Déclaration de confidentialité de l’application Cembra

1. Quel est l'objet de la présente déclaration de confidentialité?

Nous accordons une grande importance tant à la protection des données à caractère personnel vous concernant qu’au traitement équitable et transparent des données. C’est la raison pour laquelle nous souhaitons vous informer des traitements des données que nous opérons et mettre à votre disposition les informations dont vous aurez besoin pour exercer vos droits.
Vous trouverez de plus amples informations dans les conditions générales, applicables à chaque produit et prestation de service spécifiques sur notre site Internet, ainsi que dans les conditions régissant les programmes de fidélité de nos partenaires de coopération (voir énumération au point 6) et, le cas échéant, dans d’autres politiques de confidentialité.

2. Qui sommes-nous?

Le responsable du traitement des données, au sens de la présente politique de confidentialité, est l’entreprise suivante: («nous» ou «Cembra»):
Cembra Money Bank SA
Bändliweg 20
8048 Zürich
Suisse

Notre délégué à la protection des données (Data Governance Officer) se tient à votre entière disposition pour toutes questions et préoccupations liées à la protection des données au sein de notre banque:
Cembra Money Bank SA
Data Governance Officer
Bändliweg 20
8048 Zurich
Suisse

Nous avons également désigné un représentant au sein de l’Union européenne (UE):
activeMind.legal
Kurfürstendamm 56
10707 Berlin
Allemagne

3. Dans quelles circonstances la présente déclaration de confidentialité est-elle applicable, à qui et à quoi est-elle destinée?

La présente politique de confidentialité est applicable à chaque traitement de données à caractère personnel dans le cadre de nos activités, tous secteurs confondus, ainsi qu’à l’utilisation d’applications mises à disposition par Cembra (p. ex. l’application Cembra). Elle est applicable aussi bien aux données à caractère personnel dont nous sommes déjà en possession qu’à celles dont nous prendrons connaissance à l’avenir.

4. Quelle est la nature des données à caractère personnel traitées? Quels sont leurs sources, les finalités et les fondements juridiques de leur traitement?

4.1. Provenance des données à caractère personnel

Les données à caractère personnel que nous traitons proviennent d’une part des informations que vous avez mises à notre disposition, en tant que client existant ou futur, et d’autre part de sources publiquement accessibles (p. ex. médias ou Internet), de sociétés membres du Groupe Cembra, d’instance étatiques (p. ex. les autorités de contrôle des habitants, le registre foncier, le registre du commerce ou les offices des poursuites) et de tiers (p. ex. les agents externes contrôle de solvabilité, le centre d’information des crédits [ZEK] ou le centre de renseignements pour le crédit à la consommation [IKO]).

4.2. Catégories de données à caractère personnel

a) Dans le cadre de la préparation ou de l’exécution du contrat, nous traitons des données à caractère personnel de nature différente, p. ex. les informations personnelles (nom, adresse et autres coordonnées, date et lieu de naissance ainsi que nationalité), des données de légitimation (p. ex. données mentionnées sur la carte d’identité) et des données d’authentification (p. ex. spécimens de signature, modèles de comportement et de déplacement). Au-delà, il peut également s’agir de données relatives aux ordres, aux transactions et à la gestion des risques (p. ex. données relatives aux transactions financières, données liées au conseil et données liées à l’exécution des contrats), d’informations concernant votre situation financière (p. ex. indications concernant vos revenus et votre patrimoine, données relatives à la solvabilité, données relatives au scoring/rating (voir explications au point 4b), indications concernant l’origine des valeurs patrimoniales, conventions de prêts en cours ou achevées), des informations relatives aux impôts (indications concernant le domicile fiscal et, le cas échéant, d’autres documents et informations pertinents au niveau fiscal) ainsi que des données relatives aux contrats et à la documentation (p. ex. informations concernant le compte, le dépôt, les affaires conclues ou concernant des tiers, tels que le partenaire de vie ou des fondés de pouvoir, procès-verbaux de conseil et procès-verbaux d’entretiens).

b) Lorsque vous vous connectez à notre application Cembra ou utilisez cette dernière, nous traitons des données relatives à votre terminal (p. ex. indications relatives au fabricant et au type de l’appareil, identifiant de l’appareil et l’adresse IP), vos données d’accès Cembra (p. ex. code d’accès) ou vos paramètres de préférences (p. ex. enregistrement du nom d’utilisateur ou des clés de connexion, ou encore utilisation d’autres fonctions de connexion [p. ex. Face ou Touch ID]). En outre, nous traitons des données en lien avec l’utilisation de l’application Cembra (p. ex. nombre d’accès à l’application avec date et heure), votre accord aux conditions d’utilisation de l’application Cembra ou à d’autres conditions de Cembra ainsi que des données liées à votre produit bancaire enregistré dans l’application Cembra (p. ex. données de transactions par carte de crédit, factures mensuelles ou paiements). Si vous communiquez avec nous par e-mail, nous conservons les informations échangées ainsi que vos coordonnées. Nous sommes également susceptibles de traiter des données concernant votre comportement ou vos préférences. Si nécessaire, nous recueillerons votre consentement au préalable.

c) Lors de la consultation de sites web ou de l’utilisation d’eService, nous traitons, en fonction de l’offre et de la fonctionnalité, des informations telles que les données de journal, des indications sur l’heure d’accès à notre site web, la durée de la visite ainsi que les pages consultées.
Les données à caractère personnel réputées particulièrement sensibles sont des données qui bénéficient d’une protection accrue (p. ex. informations sur l’origine ethnique, les opinions politiques, les croyances religieuses et philosophiques, les données génétiques et biométriques, les données relatives à la santé ou les informations sur les condamnations pénales). Ces données sont uniquement traitées sur la base de votre consentement ou en se fondant sur une base légale.
Veuillez noter que le consentement donné pour le traitement de données non considérées comme données particulièrement sensibles – pour le cas où ce consentement serait demandé – est généralement demandé pour d’autres raisons, selon les spécificités du cas d’espèce, p. ex. pour se conformer aux dispositions relatives au secret bancaire. Un tel consentement n’affecte en rien le fait que le traitement des données à caractère personnel qui ne revêtent pas un caractère particulièrement sensible ne se base pas sur le consentement mais sur les bases légales exposées ci-après.
Nous traitons notamment les données à caractère personnel dans les situations suivantes, aux finalités suivantes et sur la base des fondements juridiques décrits ci-après. Les traitements de données peuvent avoir plusieurs fondements juridiques.

4.3. Buts du traitement des données

a. Conclusion, exécution et opposabilité des contrats
Les données à caractère personnel sont traitées pour l’exécution de transactions bancaires et pour la fourniture de prestations de services financiers dans le cadre de la conclusion, de l’exécution et de la mise en application de nos contrats conclus avec nos clients ou pour la mise en œuvre de mesures précontractuelles réalisées à votre demande. Les finalités du traitement des données dépendent en premier lieu du produit spécifique concerné et peuvent englober, notamment, l’ouverture, la gestion et la liquidation de compte, le conseil et le suivi, l’exécution de transactions ainsi que les analyses des besoins. Pour plus de détails sur les finalités du traitement des données, veuillez consulter les documents contractuels et conditions générales respectifs et, le cas échéant, d’autres documents qui ont été mis à votre disposition.

b. Utilisation de l’application Cembra
Lorsque vous installez et utilisez notre application Cembra, nous traitons vos données à caractère personnel en particulier afin:

• de faciliter l'enregistrement et la connexion, notamment pour garantir votre authentification avant l’utilisation de l’application Cembra et avant la transmission d’instructions à la banque, et pour vous permettre d’utiliser l’application;
• de vous garantir une connexion sûre entre l’application Cembra et le terminal mobile;
• de garantir l’envoi de demandes de confirmation (p. ex. notifications push ou codes SMS afin de vérifier ou de confirmer une transaction par carte de crédit suspecte) ou d’informations en lien avec votre produit bancaire (p. ex. nouvelles factures, remplacement de carte de crédit);
• de permettre de recevoir les informations ou demandes que vous nous faites parvenir au moyen de canaux électroniques.

Nous sommes susceptibles d’analyser votre utilisation de l’application Cembra ainsi que du produit bancaire qui y est enregistré afin d’optimiser nos produits et services qui vous sont destinés. Nous recueillerons votre consentement avant de vous adresser des offres par voie électronique. Vous pouvez révoquer en tout temps le consentement donné à cette fin.

c. Consultation de sites web, utilisation d‘eService
Lorsque vous naviguez sur notre site Internet, nous traitons vos données à caractère personnel pour des raisons de sécurité informatique, pour l’amélioration de la facilité d’emploi du site web et de ses fonctionnalités ainsi que pour la personnalisation du contenu affiché. À cet effet, nous sommes susceptibles de recourir à des services d’analyse, tels que p.ex. Google Analytics. Dans ce cadre, des indications détaillées concernant l’utilisation du site web concerné sont collectées. Nous sommes susceptibles d’utiliser, à cette fin, des «cookies» et des technologies analogues. Les cookies sont de petits fichiers qui sont enre-gistrés sur votre terminal lorsque vous naviguez sur notre site Internet. Vous trouverez de plus amples informations de la facilité d’emploi sur notre site Internet, dans les dispositions contractuelles et les éventuelles politiques de confidentialité spécifiques aux produits.

d. Dans le cadre de la pondération des intérêts
Par ailleurs, nous traitons également les données vous concernant pour préserver nos intérêts légitimes, à moins que vos intérêts ne prévalent. Vous trouverez ci-après une énumération non exhaustive des finalités de traitement qui relèvent de nos intérêts légitimes:

• Analyse, surveillance et gestion du risque de crédit (scoring).
• Prévention des fraudes.
• Mesures publicitaires, études de marché, analyses marketing, préparation et offre de prestations sur mesure (p. ex. marketing direct, publicité dans le secteur de la presse écrite et en ligne, événements organisés pour les clients, les personnes intéressées ou événements culturels, sponsoring, jeux-concours, évaluation du degré de satisfaction de la clientèle, enquête sur les besoins ou le comportement futurs des clients ou évaluation des potentiels en matière de clients, de marchés ou de produits) pour nos propres offres, ainsi que pour les offres des sociétés du groupe Cembra et de nos partenaires de coopération, ainsi que l’envoi de ces offres à votre adresse postale, électronique ou téléphonique (p. ex. par SMS), via l’eService ou via une application mobile, pour autant que vous ne vous soyez pas opposé à l’utilisation des données vous concernant et que vous utilisiez les services concernés./li>
• Traitement de données pour les programmes de fidélité proposés par les partenaires de coopération, ainsi que transmission de données spécifiques nécessaires à l’exploitation et à l’amélioration des programmes de fidélité. Il peut s’agir, dans ce cadre, des données clients, de statut, de contrôle et de carte des clients, mais également des chiffres d’affaires cumulés enregistrés auprès d’un ou de plusieurs distributeurs. Les détails de la transaction ne sont pas transmis dans ce cas-là. Vous trouverez de plus amples informations sur les politiques dans les conditions générales des produits respectifs. Les partenaires de coopération exploitent ces données sous leur propre responsabilité et conformément à leur propre politique de confidentialité.
• Sauvegarde de droits, p.ex. pour faire valoir des droits au stade de la procédure de conciliation, dans le cadre d’une procédure judiciaire ou extrajudiciaire face aux pouvoirs publics sur le territoire national ou à l’étranger ou pour nous défendre en cas de litige. Dans ce cadre, nous pouvons faire évaluer par des tiers les perspectives d’un procès ou soumettre des documents à une autorité. Il est également possible que les autorités nous intiment de leur fournir des documents contenant des données à caractère personnel.
• Garantie de la sécurité informatique et de l’exploitation informatique de Cembra.
• Prévention et élucidation d’infractions
• Demandes de renseignements adressées à notre service-client.
• Les conversations téléphoniques sont susceptibles d’être enregistrées p.ex. à des fins de contrôle de qualité et à des fins de formation.
• Mesures destinées à la sécurité des bâtiments et des équipements (p.ex. contrôles d’accès et vidéosurveillance).
• Transactions d’entreprise: Nous sommes également en droit de traiter des données à carac¬tère personnel pour préparer et exécuter des acquisitions ou cessions d’entreprises et des acquisitions ou ventes d’actifs, p.ex. des créances ou biens immobiliers et autres transactions similaires.
• Évaluation, planification, statistiques, développements de produits et décisions commerciales (p.ex. amélioration et analyse des produits existants, des nouveaux produits et prestations, des processus, des technologies, des systèmes, des niveaux de rendement, des taux d’utilisation).

e. Sur la base de prescriptions légales ou dans l’intérêt public
Nous traitons les données à caractère personnel vous concernant afin de nous conformer à nos obligations réglementaires, prudentielles et légales de clarification, d’information et de déclaration (p. ex. dans le cas d’ordonnances de production de pièces ou d’ordres émanant de l’Autorité fédérale de surveillance des marchés financiers [FINMA], dans le cadre de l’échange automatique d’informations avec les autorités fiscales étrangères ou dans le cadre de la lutte contre le blanchiment d’argent et le financement du terrorisme).

5. Est-ce que vous êtes dans l’obligation de mettre à disposition des données à caractère personnel?

En principe, vous n’êtes pas dans l’obligation de mettre à notre disposition des données à caractère personnel. Toutefois, nous ne serons pas en mesure de conclure avec vous un contrat si vous ne mettez pas à notre disposition les données à caractère personnel nécessaires à une relation d’affaire ou à l’exécution d’obligations contractuelles ou que nous sommes tenus en vertu de la loi, de collecter (ceci concerne p. ex. des informations nécessaires à votre identification telles que votre nom, votre lieu de naissance, votre date de naissance, votre nationalité, votre adresse et vos données d’identité). En outre, nous ne pouvons pas vous octroyer l’accès à certains de nos services en ligne (p. ex. l’application Cembra, le site web, eService), en tout ou en partie, sans disposer des données à caractère personnel nécessaires.

6. À qui communiquons-nous les données à caractère personnel vous concernant?

Au sein de Cembra, les départements, collaborateurs et autres entités, qui ont besoin des données à caractère personnel vous concernant pour l’exécution de leurs missions, y ont accès. Nous sommes par ailleurs en droit de délocaliser en totalité ou en partie nos secteurs d’activités et prestations de services à des sociétés du Groupe Cembra et à des tiers en Suisse, à l’étranger, de céder des créances et des droits et de nous engager dans des coopérations avec des partenaires. Dans ce cadre, les données à caractère personnel vous concernant sont communiquées à ces destinataires, dans la mesure du nécessaire. Nous assurons, en sélectionnant nos sous-traitants et par le biais d’accords contractuels ad hoc, que la protection des données et le secret bancaire sont préservés dans le cadre du traitement des données à caractère personnel même par des tiers. Il s’agit en particulier, dans ce cadre, de prestations de services et de coopérations dans les secteurs suivants:

• prestations de services informatiques, p. ex. prestations dans les domaines du stockage des données (hosting), services cloud, envoi de documents publicitaires, analyse des données, etc.;
• contrôles de solvabilité;
• lutte antifraude;
• autorisation de transaction;
• informations économiques et recouvrement, lorsque des créances exigibles ne sont pas payées;
• prestations de conseil, p. ex., prestations de conseillers fiscaux, d’avocats, de conseillers en gestion, de consultants dans le domaine du recrutement et du placement de personnel;
• gestion des relations contractuelles, y compris le recouvrement de créances, p. ex. traitement des demandes et des contrats, facturation et mise en place du prélèvement automatique, recouvrement des créances exigibles;
• établissement de documents et de cartes;
• compliance et gestion des données;
• coopération avec des partenaires commerciaux tels que des partenaires d’assurance;
• coopération avec des intermédiaires, p. ex. agents et garages automobiles.

Nous sommes également en droit de communiquer vos données personnelles à des fins commerciales (p. ex. à des fins d’évaluation des risques de crédit, de lutte antifraude et marketing) à des destinataires au sein du Groupe Cembra pour leurs propres fins. De ce fait, les données à caractère personnel vous concernant sont susceptibles d’être traitées et recoupées, aux fins respectives, avec d’autres données à caractère personnel émanant d’une société du Groupe Cembra. Vous trouverez une liste actualisée des sociétés de notre Groupe sur www.cembra.ch/groupe.
La communication de données à caractère personnel est possible dans d’autres cas au sein du Groupe Cembra. Nous sommes en droit de divulguer les données à caractère personnel vous concernant à des tiers si cette divulgation relève de notre intérêt légitime ou si vous nous avez autorisé à le faire et nous sommes dans l’obligation de le faire si la loi nous y oblige (en règle générale aux pouvoirs publics).

7. Quand divulguons-nous des données à caractère personnel à l'étranger?

Nous sommes en droit de délocaliser nos prestations de services en Suisse et à l’étranger (voir point précédent). Il peut également arriver que des données à caractère personnel soient transmises à l’étranger lors de l’exécution de contrats ou de transactions, ou dans le cadre de l’offre de services en ligne, p. ex. lors de l’exécution de paiements ou de l’installation de l’application Cembra. Les destinataires des données à caractère personnel vous concernant peuvent également se trouver, dans ce cadre, à l’étranger – également hors territoire de l’Union européenne (UE) ou de l’Espace économique européen (EEE, ce qui englobe p. ex. la Principauté de Liechtenstein). Les pays concernés sont susceptibles de ne pas disposer d’une législation qui protège dans la même étendue que la Suisse ou l’UE, par extension l’EEE, les données à caractère personnel vous concernant. Dans l’hypothèse où nous communiquerions les données à caractère personnel vous concernant à un tel pays tiers, nous assurerons la protection des données à caractère personnel vous concernant dans une étendue appropriée. L’un des moyens employés à cet effet est la conclusion de contrats de transmission des données avec le destinataire des données à caractère personnel vous concernant dans des pays tiers, qui assurent le niveau de protection des données requis. Il s’agit de contrats approuvés, établis ou reconnus par la Commission européenne et/ou le préposé fédéral à la protection des données et à l’information (PFPDT), des dénommées clauses contractuelles types.

8. Est-ce qu’un profilage a lieu et est-ce que nous prenons des décisions automatisées?

Nous sommes en droit de traiter les données à caractère personnel vous concernant pour établir à partir de ces données des profils, p. ex. pour des analyses, des évaluations et des décisions. De tels traitements nous servent, ainsi qu’aux sociétés de notre Groupe en particulier pour la lutte antifraude (p. ex. lors de paiements par cartes de crédits) et à des fins de gestion des risques. Nous utilisons par ailleurs les profils pour vous fournir des conseils individuels et des offres personnalisées. Vous pouvez vous opposer, à tout moment, au traitement des données vous concernant à des fins publicitaires (cf. point 11).
Lorsque nous prenons des décisions individuelles automatisées, ces dernières sont généralement nécessaires à la conclusion ou l’exécution des contrats ou reposent sur votre consentement distinct exprès. Nous vous informerons respectivement de telles décisions si la loi nous l’impose.

9. Comment protégeons-nous les données à caractère personnel vous concernant?

Nous mettons en œuvre des procédures de sécurité de nature technique et organisationnelle pour préserver la sécurité des données à caractère personnel vous concernant, pour les protéger contre des traitements injustifiés ou illicites et contre le risque de perte et pour prévenir toute modification fortuite, divulgation involontaire ou accès non autorisé.

10. Pendant combien de temps enregistrons-nous les données à caractère personnel vous concernant?

Nous enregistrons les données à caractère personnel vous concernant aussi longtemps que cet enregistrement est nécessaire aux finalités pour lesquelles nous les avons recueillies. Par ailleurs, nous enregistrons les données à caractère personnel vous concernant plus longtemps si les dispositions légales en matière de conservation des données nous l’imposent. Pour la plupart des documents, la durée de conservation est de dix ans. Nous enregistrons également des données à caractère personnel si l’un de nos intérêts légitimes le justifie, p. ex. si des délais de prescription courent, si nous avons besoin de données à caractère personnel pour faire valoir ou défendre des droits, ainsi qu’à des fins d’archivage et de garantie de la sécurité informatique.

11.Quels sont vos droits?

Chaque personne concernée est titulaire, en vertu du droit applicable en matière de protection des données, de certains droits, en particulier des droits suivants:

• droit d’accès,
• droit à la rectification,
• droit à l’effacement,
• droit à la limitation du traitement,
• droit d’opposition contre tout traitement ultérieur des données à caractère personnel vous concernant et
• droit à la portabilité de certaines données.

Au-delà, il existe un droit de recours auprès de l’autorité de surveillance en matière de protection des données, en Suisse auprès du préposé fédéral à la protection des données et à l’information (PFPDT).
Vous pouvez à tout moment révoquer le consentement au traitement des données à caractère personnel vous concernant que vous avez donné. Veuillez noter qu’une telle révocation ne déploie ses effets que pour l’avenir. Les traitements antérieurs à votre révocation ne sont pas concernés.
Ceci ne concerne pas les consentements obtenus pour d’autres raisons, p. ex. sur la base des dispositions relatives au secret bancaire, conformément à la loi fédérale sur les banques et les caisses d’épargne (LB). Par ailleurs, vous pouvez à tout moment vous opposer au traitement ultérieur des données à caractère personnel vous concernant à des fins de publicité directe en nous envoyant un simple message.

12. Modifications de la présente déclaration de confidentialité

La présente déclaration de confidentialité pourra être modifiée au fil du temps si nous modifions nos modalités de traitement des données ou si de nouvelles dispositions légales entrent en vigueur. Nous informons nos clients actifs d’une façon appropriée (par écrit ou par voie électronique, p. ex. par courriel ou via l’application Cembra) de l’entrée en vigueur d’une version révisée de la déclaration de confidentialité.
En cas d’ambiguïtés imputables à la traduction, la version allemande de la présente déclaration de confidentialité fait foi.