2. Quelles sources et quelles données sont-elles utilisées par la Banque?
Les données personnelles recueillies ou détenues par la Banque sur les clients, Personnes Liées et clients potentiels proviennent de différentes sources, qui incluent les données à caractère personnel en rapport avec la relation d’affaires existante ou potentielle avec la Banque ou tout produit ou service de la Banque demandé ou détenu par le passé par le client, une Personne Liée ou un client potentiel.

Certaines de ces données personnelles proviennent directement du client, de la Personne Liée ou du client potentiel. D’autres peuvent être obtenues de la part d’un gestionnaire de fortune indépendant, d’un conseiller, d’un apporteur d’affaires ou d’autres tierces parties. Les données personnelles peuvent également provenir d’autres entités du Groupe J. Safra Sarasin¹, ou la Banque peut se les procurer légalement en accédant à des sources accessibles au public ou en combinant différents ensembles d’information.

Les données personnelles recueillies peuvent inclure en particulier:

a) les informations fournies à la Banque par un client, une Personne Liée ou un client potentiel, telles que:

• coordonnées de contact (p. ex. nom, adresse et autres détails tels que date et lieu de naissance et nationalité);
• informations sur un client, une Personne Liée ou un client potentiel fournies à la Banque par le remplissage d’un formulaire ou la communication avec la Banque, que ce soit en personne, par téléphone, par e-mail, en ligne ou sous toute autre forme;
• informations sur l’identité d’un client, d’une Personne Liée ou d’un client potentiel (p. ex. données de passeport incluant une photographie) ou nécessaires aux fins de l’authentification (p.ex. spécimen de signature).

b) les informations recueillies ou générées par la Banque sur le client, une Personne Liée ou un client potentiel, telles que:

• données relatives à la relation client (p.ex. produits détenus et services rendus), données sur les valeurs mobilières et transactions de paiement et autres informations financières;
• informations sur la situation financière d’un client, d’une Personne Liée ou d’un client potentiel, telles que données de crédit (p. ex. informations sur la solvabilité du client, historique des demandes de crédit individuelles);
• informations recueillies ou générées par la Banque en vue de respecter ses obligations en vertu du cadre réglementaire de lutte contre le blanchiment d’argent (p.ex. informations sur l’origine des actifs, les ayants droit économiques);
• informations recueillies ou générées par la Banque aux fins de la gestion du risque, telles que données de due diligence au sujet du client (y compris résultats des revues périodiques), profils de risque des clients, données visant à évaluer l’adéquation/le caractère approprié, données relatives à la qualification du client (p. ex. statut d’investisseur qualifié), alertes des outils de dépistage (contrôle des transactions, contrôle des noms), données fiscales ou informations sur les réclamations;
• informations géographiques;
• informations contenues dans les dossiers et documents client pertinents et autres informations similaires;
• informations de marketing et de vente (p.ex. bulletins d’information, documents reçus, invitations et participations aux événements et activités spéciales, préférences et intérêts personnels, déclarations d’«opt-in/opt-out»).
• informations utilisées dans le cadre de «cookies» et de technologies similaires sur les sites Internet, applications de terminales mobiles et e-mails en vue de reconnaître une personne concernée, de mémoriser ses préférences et de lui montrer du contenu jugé par la Banque comme étant susceptible de l’intéresser.
  

c) les informations sur le client, une Personne Liée ou un client potentiel recueillies par la Banque auprès d’autres sources, telles que:

• informations issues de communications (p.ex. informations contenues dans des e-mails, messages Chat ou autres communications par voie numérique);
• informations issues de sources ouvertes au public et informations combinées provenant de sources externes (p.ex. communications d’entreprises ou médiatiques, informations relatives aux interactions sociales entre particuliers, organisations, clients potentiels et autres parties intéressées, acquises auprès d’entreprises collectant des informations combinées).
  

Ce n'est que dans des cas particuliers que la Banque collecte sur un client, une Personne Liée ou un client potentiel des catégories spécifiques de données personnelles au sens de l'article 9 RGPD, telles que les données biométriques, les informations sur les opinions ou affiliations politiques, les informations sur la santé, l'origine raciale ou ethnique, les convictions religieuses ou philosophiques ou les informations sur les condamnations pénales ou les délits («catégories particulières de données personnelles»).

La Banque peut aussi recueillir et traiter des données personnelles supplémentaires, ce dont elle vous informera le cas échéant.

3. Dans quel but la Banque traite-t-elle des données personnelles (finalité du traitement) et sur quelle base légale?
La Banque traite les données personnelles de clients, Personnes Liées et clients potentiels à diverses fins, conformément aux dispositions du RGPD européen et de la LPD suisse, et ne les utilise que dans la mesure où il existe une base légale correspondante. Les bases et finalités légales incluent le traitement:

a) Pour satisfaire aux obligations contractuelles (article 6, paragraphe 1 b) du RGPD)
Le traitement des données personnelles est effectué dans le but d’exécuter les transactions bancaires et services financiers conformément aux contrats conclus avec les clients de la Banque et leurs Personnes Liées, ou en vue d’exécuter des mesures précontractuelles (p.ex. avec les clients potentiels).

Les buts du traitement des données dépendent avant tout du produit spécifique (p. ex. compte bancaire, crédit, valeurs mobilières, dépôts, paiements) et peuvent inclure l’évaluation des besoins, le conseil, la gestion de fortune et d’autres services financiers ou d’assistance, ainsi que l’exécution de transactions. Des détails supplémentaires sur les buts du traitement de données peuvent également être inclus dans les documents contractuels ou de produit correspondants.

b) Dans le contexte de la mise en balance des intérêts et des objectifs de protection des intérêts légitimes respectifs (article 6, paragraphe 1 f) du RGPD)
Si nécessaire, la Banque traite les données personnelles au-delà de l’exécution effective des obligations contractuelles afin de préserver les intérêts légitimes poursuivis par la Banque ou par une tierce partie (y compris les entités du Groupe J. Safra Sarasin). Par exemple:

• révision et optimisation des procédures d’évaluation des besoins aux fins de l’entretien direct avec le client;
• suivi des conversations de la Banque avec les clients, les Personnes Liées et les clients potentiels (par téléphone, en personne, par e-mail ou par tout autre moyen de communication);
• exercice de droits juridiques et mise en place de défense lors de litiges;
• correspondance avec les conseillers juridiques et intermédiaires tiers;
• gestion des impératifs opérationnels internes de la Banque en matière de gestion des crédits et du risque, de développement des systèmes ou produits et de planification, d’assurance, d’audit et d’administration;
• consultation et échange de données avec des bureaux de renseignements (p. ex. registre des dettes) en vue d’évaluer la solvabilité et les risques de crédit ou de défaillance dans le cadre des opérations de crédit ainsi que de déterminer les exigences de mise en place d’un compte  avec solde de base insaisissable ou d’un compte de paiement de base;
• garantie de la sécurité des systèmes et opérations informatiques de la Banque;
• prévention et élucidation de délits;
• vidéosurveillance pour protéger les locaux de la Banque contre les intrus, pour collecter des preuves lors de braquages ou de fraudes ou pour documenter les retraits et dépôts, p. ex. à des distributeurs automatiques;
• mesures de sécurité pour les bâtiments, sites et systèmes (p. ex. contrôles d’accès);
• mesures visant à garantir le droit des propriétaires de locaux à empêcher l’accès par des intrus;
• mesures pour la gestion des affaires et le développement ultérieur des services et produits;
• contrôle du risque au sein du Groupe J. Safra Sarasin;
• marketing ou analyse de marché et d’opinion, dans la mesure où les clients, Personnes Liées et clients potentiels ne se sont pas opposés à l’utilisation de leurs données personnelles;
• collecte d’informations par l’analyse de données et à des fins statistiques;
• respect des exigences légales et réglementaires suisses ainsi que d’autres réglementations applicables.

c) Sur la base de votre consentement (article 6, paragraphe 1 a) du RGPD)
Dans la mesure où vous avez consenti à ce que la Banque traite vos données personnelles à des fins spécifiques (p. ex. l’analyse d’activités de négoce à des fins de marketing), le caractère légal d’un tel traitement repose sur votre consentement. Ce consentement peut être révoqué à tout moment. Ceci vaut également pour les déclarations de consentement qui ont été accordées à la Banque avant l’entrée en vigueur du RGPD, à savoir le 25 mai 2018. La révocation du consentement n’affecte pas le caractère légal du traitement des données effectué avant ladite révocation. Veuillez noter que la Banque peut malgré tout avoir le droit de traiter vos données personnelles si elle a une autre raison légitime pour ce faire.

d) Pour respecter une obligation légale (article 6, paragraphe 1 c) du RGPD) ou dans l’intérêt public (article 6, paragraphe 1 e) du RGPD)
Par ailleurs, la Banque est soumise à diverses obligations légales ou exigences réglementaires (dont la Loi sur les Banques, la Loi sur les Placements Collectifs, la Loi sur le Blanchiment d’Argent, la Loi sur l’Emission de Lettres de gage, les ordonnances et circulaires des autorités de réglementation et les lois fiscales) ainsi qu’aux exigences des autorités de surveillance bancaire. Les buts du traitement de données incluent par exemple l’analyse de la solvabilité, la vérification de l’identité et de l’âge, les mesures de prévention de la fraude et du blanchiment d’argent, le respect des exigences en matière de contrôle et de déclaration en vertu des lois fiscales et autres, ainsi que la mesure et la gestion des risques au sein de la Banque et du Groupe J. Safra Sarasin (y compris aux fins de la surveillance au plan consolidé).

e) De catégories particulières de données personnelles (article 9 alinéa 2 RGPD)
Des catégories particulières de données personnelles peuvent être traitées par la Banque si cela est nécessaire pour faire valoir, exercer ou défendre des droits légaux de la Banque ou si ces données sont manifestement accessibles de manière générale (article 9 alinéa 2 e) et f) RGPD). Dans les autres cas, la Banque ne traitera des catégories particulières de données personnelles qu'avec votre consentement exprès (article 9 alinéa 2 a) RGPD).

La Banque peut aussi recueillir et traiter des données personnelles supplémentaires à d’autres fins, ce dont elle vous informera le cas échéant.

4. Qui reçoit des données à caractère personnel?
Au sein de la Banque, les départements qui ont accès aux données personnelles des clients, Personnes Liées et clients potentiels sont ceux qui en ont besoin en vue de satisfaire aux obligations contractuelles et réglementaires de la Banque, ou aux autres fins décrites dans la présente Déclaration de Protection des Données. Les prestataires de services et auxiliaires d’exécution mandatés par la Banque peuvent également recevoir des données à ces fins, pour autant qu’ils observent le secret bancaire. Il s’agirait avant tout de sociétés des secteurs des services bancaires, des services informatiques, de la logistique, des services d’impression, des télécommunications, du recouvrement, du conseil et de la consultation ainsi que de la vente et du marketing.

Concernant le transfert de données à des destinataires en dehors de la Banque, il faut relever avant tout que, en sa qualité d’établissement bancaire, la Banque a en principe l’obligation de maintenir la confidentialité à l’égard de tous faits et évaluations liés au client dont elle a ou pourrait obtenir connaissance (secret bancaire). La Banque peut uniquement dévoiler des informations à votre sujet si la loi l’exige, si vous avez donné votre consentement (p. ex. pour traiter une transaction financière dont l'exécution a été demandée à la Banque par un client ou une Personne Liée) et/ou si la Banque est autorisée à fournir des informations. Dans le contexte de ces exigences, les destinataires de données personnelles peuvent être, par exemple:

• des autorités et institutions publiques (telles que la Banque Nationale Suisse, l’autorité fédérale de surveillance des marchés financiers (FINMA), d’autres autorités financières, les autorités fiscales, les autorités de poursuites pénales, les tribunaux), en présence d’une obligation légale ou officielle correspondante;
• d’autres établissements de crédit et de services financiers, établissements comparables et entreprises de traitement de données auxquels la Banque transmet les données personnelles d’une personne concernée en vue de mener la relation d’affaires avec la personne en question (en fonction du contrat, p. ex. contreparties de marché, banques correspondantes et agents bancaires, banques dépositaires, chambres de compensation, systèmes de compensation ou de règlement, courtiers, bourses, bureaux d’information, prestataires de services, entreprises auprès desquelles la personne concernée détient des valeurs mobilières, fournisseurs de services de traitement de cartes de crédit/débit);
• d’autres sociétés au sein du Groupe J. Safra Sarasin aux fins du contrôle des risques en vertu des exigences réglementaires ou officielles,  ou aux fins d'externalisation des activités de traitement des données au sein du Groupe J. Safra Sarasin, principalement dans les domaines des services bancaires, des services informatiques, de la logistique, des services d'impression, des télécommunications, du conseil et de la consultation, ainsi que de la vente et du marketing ;
• les titulaires de comptes joints, trustees (fiduciaires), bénéficiaires, mandataires ou exécuteurs testamentaires;
• tout gestionnaire de fortune indépendant fournissant des services de gestion d’actifs ou de conseil pour vous ou pour tout intermédiaire financier ou apporteur d’affaires qui vous a présenté à la Banque ou traite avec elle pour votre compte;
• les auditeurs et organes de résolution de litiges.

D’autres destinataires susceptibles de recevoir des données personnelles sont ceux pour lesquels vous avez autorisé le transfert de données ou à l’égard desquels vous avez exempté la Banque du secret bancaire par accord ou consentement.

5. Les données sont-elles transmises dans un pays tiers ou à une organisation internationale?
Dans certaines circonstances, des données personnelles peuvent être transférées et stockées dans des destinations situées en dehors de la Suisse, y compris dans des pays qui ne jouissent pas d’un niveau équivalent de protection des données personnelles par rapport à la Suisse. La Banque procédera toujours d’une manière autorisée par les règles de protection des données applicables. La Banque peut devoir transmettre vos données de la manière suivante, entre autres:

• pour exécuter ses obligations contractuelles à votre égard (p. ex. en raison du type de produit ou service utilisé ou pour satisfaire à une exigence légale);
• lorsque cela est requis par les lois de protection des données en vigueur afin de protéger l’intérêt public;
• pour défendre les intérêts commerciaux légitimes de la Banque (p. ex. dans le cadre d’un projet d’externalisation).
• Un transfert de données personnelles à des destinataires sis en dehors de Suisse, de l’EEE et de l’UE (les «pays tiers») sera effectué si:
• cela est nécessaire pour exécuter un ordre ou un contrat (p. ex. paiement ou ordre de négoce sur titres);
• la loi l’exige (p. ex. obligations de déclaration en vertu de législations fiscales);
• il a lieu dans le cadre d’un traitement de données commandité; ou
• vous avez donné votre consentement à la Banque.

Lorsque vos données personnelles doivent être divulguées à des tierces parties dans des pays ne disposant pas d’un niveau approprié de protection des données, la Banque veille à ce que des mesures adéquates soient prises le cas échéant (p. ex. accords contractuels tels que les clauses contractuelles standard de l’UE / voir l’article 46, paragraphe 2 (c) du RGPD, ou d’autres précautions et justifications), de manière à ce que les données personnelles continuent de jouir d’une protection adéquate.

Vous pouvez obtenir davantage de détails sur la protection accordée à vos données en cas de transfert en dehors de Suisse en contactant la Banque aux adresses figurant à la section 1 ci-dessus.

6. Pendant combien de temps les données personnelles sont-elles conservées?
La Banque traite et conserve les données personnelles des clients, Personnes Liées et clients potentiels aussi longtemps que nécessaire en vue de satisfaire à ses obligations contractuelles et réglementaires. Il convient de relever que la relation d’affaires avec la Banque est une obligation continue à long terme, appelée à durer plusieurs années.

• Si les données personnelles ne sont plus requises pour remplir les obligations contractuelles ou réglementaires, elles sont régulièrement supprimées, sauf si leur traitement ultérieur – généralement pendant une durée limitée – est requis aux fins suivantes:
• respect des périodes de conservation des dossiers en conformité avec la législation commerciale et fiscale: celle-ci inclut le Code suisse des Obligations (CO) en conjonction avec les ordonnances associées, la Loi Fédérale régissant la Taxe sur la Valeur Ajoutée (LTVA), la Loi Fédérale sur l’Impôt Fédéral Direct (LIFD), la Loi Fédérale sur l’Harmonisation des Impôts Directs des cantons et des communes (LHID), la Loi Fédérale sur les Droits de Timbre (LT), la Loi Fédérale sur l’Impôt Anticipé (LIA), les Directives de l’Association Suisse des Banquiers relatives au traitement des avoirs sans contact et en déshérence auprès de banques suisses (Directives Narilo).
• conservation de preuves en accord avec les délais de prescription.
• respect de situations de rétention spéciales, telles que la conservation à des fins juridiques, c’est-à-dire les procédures mises en œuvre par la Banque en vue de préserver toute forme d’information pertinente lorsqu’un litige est en cours ou peut raisonnablement être anticipé. Dans de tels cas, il se peut que la Banque soit tenue de conserver les informations pendant une période indéfinie.
  
  

10. Le «profilage» et la «prise de décision automatisée» sont-ils utilisés?
Dans certains cas, la Banque procède à un traitement automatisé des données personnelles de Clients, de Personnes Liées ou de clients potentiels dans le but d’évaluer certains aspects personnels (profilage). Par exemple, la Banque utilise le profilage dans les cas suivants:

• en raison d’exigences légales et réglementaires, la Banque est tenue d’appliquer des mesures de lutte contre le blanchiment d’argent, le financement du terrorisme, la fraude et la criminalité financière. Des évaluations de données (y compris des transactions de paiement) sont notamment effectuées dans ce contexte. Ces mesures sont en même temps destinées à vous protéger.
• la Banque peut utiliser des outils d’évaluation afin de pouvoir vous fournir des informations et conseils ciblés au sujet des produits. Ces outils permettent une communication et une publicité axées sur la demande, y inclus des études de marché et sondages d’opinion.

La Banque se réserve le droit de procéder à l’avenir à d’autres analyses et évaluations automatisées des données personnelles, de manière à identifier certaines de vos caractéristiques individuelles significatives ou à prédire des évolutions futures et créer des profils de clients. Celles-ci peuvent en particulier être utilisées pour des vérifications de nature commerciale, la gestion individuelle, les services de conseil ou financiers ainsi que la soumission d’offres et d’informations susceptibles d’être mises à votre disposition par la Banque.

Lorsqu’elle vous fournit des services, la Banque peut prendre des décisions à votre sujet sur une base automatisée. Elle veillera à ce qu’un interlocuteur approprié soit à votre disposition si vous souhaitez exprimer votre opinion sur une décision individuelle automatisée, dans la mesure où une telle possibilité d’exprimer une opinion est exigée par la loi. Dans un tel cas, veuillez envoyer votre demande à l’adresse figurant à la section 1 ci-dessus.

Information sur votre droit d’opposition en vertu de l’article 21 du Règlement Général sur la Protection des Données (RGPD) de l’UE

1. Droit d’opposition ad hoc
Si le RGPD s’applique à vous, vous avez le droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement des données à caractère personnel vous concernant fondé sur l’article 6, paragraphe 1, point e) RGPD (traitement dans l’intérêt public) ou f) RGPD (traitement nécessaire aux fins de la sauvegarde des intérêts légitimes), y compris au profilage fondé sur ces dispositions au sens de l’article 4, paragraphe 4 RGPD.

Si vous soumettez une telle opposition, la Banque ne traite plus vos données à caractère personnel, à moins qu’elle ne puisse démontrer qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur vos intérêts, droits et libertés, ou pour la constatation, l’exercice ou la défense de droits en justice. Veuillez noter que, dans ces cas, la Banque ne sera plus en mesure de vous fournir des services ni d’entretenir une relation d’affaires avec vous.

2. Droit de s’opposer au traitement de données à des fins de marketing direct
Dans certains cas individuels, la Banque traite vos données personnelles à des fins de marketing direct. Si le RGPD s’applique à vous, vous avez le droit de vous opposer en tout temps à un traitement de vos données personnelles dans ce but, y compris le profilage dans la mesure où il est lié à un tel marketing direct.

Si vous vous opposez un traitement à des fins de marketing direct, la Banque cessera de traiter vos renseignements personnels dans ce but.

Il n'existe aucune exigence de forme pour la soumission d’une opposition. Idéalement, elle devrait être adressée par écrit à l’adresse suivante:

bank zweiplus sa
Data Protection Officer
Buckhauserstrasse 22
Case postale
CH-8048 Zurich

dataprotection@bankzweiplus.ch