Politique de la vie privée

Le respect de la vie privée, et plus particulièrement la protection des données à caractère personnel (ci-après " DCP ") contre les divulgations ou traitements non autorisés, est au cœur des préoccupations de Keytrade Bank (ci-après " la Banque ").

La présente Politique de la Vie Privée (" Politique ") a pour objectif de vous expliquer clairement et simplement comment la Banque collecte, traite, modifie, transfère, conserve, archive, consulte et supprime vos DCP.

Par donnée à caractère personnel on entend toute information se rapportant à une personne physique identifiée ou identifiable notamment par référence à un identifiant (qui peut être un numéro). En d'autres termes, dès qu'une personne peut être identifiée sur base des éléments dont le responsable du traitement dispose, toute donnée relative à cette personne (avoirs, âge, n° de compte en banque, adresse...) est une DCP.

Cette Politique s'applique aux DCP qui sont collectées initialement lorsque vous visitez le Site Internet de la Banque, lorsque vous entrez en relation avec celle-ci ainsi qu'aux données obtenues ultérieurement par la Banque (par exemple lors de la souscription à un produit ou service complémentaire ou lors de la mise à jour des données renseignées initialement).

Le traitement de vos DCP est soumis au respect du règlement européen n° 2016/679 du 27 avril 2016 sur la protection des personnes physiques à l'égard du traitement des DCP, dit " RGPD ", ainsi qu'à toute règlementation s'appliquant aux DCP*.

Vous pouvez obtenir de plus amples informations sur la protection des DCP auprès de l'Autorité de protection des données (https://www.autoriteprotectiondonnees.be).

Cette Politique est régulièrement mise à jour. La Banque vous invite à consulter régulièrement son Site Internet afin de prendre connaissance de la version en vigueur.

Tous les termes qui ne sont pas définis dans la présente Politique et sont écrits avec une majuscule, ont le sens tel que décrit dans les Conditions Générales de la Banque.

*Entre autres :

• La loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements des DCP
• La loi du 13 juin 2005 relative aux communications électroniques
• Directive 2002/58/CE du parlement européen et du conseil du 12 juillet 2002 concernant le traitement des DCP et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

• Qui est le responsable du traitement de vos DCP ?
• Quelles catégories de DCP sont traitées ?
• Quand la Banque collecte-t-elle vos DCP ?

  • Données déclaratives
  • Sources publiques ou accessibles à la Banque
  • Utilisation des logiciels
  • Données divulguées lors d'interactions
  • Données récoltées par des tiers
• Dans quels cas êtes-vous tenu de communiquer vos DCP à la Banque ?
• A quelles fins et sur quelle base légale la Banque traite vos DCP ?

  • Obligations légales

    • Identification et Know Your Customer (KYC)
    • Enquêtes pénales - réquisitoires
    • Se conformer aux décisions judiciaires
    • Saisies sur comptes
    • Successions et divorces
    • LCB-FT
    • Abus de marché (Règlement relatif aux abus de marché)
    • Marchés d'instruments financiers (MiFID)
    • Shareholder Rights Directive (SRD II)
    • Violation de DCP (RGPD)
    • Exercice de vos droits en lien avec RGPD
    • Point de Contact Central (" PCC ")
    • Centrale des Crédits aux Particuliers (" CCP ")
    • Crédit hypothécaire et crédit à la consommation

      • Code de Droit Economique
      • Gestions des risques financiers
      • AnaCrédit - Bâle III
    • Common Reporting Standard (CRS)
    • Foreign Account Tax Compliance Act (FATCA) & Qualified Intermediary (QI)
    • DAC 6
    • Fonds de Garantie des dépôts et de résolution (" FGDR ")
    • Comptes dormants
    • Contrôles des autorités
  • Relation précontractuelle

    • Avant l'ouverture de la relation bancaire
    • Ouverture de la relation bancaire
  • Relation contractuelle - produits

    • Gestion des comptes
    • Cartes bancaires (crédit & débit)

      • Cartes de crédit
      • Carte de débit
    • Service d'agrégation de compte
    • Service de Cashback - Paylead
    • Ordres en Bourse - dépositaires
    • KEYPLAN & KEYPRIVATE
    • Keytrade Pro - Saxo Bank
    • Paiement de factures - Zoomit
    • Récupération de créances
    • KEYHOME - Crefius
    • KEYHOME - partenaires
    • Assurance Branche 21 et 23
    • Réclamations
  • Relation contractuelle - moyens de communications

    • Appels téléphoniques
    • E-mails et échanges écrits électroniques
    • Courriers papiers
  • Intérêt légitime

    • Modèles, statistiques
    • Communications publicitaires
    • Formation du personnel
  • Consentement

    • Cookies
    • Concours, jeux, évènements et séminaires (KEYPRIVATE & KEYPLAN)
    • Enquêtes
    • Communications publicitaires
    • Keyhome - Cardif et Ethias
• Communications publicitaires
• Cookies et autres technologies similaires
• Profilage et décisions automatisées

  • Profilage en général
  • Décision humaine basée sur les résultats de profilage
  • Décision automatisée produisant des effets juridiques ou vous affectant de manière significative
• Délai de conservation

  • Prospects
  • Clients

    • Délai de conservation des données d'identification
    • Délai de conservation général des échanges oraux et écrits
    • Délai de conservation des informations relatives aux opérations
    • Délai de conservation d'ordres en bourse
    • Délai de conservation des données en lien avec une réclamation ou une procédure judiciaire
    • Délai de conservation des données produites par la Banque (modèles, statistiques...)
    • Délai de conservation des vidéos des caméras de surveillance
• Mesures de sécurité encadrant les données

  • Notre dispositif de sécurité

    • Contrôle de la sécurité des systèmes informatiques
    • Privacy by Design
    • Transferts vers des partenaires (sous-traitant et responsable distinct de traitement)
    • Accès à vos données en interne
    • Formation et sensibilisation du personnel
  • Les mesures que vous pouvez prendre
• Quels sont vos droits ?

  • Droit d'accès
  • Droit de rectification
  • Droit à l'oubli
  • Droit à la limitation du traitement
  • Droit de portabilité des données
  • Droit de retirer votre consentement
  • Droit d'opposition
• Comment exercer vos droits ?
• A qui vous adresser en cas de réclamation ?

1. Qui est le responsable du traitement de vos DCP ?

Keytrade Bank, succursale belge d'Arkéa Direct Bank SA (France), située Boulevard du Souverain 100 à 1170 Bruxelles inscrite sous le numéro BCE BE 0879.257.191. est le responsable du traitement de vos DCP.

En tant que succursale d'Arkéa Direct Bank SA (France), elle-même filiale du Crédit Mutuel Arkéa, la Banque fait partie du groupe Crédit Mutuel Arkéa.

Au sein de Keytrade Bank, la DPO Team est responsable du suivi quotidien des problématiques liées au RGPD (premier point de contact) et du respect de la règlementation applicable aux DCP.

Si vous avez des questions, si vous souhaitez introduire une demande pour exercer un de vos droits repris dans le RGPD ou si vous êtes confrontés à un problème lié à vos DCP, vous pouvez contacter notre DPO Team par e-mail à l'adresse dpo@keytradebank.com ou par courrier à l'adresse postale Boulevard du Souverain 100, 1170 Bruxelles.

Keytrade Bank a désigné un délégué à la protection des données ("DPD" - DPO en anglais) qui a notamment pour mission d'informer et conseiller la Banque sur toutes les questions relevant de la protection des DCP. Vous pouvez contacter le Délégué à la Protection des Données :

• Par courrier postal : Madame la Déléguée à la Protection des Données - Crédit Mutuel Arkéa - 1 rue Louis Lichou, 29808 Brest Cedex 9, France
• Par e-mail : protectiondesdonnees@arkea.com

2. Quelles catégories de DCP sont traitées ?

Les différentes catégories de DCP que la Banque est amenée à collecter dans le cadre de la relation bancaire ou lorsque vous entrez en contact avec elle sont les suivantes :

• Les données d'identification : votre nom, prénom, adresse, numéro de carte d'identité, numéro de registre national, adresse e-mail, numéro de téléphone, login ;
• Les données transactionnelles : il s'agit de toutes les données relatives à vos transactions bancaires et boursières telles que vos numéros de comptes, numéros de carte, communications bancaires, retraits, transferts liés à vos comptes, éventuels défauts de remboursement de crédit au sein de la Banque ;
• Les données financières : vos factures, fiches salariales, revenus, la valeur de vos biens mobiliers ou immobiliers, votre capacité de remboursement, l'origine de vos fonds ou de votre patrimoine ;
• Les données d'état civil : nom, prénom, âge, sexe, date de naissance, lieu de naissance, état civil et nationalité;
• Les données de composition de ménage : votre situation familiale, les détails sur les autres membres du ménage ;
• Les données liées à votre niveau de connaissance et expérience ou à votre profil d'investisseur : votre connaissance et expérience des instruments financiers et votre situation financière, y compris votre capacité à supporter les pertes, vos objectifs d'investissement et votre tolérance au risque ;
• Les données concernant les enquêtes de satisfaction ou provenant de vos interactions avec la Banque ;
• Les données audiovisuelles et électroniques: les enregistrements des vidéos de surveillance agences, les enregistrements téléphoniques du service client ou les enregistrements de vos communications par e-mail ;
• Les données concernant votre capacité juridique à conclure certains contrats ou poser certains actes : en règlement collectif de dette, état de faillite, incapable, enregistré sur le volet négatif de la Centrale des Crédits aux Particuliers de la Banque Nationale de Belgique ;
• Les données obtenues via les cookies et autres technologies similaires : adresse IP, la version de votre navigateur, votre comportement sur le site, le nombre de fois que vous avez consulté le Site Transactionnel (logs). Pour plus d'informations veuillez consulter notre Cookies Policy.

3. Quand la Banque collecte-t-elle vos DCP ?

La Banque collecte des DCP vous concernant sur base des sources différentes sous mentionnées.

3.1 Données déclaratives

Ce sont toutes les données que vous ou un tiers procurez explicitement et directement à la Banque (Nom, prénom, adresse postale, numéro de téléphone, adresse e-mail, statut social (indépendant, employé ...).

• Ces données peuvent être transmises lors de l'ouverture de la relation bancaire, lorsque vous les mettez à jour ou lorsqu'elles sont nécessaires pour souscrire à un nouveau service ou produit.
• Lorsque vous participez à des séminaires, tutoriels, concours, évènements... organisés par la Banque vous devrez transmettre des données permettant de vous identifier et de vous contacter.
• Des données vous concernant peuvent être transmises à la Banque par un tiers et ce pour autant que cette transmission est nécessaire (par exemple : si vous êtes bénéficiaire effectif d'une personne morale).

3.2 Sources publiques ou accessibles à la Banque

Lors du traitement de votre demande d'ouverture de compte ou de souscription d'un produit, la Banque peut être amenée à compléter ou vérifier certaines données dans des registres publics ou qui lui sont accessibles (par exemple Banque Carrefour des entreprises, publications dans le Moniteur Belge, Registre National, Centrale des Crédits aux Particuliers (pour plus d'informations sur ce dernier point veuillez consulter la section Centrale des Crédits aux Particuliers (" CCP ")).

3.3 Utilisation des logiciels

Lorsque vous utilisez l'application développée par Keytrade Bank ou vous connectez au Site transactionnel, des données vous concernant sont récoltées (logs dans les systèmes informatiques, données relatives aux signatures électroniques...)

3.4 Données divulguées lors d'interactions

Lorsque vous répondez à un questionnaire, envoyez un e-mail, répondez à un message, passez un appel téléphonique ... la Banque collecte et conserve les données reprises dans ces fichiers.

3.5 Données récoltées par des tiers

Pour certains services, la Banque fait appel à des tiers qui collectent des données vous concernant et les communiquent à la Banque (par exemple : l'utilisation de votre carte VISA, la récupération de créances...). La Banque sera amenée à traiter ces données pour des finalités spécifiques.

4. Dans quels cas êtes-vous tenu de communiquer vos DCP à la Banque ?

La Banque s'engage à uniquement vous demander les données, que ce soit lors de l'ouverture de la relation bancaire ou lors de la souscription à un service et/ou produit, dont elle a besoin pour analyser en bonne et due forme votre demande (Privacy by default). Pour s'assurer du respect du principe de Privacy by default, chaque demande d'informations adressée aux clients et prospects (par ex. lors de la souscription d'un produit en ligne) a été revue par la DPO Team qui se fait fort de pouvoir justifier la raison pour laquelle chaque donnée demandée est nécessaire eu égard à la finalité pour laquelle elle est collectée.

La majorité de ces données sont demandées pour que la Banque puisse respecter la règlementation en vigueur DCP (loi relative à la prévention du blanchiment, MiFID, règlement relatif aux abus de marché, règlement n° 596/2014 ...).

Vous avez bien entendu le droit de refuser de communiquer ces données mais si ce refus empêche la Banque de respecter ses obligations légales, elle sera contrainte de vous refuser le service et/ou produit.

La Banque étant une banque en ligne, elle a besoin d'une adresse e-mail pour vous communiquer certaines informations qu'elle doit vous faire parvenir. Sans adresse e-mail et numéro de GSM pour valider l'ouverture de la relation bancaire, la Banque ne peut ouvrir de relation bancaire.

Si une donnée n'est légalement pas requise, la Banque l'indique et vous pourrez poursuivre votre demande de produits et/ou service sans communiquer cette donnée. Ces données ont principalement pour vocation d'améliorer votre expérience client (personnalisation de votre environnement client : ajouter une photo, donner un nom à vos comptes, adaptation de la visualisation de votre espace client...).

5. A quelles fins et sur quelle base légale la Banque traite vos DCP ?

Dans la suite de cette section, la Banque précisera les différents traitements de DCP qu'elle met en œuvre. De manière générale, la Banque traite vos données sur les bases légales suivantes :

• Afin de respecter les dispositions légales et réglementaires auxquelles la Banque est soumise ;
• Dans le cadre de l'exécution du contrat ou la prise de mesures précontractuelles ;
• Pour des raisons qui relèvent de l'intérêt légitime de la Banque, tout en préservant l'équilibre entre cet intérêt légitime et le respect de votre vie privée ;
• Lorsque vous avez donné votre consentement pour une ou des finalité(s) spécifique(s).

5.1 Obligations légales

La Banque est tenue par de nombreuses obligations légales et réglementaires qui nécessitent de traiter vos DCP. Ces obligations relèvent essentiellement des domaines repris ci-dessous.

5.1.1 Identification et Know Your Customer (KYC)

Lors de l'ouverture de votre relation bancaire et tant que celle-ci reste ouverte, la Banque doit respecter ses obligations d'indentification et de connaissance de ses clients (KYC - repris dans la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme et à la limitation de l'utilisation des espèces (ci-après 'LCB-FT')). Pour ce faire, la Banque traitera vos données à plusieurs reprises et peut-être amenée à vous demander des informations complémentaires.

5.1.2 Enquêtes pénales - réquisitoires

Dans le cadre d'enquêtes pénales, les autorités peuvent solliciter de la Banque de lui communiquer certaines informations quant à la relation bancaire. Moyennant le strict respect de la règlementation, la Banque communiquera vos données aux autorités habilitées à adresser ces demandes.

5.1.3 Se conformer aux décisions judiciaires

La Banque a l'obligation légale de se conformer aux décisions et actes judiciaires qui lui sont opposables. Ainsi, si vous avez été déclaré incapable, en état de faillite... la Banque a l'obligation de traiter vos données pour donner une suite utile à la décision prononcée et ce dès qu'elle en prend connaissance. La Banque peut également être amenée à communiquer des informations aux intervenants (avocats, notaires, tuteurs, administrateurs provisoires...). La Banque communique uniquement les données auxquels l'intervenant a droit, soit en vertu d'un jugement, soit en vertu de la règlementation.

5.1.4 Saisies sur comptes

Lorsqu'une saisie (exécutoire ou conservatoire) est pratiquée sur vos comptes dans le respect de la règlementation, la Banque est tenue de communiquer certaines informations relatives à vos comptes pour que la saisie puisse produire ses effets. Vous serez informé de la saisie par l'huissier instrumentant ou toute autre autorité compétente pour pratiquer des saisies.

5.1.5 Successions et divorces

Dans le cadre de successions, les héritiers sont en droit d'obtenir les extraits de compte des comptes en banque du défunt afin de contrôler et prévenir un éventuel recel successoral. La Banque peut être amenée à transférer vos DCP si celles-ci sont reprises sur les extraits de compte.

Dans le cadre d'un divorce, le notaire instrumentant peut solliciter qu'il lui soit remis un état des comptes des parties à la date du divorce pour pouvoir réaliser la liquidation partage des avoirs.

5.1.6 LCB-FT

La Banque a l'obligation de contribuer à la prévention du blanchiment de capitaux et du financement du terrorisme, en identifiant ses clients, représentants et bénéficiaires effectifs, déterminer un profil de risque et contrôler les opérations et transactions. Si la Banque estime que les conditions règlementaires sont remplies, elle devra également transmettre vos données à la Cellule de traitement des informations financières (CTIF).

5.1.7 Abus de marché (Règlement relatif aux abus de marché)

La Banque a l'obligation de contribuer à la lutte contre les abus de marché, en détectant et signalant certaines informations aux autorités compétentes ou partenaires avec lesquels la Banque travaille sur ces marchés financiers.

La Banque peut ainsi être amenée à transférer vos DCP à la FSMA dans le cadre de déclarations de la Banque, d'enquêtes de la FSMA ou d'un traité de coopération avec une administration étrangère et ce moyennant le respect de la règlementation.

Pour la détection d'abus de marché, la Banque transmet certaines DCP pseudonymisées relatives aux transactions financières à LiquidMetrix.

La Banque pourrait être amenée dans des cas particulier à effectuer des transferts vers un pays tiers qui n'a pas fait l'objet d'une décision d'adéquation. Pour ce faire, la Banque s'assurera que des Clauses Contractuelles Types (CCT - art. 46 RGPD) aient été signées, que des mesures techniques et organisationnelles appropriées soient mises en place et qu'une analyse d'impact relative à la protection des données ait été réalisée et ce préalablement à tout transfert. Vous pouvez toujours demander une copie des documents sur base desquels un transfert spécifique a lieu.

5.1.8 Marchés d'instruments financiers (MiFID)

La Banque a l'obligation de protéger le consommateur de produits et services financiers en identifiant, pour certains services, le niveau de connaissance et d'expérience, le profil et la catégorie d'investisseur, ses capacités et ses objectifs d'investissement.

5.1.9 Shareholder Rights Directive (SRD II)

Pour se conformer à la Shareholder Rights Directive, une des obligations qui incombe à la Banque est de divulguer les DCP des actionnaires d'une société cotée afin que cette-dernière, ou un tiers mandaté par elle à cet effet, puisse prendre contact avec ses actionnaires pour l'organisation de leur participation et de leur vote à l'assemblée générale.

5.1.10 Violation de DCP (RGPD)

En cas de violation de vos DCP qui engendre un risque pour vos droits et libertés, la Banque communiquera des données, en principe anonymisées, à l'Autorité de protection des données afin de les informer de la violation de DCP et de lui procurer les éléments nécessaires à l'appréciation de la gravité de la violation et de lui expliquer les mesures de remédiation prises.

Dans le cas où la violation engendre un risque élevé pour vos droits et libertés, la Banque vous en informera et vous fera parvenir un résumé des mesures prises pour atténuer les risques pour vos droits.

Les dossiers relatifs aux violations de DCP sont conservés pendant le délai de cinq ans (pour de plus amples informations concernant les différents délais de conservation appliqués, veuillez consulter la section 'Délai de conservation').

5.1.11 Exercice de vos droits en lien avec RGPD

Lorsque vous exercez un des droits que vous octroie le RGPD, la Banque est tenue d'analyser votre demande et, dans le cas où il n'y a pas de motif de refuser celle-ci, d'y réserver une suite utile.

Le dossier relatif à votre demande sera conservé pendant le délai de cinq ans (cfr section 'Délai de conservation').

5.1.12 Point de Contact Central (" PCC ")

Afin de se conformer à l'Arrêté Royal du 17 juillet 2013 relatif au point de contact central, la Banque communique chaque année vos données (identification, comptes bancaires, contrats en cours) à la Banque Nationale de Belgique.

Le délai de conservation du rapport transmis à la Banque Nationale de Belgique est de 8 ans conformément à l'article 8 de l'Arrêté Royal susmentionné.

5.1.13 Centrale des Crédits aux Particuliers (" CCP ")

Lorsque vous contractez un crédit, la Banque a une obligation légale d'enregistrer cette information dans la Centrale des Crédits aux Particuliers (Arrêté Royal réglementant la Centrale des Crédits aux Particuliers). Il en est de même lorsque vous êtes en défaut de paiement, la Banque doit communiquer le défaut à la Banque Nationale de Belgique. Vous serez notifié de cet enregistrement sur le volet négatif de la BNB par courrier.

5.1.14 Crédit hypothécaire et crédit à la consommation

5.1.14.1 Code de Droit Economique

Le Code de Droit Economique oblige la Banque, e.a., à contrôler l'exactitude des informations transmises, de vous assister dans votre demande de crédit et de vous conseiller. Pour respecter ses obligations légales, la Banque sera amenée à traiter vos données. Lorsque des documents (ESIS, Conditions particulières...) doivent être rédigés dans le cadre de votre demande de crédit hypothécaire, nous transmettons vos données à Crefius (pour plus d'informations quant au rôle et les interventions de Crefius, veuillez consulter la section 'Keyhome - Crefius').

5.1.14.2 Gestions des risques financiers

La Banque à l'obligation règlementaire de gérer ses risques financiers et son exposition au risque. Pour ce faire, la Banque détermine des scores de risques et a recours à des modèles statistiques de risques utilisant vos DCP. Ceci lui permet d'évaluer ses risques.

5.1.14.3 AnaCrédit - Bâle III

Tant le Règlement AnaCrédit que les accords de Bâle III sont applicables aux activités de crédit de la Banque. Pour se conformer à ces règlementations, la Banque transmet des DCP pseudonymisées des clients qui ont souscrits un crédit à la Banque Nationale de Belgique (AnaCrédit) ainsi qu'au Crédit Mutuel Arkéa. Cette dernière consolide les données relatives aux crédits avec celles des autres entités du groupe Crédit Mutuel Arkéa avant de transférer son rapport à la Banque Centrale Européenne (Bâle III).

5.1.15 Common Reporting Standard (CRS)

Si vous êtes résidant fiscal d'un pays membre du Common Reporting Standard autre que la Belgique, la Banque a l'obligation légale de vous renseigner auprès de l'administration fiscale belge qui communiquera à son tour les données sur vos avoirs à l'autorité fiscale étrangère compétente.

Les reportings que la Banque produit dans le cadre de CRS sont conservés pendant le délai de huit ans. Vous pouvez demander à la Banque une copie des informations qu'elle a communiquées dans le cadre de CRS à l'autorité fiscale.

5.1.16 Foreign Account Tax Compliance Act (FATCA) & Qualified Intermediary (QI)

Si vous avez le statut de 'US Person' selon la règlementation américaine, la Banque est obligée de vous rapporter à l'administration fiscale américaine comme détenteur de compte ou bénéficiaire effectif et préciser les avoirs en compte que vous avez. Si la Banque estime que les conditions règlementaires sont remplies, elle vous reprendra dans son reporting QI destiné à l'Internal Revenue Service (IRS)

Les reportings que la Banque produit dans le cadre de la règlementation FATCA et QI sont conservés pendant le délai de six ans.

5.1.17 DAC 6

Sur base de la règlementation et des informations publiées sur le sujet par Febelfin, vos données pourraient être transmises pourraient être traitées par la Banque afin de se conformer à DAC 6.

5.1.18 Fonds de Garantie des dépôts et de résolution (" FGDR ")

Le FGDR a pour vocation de protéger vos avoirs jusqu'à 1 010 000^EUR en cas de défaillance de la Banque. La Banque étant une succursale d'Arkéa Direct Bank (France), vos avoirs doivent être additionnés à ceux que vous détenez sur un compte chez Arkéa Direct Bank (nom commercial Fortuneo). La Banque et Arkéa Direct Bank déposent un rapport commun au FGDR français.

Les rapports générés par la Banque et transmis à Arkéa Direct Bank dans le cadre du FGDR sont conservés pendant un mois coulant (ils sont produits quotidiennement).

Pour plus d'information quant au FGDR nous vous invitons à consulter le document d'information sur la protection de vos dépôts : https://www.keytradebank.be/files/documentcenter/docsProtectionOfDeposits_fr.pdf.

5.1.19 Comptes dormants

Si vos comptes en banque tombent dans le champ d'application de la législation sur les avoirs dormants, nous devons traiter vos données afin de tenter de prendre contact avec vous avant de transférer les avoirs à la Caisse des dépôts et consignation.

Une fois que les avoirs sur compte ont été transférés à la Caisse des dépôts et consignation, votre relation bancaire est clôturée et vos données ne seront plus traitées sauf si vous prenez contact avec nous.

5.1.20 Contrôles des autorités

En cas de contrôle des autorités compétentes, qu'elles soient belges, européennes ou étrangères, la Banque et les autres entités du groupe détenant vos DCP devront procurer certaines informations et accès aux autorités pour qu'elles puissent réaliser le contrôle règlementaire dont elles sont investies. Vos DCP peuvent être transférées ou consultées lors de ces contrôles.

La liste des domaines légaux et réglementaires en vertu desquels la Banque est amenée à mettre à disposition, transférer ou traiter vos DCP est susceptible d'évoluer.

5.2 Relation précontractuelle

5.2.1 Avant l'ouverture de la relation bancaire

Avant d'ouvrir la relation bancaire ou d'accepter la souscription à un produit ou service commercialisé par la Banque, cette dernière peut et, dans certains cas, doit obtenir et traiter certaines DCP, afin notamment de :

• Répondre à votre demande ;
• Vous aider dans le cas où vous rencontrez un problème lors du processus de souscription en ligne d'un produit ou service ;
• Donner suite à une demande, évaluer l'opportunité et estimer les risques liés à un éventuel produit ou service ;
• Evaluer votre solvabilité ou éventuellement celle des personnes qui vous sont liées lors d'une demande de crédit.

De manière plus spécifique, la Banque traite vos DCP dans le cadre précontractuel de la manière suivante :

• Si vous ouvrez votre relation bancaire en ligne en utilisant un lecteur de carte d'identité, vos données seront lues par un logiciel installé sur les serveurs de la Banque. Ce logiciel collecte les données de votre carte d'identité et les modifie afin qu'elles soient dans un format lisible pour le système informatique de la Banque.
• Dans le courant de l'année 2021 la Banque proposera la possibilité d'ouvrir votre relation bancaire en utilisant une application. Vos DCP seront transférées par la société qui a développée l'application à la Banque.
• Lorsque ce service est disponible, si vous ouvrez votre relation bancaire via le formulaire papier, la Banque traitera votre demande et transfèrera les documents papiers à Merak pour le scanning de ceux-ci.

Lors du traitement de votre demande d'ouverture de relation bancaire, la Banque consulte les bases de données suivantes :

• Registre National si votre domicile est en Belgique (carte ID Belge) via l'ASBL Identifin (si vous êtes non résident belge, vous devrez nous procurer les documents nécessaires, dont votre passeport pour que la Banque puisse respecter ses obligations règlementaires) ;
• World-Check de la société Refinitiv afin de respecter ses obligations Know Your Customer (" KYC ") avant d'ouvrir la relation bancaire.
• Toute autre source publique qu'elle estime nécessaire pour éventuellement contrôler l'exactitude des données renseignées.

5.2.2 Ouverture de la relation bancaire

En cas d'acceptation de votre demande d'ouverture de relation bancaire, la Banque transfère les DCP nécessaires pour générer et vous faire parvenir le(s) moyen(s) de connexion que vous avez sélectionné (Sofkey et/ou Hardkey) à la société Onespan NV.

Pour ouvrir votre relation bancaire, la Banque créera votre profil dans son système informatique et prendra les mesures concrètes pour l'ouverture de la relation bancaire (création des numéros de compte, de votre identifiant, mot de passe...).

Si vous utilisez le service de Bankswitching pour transférer vos données bancaires de votre précédent établissement financier vers la Banque, vos données seront transmises à la Banque via Centre d'échange et de Compensation (CEC) ASBL.

5.3 Relation contractuelle - produits

5.3.1 Gestion des comptes

La gestion de vos différents comptes (calcul des intérêts, aperçu des comptes et des transactions, mise à disposition des documents, calcul taxe TOB, service d'information sur les comptes ...) se fait de manière totalement interne chez la Banque. Vos DCP ne sont donc pas transférées à des tiers à cette fin.

Vos données peuvent, lorsqu'un problème spécifique est rencontré, être transmises par la Banque à des intervenants pour échanger des informations quant à la gestion de votre compte. Cela sera par exemple le cas si vous avez introduit un virement vers un destinataire erroné et souhaitez l'annuler ou avez été victime d'une escroquerie. La Banque transmettra uniquement les données nécessaires pour que l'intervenant puisse traiter la demande.

5.3.2 Cartes bancaires (crédit & débit)

5.3.2.1 Cartes de crédit

Votre demande de carte de crédit est dans un premier temps analysée de manière automatisée (cfr infra point 8.3 de la présente Politique de la Vie Privée). Si le système détecte une cause d'exclusion d'office, votre demande sera refusée immédiatement. Vous pouvez dans ce cas toujours demander à ce qu'une analyse manuelle soit faite du refus. Dans le cas où aucune cause d'exclusion d'office n'est détectée, votre demande est analysée manuellement par un gestionnaire de dossier. En cas d'approbation de votre demande de carte de crédit, vos données sont transmises à :

• Oberthur Technologies, The Netherlands BV - pour la création physique de la carte et l'envoi.
• Monext Société par Actions Simplifiées française pour la création informatique de la carte et générer le code PIN. En cas de changement à votre carte (modification code PIN, renouvellement ou remplacement de la carte...), vos données seront également transférées à Monext.
• VISA Belgium SCRL transfère à la Banque des données relatives à vos opérations par carte.
• L'assurance liée à votre carte de crédit a été conclue avec Inter Partner Assistance SA. Si vous déclarez un sinistre, il y aura un échange d'information entre la Banque et Inter Partner Assistance relatif au sinistre.
• Si vous bloquez votre carte via le service Cardstop de equensWorldline plutôt que via le Site Transactionnel, vos données seront traitées et transférées par equensWorldline.

5.3.2.2 Carte de débit

Les demandes de cartes de débit sont automatiquement acceptées. Vos données sont transmises à :

• Oberthur Technologies, The Netherlands BV pour la création physique de la carte et l'envoi.
• equensWorldline SE pour la création informatique de la carte. En cas de changement à votre carte (modification code PIN, renouvellement ou remplacement de la carte...), vos données seront également transférées à equens Worldline.
• Bancontact ou Maestro :. Lors de chaque paiement par carte de débit, vos données sont traitées par Bancontact ou Maestro et remises à la Banque. Le fait que vos DCP soient transmises à Bancontact ou Maestro est repris sur votre carte de débit
• Si vous bloquez votre carte via le service Cardstop de Worldline plutôt que via le Site Transactionnel, vos données seront traitées et transférées par Worldline.

5.3.3 Service d'agrégation de compte

La Banque ne communiquera les données nécessaires à l'intervention de certains prestataires de services de paiement, tels que les initiateurs de services de paiement et les agrégateurs de compte, qu'une fois que vous avez souscrit au service.

Les données relatives aux services d'initiation de paiement et d'agrégateurs de comptes dans le cadre de PSD2 sont conservées dans le 'Cloud' d'Amazon Web Services. Pour ce transfert de données, la Banque a mis, en collaboration avec Amazon Web Services, toutes les mesures techniques et organisationnelles pour garantir la sécurité des données en place. Ces mesures répondent aux règles de l'art applicables et sont revues à des intervalles réguliers pour être certains qu'elles soient toujours adéquates.

5.3.4 Service de Cashback - Paylead

La Banque proposera un service de Cashback en collaboration avec Paylead. Si vous souscrivez à ce service, vos données pseudonymisées seront transmises à Paylead. Cette dernière a besoin des informations relatives à vos paiements par carte (crédit et débit) pour déterminer le Cashback auquel vous avez droit. Vos données ne sont plus transmises dès que vous vous désinscrivez du service de Cashback.

Pour plus d'informations quant au traitement de vos DCP par Paylead, nous vous invitons à prendre connaissance de la Politique de Confidentialité de Paylead disponible sur l'espace Cashback de l'application.

5.3.5 Ordres en Bourse - dépositaires

Pour le placement et l'exécution d'ordres en bourse, vos DCP ne sont pas transférées à un intermédiaire (Euronext, Euroclear...). Il en est de même pour les dépositaires avec qui la Banque collabore.

Par contre, la Banque peut être amenée à dévoiler vos DCP à des intermédiaires ou dépositaires dans le cadre de demandes d'informations règlementaires.

5.3.6 KEYPLAN & KEYPRIVATE

Si vous ouvrez un KEYPLAN ou KEYPRIVATE, la Banque prendra les mesures nécessaires pour ouvrir le compte-titres en lien avec votre KEYPLAN ou KEYPRIVATE et encoder les informations nécessaires dans son système informatique pour pouvoir vous offrir le service auquel vous avez souscrit.

Aucune de vos DCP n'est transmise à un tiers pour vous offrir ces services.

5.3.7 Keytrade Pro - Saxo Bank

Si vous souscrivez au service de Keytrade Pro, vos DCP seront transmises à Saxo Bank pour l'exécution du contrat dont la réalisation de vos ordres ainsi que pour respecter la règlementation.

5.3.8 Paiement de factures - Zoomit

Si vous avez souscrit au service Zoomit (CodaBox SA) pour le paiement de vos factures, la Banque et Zoomit traiteront vos DCP pour l'exécution du contrat que vous avez conclu avec Zoomit.

Pour plus d'informations, nous vous invitons à consulter la Politique de la Vie Privée de Zoomit : https://www.zoomit.be/fr/respect-de-la-vie-privee/.

5.3.9 Récupération de créances

Lorsque la Banque détient une créance (dépassement, découvert non autorisé...) à votre encontre qui n'a pas été remboursée endéans un certain délai, elle transmet vos données à son partenaire en vue de la récupération de la créance et ce dans le respect de la règlementation en vigueur.

En cas de transfert de vos données au partenaire, vous en serez informé par courrier.

5.3.10 KEYHOME - Crefius

Dès que vous introduisez une demande de crédit hypothécaire, la Banque transmet vos données à Crefius avec qui elle collabore pour la rédaction des documents relatifs à votre demande de crédit hypothécaire (ESIS, Offre de crédit...). Si vous signez un contrat de crédit hypothécaire avec la Banque, le suivi des paiements et les aléas de votre crédit sont gérés par Crefius (reprise d'encours, remboursement unique, prélèvement par tranche...).

5.3.11 KEYHOME - partenaires

Keytrade Bank a conclu des partenariats pour la commercialisation du produit KEYHOME auprès de la clientèle de certains partenaires. Ces partenaires interviennent en leur qualité d'intermédiaires de crédits ou d'apporteur d'affaires. Ceux-ci transmettent vos données à la Banque, soit pour pouvoir prendre contact avec vous suite à l'intérêt que vous avez montré pour le produit, soit pour analyser concrètement votre demande de crédit hypothécaire.

Vous serez informé par le partenaire avant tout transfert de DCP vers la Banque.

Pour plus d'informations, nous vous invitons à consulter la Politique de la Vie Privée du partenaire en question.

5.3.12 Assurance Branche 21 et 23

La Banque proposera dans le courant de l'année 2021 à ses clients les produits d'assurance branche 21 et 23 commercialisés par un partenaire. Si vous souhaitez souscrire à ce produit par le biais de la Banque, celle-ci sera tenue de transférer vos données à son partenaire dans le cadre de la conclusion du contrat d'assurance Branche 21 et 23.

5.3.13 Réclamations

Dans le cadre de la gestion des réclamations, la Banque devra traiter, et éventuellement transférer, des DCP aux parties intervenantes (la personne qui dépose plainte, les personnes qui sont intervenus dans le dossier, Test-Achat, ombudsfin...) afin de pouvoir répondre à la plainte et défendre ses intérêts. La Banque traitera et divulguera uniquement les DCP qu'elle estime nécessaire pour traiter la réclamation en bonne et due forme.

5.4 Relation contractuelle - moyens de communications

5.4.1 Appels téléphoniques

Les enregistrements ne sont pas communiqués à des tiers sauf si une disposition légale le prévoit ou que cela est nécessaire dans le cadre de la gestion de votre relation contractuelle (par ex. vous avez introduit une réclamation).

Toute interaction téléphonique de la Banque avec ses clients et les prospects est conservée pendant le délai minimum d'un an à des fins probatoires et d'analyse de qualité. La base légale pour l'enregistrement des appels téléphoniques est la prise de mesures précontractuelles ou l'exécution du contrat si la relation bancaire est déjà ouverte.

Un délai de conservation plus long est prévu si la finalité le requiert. Il s'agit en particulièer des finalités suivantes (cfr point 'délai de conservation'):

• Si votre appel a lieu dans le cadre d'une plainte ou une procédure judiciaire ;
• Si nous devons conserver l'enregistrement dans le cadre d'une de nos obligations légales (LBC FT, Abus de marché, MiFID).

5.4.2 E-mails et échanges écrits électroniques

La Banque utilise différents logiciels pour l'envoi, le traitement et la réception d'e-mails. Pour l'envoi d'e-mails, la Banque utilise des méthodes d'encryption en transport qui sont appliquées selon le logiciel qui envoie l'e-mail et le contenu de l'e-mail et ce pour autant que le serveur qui réceptionne l'e-mail supporte l'encryption.

Pour garantir une sécurité optimale des échanges d'informations, la Banque a mis en place un " Secure Message Box " sur l'application et le Site Transactionnel qui lui permet de communiquer directement et aisément avec ses clients (corporate actions, problèmes d'exécution d'ordres...). L'envoi des communications via le Secure Message Box, permet, contrairement à l'e-mail, de limiter sensiblement l'intervention de tiers dans le processus d'envoi et de réception. Il est uniquement fait appel à Amazon Web Services pour l'hébergement des données.

Un délai de conservation général est d'application aux e-mails et autres échanges électroniques (Secure Message Box) et ce pour autant qu'aucune obligation règlementaire de conserver les informations pendant un délai plus long n'est applicable (cfr point 'délai de conservation').

5.4.3 Courriers papiers

De manière générale, la Banque privilégie les échanges électroniques aux échanges papiers. Néanmoins le client peut exprimer le souhait de recevoir certaines informations sur format papier (par ex. ses extraits de compte).

Pour les envois de courriers papiers qui se font de manière automatisée (par ex. extraits de compte, information qui doit être envoyée à tous les clients dans le cadre d'un produit spécifique...), la Banque fait appel aux services de Publimail.

Pour les courriers entrants, la Banque fait appel aux services de Merak pour le scanning. Une fois le courrier scanné, la version scannée est remise à la Banque qui traitera votre courrier. Le courrier papier est détruit sauf si la Banque est légalement tenu de conserver l'original.

Un délai de conservation général d'un an est d'application à tout courrier papier et ce pour autant qu'une conservation plus longue ne se justifie légalement.

5.5 Intérêt légitime

La Banque traite également vos données pour la réalisation de ses intérêts légitimes. À cet effet, la Banque veille à préserver lors de chaque traitement un juste équilibre entre les nécessités de traiter les données et le respect de vos droits et libertés.

Pour les traitements qui se font sur base de l'intérêt légitime, vous avez toujours le droit de vous opposer au traitement. Le cas échéant, la Banque ne traitera plus vos données pour cette finalité sauf si ses droits prévalent sur vos libertés et droits fondamentaux.

Des DCP sont ainsi traitées pour les finalités reprises ci-dessous.

5.5.1 Modèles, statistiques

Pour la production de modèles (de risque, marketing, prédictions et autres) et statistiques, la Banque recourt toujours à des techniques d'anonymisation.

Pour la production de modèles et statistiques, la Banque traite de nombreuses données tels que :

• les données transactionnelles afin de mieux comprendre l'utilisation de ses services en vue de les améliorer ; Le suivi des activités de la Banque, notamment la mesure des ventes, le nombre d'appels et de personnes qui se sont connectés au Site Transactionnel, le type de questions fréquemment posées par les clients...
• L'extraction de données de documents produits pour analyser et prédire l'exposition aux risques de la Banque et prendre, si nécessaire, des mesures pour réduire cette exposition.

5.5.2 Communications publicitaires

La promotion de produits et services commercialisés par la Banque dans le respect de la règlementation (voir 'communications publicitaires). La Banque a réalisé une analyse scrupuleuse pour définir tant les produits et services qui peuvent faire l'objet d'une communication publicitaire que les clients à qui peuvent être adressés ces communications. Vous pouvez demander à tout moment une copie de l'analyse réalisée par la Banque.

5.5.3 Formation du personnel

Vos interactions avec la Banque qui sont conservées peuvent être anonymisées à des fins de formation du personnel (appels téléphoniques, échanges d'e-mails...). La préservation de la sécurité des biens et des personnes, la lutte contre la fraude ou les tentatives d'intrusion, d'abus ou d'autres infractions ainsi les images enregistrées par les caméras de vidéo-surveillance sont sauvegardées uniquement dans le but de préserver la sécurité des biens et des personnes ainsi que de prévenir les abus, fraudes et autres infractions dont les clients ou la Banque pourraient être victimes.

5.6 Consentement

Dans certains cas, la Banque traitera vos DCP seulement si elle a obtenu spécifiquement votre consentement à ce sujet.

5.6.1 Cookies

Seuls les cookies fonctionnels (de connexion) et autres technologies similaires, qui sont nécessaires pour le bon fonctionnement du Site Internet de la Banque, seront automatiquement activés lors de votre visite. Les autres cookies (cookies de convivialité, statistique, publicitaire ou traçage) ne seront qu'activés si vous donnée votre consentement. Vous trouverez plus d'informations concernant le fonctionnement des cookies et les possibilités de limiter et effacer des cookies dans notre Cookies Policy (https://www.keytradebank.be/fr/usage-cookies/).

5.6.2 Concours, jeux, évènements et séminaires (KEYPRIVATE & KEYPLAN)

La participation aux jeux, concours, séminaires et évènements organisés par la Banque nécessite également le traitement de vos DCP. La Banque s'engage à traiter exclusivement vos données dans le cadre de l'organisation du concours, jeux, évènement ou séminaire. Vos données ne seront pas utilisées à des fins de marketing a posteriori.

Dans le cas où le concours, jeux, évènement ou séminaire est organisé par un tiers ou que la Banque fait appel aux services d'un tiers pour l'organisation, vous serez informé du transfert de vos DCP lorsque vous communiquez celles-ci.

5.6.3 Enquêtes

La Banque analyse les résultats des enquêtes réalisées auprès de ses clients et prospects, et les avis donnés par ceux-ci lors d'interactions afin d'améliorer la relation client ainsi que ses services et produits.

Avant la participation à une enquête, nous vous demanderons votre consentement et éventuellement de signer un document pour l'utilisation d'images et enregistrements.

Il se peut que la Banque fasse appel aux services d'un tiers pour l'organisation de l'enquête. Dans ce cas, ce dernier s'est engagé contractuellement à respecter les dispositions règlementaires et la Banque a pris des mesures pour s'en assurer (cfr point 'notre dispositif de sécurité').

5.6.4 Communications publicitaires

Pour les clients qui se sont vus la possibilité de donner leur consentement lors de l'ouverture de la relation bancaire, la Banque se base sur ce consentement pour leur adresser des communications publicitaires (opt-in/opt-out - voir point 'communications publicitaires' infra).

5.6.5 Keyhome - Cardif et Ethias

Pour les assurances liées à votre crédit hypothécaire, la Banque a conclu des partenariats avec Cardif pour l'assurance solde restant dû et Ethias pour l'assurance incendie. Si vous donnez votre consentement, Cardif et Ethias pourront pré-compléter le formulaire d'assurance avec les données que vous avez déjà communiquées à la Banque

6. Communications publicitaires

En fonction de la date à laquelle vous avez ouvert la relation bancaire, vous avez dû ou non donner votre consentement pour la réception de communications publicitaires.

Dans le cas où vous avez donné votre consentement pour la réception de communications publicitaires lors de l'entrée en relation, la Banque traite vos DCP, et en particulier vos données de contact, pour vous faire parvenir des communications publicitaires (opt-in). Si vous n'avez pas donné votre consentement lors de l'ouverture de la relation bancaire, la Banque ne vous adressera aucune communication publicitaire et ne traitera pas vos données à cette fin (opt-out).

Si la Banque ne vous a pas demandé votre consentement lors de l'entrée en relation, la Banque se base sur l'intérêt légitime pour l'envoi de communications publicitaires (soft opt-in). Vous pouvez demander une copie de l'analyse de l'intérêt légitime faite par la Banque.

Concrètement, cela signifie que vous pouvez être contacté(e) par exemple dans les cas suivants :

• A propos de produits ou services pour lesquels vous avez montré un intérêt (par exemple par une inscription à une séance d'information ou en effectuant une simulation sur le produit ou service) ;
• Lorsque la Banque commercialise des produits ou services qui, selon les analyses de la Banque, correspondent à vos besoins ; La Banque analyse les résultats de ses activités marketing afin de mesurer l'efficacité de ses campagnes en vue de vous proposer, en tant que client, des services et produits plus pertinents ;

Dans le cadre de ses communications publicitaires, la Banque peut vous contacter par e-mail, téléphone (SMS et appels téléphoniques) ou par courrier. La Banque choisira le mode de communication le plus approprié et le moins intrusif en fonction de la finalité de la communication. Pour vous informer de (nouveaux) produits et services, la Banque privilégie l'e-mail.

Toute communication publicitaire que la Banque envoie contient un lien vous permettant de retirer aisément votre consentement ou d'indiquer des préférences spécifiques.

Vous pouvez également à tout moment indiquer que vous ne souhaitez plus recevoir de communications publicitaires en vous connectant sur le Site Transactionnel > Préférences > Données personnelles > Communication. La Banque ne traitera en aucun cas vos données si vous avez retiré votre consentement ou vous vous êtes opposé au traitement de vos DCP à des fins de marketing.

La Banque n'envoie pas de communications publicitaires si vous n'avez pas de relation bancaire active avec elle (les prospects et les clients dont les comptes sont clôturés sont donc exclus).

7. Cookies et autres technologies similaires

D'une manière générale, les cookies sont de petits fichiers de données stockés sur votre Appareil. Ils peuvent avoir différentes fonctions. La Banque utilise des cookies sur son Site Internet et son Application afin d'accroître ses performances, de lui permettre de se souvenir de vos préférences, et de vous apporter des informations que la Banque pense être intéressantes ou utiles pour vous. La Banque utilise également des données enregistrées par les cookies pour compiler des statistiques pour son Site Internet et pour faire en sorte que ses performances et son contenu soient améliorés.

Pour de plus amples informations à propos de l'utilisation de cookies, veuillez lire la Cookies Policy de la Banque (https://www.keytradebank.be/fr/usage-cookies/).

8. Profilage et décisions automatisées

Le profilage consiste à traiter de manière automatisée vos DCP pour évaluer certains aspects personnels comme par exemple vos centres d'intérêts, vos préférences personnelles...

Afin de vous offrir rapidement et efficacement certains produits et services, vos DCP peuvent occasionnellement être traitées de manière, partiellement ou totalement, automatisée ce qui peut engendrer une décision ayant des effets juridiques à votre égard ou qui pourrait vous affecter significativement. Il s'agit alors de décisions automatisées.

Il y a lieu de distinguer trois formes de profilage :

• Le profilage en général (qui ne produit pas d'effets juridiques à votre égard) ;
• Une prise de décision humaine basée sur les résultats d'un profilage (qui ne produit pas d'effets juridiques à votre égard) ;
• Une décision entièrement automatisée (qui produits des effets juridiques ou vous affecte de manière significative).

8.1 Profilage en général

La Banque commercialise une vaste gamme de produits et services financiers (Comptes d'épargne, services d'investissement, épargne pension, assurances, crédits hypothécaires, crédit à la consommation...). Pour identifier les produits et services qui correspondent réellement à vos besoins, la Banque met en œuvre du profilage sur la base de certaines de vos DCP.

Grâce au profilage, la Banque est à même de rédiger des communications publicitaires sur mesure et de limiter les envois à des communications dont elle a la conviction qu'elles sont pertinentes pour vous. Les produits et services resteront accessibles à tous les clients de la Banque, sauf exclusion légale, même si le profilage n'a pas identifié que les produits correspondent aux besoins ou aux centres d'intérêts de certaines catégories de clients.

Vous pouvez à tout moment vous opposer au profilage à des fins de marketing en vous connectant sur le Site Transactionnel > Préférences > Données personnelles > Communication. Chaque communication publicitaire contient également un lien via lequel vous pouvez aisément vous opposer au profilage à des fins de marketing.

La Banque réalise également du profilage anonyme pour d'autres finalités tels que :

• A des fins statistiques ;
• Pour mieux comprendre le comportement et les besoins des clients de la Banque et améliorer les services ;
• Analyser le comportement de navigation des visiteurs du Site internet de la Banque.

Lorsque la Banque se base sur l'intérêt légitime pour le profilage, elle évalue préalablement et attentivement l'intérêt légitime pour déterminer s'il est justifié de mettre en œuvre le profilage et elle prend, dans tous les cas, les mesures nécessaires pour minimiser l'impact éventuel sur vos droits et libertés.

8.2 Décision humaine basée sur les résultats de profilage

C'est le cas lorsqu'une demande est introduite en matière de crédit hypothécaire ou de carte de crédit. La décision du gestionnaire de dossier de vous octroyer ou non un prêt ou un crédit sera en partie basée sur le résultat du profilage qui est réalisé par un algorithme. Cet algorithme utilise les données que vous communiquez à la Banque dans le cadre de votre demande de crédit ainsi que des données externes (Centrale des crédits aux particuliers). Il évalue votre capacité à rembourser le prêt ou le crédit que vous sollicitez et vise à permettre le gestionnaire de dossier à prendre une décision rapide et non discriminatoire.

8.3 Décision automatisée produisant des effets juridiques ou vous affectant de manière significative

Une décision entièrement automatisée est une décision prise à l'égard d'une personne, par le biais d'un algorithme appliqué à ses DCP, sans qu'aucun être humain n'intervienne dans le processus (considérant 71 et art. 22 du RGPD).

C'est le cas des simulations KEYHOME et KEYPRIVATE qui sont disponibles sur le Site internet de la Banque. En cas de refus par l'algorithme, quel qu'en soit la raison, il s'agit d'une décision qui peut produire des effets juridiques à votre égard.

Dans certains cas, la décision de ne pas accorder de carte de crédit se fait également sur base d'une décision entièrement automatisée. L'algorithme prend en compte divers éléments de votre demande et consulte le fichier de la Centrale des crédits aux particuliers pour déterminer s'il doit refuser la demande.

Lorsqu'il s'agit d'une décision entièrement automatisée, vous recevrez une réponse immédiate à votre demande.

Dans tous les cas où une décision automatisée produit des effets juridiques ou vous affecte de manière significative, vous avez le droit d'obtenir une intervention humaine et d'obtenir une explication quant à la décision prise à l'issue de ce type d'évaluation et éventuellement de contester cette décision.

9. Délai de conservation

Pour ce qui concerne les délais de conservation, il y a lieu de distinguer la base active et la base archivée. Les données des clients relatif à leur relation bancaire et les produits auxquels ils ont souscrits sont conservées en base active et ce tant qu'ils utilisent le produit ou que la relation bancaire n'est pas clôturée. Dès que toutes les relations bancaires d'un client sont clôturées, l'intégralité de ses données sont transférées en base archivée. Lorsqu'un client ne bénéficie plus d'un produit, seules les données relatives à ce produit seront archivées. Lorsque les données sont placées en base archivée, la Banque ne traite plus les données, sauf obligation règlementaire en ce sens, et se contente de conserver celles-ci.

La Banque s'assure de ne pas conserver vos DCP en base active au-delà du temps nécessaire au traitement pour lequel elles ont été collectées.

Lors de l'évaluation de la durée de conservation de vos DCP en base archivée, la Banque prend en compte les exigences réglementaires applicables (p. ex. les exigences résultant de la loi LCB-FT).

9.1 Prospects

Vos données à caractère personnel (informations relatives à votre ouverture de compte, ainsi que les échanges écrits et oraux) en tant que prospect seront conservées pendant une période maximale d'un an. Passé ce délai, vos données seront automatiquement supprimées de notre base de données.

9.2 Clients

La Banque applique plusieurs délais de conservation aux DCP en fonction de la disposition règlementaire applicable et des documents concernées. Lorsqu'un délai de conservation particulier est d'application à un document, ce délai de conservation est précisé dans le point relatif à ce document (reportings).

Dans la présente section vous trouverez un exposé des différents délais de conservation que la Banque a retenu ainsi que les données auquel le délai s'applique.

9.2.1 Délai de conservation des données d'identification

Vos données d'identification seront conservées pendant dix ans à partir de la date de clôture de toutes vos relations bancaires avec la Banque (art. 60 de la loi LCB-FT). Ce délai peut être étendu dans certains cas, par exemple si vous clôturez votre relation bancaire mais avez un crédit hypothécaire en cours ou en cas de litige (jusqu'à l'issue du litige).

9.2.2 Délai de conservation général des échanges oraux et écrits

La Banque applique un délai de conservation général d'un an pour tous les échanges (téléphone, échanges écrits électroniques et papiers) qu'elle a avec ses clients et ce à des fins probatoires et pour autant qu'aucune règlementation ne justifie une conservation plus longue de la donnée (cfr infra).

La Banque se base sur l'article 5.1 c) du RGPD ainsi que le considérant 39 de ce même règlement et le fait que les premiers échanges relatif à un problème particulier permettent de mieux comprendre l'origine et les éventuelles solutions proposées par la Banque pour justifier le délai général d'un an.

Vous pouvez à tout moment demander une copie des échanges téléphoniques et écrits que vous avez eu avec la Banque et ce pour autant que vous introduisez votre demande endéans le délai de conservation indiqué dans la présente Politique. La Banque ne peut être tenue de produire un document qu'elle a supprimé dans le respect du délai réglementaire applicable.

9.2.3 Délai de conservation des informations relatives aux opérations

Conformément à l'article 60 de la loi LCB-FT, les informations relatives à une opération en particulière, seront conservées pendant un délai de dix ans à dater de l'opération.

Concrètement, si votre appel téléphonique ou écrit est catégorisé dans notre système informatique comme ayant trait à une opération particulière au sens de l'article 60 de la loi susmentionnée, nous n'appliquerons pas le délai général d'un an mais bien le délai de dix ans.

9.2.4 Délai de conservation d'ordres en bourse

Toute information qui relève du règlement relatif aux abus de marché et la directive MiFID), sera conservée pendant un délai de cinq ans.

Concrètement, si vous passez un ordre en bourse par téléphone ou par écrit, la Banque conservera les données relatives à cet ordre pendant un délai de cinq à dater de l'insertion de l'ordre en bourse (et non le délai général d'un an).

9.2.5 Délai de conservation des données en lien avec une réclamation ou une procédure judiciaire

Si vous introduisez officiellement une réclamation auprès du service Quality care, soumettez votre réclamation entre les mains de l'ombudsfin ou d'un avocat ou que votre réclamation fait l'objet d'une procédure judiciaire ou d'arbitrage, la Banque conservera les données relatives à la réclamation et/ou procédure judiciaire pendant un délai de dix ans à dater de la clôture de la réclamation ou de la procédure judiciaire.

9.2.6 Délai de conservation des données produites par la Banque (modèles, statistiques...)

Pour les statistiques, modèles, liste d'inscriptions à des séminaires et autres données que la Banque créé à partir des données de ses clients, un délai général de deux ans est appliqué. Le délai de deux ans se justifie car les modèles et statistiques doivent faire l'objet d'une vérification empirique et éventuellement être affinés sur base des constatations faites pour que la Banque puisse continuellement améliorer ses services et mieux répondre aux attentes de ses clients.

9.2.7 Délai de conservation des vidéos des caméras de surveillance

Les données collectées par le biais de caméras de surveillance sont conservées pendant une période plus courte (durée d'un mois glissant pour les images enregistrées par les caméras de surveillance sauf si le contenu d'une image justifie une durée de conservation plus long).

10. Mesures de sécurité encadrant les données

10.1 Notre dispositif de sécurité

10.1.1 Contrôle de la sécurité des systèmes informatiques

La Banque prend les mesures nécessaires pour s'assurer que la confidentialité de vos données soit garantie. Pour ce faire, la Banque contrôle à intervalles réguliers que ses systèmes informatiques garantissent un niveau de protection approprié. En outre, la Banque mandate certains tiers pour également contrôler la sécurité des systèmes informatiques de la Banque.

10.1.2 Privacy by Design

Lors de chaque projet impliquant le traitement de DCP, la DPO Team vérifie le respect des principes RGPD (e.a. : uniquement traiter les données nécessaires pour réaliser la finalité - Privacy by Default) et s'assure que les mesures techniques et organisationnelles adéquates, conformes aux règles internationales et aux normes en vigueur et à celles préconisées par le Groupe Crédit Mutuel Arkéa, aient été mises en place (Privacy by Design). Le projet ne peut être commercialisé ou publié qu'une fois validé par la DPO Team.

Chaque modification aux traitements des DCP fait également l'objet d'une analyse, plus succincte, de la DPO Team.

Ainsi la Banque s'assure que les mesures techniques et organisationnelles appropriées ont été prises afin de garantir que vos DCP sont sécurisées de manière adéquate contre les pertes, modifications, ou divulgations à des personnes non autorisées. DCP

Si la Banque constate néanmoins un incident avec un risque pour vos droits et libertés, elle veille, selon le cadre imposé par la réglementation, à le notifier à l'Autorité de Protection des Données (APD) dans les meilleurs délais, à en informer les personnes concernées et à prendre immédiatement les mesures nécessaires pour que les conséquences pour les personnes concernées soient les moins dommageables.

10.1.3 Transferts vers des partenaires (sous-traitant et responsable distinct de traitement)

Comme vous l'aurez lu au travers de la présente Politique, pour certains services, la Banque fait appel à des partenaires spécialisés qui agissent comme sous-traitants ou responsables distincts. La Banque veille à assurer la protection de vos DCP par des dispositions appropriées dans ses contrats avec ces partenaires et fait uniquement appel à des partenaires qui mettent en œuvre des mesures techniques et organisationnelles appropriées. Si nécessaire, la Banque complète la contractualisation et la documentation du partenaire par d'autres mesures appropriées (questionnaire annuel, audit sur place...).

Lorsque des DCP doivent être transférées à partenaire, la DPO Team doit analyser le transfert avant sa mise en œuvre et s'assure que la Banque met uniquement à la disposition du partenaire les DCP nécessaires pour mener à bien sa mission (Privacy by Default).

En aucun cas la Banque ne communique vos DCP à des tiers sans qu'il n'y ait une finalité spécifique qui justifie le transfert de DCP.

Lorsque la Banque travaille avec des sous-traitants en dehors de l'Espace économique européen (EEE), elle prend les mesures adéquates (Clauses Contractuelles types, mesures techniques et organisationnelles et analyse d'impact relative relative à la protection des données - art. 35 et 46 RGPD) afin de garantir que vos DCP soient dûment protégées dans le pays de destination. Dans ce cas, la Banque s'assure (p. ex. par des mesures contractuelles et des contrôles quant aux mesures techniques et organisationnelles mises en œuvre) que les DCP sont traitées avec le même niveau de sécurité que celui exigé par la règlementation européenne.

10.1.4 Accès à vos données en interne

Conformément à la règlementation, la Banque a mis en place des procédures pour que seules les données qui sont nécessaires pour exécuter les tâches du collaborateur lui soient accessibles.

Ainsi, par exemple, les données relatives aux crédits hypothécaires qui sont uniquement accessibles aux collaborateurs des départements en charge de ce service.

10.1.5 Formation et sensibilisation du personnel

Tous les collaborateurs de la Banque sont sensibilisés à la protection des DCP via une formation annuelle. La Banque s'assure que ses collaborateurs respectent le code de déontologie reprenant les consignes en matière de traitement des DCP.

10.2 Les mesures que vous pouvez prendre

La sécurité des données, c'est l'affaire de tous.

Vous pouvez également contribuer à la sécurité de vos DCP en suivant ces quelques conseils :

• Utilisez le système d'exploitation le plus récent sur votre Appareil et effectuez toutes les mises à jour de sécurité ;
• Utilisez la version la plus récente de votre navigateur et procédez à toutes les mises à jour de sécurité ;
• Installez un logiciel antivirus, un logiciel anti-spyware et un pare-feu et réglez vos préférences afin que ces protections soient régulièrement mises à jour ;
• Ne laissez pas votre Appareil et vos méthodes de connexion sans surveillance ;
• Déconnectez-vous du Site Transactionnel ou de l'application si vous ne l'utilisez plus ;
• Veillez à la confidentialité de vos codes ;
• Connectez-vous seulement à partir d'un Appareil dans lequel vous avez confiance et évitez d'utiliser des Appareils partagés pour des transactions sensibles ;

La Banque ne vous demandera jamais par e-mail ou par téléphone (SMS / Applications / ...) des numéros de comptes, des numéros de cartes de crédit ou de débit, des mots de passe ou des codes. Ne communiquez donc jamais ces informations par aucun moyen et sous aucun prétexte ! Si vous appelez la Banque, il se peut qu'elle doive vous identifier. Elle le fera en posant certaines questions personnelles.

11. Quels sont vos droits ?

11.1 Droit d'accès

Vous disposez d'un droit d'accès aux DCP qui vous concernent et qui sont traitées par la Banque.

La Banque prend toutes les mesures nécessaires pour veiller à ce que vos DCP soient correctes, à jour, complètes, pertinentes. C'est pourquoi la Banque vous demande de là tenir au courant de tout changement (déménagement, nouvelle carte d'identité, ajout d'une nouvelle nationalité...). Si vous constatez que vos données sont inexactes ou incomplètes, vous pouvez nous demander de les rectifier (voir point 'comment exercer vos droits').

11.2 Droit de rectification

Vous pouvez modifier vous-même certaines de vos DCP en vous connectant sur le Site Transactionnel > Préférences > Données personnelles > communication. Pour certaines modifications de DCP insérées par vos soins, la Banque consulte le registre national car la Banque doit s'assurer que la modification insérée correspond aux bases de données officielles.

Pour les données que vous ne pouvez pas modifier vous-même sur le Site Transactionnel, vous disposez également d'un droit de rectification en cas d'erreur ou d'omission : vous pouvez envoyer un e-mail à dpo@keytradebank.com en spécifiant clairement les raisons pour lesquelles vous estimez que les données doivent être rectifiées et en annexant les éventuels documents probants.

Si la Banque corrige vos données et qu'elle les avait partagées précédemment avec un tiers, elle notifiera également ce dernier.

11.3 Droit à l'oubli

Dans certains cas précis, la règlementation vous permet de faire effacer vos DCP de la base de données de la Banque.

C'est le cas notamment si les données ne sont plus nécessaires au regard des finalités pour lesquelles la Banque les a collectées, si le traitement de vos données est fondé exclusivement sur votre consentement et que vous décidez de le retirer ou si vous vous êtes opposé au traitement de vos données et qu'il n'existe pas, dans le chef de la Banque, de motifs légitimes qui prévalent sur les vôtres (par exemple parce que vous avez communiqué vos DCP en vue d'introduire une demande de crédit hypothécaire que vous n'avez finalement pas conclue).

La Banque pourrait cependant conserver vos DCP lorsqu'elles sont nécessaires à la constatation, à l'exercice ou à la défense de ses droits en justice ou au respect de ses obligations légales (cfr section 'délai de conservation').

11.4 Droit à la limitation du traitement

Ce droit d'opposition vous permet de demander à la Banque l'arrêt temporaire du traitement de vos DCP dans des cas précis définis par la règlementation.

Ce verrouillage peut être demandé :

• Lorsque les données en question sont inexactes, incomplètes, équivoques, périmées, pendant le temps nécessaire pour permettre à la Banque de vérifier l'exactitude de vos données ;
• Lorsque leur collecte, traitement, communication ou conservation est interdite ;
• Lorsque les données ne sont plus nécessaires à la réalisation des finalités du traitement ;
• Pendant la période nécessaire à l'examen, par la Banque, du bien-fondé de la demande d'opposition.

Si vous avez fait usage de ce droit, la Banque pourra conserver vos données mais elle ne pourra plus les traiter sauf avec votre accord ou pour la constatation, l'exercice ou la défense de ses droits (ou ceux d'une autre personne) ou dans les cas prévus par la règlementation.

11.5 Droit de portabilité des données

En vertu de ce droit, vous pouvez demander à la Banque de vous transmettre vos DCP ou de les transmettre directement à un autre responsable du traitement, lorsque cela s'avère techniquement possible pour la Banque. Ce droit ne concerne que les données que vous avez vous-même fournies à la Banque et qui font l'objet d'un traitement automatisé, sur la base du contrat ou sur la base de votre consentement.

Vous pouvez faire une demande via le formulaire suivant

11.6 Droit de retirer votre consentement

Lorsque le traitement de vos données est basé sur votre consentement, vous avez à tout moment le droit de retirer ce consentement. Ce retrait ne remettra toutefois pas en cause la légalité du traitement effectué durant la période précédant votre retrait de consentement.

11.7 Droit d'opposition

Vous avez le droit de vous opposer, pour des raisons tenant à votre situation particulière, à tout traitement de vos DCP qui est fondé sur l'intérêt légitime de la Banque. Toutefois, il ne sera pas donné suite à votre demande s'il existe des motifs légitimes et impérieux qui prévalent sur vos intérêts, droits et libertés ou si le traitement de vos données est requis pour la constatation, l'exercice ou la défense de ses droits en justice.

Par ailleurs, vous avez toujours le droit de vous opposer, sans justification et sans frais, au traitement de vos DCP à des fins de marketing (voir point 'communications publicitaires'). Dans ce cas, vos données ne seront plus utilisées à cette fin.

12. Comment exercer vos droits ?

Les clients peuvent envoyer leur demande à partir de leur adresse e-mail authentifiée (c'est-à-dire, soit l'adresse e-mail qu'ils ont renseignée lors de votre ouverture de compte, soit toute adresse e-mail qu'ils ont communiquée ultérieurement et qui a été validée par la Banque) sans devoir annexer une copie de leur carte d'identité à dpo@keytradebank.com.

Si vous n'avez plus accès à votre adresse e-mail authentifiée ou n'êtes pas clients, pour exercer vos droits, vous devez faire parvenir à la Banque votre demande, accompagnée d'une copie lisible recto/verso de votre carte d'identité à l'adresse e-mail dpo@keytradebank.com.

Dès réception de votre demande complète, la Banque analysera le bien fondé de celle-ci et, dans le cas où vous êtes en droit d'exercer le droit invoqué, elle prendra les mesures nécessaires dans les plus brefs délais.

La Banque vous répondra dans tous les cas dans un délai d'un mois. Si votre demande s'avère être complexe, la Banque vous en informera dans un délai d'un mois et elle reviendra vers vous avec les éléments demandés dans un délai maximal de deux mois supplémentaires.

Pour toute copie ou information supplémentaire demandée dans le cadre de l'exercice de votre droit d'accès à vos DCP, la Banque est autorisée à vous facturer un montant raisonnable sur la base de coûts administratifs.

13. A qui vous adresser en cas de réclamation ?

En cas de réclamation concernant le traitement de vos DCP, vous pouvez soumettre une requête en médiation auprès de l'Autorité de protection des données à l'adresse suivante:

Autorité de protection des données Rue de la Presse 35 1000 Bruxelles Tél : +32 2 274 48 00 Mail : contact@apd-gba.be