Protection des données à caratère personnel

COREAL SAS a élaboré une politique en matière de protection des données à caractère personnel, afin de se conformer à la réglementation applicable, et notamment au règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données (règlement général sur la protection des données – RGPD). Les grandes lignes de cette politique sont reprises ci-dessous.

1. Périmètre

a) Objet

Les données auxquelles COREAL SAS a accès dans l’exercice de ses activités sont susceptibles de relever de la vie privée de leurs clients : données relatives au patrimoine, situation familiale, etc...

Le respect par COREAL SAS de la réglementation relative à la protection des données à caractère personnel est un facteur de transparence et de confiance à l’égard de ses clients.

b) Glossaire

Destinataire

La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers.

Responsable du traitement

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Sous-traitant

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Données à caractère personnel

Toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable »

Traitement

Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel,

2. Principes généraux applicables

a) Principes généraux

Principe de finalité

COREAL SAS recueille et traite les données à caractère personnel pour une finalité déterminée explicite et légitime, correspondant aux objectifs poursuivis
Exemple :

gestion de la clientèle : passation et gestion des contrats, suivi clientèle, traitement des réclamations, exécution d’obligations légales,

gestion du personnel : recrutement, formation, mise à disposition d’outils informatiques…

b) Principe de proportionnalité

COREAL SAS ne recueille et traite que les seules informations adéquates, pertinentes et nécessaires à la finalité du traitement peuvent faire l’objet d’un traitement de données à caractère personnel.

Par exemple, il n’est pas utile d’enregistrer des informations sur l’entourage familial d’une personne lorsque, au regard des finalité d’un traitement et de la nature de la prestation, seuls sont nécessaires des éléments relatifs à la composition de son patrimoine.

Principe de proportionnalité

En savoir plus

c) Principe de minimisation des données

En application des principes issus du RGPD, COREAL SAS se conforme au principe de minimisation des données, selon lequel des données à caractère personnel ne peuvent faire l’objet d’un traitement que si les fialités du traitement ne peuvent être atteintes par le traitement d’informations ne contenant pas de données à caractère personnel.

d) Droit à l’oubli

L’article 17 du RGPD prévoit le droit à l’effacement ou droit à l’oubli : les personnes concernées ont le droit d’obtenir du responsable du traitement, dans les meilleurs délais, l’effacement des données à caractère personnel les concernant.

COREAL SAS ne mettra pas en œuvre le droit à l’effacement irréversible des données avant l’expiration de la durée de prescription de la responsabilité civile professionnelle du CGP. Par ailleurs, le droit à l’oubli ne prévaut pas sur certaines obligations d’archivage de données pendant des périodes déterminées, notamment pour des raisons de conformité aux obligations fiscales.

e) Principes de sécurité et de confidentialité

Les données contenues dans les fichiers ne peuvent être consultées que par les personnes habilitées à y accéder en raison de leurs fonctions (ex : personnel en charge des activités d’intermédiation).

f) Respect du droit des personnes

Toute personne a le droit de s’opposer, pour un motif légitime, à ce que des données la concernant soient traitées, sauf si le traitement concerné présente un caractère obligatoire.

Par ailleurs, toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel notamment pour :

savoir si des données qui la concernent y figurent ou non

obtenir la communication des données qui la concernent sous une forme compréhensible, d’une part, et de toutes les informations disponibles quant à leurs origines, d’autre part

obtenir des informations sur la finalité du traitement, les données collectées et les destinataires.

g) Portabilité des données

COREAL SAS se conforme au droit à la portabilité des données permettant aux personnes concernées d’exiger des responsables de traitement la transmission de leurs données à caractère personnel à un autre responsable de traitement, sans que le responsable de traitement ayant initialement collecté les données ne puisse s’y opposer.

COREAL SAS devra donc faire droit à la demande de son client si celui-ci demande la transmission de ses données à caractère personnel à un confrère et les transmettre dans un format structuré, couramment utilisé et lisible par machine.

Selon le G29, le droit à la portabilité des données s’applique uniquement si le traitement des données est effectué à l’aide de procédés automatisés et, par conséquent, ne couvre pas la plupart des dossiers papier

3. Traitement des données personnelles et gestion des clients et prospects de COREAL

a) Principes généraux

Dans le cadre de ces activités, les données à caractère personnel relatives à la clientèle correspondent à toutes les données à caractère personnel nécessaires dans la constitution du dossier du client, dans la prestation de conseil et/ou d’intermédiation, puis dans le suivi de ce dernier dans la durée.

Ces données peuvent concerner des données relatives tant à la vie personnelle qu’à la vie professionnelle, dès lors que COREAL SAS est amené à conseiller le client au regard des éléments de connaissance qu’il aura recueillie : situation patrimoniale, financière, professionnelle, connaissances et expériences, tolérance au risque, capacité à supporter les pertes, objectifs, besoins…

COREAL SAS ne traite pas des informations sensibles relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, à l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique, dans le cadre de ses activités.

Principe de finalité

En effet, l’article 9, al.1, du RGPD prévoit l’interdiction de principe du traitement de telles données et, conformément à l’article 5 du RGPD, COREAL SAS ne doit collecter que des données adéquates, pertinentes et strictement nécessaires à la finalité du traitement.

b) Dispositif de traitement des données

Conservation des données

Les données à caractère personnel ne peuvent être conservées que le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte.

Les données relatives aux clients peuvent être conservées le temps de la relation contractuelle entre COREAL SAS et son client.

En particulier et dans le cadre de la lutte anti-blanchiment, COREAL SAS conserve les documents et informations, quel qu’en soit le support, relatifs à l’identité des clients habituels ou occasionnels pendant cinq ans à compter de la cessation des relations avec eux (art. L. 561-12 CMF).;

Sécurité des données

L’accès aux locaux dans lesquels sont stockés les dossiers est suffisamment sécurisé (bureaux fermés à clefs, etc.), ainsi que la sécurité du système d’information sur lequel sont stockés les dossiers sous format numérique (pare- feu, mots de passe, habilitations, etc.).

4. Traitement des données personnelles et ressources humaines de COREAL SAS

Dans le cadre du recrutement d’un employé ayant des activités d’intermédiation et de conseil auprès de la clientèle, ou encore de personnel support, COREAL SAS est amené à effectuer des traitements de données à caractère personnel, dans le respect des principes du RGPD.

5. Fournisseurs et prestataires

a) Notion de sous-traitant

Le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ». Il peut s’agir notamment d’un comptable, un éditeur de logiciel, un hébergeur, etc.

b) Obligations en matière de traitement des données personnelles

COREAL SAS ne recourt qu’à « des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée ».

6. Politique de sécurité des données

a) Mesures générales

COREAL SAS met en place des mesures générales de sécurité des données personnelles :

limiter accès aux locaux

ne pas stocker ou archiver les données personnelles dans des locaux accessibles à tous

installer des alarmes, …

b) Mesures de sécurité informatiques

COREAL SAS met en place des mesures de sécurité informatiques des données personnelles :

authentifier les utilisateurs

déterminer les personnes qui sont habilitées à accéder aux données à caractère personnel

sécuriser l’informatique mobile

mettre en place des sauvegardes régulières, etc.

Mesures générales