Politique de Protection des Données à Caractère Personnel
-
-
Le respect de la vie privée et de la protection des données à caractère personnel constitue un facteur de confiance, valeur à laquelle tient particulièrement le Crédit Agricole du Maroc, en s’attachant au respect des libertés et droits fondamentaux de chacun.
La présente Politique de Protection des Données à Caractère Personnel énonce les principes et lignes directrices en matière de conformité des traitements des données personnelles à la législation et réglementation en vigueur. Elle décrit également les méthodes qu’utilise le Crédit Agricole du Maroc, ci-après dénommé « CAM », pour recueillir, gérer et utiliser vos données personnelles, et ce, lorsque ces données font l’objet d’un traitement.
On entend par traitements de données personnelles (DP) toutes opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de DP contenues ou appelées à figurer dans un fichier. Le traitement comprend la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
A cet effet, et conformément aux réglementations en vigueur, le Crédit Agricole du Maroc garantit vous garantit que toutes les données à caractère personnel fournies directement par vos soins ou générées dans le cadre de nos activités sont collectées et traitées de façon loyale et licite.
Cette politique est susceptible d’être mise à jour, modifiée ou complétée pour prendre en compte les évolutions législatives et réglementaires, et tout changement dans l’organisation de la banque ou dans les offres et services proposés.
-
La présente Politique de protection des données à caractère personnel s’applique aux traitements de données à caractère personnel, automatisés en tout ou en partie, ainsi qu'aux traitements non automatisés de données à caractère personnel mis en œuvre au sein du Crédit Agricole du Maroc.
Cette politique est déclinée et appliquée dans toutes les entités du Crédit Agricole du Maroc.
Elle s’adresse et s’applique aux clients et prospects du Crédit Agricole du Maroc.
Pour rappel, une donnée à caractère personnel désigne toute information se rapportant à une personne physique identifiée ou identifiable.
Une personne est « identifiable » dès lors qu’elle peut être identifiée, directement ou indirectement, en particulier par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
-
-
-
Rôles et responsabilités : Le Data Protection Officer (DPO)
La désignation d’un Data Protection Officer (DPO), ou Délégué à la Protection des Données témoigne de l’attachement de la banque à la protection des Données Personnelles de ses clients.
Le délégué est le « chef d’orchestre » chargé de mettre en œuvre la conformité au règlement européen sur la protection des données (RGPD) au sein de la banque et de ses filiales;
-
Identification du responsable de traitement
-
en envoyant un courrier électronique à l’adresse : relationclient@creditagricole.ma en spécifiant, le cas échéant, la mention suivante : À l’attention du DPO (Data Protection Officer)
-
ou en contactant par courrier, le cas échéant, le DPO (Délégué à la Protection des Données personnelles) à l’adresse spécifiée ci-après : Crédit Agricole du Maroc, À l’attention du DPO (Data Protection Officer), Direction Centrale de la Conformité et de la Déontologie, Place des Alaouites –B.P.49-10000 Rabat ou par courriel : dpogcam@creditagricole.ma
-
ou en vous adressant directement à :
- l’agence de domiciliation de votre compte.
- pour la clientèle de la Banque privée : à la Cellule administrative de la Banque privée ou au conseiller/private banker de l'espace Banque privée.
-
Ou en vous adressant directement à la filiale du groupe concernée.
-
-
Le Crédit Agricole du Maroc s’engage à ne collecter que des données strictement nécessaires à la réalisation des produits et services souscrits.
Dans le cas où des données facultatives vous seraient demandées, le CAM vous informera clairement sur les Données Personnelles nécessaires à la réalisation des produits et services souscrits et celles volontairement fournies par vos
soins.Les principales catégories de données que le Crédit Agricole du Maroc est amené à traiter sont :
-
Les données d’état civil, d’identification, administratives et de contact (nom et prénom, sexe, date de naissance, lieu de naissance, adresse postale, copies de pièces d’identité, numéro de téléphone, email professionnel et/ou personnel, photo…) ;
-
Les données relatives à la situation personnelle et familiale (situation familiale, nombre et âge des enfants, situation maritale….) ;
-
Les données relatives à la formation, à l’emploi et au poste de travail (diplômes, niveau d’étude, emploi, nom de l’employeur, type de contrat de travail, date d’entrée dans l’entreprise adhérente, code Profession et Catégorie Socioprofessionnelle, conditions de travail, risques professionnels) ;
-
Dossier de santé : coordonnées du médecin traitant, attestations médicales, feuilles de soin, dossiers médicaux, dates d’arrêt et de reprise du travail, motif de l'arrêt … ;
-
Les données nécessaires aux demandes de contact (formulaire de contact).
-
Toutes autres données nécessaires pour le traitement des demandes de souscription aux produits et services (Ouvertures de compte, crédits etc.) ;
-
Informations d’ordre économique et financier : revenus, situation financière et fiscale, …;
-
Données d’opérations et de transactions bancaires (nature des opérations, date, paiements carte, virement, prélèvement, montant, libellé, etc.) ;
-
Données de connexion liées à l’utilisation de nos services en ligne : données d’identification et d’authentification à vos espaces connectées, logs, cookies, données de navigation sur les sites et applications du GCAM ;
-
Données issues des correspondances et communications entre les personnes concernées et le GCAM, en agence ou à distance (entretiens, appels téléphoniques, messages électroniques, messageries instantanées, communications sur les réseaux sociaux ou tout autre type de communication);
-
Données d’authentification collectées dans le cadre du KYC (Know Your Costumer) et de la réglementation inhérente à la lutte anti-blanchiment ;
-
Données liées aux produits et services souscrits (type de produit, mode de règlement, échéance, montant, etc.).
Pour toutes autres données collectées par ailleurs, le formulaire de recueil de données décrira les règles applicables aux données ainsi collectées dans l’hypothèse où elles seraient différentes des règles figurant dans la présente politique.
-
-
Les données personnelles collectées sont traitées, en fonction des situations, pour répondre à différents objectifs ou finalités. Les finalités des traitements des données à caractère personnel de la banque sont les suivantes :
-
Tenue des comptes de la clientèle et la gestion des opérations s'y rapportant y compris la banque privée, et le transfert des données à l’étrangers (opérations à l’international) ;
-
Gestion des crédits et garanties.
-
Gestion des ressources humaines ;
-
Gestion des fournisseurs ;
-
Prospection des non-clients (hors clients de passage) et Gestion des opérations TOMBOLA ;
-
Gestion du dispositif FATCA.
-
Archivages des données personnelles collectées par le CAM ;
-
Gestion du système de vidéosurveillance dans les lieux de travail et dans les lieux privés communs ;
-
Gestion des clients de passage ;
-
Transfert des données personnelles à l'étranger relatif aux formations ;
-
Gestion du dispositif biométrique pour le contrôle d’accès aux salles informatiques ;
-
Gestion des réclamations et des requêtes diverses ;
-
Gestion des visiteurs ;
-
Gestion des interconnexions entre les fichiers des données personnelles ;
-
Gestion du dispositif d'alerte professionnelle ;
-
Gestion de l’usage des technologies de reconnaissance faciale ;
-
Gestion des enregistrements téléphoniques ;
-
Gestion de la prise de température en vue de l’accès au lieu de travail, pendant la durée de l’état d’urgence sanitaire.
-
-
Les informations personnelles vous concernant que nous collectons via les formulaires mis en ligne sur notre site sont traitées par le Crédit Agricole du Maroc en toute confidentialité. Leur accès est réservé uniquement aux personnes habilitées.
Ces données à caractère personnel sont communiquées, le cas échéant, aux entités internes dûment habilitées , aux filiales du Groupe CAM, à ses sous-traitants y compris les prestataires externes (tels que les cabinets experts juridiques et fiscaux, les avocats, les notaires etc.), aux partenaires de la banque dans le cadre des services de conciergerie, aux autres établissements teneurs de comptes pour les transferts de fonds, aux intermédiaires pour l’exécution de certaines opérations bancaires, aux autorités compétentes ou de tutelle habilitées, aux centrales d’information, aux compagnies et courtiers d’assurances dûment habilités, aux ayants droit, tuteurs et mandataires habilités.
En outre, ces données à caractère personnel sont communiquées, le cas échéant, aux autorités compétentes des pays avec lesquels le Royaume du Maroc envisage de conclure des conventions permettant un échange automatique d'informations à des fins fiscales, ainsi qu’à l'administration fiscale marocaine et ce, conformément au décret-loi n° 2-18-117 du 6 joumada II 1439 (B.O. n° 6652 du 1er mars 2018).
-
Conformité à la législation sur les données personnelles (Loi 09-08 et RGPD)
Afin de garantir une sécurité et une confidentialité de bout en bout, la banque met en place des principes et règles visant à protéger les droits des personnes concernées et à empêcher l'utilisation inappropriée de leurs données à caractère personnel et ce, conformément aux dispositions de la loi 09-08 et du RGPD.
De ce fait, la banque s'engage à respecter les principes énoncés par la présente politique de protection des données à caractère personnel en développant des services conformes aux bonnes pratiques de sécurité.
-
-
PRINCIPES DE LA POLITIQUE DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
Tout traitement de données à caractère personnel doit remplir certains requis de licéité et de qualité définis par la Loi n° 09-08 et le RGPD, en vue de garantir une bonne protection de votre vie privée
.C'est dans cette optique que la Loi n° 09-08 et le RGPD limitent le recours aux traitements de données à caractère personnel, en faisant de la finalité, de la sécurité, et de la proportionnalité des données, des éléments qui conditionnent la licéité du traitement. Ainsi, la réglementation prévoit que le traitement n'est licite que dans la mesure où les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies par leur collecte et leur traitement.
En outre, il est également précisé que les finalités pour lesquelles le traitement est envisagé doivent être déterminées, explicites et légitimes, et que le traitement ne doit pas s'avérer ultérieurement incompatible avec ces finalités.
La politique de protection des données personnelles du CAM se base sur les principes suivants :
-
Un traitement ne peut être mis en œuvre que s’il respecte le principe de licéité. Pour ce faire, tous les traitements au sein du CAM remplissent au moins l’une des conditions alternatives suivantes :
1 - La personne concernée a consenti au traitement : Si votre consentement est le fondement du traitement, le CAM doit être en mesure de prouver que vous avez effectivement consenti à l’opération de traitement.
2 - Le traitement est nécessaire à l’exécution d’un contrat ou de mesures précontractuelles
3 - Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable de traitement est soumis ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont il est investi : Le traitement doit avoir un fondement dans la législation en vigueur.
4 - Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique : Le traitement ne peut être fondé sur l’intérêt vital d’une personne que s’il est motivé par l’urgence de la situation médicale.et qu’il est nécessaire à l’administration de soins correspondants.
5 - Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement ou par le destinataire, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée (Par exemple : vidéosurveillance, facturation, …).
-
Le CAM encourage la transparence au sujet des données à caractère personnel qu’elle traite et de la finalité du traitement, tant envers la personne concernée que les autorités de surveillance. La communication menée est honnête, facilement accessible et compréhensible. Le principe de transparence s’applique également lorsque les données à caractère personnel sont échangées avec des tierces parties.
-
Les données manipulées doivent être proportionnelles à la finalité déclarée : Ces données doivent non seulement être utiles, mais aussi nécessaires pour celui qui les traite.
Le CAM traite uniquement les données à caractère personnel strictement nécessaires pour l’exécution de ses activités. Ainsi, les facteurs d’identification faisant partie des données à caractère personnel sont portés à un minimum.
-
Principe de la durée de conservation
Le CAM a mis en place des mesures visant à ce que les données personnelles collectées soient conservées :
-
Pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités, et ce dans le respect des dispositions légales régissant l’activité du CAM ;
-
Uniquement le temps nécessaire à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte.
Ci-après les principales durées de conservation, relatives aux finalités précitées, en vigueur au niveau de la banque.
Pour :
- De la date du dernier entretien des candidats à l’embauche non retenus ;
- Du dernier jour du dernier stage effectué au sein du CAM pour les stagiaires;
- Du dernier jour travaillé au sein du CAM pour le personnel du CAM.
-
La tenue des comptes de la clientèle et la gestion des opérations s'y rapportant y compris la banque privée, et le transfert des données à l’étrangers (opérations à l’international), vos données personnelles pourront être conservées pour une durée de dix (10) ans à compter de la cessation de la relation.
-
La gestion des crédits et garanties, vos données personnelles pourront être conservées pour une durée de dix (10) ans à compter de la fin de la relation.
-
La gestion des ressources humaines, vos données personnelles pourront être conservées pour une durée de trois (3) ans à compter :
-
La gestion des fournisseurs, vos données personnelles pourront être conservées pour une durée de trois (3) ans à compter de la clôture définitive de la prestation.
-
La prospection des non-clients (hors clients de passage), vos données personnelles pourront être conservées pendant trois (3) ans.
-
La gestion des opérations TOMBOLA, vos données personnelles pourront être conservées pendant un (1) an.
-
La gestion du dispositif FATCA, vos données personnelles pourront être conservées pour une durée de dix (10) ans après la clôture du compte.
-
La gestion des clients de passage, vos données pourront être conservées pour une durée de dix (10) ans à compter de la date de l’opération.
-
La gestion des réclamations et des requêtes diverses, vos données personnelles pourront être conservées pendant un (1) an conformément à la loi 69-99 relatives aux archives publiques.
-
La gestion des visiteurs, vos données personnelles pourront être conservées pendant trois (3) ans à compter de la date de la collecte des données pour les soumissionnaires et de la date de signature des marchés pour les attributaires.
-
La gestion de l’usage des technologies de reconnaissance faciale, vos données personnelles pourront être conservées pendant 1 seconde pour la photo et seul le score du matching sera stocké pendant une période de 10 ans à dater de la fin de la relation pour les données biométriques
-
La gestion des enregistrements téléphoniques, vos données personnelles pourront être conservées pendant six (6) mois.
-
-
La réglementation s'applique aux données traitées par des moyens automatisés (bases de données informatiques de clients, etc.) ainsi qu'aux données contenues ou appelées à figurer dans un fichier non automatisé (papiers traditionnels, fichiers Word, Excel, etc.).
Ceci dit, les données à caractère personnel doivent être traitées de manière confidentielle et stockées à des endroits sécurisés. Le CAM engage sa responsabilité en cas de non-respect de ce principe.
Le CAM, en tant que responsable de traitement de données, qu’ils s’agissent de données sensibles ou pas, met en œuvre les mesures appropriées prévues lors de la mise en œuvre d'un traitement pour :
1 - Empêcher l'accès de toute personne non autorisée aux bureaux et espaces de stockage utilisés pour le traitement des données notamment sensibles (contrôle de l’accès aux locaux) ;
2 - Empêcher que les supports de données puissent être lus, copiés, modifiés ou retirés par des personnes non autorisées (contrôle des supports de données) ;
3 - Empêcher l'introduction non autorisée ainsi que la prise de connaissance, la modification ou l'élimination non autorisées de données à caractère personnel introduites (contrôle de l'insertion) ;
4 - Empêcher que les systèmes de traitement automatisés de données puissent être utilisés par des personnes non autorisées au moyen d'installations de transmission de données (contrôle de l'utilisation) ;
5 - Garantir que seules les personnes autorisées puissent avoir accès aux données visées par l'autorisation (contrôle de l'accès) ;
6 - Garantir la vérification des entités auxquelles les données à caractère personnel peuvent être transmises par des installations de transmission de données (contrôle de la transmission) ;
7 - Garantir qu'il soit possible de vérifier a posteriori, dans un délai approprié, en fonction de la nature du traitement à fixer dans la réglementation applicable à chaque secteur particulier, quelles données à caractère personnel sont introduites, quand elles l'ont été et pour qui (contrôle de l'introduction) ;
8 - Empêcher que lors de la transmission de données à caractère personnel et du transport des supports, les données puissent être lues, reproduites, modifiées ou éliminées sans autorisation (contrôle du transport).
A cet effet, le CAM dresse un état de l’art en matière de sécurité en se basant notamment sur les référentiels de bonnes pratiques adéquats.
-
Toute personne agissant sous l'autorité du responsable du traitement ou celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement.
Par ailleurs, le CAM met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre leur destruction accidentelle ou illicite, leur perte accidentelle, leur altération, leur diffusion ou des accès non autorisés.
-
Principe de restriction des transferts de données vers l’étranger
Afin d’assurer la sécurité de vos données et de veiller à leur traitement dans des conditions conformes à la législation en vigueur, les transferts de celles-ci vers des pays étrangers sont réglementés et restreints à certaines conditions d’application, notamment le niveau de protection qu’offre le pays destinataire par rapport aux données.
A cet effet, la CNDP a établi une liste de pays considérés comme assurant une protection suffisante.
En dehors de ces pays-là, d’autres conditions peuvent justifier le traitement, dont notamment :
1 - Le consentement exprès de la personne concernée ;
2 - La sauvegarde de la vie de la personne concernée ;
3 - La prévention, le diagnostic ou le traitement d’affections médicales ; (…)
Ainsi donc, tous les transferts de données au sein du GCAM vers un pays étranger feront l’objet d’une demande de transfert détaillée adressée à la CNDP à travers laquelle devront être justifiés les éléments susvisés et la pertinence du transfert.
-
Principe du respect des droits de la personne concernée par le traitement
Le CAM veille au respect de vos droits et prend toutes les mesures facilitant l’exercice de leurs prérogatives.
1 - Droit à l’information : vous avez le droit d’être informé(e) par rapport à l’identité du CAM, à l’objectif de la collecte de vos informations, aux catégories de données collectées (lorsque les données à caractère personnel n'ont pas été collectées auprès de vous), aux destinataires de vos données, et aux caractéristiques du récépissé de la déclaration de traitement effectuée auprès de la CNDP, et ce de manière expresse et précise.
2 - Droit d’accès : toute personne concernée par le traitement de ses données personnelles peut interroger le CAM à ce propos et en demander, sans frais et sans délais, la communication sous une forme intelligible.
3 - Droit de rectification : vous pouvez également, exiger du CAM que vos données traitées par ses soins soient actualisées, rectifiées, effacées ou même verrouillées dans les cas où les informations ne seraient pas correctes ou que le traitement ne serait pas conforme à la loi. L’exercice du droit de rectification vous permet de veiller à l’exactitude de vos informations.
4 - Droit d’opposition : vous avez le droit de vous opposer, pour des motifs légitimes, à ce que vos données à caractère personnel fassent l'objet d'un traitement
5 - Droit à la limitation : vous pouvez demander au CAM de geler temporairement l’utilisation de certaines de vos données.
6 - Droit à la portabilité : vous avez la possibilité de récupérer une partie de vos données dans un format lisible par une machine, et de stocker ailleurs ces données portables ou les transmettre facilement d’un système à un autre, en vue d’une réutilisation à d’autres fins.
L’ensemble de ces droits peut être exercé en utilisant les contacts précités au niveau de la section « 2.2 Identification du responsable de traitement »
Le CAM s’efforcera de donner suite à vos demandes dans un délai raisonnable et, en tout état de cause, dans les délais fixés par la loi.
-