NOTICE D’INFORMATION RELATIVE A LA PROTECTION DES DONNÉES PERSONNELLES


Avant-propos : principaux changements
 

En tant que partenaire de confiance, nous accordons une grande importance à la protection de vos données personnelles. Nous avons fait évoluer cette Notice pour qu’elle soit plus transparente en améliorant les informations sur  :
-    Les traitements liés à la prospection commerciale, 
-    Les traitements de lutte contre le blanchiment et le financement du terrorisme et les sanctions internationales (gel des avoirs).


Introduction
 

La protection de vos données personnelles est au cœur de nos préoccupations, le Groupe BNP Paribas a adopté des principes forts dans sa Charte de confidentialité des données personnelles disponible à l’adresse suivante : https://group.bnpparibas/uploads/file/bnpparibas_charte_confidentialite_des_donnees_personnelles.pdf

BNP Paribas Cardif (GIE BNP Paribas Cardif, Cardif Assurances Risques Divers et Cardif Assurance Vie) ( « BNP Paribas Cardif » ou « nous »), en tant que responsable du traitement, est responsable de la collecte et du traitement de vos données personnelles dans le cadre de ses activités.

Notre métier consiste à réaliser les projets de nos clients – particuliers, entrepreneurs, TPE (Très Petites Entreprises), PME (Petites et Moyennes Entreprises), grandes entreprises et investisseurs institutionnels – grâce à nos solutions d’investissement, d’épargne et d’assurance. 
En tant que membre d’un Groupe intégré de banque-assurance en collaboration avec les différentes entités du Groupe, nous fournissons à nos clients une offre complète de produits et services de banque, d’assurance et de location (LOA, LLD).

L’objectif de la présente notice est de vous expliquer comment nous traitons vos données personnelles et comment vous pouvez les contrôler et les gérer.

Le cas échéant, des informations complémentaires peuvent vous être communiquées directement au moment de la collecte de vos données personnelles.
 

1.    ÊTES-VOUS CONCERNE PAR CETTE NOTICE ?


Vous êtes concernés par cette notice, si vous êtes (“vous”) :
•    notre client ou en relation contractuelle avec nous (souscripteur/adhérent, co-souscripteur/co-adhérent, assuré) ;
•    un membre de la famille d’un client. En effet, nos clients peuvent parfois être amenés à partager avec nous des informations portant sur leur famille lorsque cela est nécessaire pour leur fournir un produit ou service ou mieux les connaître ;
•    une personne intéressée par nos produits ou services dès lors que vous nous communiquez vos données personnelles (sur nos sites et applications, lors d’événements ou d’opérations de parrainage) pour que nous vous contactions ;
•    un héritier ou ayant-droit ;
•    un co-emprunteur / garant ;
•    un représentant légal de notre client dans le cadre d’un mandat/délégation de pouvoir ;
•    un bénéficiaire d'une opération de paiement ;
•    un bénéficiaire d'un contrat ou d'une police d'assurance et d'un trust/une fiducie ;
•    un bénéficiaire effectif du bénéficiaire du Contrat ;
•    un bénéficiaire effectif (au sens de L.561-2-2 du code monétaire des financiers) d’un client personne morale ;
•    un dirigeant ou représentant légal d’un client personne morale ;
•    un donateur ;
•    un créancier (par exemple en cas de faillite) ;
•    un actionnaire de société.
Lorsque vous nous fournissez des données personnelles relatives à d’autres personnes, n’oubliez pas de les informer de la communication de leurs données et inviter les à prendre connaissance de la présente Notice. Nous prendrons soin de faire de même dès lors que nous le pouvons (c’est à dire lorsque nous avons les coordonnées des personnes et que nous y sommes autorisés).


2.    COMMENT POUVEZ-VOUS CONTRÔLER LES TRAITEMENTS QUE NOUS REALISONS SUR VOS DONNEES PERSONNELLES ?


Vous avez des droits qui vous permettent d’exercer un contrôle significatif sur vos données personnelles et sur la façon dont nous les traitons. 

Si vous souhaitez exercer les droits décrits ci-dessous, merci de nous envoyer une demande à :
•    BNP Paribas Cardif – DPO, 8 rue du Port, 92728 Nanterre Cedex-France ; ou
•    Data.protection@Cardif.com ; ou 
•    sur nos sites internet, lorque cela est possible,
avec un scan/copie de votre pièce d’identité lorsque cela est nécessaire.

Si vous avez des questions concernant l’utilisation de vos données personnelles en vertu de la présente Notice, veuillez contacter notre Délégué à la protection des données à l’adresse suivante : 
•    BNP Paribas Cardif – DPO 8 rue du Port, 92728 Nanterre Cedex-France ; ou
•    Data.protection@Cardif.com.

2.1.    Vous pouvez demander l’accès à vos données personnelles

Si vous souhaitez avoir accès à vos données personnelles, nous vous fournirons une copie des données personnelles sur lesquelles porte votre demande ainsi que les informations se rapportant à leur traitement.
Votre droit d’accès peut se trouver limité lorsque la réglementation le prévoit. C’est le cas de la réglementation relative à la lutte contre le blanchiment des capitaux et le financement du terrorisme qui nous interdit de vous donner directement accès à vos données personnelles traitées à cette fin. Dans ce cas, vous devez exercer votre droit d’accès auprès de la CNIL qui nous interrogera.

2.2.    Vous pouvez demander la rectification de vos données personnelles

Si vous considérez que vos données personnelles sont inexactes ou incomplètes, vous pouvez demander qu’elles soient modifiées ou complétées. Dans certains cas, une pièce justificative pourra vous être demandée.

2.3.    Vous pouvez demander l’effacement de vos données personnelles

Si vous le souhaitez, vous pouvez demander la suppression de vos données personnelles dans les limites autorisées par la loi.

2.4.    Vous pouvez vous opposer au traitement de vos données personnelles fondé sur l’intérêt légitime

Si vous n’êtes pas d’accord avec un traitement fondé sur l’intérêt légitime, vous pouvez vous opposer à celui-ci, pour des raisons tenant à votre situation particulière, en nous indiquant précisément le traitement concerné et les raisons. Nous ne traiterons plus vos données personnelles sauf à ce qu’il existe des motifs légitimes et impérieux de les traiter ou que celles-ci sont nécessaires à la constatation, l’exercice ou la défense de droits en justice.

2.5.    Vous pouvez vous opposer au traitement de vos données personnelles à des fins de prospection commerciale

Vous avez le droit de vous opposer à tout moment au traitement de vos données personnelles à des fins de prospection commerciale, y compris au profilage dans la mesure où il est lié à une telle prospection.

2.6.    Vous pouvez suspendre l’utilisation de vos données personnelles

Si vous contestez l’exactitude des données que nous utilisons ou que vous vous opposez à ce que vos données soient traitées, nous procéderons à une vérification ou à un examen de votre demande. Pendant le délai d’étude de votre demande, vous avez la possibilité de nous demander de suspendre l’utilisation de vos données.

2.7.    Vous avez des droits face à une décision automatisée

Par principe, vous avez le droit de ne pas faire l’objet d’une décision entièrement automatisée fondée sur un profilage ou non qui a un effet juridique ou vous affecte de manière significative. Nous pouvons néanmoins automatiser ce type de décision si elle est nécessaire à la conclusion/à l'exécution d'un contrat conclu avec nous, autorisée par la réglementation ou si vous avez donné votre consentement.
En toute hypothèse, vous avez la possibilité de contester la décision, d’exprimer votre point de vue et de demander l’intervention d’un être humain qui puisse réexaminer la décision.

2.8.    Vous pouvez retirer votre consentement

Si vous avez donné votre consentement au traitement de vos données personnelles vous pouvez retirer ce consentement à tout moment.

2.9.    Vous pouvez demander la portabilité d’une partie de vos données personnelles

Vous pouvez demander à récupérer une copie des données personnelles que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine. Lorsque cela est techniquement possible, vous pouvez demander à ce que nous transmettions cette copie à un tiers.

2.10.     Comment déposer une plainte auprès de la CNIL?

En plus des droits mentionnés ci-dessus, vous pouvez introduire une réclamation auprès de l’autorité de contrôle compétente, qui est le plus souvent celle de votre lieu de résidence, telle que la CNIL (Commission Nationale de l’Informatique et de Libertés) en France.


3.     POURQUOI ET SUR QUELLE BASE LEGALE UTILISONS-NOUS VOS DONNÉES PERSONNELLES ?
 

L’objectif de cette section est de vous expliquer pourquoi nous traitons vos données personnelles et sur quelle base légale nous nous reposons pour le justifier.

3.1.    Vos données personnelles sont traitées pour nous conformer à nos différentes obligations légales

Vos données personnelles sont traitées lorsque cela est nécessaire pour nous permettre de respecter les réglementations auxquelles nous sommes soumis, notamment les réglementations propres aux activités d’assurance et financières. 

3.1.1.    Nous utilisons vos données personnelles pour :

•    contrôler les opérations et transactions et ainsi identifier celles qui sont anormales ou inhabituelles ;
•    surveiller vos transactions et opérations pour gérer, prévenir et détecter la fraude ;
•    gérer, prévenir et déclarer les risques (de nature financière, de crédit, de nature juridique, de conformité ou liés à la réputation, etc.) auxquels le Groupe BNP Paribas est susceptible d’être confronté dans le cadre ses activités ;
•    répondre à nos obligations de lutte contre la déshérence ;
•    procéder à une évaluation du caractère approprié et de l’adéquation au profil de chaque client des produits que nous proposons conformément à la directive sur la distribution d‘assurance (DDA) de 2016 ; 
•    contribuer à la lutte contre la fraude fiscale et satisfaire nos obligations de notification et de contrôle fiscal ;
•    enregistrer les opérations à des fins comptables ;
•    prévenir, détecter et déclarer les risques liés à la Responsabilité Sociale de l’Entreprise et au développement durable ;
•    détecter et prévenir la corruption ;
•    respecter les dispositions applicables aux prestataires de service de confiance délivrant des certificats de signature électronique ;
•    échanger et signaler différentes opérations, transactions ou demandes ou répondre à une demande officielle émanant d’une autorité judiciaire, pénale, administrative, fiscale ou financière locale ou étrangère dûment autorisée, un arbitre ou un médiateur, des autorités chargées de l’application de la loi, d’organes gouvernementaux ou d’organismes publics ;
•    répondre à notre obligation d’accessibilité aux services pour les personnes handicapées, par exemple avec des outils permettant la transcription de la voix en texte (« speech-to-text »).

3.1.2.    Nous traitons aussi vos données personnelles pour lutter contre le blanchiment d’argent et le financement du terrorisme

Nous appartenons à un Groupe de banque-assurance qui doit disposer d’un système robuste de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB/FT) au niveau de nos entités, et piloté au niveau central, ainsi que d’un dispositif permettant d’appliquer les décisions de sanctions aussi bien locales, qu’européennes ou internationales. 
Dans ce contexte, nous sommes responsables de traitement conjoints avec BNP Paribas SA, maison mère du Groupe BNP Paribas (le terme « nous » dans la présente section englobe également BNP Paribas SA). 
Les traitements mis en œuvre pour répondre à ces obligations légales sont détaillées en annexe 1. 

3.2.    Vos données personnelles sont traitées pour exécuter un contrat auquel vous êtes partie ou des mesures précontractuelles prises à votre demande

Vos données personnelles sont traitées lorsqu’elles sont nécessaires à la conclusion ou l’exécution d’un contrat pour :
•    définir votre profil de risque d’assurance et déterminer une tarification associée ;
•    évaluer (par exemple sur la base de votre profil de risque d’assurance) si nous pouvons vous proposer un produit ou un service et à quelles conditions (par exemple le tarif) ;
•    vous envoyer des informations sur nos produits ou services à votre demande ; 
•    vous fournir les produits et services souscrits conformément au contrat applicable ;
•    assurer la gestion de votre contrat (notamment gérer les sinistres, les procédures d’indemnisation, le suivi des règlements, etc.) ;
•    répondre à vos demandes et vous assister dans vos démarches ;
•    souscrire (notamment via un accord par téléphone ou signature électronique) à nos produits et services ;
•    assurer le règlement de votre succession ;
•    gérer et traiter les incidents de paiement et les impayés (identification des clients en situation d'impayé et le cas échéant, exclusion de ceux-ci du bénéfice de nouveaux produits ou services).

3.3.    Vos données personnelles sont traitées pour répondre à notre intérêt légitime ou celui d’un tiers

Lorsque nous fondons un traitement sur l’intérêt légitime, nous opérons une pondération entre cet intérêt et vos intérêts ou vos libertés et droits fondamentaux pour nous assurer qu’il y a un juste équilibre entre ceux-ci. Si vous souhaitez obtenir plus de renseignements sur l’intérêt légitime poursuivi par un traitement, veuillez nous contacter en utilisant les coordonnées fournies à la section 9 « COMMENT NOUS CONTACTER ? » ci-dessus.

3.3.1.    Dans le cadre de notre activité d’assureur, nous utilisons vos données personnelles pour :

•    gérer les risques auxquels nous sommes exposés :
o    nous conservons la preuve d’opérations ou de transactions, y compris sous format électronique ;
o    nous surveillons vos transactions pour gérer, prévenir et détecter les fraudes, en contrôlant notamment celles qui semblent anormales ou inhabituelles ;
o    nous procédons à des recouvrements ;
o    nous traitons les réclamations légales et les éléments de défense en cas de litige ;
o    nous développons des modèles statistiques afin de définir votre profil de risque assurance.

•    améliorer la cybersécurité, gérer nos plateformes et sites internet, et assurer la continuité des activités ;

•    prévenir les dommages corporels et les atteintes aux personnes et aux biens via la vidéosurveillance ;

•    améliorer l’automatisation et l’efficacité de nos processus opérationnels et nos services à la clientèle (ex. acceptation automatique des sinistres, suivi de vos demandes et amélioration de votre satisfaction sur la base des données collectées lors de nos intéractions avec vous comme les enregistrements téléphoniques, les courriels ou les chats) ;

•    réaliser des opérations financières telles que les ventes de portefeuilles de dettes, les titrisations, le financement ou le refinancement du Groupe BNP Paribas ;

•    faire des études statistiques et développer des modèles prédictifs et descriptifs à des fins :

o    commerciales : pour identifier les produits et services que nous pourrions vous offrir pour répondre au mieux à vos besoins, pour créer de nouvelles offres ou identifier de nouvelles tendances chez nos clients, pour développer notre politique commerciale en tenant compte des préférences de nos clients ;

o    de suivi du risque des produits et de l’amélioration de la tarification ;

o    de sécurité: pour prévenir les potentiels incidents et améliorer la gestion de la sécurité  ;

o    de conformité (telle que la lutte contre le blanchiment de capitaux et le financement du terrorisme) et de gestion des risques ;

o    d’efficacité : optimiser et automatiser nos processus opérationnels  ;

o    de Lutte contre la fraude.

•    organiser des opérations promotionnelles ou de parrainage, effectuer des enquêtes d’opinion et de satisfaction des clients.

3.3.2.    Nous utilisons vos données personnelles pour vous envoyer des offres commerciales par voie électronique, courrier papier et téléphone

En tant qu'entité du Groupe BNP Paribas, nous voulons être en mesure de vous offrir l'accès à l’ensemble de notre gamme de produits et services répondant le mieux à vos besoins.
Dès lors que vous êtes client et sauf opposition de votre part, nous pourrons vous adresser ces offres par voie électronique pour nos produits et services et ceux du Groupe dès lors qu’ils sont similaires à ceux que vous avez déjà souscrits. 
Nous veillons à ce que ces offres commerciales portent sur des produits ou services en lien avec vos besoins et complémentaires à ceux que vous avez déjà pour s’assurer du juste équilibre entre nos intérêts respectifs.

Nous pourrons aussi vous adresser par téléphone et courrier postal, sauf opposition de votre part, les offres concernant nos produits et services ainsi que ceux du Groupe et de nos partenaires de confiance.

3.3.3.    Nous analysons vos données personnelles pour réaliser un profilage standard afin de personnaliser nos produits et nos offres

Pour améliorer votre expérience et votre satisfaction, nous avons besoin de déterminer à quel panel de clients vous appartenez. Pour cela, nous établissons un profil standard à partir des données pertinentes que nous sélectionnons parmi les informations :
•    que vous nous avez directement communiquées lors de nos interactions avec vous ou encore lors de la souscription d’un produit ou d’un service ;
•    issue de votre utilisation de nos divers canaux : sites et applications (comme par exemple si vous êtes appétent au digital, si vous préférez un parcours client pour souscrire à un produit ou service avec plus d’autonomie (selfcare)).

Sauf opposition de votre part, nous réaliserons cette personnalisation basée sur une profilage standard. Nous pourrons aller plus loin pour mieux répondre à vos besoins, si vous y consentez, en réalisant une personnalisation sur mesure comme indiqué ci-dessous.

3.3.4.    Vos données personnelles sont traitées si vous y avez consenti

Pour certains traitements de données personnelles, nous vous donnerons des informations spécifiques et vous demanderons votre consentement. Nous vous rappelons que vous pouvez retirer votre consentement à tout moment.
En particulier, nous vous demandons votre consentement pour :
•    Une personnalisation sur-mesure de nos offres et nos produits ou services basée sur des profilages plus sophistiqués permettant par exemple d’anticiper vos besoins et comportements ;
•    Toute offre par voie électronique portant sur des produits et services non similaires à ceux que vous avez souscrits ou des produits et services de nos partenaires de confiance ;
•    Une personnalisation de nos offres, produits et services sur la base des données de vos comptes souscrits auprès de nos partenaires bancaires, distributeurs de nos produits;
•    Utiliser vos données de navigation (cookies) à des fins commerciales ou pour enrichir la connaissance de votre profil ;
•    Traiter des données sur votre état de santé, lorsque cela s’avère nécessaire notamment pour évaluer votre profil de risque et permettre la conclusion d’un contrat, pour assurer la mise en œuvre des garanties du contrat, ou pour permettre l’amélioration de nos processus internes (améliorer nos parcours en diminuant les formalités médicales, assurer une meilleure évaulation du risque, etc.) ;
•    Traiter des données relatives à vos croyances religieuses ou philosophiques, notamment lorsque que vous souscrivez à un contrat d’obsèques dans lequel vous donnez des indications sur le type de cérémonie que vous souhaitez (civile, religieuse dans le respect d’un certain culte, etc.) ; 
•    Procéder à des traitements ultérieurs pour de nouvelles finalités incompatibles avec  celles pour lesquelles vos données ont été initialement collectées ;
•    Procédér à une prise de décision entièrement automatisée, qui produit des effets juridiques ou qui vous affecte de manière significative. A ce moment-là, nous vous informerons de manière séparée de la logique sous-jacente de cette décision, ainsi que de l'importance et des conséquences liées à ce traitement

D’autres consentements au traitement de vos données personnelles pourront vous être demandés lorsque cela est nécessaire.
 

4.    QUELS TYPES DE DONNEES PERSONNELLES COLLECTONS-NOUS ?
 

Nous collectons et utilisons vos données personnelles, à savoir toute information qui vous identifie ou permet de vous identifier.

En fonction notamment de la catégorie de personne dont vous faites partie, du type de produit ou de service que nous vous fournissons et des échanges que nous avons avec vous, nous collectons différents types de données personnelles vous concernant, y compris :
•    Données d’identification : par exemple, nom complet, genre, lieu et date de naissance, nationalité, numéro de carte d’identité, numéro de passeport, numéro de permis de conduire, photo, signature ;
•    Informations de contact privées ou professionnelles : par exemple, adresse postale, adresse de courrier électronique, numéro de téléphone ;
•    Informations relatives à votre situation patrimoniale et vie de famille : par exemple, des éléments relatifs à votre siuation matrimoniale (mariage, pacs, vie martiale,…), à la composition de votre foyer (nombre de personnes, âge, emploi et études), aux bien possédés (appartement ou maison), à la capacité et au régime de protection (minorité, tutelle, curatelle,…) ;
•    Moments importants de votre vie : par exemple, lorsque vous venez de vous marier, de divorcer, de vivre en couple, d’avoir des enfants ;
•    Mode de vie : vos loisirs et centres d’intérêts, voyages, votre environnement (nomade, sédentaire) ;
•    Informations économiques, financières et fiscales : par exemple, identifiant fiscal, statut fiscal, pays de résidence, salaire et autres revenus, patrimoine immobilier et mobilier, encours et endettements, avoirs financiers, données d’imposition, crédits, capital souscrit/remboursé, situation de surendettement ou d’ouvrant-droit à avantages (bénéficiaires CMU-ACS, RSA, …) ;
•    Informations relatives à l’éducation et à l’emploi : par exemple, la catégorie socioprofessionnelle, le domaine d’activité, la profession et selon les catégories de contrat: l’employeur, les catégories de personnels assurés, la branche, la convention collective, le n° SIRET / SIREN, la raison sociale, les revenus ou le chiffre d’affaires, la date prévisionnelle de départ à la retraite, le régime fiscal, les compétences et qualifications professionnelles, les justificatifs de demandeur d’emploi ;
•    Informations en lien avec les produits et services que vous détenez : par exemple, coordonnées bancaires, produits et services détenus et utilisés (assurance, épargne et investissements, etc.), le numéro d’identification du client, de l’assuré, du contrat, du dossier sinistre, les créances en cours, les références de l’apporteur, des coassureurs et des réassureurs, la durée, les montants, l’autorisation de prélèvement, les données relatives aux moyens de paiement ou relatives aux transactions telles que le numéro de la transaction, le détail de l’opération relative au produit ou service souscrit, les impayés, le recouvrement ;
•    Données nécessaires au paiement de la prime d’assurance : par exemple, le numéro de chèque, de carte bancaire, la date de validité de la carte bancaire, des références bancaires (RIB/IBAN) ;
•    Données relatives à la détermination ou à l’évaluation des préjudices et des prestations : par exemple des données liées au sinistre (la nature et les circonstances du sinistre, la description des atteintes aux biens et/ou aux personnes, les PV de gendarmerie et autres rapports d’enquête, les rapports d’expertise), aux victimes (la nature et l’étendue des préjudices subis, le taux invalidité/incapacité, les rentes, le capital décès, les montants des prestations, données permettant de déterminer les obligations fiscales de la personne concernée, les modalités de règlement, la réversion, les indemnités chômage, les montants remboursés par la sécurité sociale pour les complémentaires frais de soins), ainsi que des données issues de pages internet ouvertes au public pour la recherche des bénéficiaires des contrats en déshérence ;
•    Le NIR dans les conditions prévues par le décret du 19 avril 2019 : dans le cadre notamment de la protection sociale, de la passation, la gestion et l’exécution du contrat, pour la luttre contre la déshérence en assurance vie, contre le blanchiment de capitaux et le financement du terrtorisme, et contre la fraude ;

•    Informations relatives aux déclarations de sinistres : par exemple, historique des déclarations de sinistres, comprenant les indemnités payées et les rapports d'expert, les informations sur les victimes ;
•    Données relatives à vos habitudes et préférences en lien avec l’utilisation de nos produits et services ;
•    Données collectées dans le cadre de nos interactions avec vous :  vos commentaires, suggestions, besoins collectés lors de nos échanges avec vous en ligne lors de communications téléphoniques (conversation), discussions par courrier électronique, chat, chatbot, échanges sur nos pages sur les réseaux sociaux et vos dernières réclamations/plaintes. Vos données de connexion et de suivi telles que les cookies et traceurs à des fins non publicitaires ou analytiques sur nos sites Internet, nos services en ligne, nos applications, nos pages sur les réseaux sociaux ;
•    Données du système de vidéoprotection (dont les caméras de vidéosurveillance) et de géolocalisation
•    Données concernant vos appareils (téléphone portable, ordinateur, tablette, etc.) : adresse IP, caractéristiques techniques et données d’identification uniques ;
•    Identifiants de connexion ou dispositifs de sécurité personnalisés utilisés pour vous connecter aux sites Internet et aux applications de BNP Paribas Cardif ;

•    Données révèlant votre état de santé lorsque cela s’avère nécessaire pour la conclusion ou la gestion de votre contrat : questionnaires de santé, formalités médicales supplémentaires,  fiches de soin, etc. ;

•    Croyances religieuses et philosophiques : lorsque vous donnez des indications sur le type de cérémonie funéraire que vous souhaitez avoir dans le cadre d’un contrat d’obsèques.


5.    AUPRES DE QUI COLLECTONS-NOUS DES DONNNEES PERSONNELLES ?
 

Nous collectons des données personnelles directement auprès de vous, cependant nous pouvons aussi collecter des données personnelles auprès d’autres sources.

Nous collectons parfois des données provenant de sources publiques :
•    des publications/bases de données mises à disposition par des autorités ou des tierces parties officielles (par exemple le Journal Officiel de la République Française, le Registre du Commerce et des Sociétés, les bases de données gérées par des autorités de contrôle du secteur financier) ;
•    des sites Internet/pages des réseaux sociaux d’entités juridiques ou de clients professionnels contenant des informations que vous avez rendues publiques (par exemple, votre propre site Internet ou votre page sur un réseau social) ;
•    des informations publiques telles que celles parues dans la presse.

Nous collectons aussi des données personnelles de tierces parties :
•    d’autres entités du Groupe BNP Paribas ; 
•    de nos clients (entreprises ou particuliers) ; 
•    de nos partenaires commerciaux et notamment les distributeurs ou gestionnaires de nos produits ; 
•    de nos co-assureurs ;
•    de prestataires de services d’initiation de paiement et d’agrégateurs de compte (prestataires de services d’information sur les comptes) ; 
•    des prestataires spécialisés dans la fiabilisation et l’enrichissement des données ;
•    des tiers tels que les agences de prévention de la fraude ;
•    des courtiers de données qui sont chargés de s’assurer qu’ils recueillent des informations pertinentes de manière légale.


6.    AVEC QUI PARTAGEONS-NOUS VOS DONNEES PERSONNELLES ET POURQUOI ?
 

a.    1. Avec les entités du Groupe BNP Paribas

En tant que société membre du Groupe BNP Paribas, nous collaborons étroitement dans le monde entier avec les autres sociétés du groupe. Vos données personnelles pourront ainsi être partagées entre les entités du Groupe BNP Paribas, lorsque c’est nécessaire, pour :
•    nous conformer à nos différentes obligations légales et réglementaires décrites précédemment ;
•     répondre à nos intérêts légitimes qui sont de :
o    gérer, prévenir, détecter les fraudes ;
o    faire des études statistiques et développer des modèles prédictifs et descriptifs à des fins commerciales, de sécurité, de conformité, d’efficacité commerciale, de gestion des risques et de lutte contre la fraude ;
o    améliorer la fiabilité de certaines données vous concernant détenues par d’autres entités du Groupe ;
o    vous offrir l’accès à l’ensemble des produits et services du Groupe répondant le mieux à vos envies et besoins ;
o    personnaliser le contenu et les prix des produits et services.

a.    2. Avec les entités du Groupe BNP Paribas qui distribuent nos produits

Des échanges de données personnelles entre nos distributeurs intra-groupe et nous sont plus fréquents qu’avec les autres entités du Groupe BNP Paribas qui n’interviennent pas dans la distribution et/ou la commercialisation de nos produits. 
Vos données personnelles sont donc susceptibles d’être partagées entre nos distributeurs intra-groupe et nous lorsque : 
•    Vous souhaitez souscrire à un contrat d’assurance Cardif et avez entrepris des démarches auprès d’une entité du Groupe BNP Paribas agissant en tant que distributeur de nos produits ;
•    Vous avez souscrit un contrat d’assurance Cardif auprès d’une entité du Groupe BNP Paribas ;
•    Vous êtes bénéficiaire d’un contrat d’assurance Cardif distribué par une entité du Groupe BNP Paribas.

Les données personnelles partagées entre nos distributeurs intra-groupe et nous peuvent être :
•    des données collectées par une entité du Groupe BNP Paribas au moment de la souscription ou durant l’exécution d’un de vos contrats d’assurance Cardif ; ou 
•    des données préalablement collectées par une entité du Groupe BNP Paribas lors de la souscription ou de l’exécution d’un contrat hors assurance. 

En plus de celles évoquées ci-dessus ( paragraphe 6.a.1.), vos données personnelles sont susceptibles d’être partagées entre nos distributeurs intra-groupe et nous pour les finalités suivantes :
•    adapter la distribution, le contenu et les tarifs de nos produits et services sur la base de votre profil ;
•    permettre à nos distributeurs intra-groupe de proposer des contrats et/ou des garanties complémentaires en cohérence avec votre situation familiale, patrimoniale et professionnelle ;
•    vérifier l’adéquation de votre profil sur la base des critères du marché cible défini ;
•    faciliter la conclusion et l’exécution de nos contrats d’assurance souscrits auprès d’une entité du Groupe BNP Paribas en limitant vos démarches ;
•    digitaliser notre relation avec vous, notamment lorsque vous avez déjà opté pour une relation digitalisée avec une entité du Groupe BNP Paribas.

Les traitements qui sont mis en œuvre sur la base de vos données personnelles détenues par nos distributeurs intra-groupe et nous font l’objet d’une pondération entre les intérêts légitimes que nous poursuivons et vos intérêts ou vos libertés et droits fondamentaux pour nous assurer qu’il y a un juste équilibre entre ceux-ci.

b.    Avec des destinataires, tiers au Groupe BNP Paribas et des sous-traitants

Afin de réaliser certaines des finalités décrites dans la présente Notice, nous sommes susceptibles lorsque cela est nécessaire de partager vos données personnelles avec :
•    des sous-traitants qui réalisent des prestations pour notre compte par exemple des services informatiques, des services d’impression, de télécommunication, de recouvrement, de conseil, de distribution et de marketing ;
•    des partenaires commerciaux qui distribuent nos produits, ou qui interviennent dans la conception et la commercialisation de nos produits ;
•    des partenaires commerciaux qui assurent pour notre compte la gestion de nos contrats ;
•    des prestataires spécialisés dans la fiabilisation et l’enrichissement de données ;
•    des agents indépendants, des intermédiaires ou des courtiers, des institutions financières, des contreparties, des référentiels centraux avec qui nous avons des liens si un tel transfert est nécessaire pour vous fournir des services ou des produits ou pour satisfaire à nos obligations contractuelles ou mener à bien des transactions (par exemple : des banques, des banques correspondantes, des dépositaires, des émetteurs de titres, des agents payeurs, des plates-formes d’échange, des compagnies d’assurances, des opérateurs de système de paiement, des émetteurs ou des intermédiaires de cartes de paiement, les sociétés de caution mutuelle ou organisme de garantie financière) ;
•    des autorités financières, fiscales, administratives, pénales ou judiciaires, locales ou étrangères, des arbitres ou des médiateurs, des autorités ou des établissements ou institutions publics (tels que la Banque de France, la Caisse des dépôts et des Consignation), à qui nous ou tout membre du Groupe BNP Paribas sommes tenus de divulguer des données :
o    à leur demande ;
o    dans le cadre de notre défense, une action ou une procédure ;
o    afin de nous conformer à une réglementation ou une recommandation émanant d’une autorité compétente à notre égard ou à l’égard de tout membre du Groupe BNP Paribas.
•    des prestataires de services de paiement tiers (informations concernant vos comptes bancaires), pour les besoins de la fourniture d’un service d’initiation de paiement ou d’information sur les comptes si vous avez consenti au transfert de vos données à cette tierce partie ;
•    certaines professions réglementées telles que des avocats, des notaires, ou des commissaires aux comptes lorsque des circonstances spécifiques l’imposent (litige, audit, etc.) ainsi qu’à nos assureurs ou tout acheteur actuel ou potentiel des sociétés ou des activités du Groupe BNP Paribas ;
•    des organismes de sécurité sociale lorsqu'ils interviennent dans le cadre de demandes d'indemnisation ou lorsque nous offrons des prestations complémentaires aux prestations sociales ;
•    des agences de renseignement commercial ;
•    des parties intéressées au contrat telles que :
o    le détenteur du contrat, le souscripteur, les parties assurées et leurs représentants ;
o    les cessionnaires et subrogataires de contrats ;
o    les personnes responsables du sinistre, les victimes, leurs représentants et les témoins.
 

7.    TRANSFERTS INTERNATIONAUX DE DONNÉES PERSONNELLES
 

En cas de transferts internationaux depuis l’Espace économique européen (EEE) vers un pays n’appartenant pas à l’EEE, le transfert de vos données personnelles peut avoir lieu sur la base d’une décision rendue par la Commission européenne, lorsque celle-ci a reconnu que le pays dans lequel vos données seront transférées assure un niveau de protection adéquat. 
En cas de transfert de vos données vers un pays dont le niveau de protection de vos données n’a pas été reconnu comme adéquat par la Commission européenne, soit nous nous appuierons sur une dérogation applicable à votre situation spécifique (par exemple, si le transfert est nécessaire pour exécuter un contrat conclu avec vous, comme notamment lors de l’exécution d’un paiement international) ou nous prendrons l’une des mesures suivantes pour assurer la protection de vos données personnelles :
• des clauses contractuelles types approuvées par la Commission européenne.

Pour obtenir une copie de ces mesures visant à assurer la protection de vos données ou recevoir des détails relatifs à l’endroit où elles sont accessibles, vous pouvez nous adresser une demande écrite à :
BNP Paribas Cardif - DPO
8 rue du Port, 92728 Nanterre Cedex-France
 

8.    PENDANT COMBIEN DE TEMPS CONSERVONS-NOUS VOS DONNÉES PERSONNELLES ?
 

Nous conservons vos données personnelles pendant la durée nécessaire au respect des législations et des réglementations applicables, ou pendant une durée définie au regard de nos contraintes opérationnelles, telles que la tenue de notre comptabilité, une gestion efficace de la relation client, ainsi que pour faire valoir nos droits en justice ou répondre à des demandes des organismes de régulation.

Lorsqu’un contrat est conclu :

Les données des clients sont en majorité conservées pendant la durée de la relation contractuelle à laquelle s'ajoute la période légale de prescription des réclamations en vertu de ce contrat (allant de 2 ans jusqu’à 30 ans pour certains contrats), à moins que les dispositions légales ou règlementaires dérogatoires n'exigent une période de conservation plus longue ou plus courte.

En l’absence de conclusion d’un contrat :

Vos données sont conservées pendant 3 ans à compter de leur collecte ou du dernier contact que nous avons eu avec vous.

Si nous avons collecté des données relatives à votre santé, celles-ci sont conservées pendant un délai maximal de 5 ans dès lors qu'aucun contrat n'a été conclu (l'objectif est de pouvoir répondre à vos demandes ou fournir des preuves en cas de litige sur la décision de ne pas conclure de contrat d'assurance notamment).

Autres durées de conservation :

Les informations relatives à votre carte bancaire sont conservées pendant une période de 13 mois à partir de la date du débit (excepté le code CVC qui n'est pas conservé dans notre système).

Les enregistrements téléphoniques aux fins d'amélioration de la qualité des services et de la formation de notre personnel sont conservés pendant 6 mois. Les documents d'analyse résultant de ces enregistrements sont conservés pendant 1 an.

Les informations relatives à votre identité et délivrées lors d‘une demande d'exercice des droits sont conservées durant la période nécessaire à la réponse de votre demande. 

Pour disposer d’une information plus précise sur les durées de conservation de vos données personnelles, vous pouvez consulter l’Annexe 2.


9.    COMMENT SUIVRE LES ÉVOLUTIONS DE CETTE NOTICE DE PROTECTION DES DONNÉES PERSONNELLES ?
 

Dans un monde où les technologies évoluent en permanence, nous revoyons régulièrement cette Notice et la mettons à jour si besoin.

Nous vous invitons à prendre connaissance de la dernière version de ce document en ligne, et nous vous informerons de toute modification significative par le biais de notre site Internet ou via nos canaux de communication habituels.


Annexe 1

Traitement des données personnelles pour lutter contre le blanchiment d’argent et le financement du terrorisme


Nous appartenons à un Groupe bancaire qui doit disposer d’un système robuste de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB/FT) au niveau des entités, piloté au niveau central, d’un dispositif de lutte contre la corruption, ainsi que d’un dispositif permettant le respect des Sanctions internationales (il s’agit de toutes les sanctions économiques ou commerciales, y compris toutes les lois, les règlements, mesures de restriction, embargo ou gel des avoirs, décrétés, régis, imposés ou mis en œuvre par la République Française, l’Union européenne, le US departement of the Treasury’s Office of Foreign Asset Control, et toute autorité compétente dans le territoire où nous sommes établis).  
Dans ce contexte, nous sommes responsables de traitement conjoints avec BNP Paribas SA, maison mère du Groupe BNP Paribas (le terme « nous » utilisé dans la présente section englobe donc également BNP Paribas SA).  
A des fins de LCB/FT et de respect des Sanctions internationales, nous mettons en œuvre les traitements listés ci-après pour répondre à nos obligations légales : 
•    Un dispositif de connaissance de la clientèle (KYC – Know Your Customer) raisonnablement conçu pour identifier, mettre à jour et confirmer l’identité de nos clients, y compris celle de leurs bénéficiaires effectifs et de leurs mandataires le cas échéant ; 
•    Des mesures d’identification et de vérification renforcées des clients à risque élevé, des Personnes Politiquement Exposées « PPE » (les PPE sont des personnes désignées par la réglementation qui du fait de leurs fonctions ou position (politiques, juridictionnelles ou administratives ) sont plus exposées à ces risques) ainsi que des situations à haut risque ; 
•    Des politiques et des procédures écrites, ainsi que des contrôles raisonnablement conçus pour s’assurer que la Banque n’entre pas en relation - ni ne maintient - de relation avec des Banques fictives ; 
•    Une politique, basée sur son évaluation des risques et de la situation économique, consistant à ne généralement pas exécuter ou s’engager dans une activité ou relation d’affaires, quelle que soit la devise : 
o    pour, pour le compte de, ou au bénéfice de toute personne, entité ou organisation faisant l’object de Sanctions par la République Française, l’Union européenne, les Etats-Unis, les Nations-Unies, ou, dans certains cas, d’autres sanctions locales dans les territoires dans lesquels le Groupe opère ;  
o    impliquant, directement ou indirectement des territoires sous sanctions dont la Crimée/Sébastopol, Cuba, l’Iran, la Corée du Nord ou la Syrie ; 
o    impliquant des institutions financières ou des territoires qui pourraient être liés à, ou contrôlés, par des organisations terroristes, reconnues en tant que telles par les autorités compétentes en France, au sein de l’Union européenne, des Etats-Unis ou de l’ONU. 
•    Le filtrage de nos bases clients et des transactions, raisonnablement conçu pour assurer le respect des lois applicables ; 
•    Des systèmes et processus visant à détecter les opérations suspectes, et effectuer les déclarations de soupçon auprès des autorités concernées ; 
•    Un programme de conformité raisonnablement conçu pour prévenir et détecter la corruption et le trafic d’influence conformément à la loi « Sapin II », au U.S FCPA, et au UK Bribery Act. 
 
Dans ce cadre, nous sommes amenés à faire appel :  
o    à des services fournis par des prestataires externes tels que Dow Jones Factiva (fourni par Dow Jones & Company, Inc.) et le service World-Check (fourni par les prestataires REFINITIV, REFINITIV US LLC et London Bank of Exchanges) qui tiennent à jour des listes de PPE ; 
o    aux informations publiques disponibles dans la presse sur des faits en lien avec le blanchiment d’argent, le financement du terrorisme ou des faits de corruption ;  
o    à la connaissance d’un comportement ou d’une situation à risque (existence de déclaration de soupçons ou équivalent) qui peuvent être identifiés au niveau du Groupe BNP Paribas. 
Nous procédons à ces contrôles lors de l’entrée en relation, mais également tout au long de la relation que nous entretenons avec vous, sur vous-même, mais également sur les transactions que vous réalisez. A l’issue de la relation et si vous avez fait l’objet d’une alerte, cette information sera conservée afin de vous identifier et d’adapter notre contrôle si vous entrez de nouveau en relation avec une entité du Groupe BNP Paribas, ou dans le cadre d’une transaction à laquelle vous êtes partie.   
Pour répondre à nos obligations légales, nous échangeons entre entités du Groupe BNP Paribas des informations collectées à des fins de LCB/FT, de lutte contre la corruption ou d’application des Sanctions internationales. Lorsque vos données sont échangées avec des pays hors de l’Espace Economique Européen ne présentant pas un niveau de protection adéquat, les transferts sont encadrés par les clauses contractuelles types de la Commission Européenne. Lorsque pour répondre à des réglementations de pays non-membres de l’UE, des données complémentaires sont collectées et échangées, ces traitements sont nécessaires pour permettre au Groupe BNP Paribas et à ses entités de respecter à la fois leurs obligations légales, et d’éviter des sanctions localement ce qui constitue notre intérêt légitime.

 

Annexe 2

Durées de conservation des données


Les durées de conservation correspondent aux délais pendant lesquels nous pouvons être amenés à traiter la donnée collectée.

En l’absence de conclusion d’un contrat

Gestion de la prospection

SI vous êtes un prospect, nous conservons vos données pendant un délai de 3 ans à compter de leur collecte ou du dernier contact émanant de vous. 
Au terme de ce délai, nous pourrons reprendre contact avec vous pour vous demander si vous souhaitez toujours recevoir des sollicitations commerciales. En l’absence de réponse positive, nous supprimerons vos données.

Données de santé

Les données de santé sont conservées pendant une durée maximale de 5 ans à compter de leur collecte ou du dernier contact émanant de vous (2 ans en base active et 3 ans en archivage intermédiaire).
Cette durée se justifie dans la mesure où nous devons pouvoir répondre à vos demandes en cas de contestation à la suite d’un refus ou mise en cause de votre responsabilité, ou en cas de demandes de médiation.

Statistiques de mesures d’audience

Les cookies traceurs ont une durée de vie de 13 mois maximum et les informations collectées par l’intermédiaire de ces traceurs sont conservés pendant 25 mois maximum. 

Lorsqu’un contrat est conclu

La durée de conservation tient compte de deux paramètres : 
-    la durée de l’engagement ;
-    le délai de prescription (c’est-à-dire le délai pendant lequel le bénéficiaire du droit peut agir pour demander à en bénéficier, dont le point de départ varie en fonction de l’action). 
Enfin, d’une façon générale, sur le plan comptable, nous devons être en mesure de présenter, pendant une durée de 10 ans, tout document nécessaire pour prouver le paiement et le montant du paiement. 

1/ Durées de conservation légales ou réglementaires applicables aux sociétés d’assurance
Nous prenons en compte :


• les délais de conservation des documents sur lesquels peuvent s’exercer les droits de communication, d’enquête et de contrôle des autorités fiscales : 6 ans (dans certains cas 10 ans) à compter de la date de la dernière opération mentionnée sur les livres ou registres ou de la date à laquelle les documents ou pièces ont été établis (article L.102 B du Livre des procédures fiscales); 
• les délais de conservation des documents et informations relatifs au client et aux opérations faites par ceux-ci dans le cadre de la lutte contre le blanchiment et le financement du terrorisme: 5 ans à compter de la clôture de leurs comptes ou de la cessation de la relation ou à compter de l’exécution des opérations. (article L. 561-12 du Code monétaire et financier). 
• les délais de conservation de l’écrit qui constate les contrats conclus par voie électronique et portant sur une somme supérieure à 120€ : 10 ans à compter de la conclusion du contrat (L. 213-1 du Code de la consommation). 

2/ Durées de conservation et règles de prescription propres aux contrats d’assurance

Nous prenons en compte, pour chaque type de contrat, les délais de prescription prévus par le Code civil et le Code de procédure pénale et les délais de prescription spécifiques prévus par le Code des assurances.

Garanties Responsabilité Civile

a. En cas de sinistre matériel, les données sont conservées le temps de gestion du sinistre et jusqu’à 10 ans à compter de sa clôture.

b. En cas de sinistre corporel, les données sont conservées le temps de gestion du sinistre et jusqu’à 50 ans à compter de sa clôture.

c. En cas d’absence de sinistre:

• Pour les garanties RC en base « réclamation »: Selon la durée de la garantie subséquente, les données rattachées au contrat peuvent être conservées 12 ans à compter de la résiliation du contrat. 
• Pour les garanties RC en base « fait dommageable »: Les données rattachées au contrat peuvent être conservées 22 ans à compter de la résiliation du contrat (20 ans selon la prescription prévue par le Code civil pour l’action de la victime contre le responsable + 2 ans selon la prescription prévue par le  Code des assurances pour l’assuré contre son assureur).


Garanties dommages (hors cas particuliers)

Les données sont conservées 10 ans à compter de la clôture du sinistre ou de la résiliation du contrat.

Assurance vie – En cas de vie

Les données sont conservées 30 ans à compter du rachat total ou de la résiliation.

Assurance vie – En cas de décès

Les données sont conservées 30 ans à compter du décès.

Assurance Emprunteur

Les données sont conservées 20 ans à compter de la fin des engagements contractuels.

Assurance complémentaire - Prévoyance

Les données sont conservées 20 ans après le paiement de la prestation ou de la résiliation du contrat.

Assurance de produits affinitaires

Les données sont conservées 5 ans à compter de la résiliation du contrat.