objectif pour lequel elles ont été collectées. Dans cette démarche, SOFIAP s’attache également à maintenir vos données personnelles exactes et à jour.

1. Cas de la collecte directe de Données personnelles

SOFIAP traite principalement des données personnelles qu’elle collecte directement auprès de vous, telles que :

• Données d’identification : Nom, prénom(s), date et lieu de naissance, adresse postale, adresse de messagerie électronique, numéros de téléphone, image, vidéo, voix ;
• Données de vie personnelle : Statut marital, régime matrimonial, nombre d’enfants ;
• Données de vie professionnelle : Employeur, fonction, rémunération, numéro d’identification du salarié ;
• Données d’ordre économique et financier : Avis d’imposition, historique de transactions, opérations générées sur vos comptes, coordonnées bancaires, situation financière et patrimoniale (revenus fonciers, taxe foncière), crédits en cours, relevé d’identité bancaire ;
• Données de navigation : Données recueillies grâce aux cookies en ligne. Pour plus d’informations, vous pouvez consultez la politique cookies de la SOFIAP accessible sur notre Site.
• Données relatives aux habitudes et préférences des personnes concernées, du fait de l’utilisation des produits et services souscrits ou des interactions avec SOFIAP ;
• Données sensibles : Données de santé (questionnaire de santé) pour la souscription d’assurance ; données biométriques pour les entrées en relation à distance.

2. Cas de la collecte indirecte de Données personnelles

SOFIAP peut également être amenée à collecter de manière indirecte des données personnelles auprès de tiers (fournisseurs, partenaires...), de sources accessibles au public (données issues de publications/bases de données rendues accessibles par les autorités officielles, base de données payantes, données issues de sites internet contenant des informations rendues publiques par la personne elle-même...) ou d’administrations et autorités publiques (Banque de France, Administration fiscale...). Il s’agit notamment de données issues :

• Du Fichier National des Incidents de Remboursement des Crédits aux Particuliers ou du Fichier Central des Chèques ;
• Du Répertoire National d’Identification des Personnes Physiques ;
• Du Répertoire de la Direction Générale des Finances Publiques ;
• Du Registre des Bénéficiaires Effectifs de l’INPI.

En cas de collecte indirecte de données, SOFIAP en informe dès que possible, notamment lors du premier contact avec les personnes concernées et, au plus tard, dans le délai d’un mois, sauf exceptions prévues par la règlementation en vigueur.

2.  Pourquoi SOFIAP traite-t-elle vos données personnelles ?

SOFIAP s’engage à traiter vos données personnelles, pour des finalités déterminées, explicites et légitimes, et à ne pas les traiter ultérieurement d’une manière incompatible avec ces finalités.

1. Base juridique

Chaque traitement effectué par SOFIAP, en tant que responsable du traitement, repose sur l’un des fondements juridiques prévus par la réglementation en vigueur, à savoir :

• Le recueil du consentement de la personne concernée pour une ou plusieurs finalités spécifiques ;
• L’exécution d’un contrat auquel la personne concernée est partie, ou l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
• Le respect d’obligations légales et réglementaires auxquelles SOFIAP est soumise ;
• Les intérêts légitimes poursuivis par SOFIAP dans le cadre du respect des intérêts, libertés et droits fondamentaux de la personne concernée.

2. Finalité

SOFIAP traite vos données personnelles notamment pour les finalités suivantes et sur la base de fondements juridiques présentés ci-après :

1. Sur la base du consentement

SOFIAP peut effectuer des traitements de vos données personnelles pour vous fournir certains services auxquels vous avez consenti, tels que :

• La prospection commerciale par voie électronique (mail et sms) ou par téléphone pour les particuliers ;
• L’envoi par email d’alertes et de lettres d’information si vous êtes abonnés (Ex : actualités SOFIAP) ;
• L’organisation et l’administration de jeux concours ou autres opérations de marketing de ce type.

Nous vous informons que vous pouvez retirer votre consentement à tout moment.

Si besoin et nécessaire, d’autres consentements spécifiques pourront vous être demandés pour le traitement de vos données personnelles notamment pour le traitement des données sensibles (données de santé et données biométriques).

2. Sur la base de l’exécution d’un contrat auquel vous êtes partie ou l’exécution de mesures précontractuelles prises à votre demande

SOFIAP effectue des traitements de vos données personnelles pour l’étude, la conclusion et l’exécution de vos contrats, tels que :

• La fourniture d’informations relatives aux produits et services proposés ;
• L’étude ou l’octroi de produits et de services que vous sollicitez ;
• L’entrée en relation à distance ;
• La signature électronique des documents pré contractuels et contractuels ;
• La gestion des contrats conclus avec vous
• La gestion de votre espace client en ligne ;
• La gestion des impayés, du recouvrement et du contentieux.

3. Sur la base du respect d’obligations légales et réglementaires

SOFIAP est soumise au respect d’obligations légales et réglementaires spécifiques ayant par exemple pour objet :

• La lutte contre le blanchiment de capitaux et le financement du terrorisme ;
• La communication de données personnelles exigée pour l’interrogation et la tenue de fichiers réglementaires (Fichier National des Incidents de Remboursement des Crédits aux Particuliers, Fichier Central des Chèques, …).
• Les réponses aux requêtes des autorités de tutelle, des autorités publiques ou judiciaires.

4. Sur la base de l’intérêt légitime de SOFIAP

SOFIAP effectue des traitements de données personnelles sur la base de son intérêt légitime à assurer son développement et la sécurité de ses prestations et services, telles que :

• La lutte contre la fraude et la cybercriminalité ;
• La prospection commerciale pour tout type de prospection pour les personnes morales ;
• La gestion de ses infrastructures et de la sécurité de ses systèmes d’information ;
• L’évaluation de votre satisfaction au regard des produits et services offerts par la SOFIAP ;
• Les enregistrements téléphoniques à des fins d’amélioration de sa qualité de service ;
• La réalisation d’études statistiques.

3. A qui SOFIAP communique vos données personnelles ?

Les données personnelles sont susceptibles d’être communiquées, notamment aux destinataires suivants, dans le cadre des finalités énoncées ci-dessus :

• Les sociétés du groupe La Banque Postale ;
• Les sous-traitants, mandataires, courtiers ou autres intermédiaires, partenaires ou prestataires de services qui réalisent des prestations pour le compte de SOFIAP ;
• Dans le cadre d’un prêt subventionné pour la prise en charge par l’employeur d’une partie des intérêts de ce prêt
• Les autorités administrative ou judiciaire habilitées ou plus généralement à tout tiers autorisé (avocats, commissaires aux comptes…), pour satisfaire aux obligations légales ou réglementaires auxquelles SOFIAP est soumise.

4.  Vos données personnelles peuvent-elles être transférées en dehors de l’union européenne ?

SOFIAP réalise l’ensemble des traitements de vos données personnelles sur le territoire de l’Union européenne (UE).

Toutefois, pour certaines prestations spécifiques, SOFIAP peut être amenée à avoir recours à des sous-traitants établis hors territoire de l’UE. Dans ce cas, les transferts de vos données personnelles vers ces sous-traitants sont encadrés par la conclusion par la conclusion de Clauses Contractuelles Types (CCT) reconnues par la Commission européenne ou par le recours à un sous-traitant ayant adopté des règles contraignantes reconnues par les autorités de contrôles européennes. Afin d’obtenir une copie des mesures mises en place ou savoir où elles sont disponibles, le client peut adresser une demande écrite au Référent informatique et libertés de SOFIAP, par courrier à l’adresse indiquée plus bas.

5. Combien de temps SOFIAP conserve vos données personnelles ?

La durée de conservation de vos données personnelles est déterminée en fonction des produits et services souscrits.

SOFIAP s’engage à ne pas conserver vos données personnelles au-delà de la durée nécessaire à la fourniture de ces produits ou services.

Certaines de vos données personnelles pourront être conservées pour des durées plus longues en application des dispositions légales ou réglementaires particulières, ou pour répondre à des demandes d’autorités ou de tiers autorisés.

Parmi les délais légaux applicables par SOFIAP :

• Les délais de conservation pour les documents comptables et pièces justificatives sont de dix (10) ans à compter de vos opérations.
• Les données relatives aux clients sont supprimées au bout de cinq (5) ans à compter de la fin de la relation contractuelle ou du remboursement de votre prêt ;
• Au regard de la lutte contre le blanchiment de capitaux et le financement du terrorisme, les délais de conservation des documents et informations relatifs à votre identité sont de cinq (5) ans à compter de la date du traitement.
• Les données de prospection commerciale sont conservées et supprimées trois (3) ans à compter du dernier contact avec les clients ou à compter du retrait du consentement ;
• Les données des dossiers refusés sont conservées et supprimées au bout de six (6) mois.

Ces délais sont susceptibles d’évolutions si les obligations légales et réglementaires l’exigeaient.

Les données personnelles qui du fait de leur usage, pour divers traitements, sont assujetties à plusieurs durées de conservations, sont soumises à la durée de conservation la plus longue.

Sauf cas susmentionnés, la conservation de toute donnée personnelle est limitée par la ou les seules finalités pour lesquelles elle est soumise à un traitement, sauf mention contraire vous en informant.

Au terme de ces délais, SOFIAP procède à la suppression de vos données conformément à sa politique interne ou les rend anonymes, pour les utiliser à des fins statistiques. 

6. Comment SOFIAP protège vos données personnelles ?

Conformément à la réglementation en vigueur, SOFIAP s’engage à mettre en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir à vos données personnelles un niveau de sécurité adapté et proportionné au risque de violation de données à caractère personnel. Ces mesures (ex : cloisonnement, anonymisation, chiffrement, restriction d’accès …) visent à garantir la confidentialité, l’intégrité, la disponibilité et la résilience de vos données personnelles.

SOFIAP s’engage à mettre en place toutes les mesures nécessaires pour rétablir la disponibilité et vous permettre l’accès à vos données personnelles dans des délais appropriés en cas d’incident physique ou technique. Pour ce faire, SOFIAP effectue régulièrement des évaluations de ses niveaux de sécurité. Ces évaluations prennent en compte les risques de destruction, perte, altération, accès et divulgation non autorisée à vos données personnelles.

SOFIAP impose à chacun des destinataires de vos données personnelles de respecter les garanties de sécurité et de confidentialité adaptées.

SOFIAP, en tant que responsable du traitement, notifie les violations de données personnelles à l’autorité de contrôle compétente, à savoir la Commission Nationale de l’Informatique et des Libertés (CNIL), dans les meilleurs délais et, dans la mesure du possible soixante-douze (72) heures après avoir pris connaissance de toute violation de données personnelles susceptible d’engendrer un risque pour vos droits et libertés.

Toute violation de vos données personnelles susceptible d’engendrer un risque élevé pour vos droits et libertés vous sera notifiée dans les meilleurs délais conformément à la réglementation en vigueur.

7. Quels sont vos droits ?

Lorsque SOFIAP collecte vos données personnelles, vous recevez, par le biais des mentions d’information, une information claire et transparente sur les traitements effectués ainsi que sur les modalités d’exercice de vos droits.

Selon la Réglementation, vous avez la faculté d’exercer vos droits qui sont :

• Droit d’accès : Il vous est possible de demander à SOFIAP si elle détient des données personnelles sur vous, elle vous vous les communiquera dans un format compréhensible, ou sous une forme conforme à votre demande dans les limites des moyens techniques disponibles, le cas échéant.
• Droit de rectification : Vous avez le droit de rectifier, compléter, mettre à jour, effacer les données incomplètes, inexactes ou obsolètes.
• Droit d’opposition : Vous pouvez vous opposer à tout moment à ce que SOFIAP utilise certaines de vos données en indiquant des raisons tenant à votre situation particulière, sauf en cas de prospection commerciale, à laquelle vous pouvez vous opposer sans motif.
• Droit à l’effacement : Vous pouvez demander l’effacement de vos données personnelles, sous réserve du respect d’une obligation légale à laquelle SOFIAP serait assujettie.
• Droit à la limitation : Vous pouvez demander la suspension du traitement de vos données personnelles, notamment si vous contestez l’exactitude des données utilisées ou si vous vous opposez à ce que vos données soient traitées.
• Droit à la portabilité : Vous pouvez demander à SOFIAP de récupérer les données personnelles que vous avez fournies, si elles ont été nécessaires à un contrat ou au traitement auquel vous avez consenti, ceci afin d’en disposer ou pour les transmettre à un tiers.
• Droit au retrait du consentement : Vous pouvez retirer votre consentement à tout moment, si celui-ci a été préalablement donné.

Pour tout exercice de droits auprès de SOFIAP, veuillez-vous adresser à l’adresse suivante :

Référent Informatique et Libertés

Direction Conformité et Juridique

SOFIAP, 64 rue de Saintonge

75003, Paris

Toute demande doit indiquer votre nom, votre prénom, l’adresse à laquelle vous souhaitez recevoir la réponse et doit être accompagnée d’une copie recto verso de votre pièce d’identité si nécessaire.

SOFIAP s’engage à répondre à vos demandes d’exercice de droits dans les meilleurs délais et en tout état de cause dans le respect des délais légaux, soit dans un délai d’un (1) mois à compter de la réception de la demande).

Pour toute réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL), vous devez vous adresser à :

Commission Nationale de l’Informatique et des Libertés

7 Place de Fontenoy
75007 Paris

8. Comment contacter le délégué à la protection des données de SOFIAP

Le DPO (Data Protection Officer) de La Banque Postale, maison mère de SOFIAP, a été nommé comme DPO de SOFIAP.

Vous pouvez contacter le Délégué à la Protection des Données à l’adresse suivante :

La Banque Postale
Délégué à la Protection des Données
115, rue de Sèvres
75275 Paris Cedex 06