Politique de Protection des Données Personnelles

1 - Préambule

Le Groupe Attijariwafa Bank (ci-après « le Groupe ») accorde une grande importance à la protection de vos données à caractère personnel (ou “données personnelles“). C’est la raison pour laquelle le Groupe a adopté des principes forts en matière de protection données.

La présente Politique protection des données personnelles a pour objectif de vous fournir des informations claires concernant la manière dont le Groupe traite et protège les données personnelles des personnes concernées, soit toute personne physique (salarié, client, prospect, utilisateur du site internet, actionnaire / mandataire de personnes morales …) dont les données personnelles sont collectées par le Groupe. Elle informe les personnes concernées sur les raisons pour lesquelles leurs données sont utilisées, éventuellement partagées, ou encore la durée de conservation de ces données. Elle indique également les droits des personnes ainsi que les modalités d’exercice de ces droits.

Le Groupe s’assure que les données personnelles collectées sont traitées de manière loyale et licite, et en toute transparence. Chaque entité du Groupe rend cette notice accessible sur son site internet. Celle-ci est actualisée régulièrement et le respect de ses dispositions est contrôlé. Des mentions d’information relatives à la protection des données personnelles spécifiques aux différents produits et/ou services proposés par le Groupe précisent et complètent la présente Politique, et ce sur les divers supports utilisés.

Le Groupe s’engage à respecter les réglementations en vigueur en matière de traitement de données personnelles et notamment le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (Règlement Général sur la Protection des Données Personnelles) ainsi que toute réglementation nationale applicable.

2 - Organisation de la gestion des données personnelles au niveau du Groupe Attijariwafa bank

Une entité Data Protection Office a été mise en place au sein du Groupe Attijariwafa Bank afin de couvrir l’ensemble des exigences règlementaires. Celle-ci est pilotée par un Data Protection Officer (DPO). Une organisation similaire est déclinée et adaptée au niveau des filiales du Groupe en fonction de leur taille, de leurs activités et de leurs profils de risque.

3 - Typologies de données personnelles traitées par le Groupe Attijariwafa bank

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.

Le Groupe respecte le principe de minimisation des données à savoir que seules sont traitées les données personnelles adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la réalisation de l’objectif pour lequel elles ont été collectées. Dans cette démarche, le Groupe s’attache également à maintenir vos données personnelles exactes et à jour.

  3.1 - Collecte directe des données personnelles

Le Groupe traite principalement des données personnelles qu’il collecte directement auprès de vous, ou qui émanent de la relation commerciale, telles que :

• Vos données d’identification : nom, prénom, date et lieu de naissance, image, pièce d’identité… ;
• Vos données de contacts (privé ou professionnel) : adresse du domicile, adresse de courrier électronique, numéro de téléphone … ;
• Vos données de vie personnelle : statut marital, nombre d’enfants, composition du foyer… ;
• Vos données de vie professionnelle : employeur, fonction, rémunération, niveau d’études… ;
• Vos données d’ordre économique, financier et transactionnel : historique de transactions, opérations générées sur vos comptes, coordonnées bancaires, numéro de carte bancaire, situation financière et patrimoniale… ;
• Vos données de navigation (sites internet ou applications) : données recueillies grâce aux cookies en ligne ;
• Vos données relatives aux habitudes et préférences des personnes concernées : du fait de l’utilisation des produits et services souscrits ou des interactions avec le Groupe ;
• Vos données collectées dans le cadre des échanges avec le Groupe ou ses différentes agences (comptes rendus de rendez-vous), lors de réunions, visioconférences, appels, discussions via messagerie instantanée, courriers électroniques, entretiens, conversations téléphoniques.

Dans le cadre de ses activités, le Groupe est susceptible de collecter des catégories spéciales de données personnelles (ou “données sensibles“) telles que des données de santé, des données relatives aux convictions religieuses ou encore des données biométriques, uniquement lorsque cela est strictement nécessaire, notamment dans le cadre du recrutement de ses salariés, de la gestion de l’héritage ou de la souscription à des contrats d’assurance.

Autrement, le Groupe ne vous demandera jamais de fournir d’autres données sensibles telles que des données relatives à l’origine raciale ou ethnique, aux opinions politiques, ou philosophiques, à l’appartenance syndicale, vos données génétiques ou les données relatives à votre vie ou orientation sexuelle, à moins qu’une obligation légale ne l’y contraigne. 

   3.2 -Collecte indirecte des données personnelles

Le Groupe pourrait également être amené à collecter de manière indirecte les données personnelles citées précédemment auprès de tiers (fournisseurs, partenaires...), de sources accessibles au public (données issues de publications/bases de données rendues accessibles par les autorités officielles, données issues de sites internet/réseaux sociaux contenant des informations rendues publiques par la personne elle-même...) ou d’administrations et autorités publiques (Administration fiscale...).

4 - Bases juridiques de l’utilisation des données personnelles

Conformément à la règlementation en vigueur, tous les traitements effectués par le Groupe en tant que Responsable de traitement, doivent reposer sur l’un des fondements juridiques suivants :

• L’exécution d’un contrat auquel la personne concernée est partie, ou l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
• Le respect d’obligations légales et réglementaires auxquelles le Groupe ou une de ses entités est soumise ;
• La sauvegarde des intérêts vitaux de la personne concernée, ou d’une autre personne physique ;
• L’exécution d’une mission d’intérêt public ;
• Les intérêts légitimes poursuivis par le Groupe dans le cadre du respect des intérêts, libertés et droits fondamentaux de la personne concernée.

   4.1 - Exécution d’un contrat ou de mesures précontractuelles 

Le Groupe effectue des traitements de vos données personnelles pour la conclusion et l’exécution de contrats, tels que :

• La fourniture d’informations précontractuelles relatives aux produits et services du Groupe ;
• La fourniture de produits et services sollicités par les personnes concernées ;
• La gestion des contrats conclus avec les personnes concernées. 

   4.2 - Respect des obligations règlementaires ou légales

Le Groupe étant composé d’entités aux professions réglementées, il est soumis au respect d’obligations légales et/ou réglementaires spécifiques ayant par exemple pour objet :

• La lutte contre le blanchiment d’argent et le financement du terrorisme ;
• La lutte contre la fraude fiscale ;
• La communication de données personnelles exigée pour la tenue de fichiers réglementaires (Fichier Central des Chèques, Fichier central des retraits des cartes bancaires, Fichier des Comptes Bancaires, Fichier des Contrats de Capitalisation et d’Assurance Vie…).

   4.3 - Sauvegarde des intérêts vitaux de la personne concernée

Lorsqu’un traitement est nécessaire pour protéger les intérêts vitaux d’une personne (par exemple, en cas d’urgence médicale), le Groupe est autorisé à traiter ses données personnelles, et ce même sans son consentement, conformément à la règlementation en vigueur.

   4.4 - Consentement de la personne concernée 

Dans le cadre de certaines activités de traitement de données personnelles, le Groupe vous transmettra des informations spécifiques afin que vous soyez en mesure de consentir ou non à ces traitements. Vous pourrez retirer ce consentement à tout moment. Il s’agira par exemple :

• Des services d’assurance nécessitant le traitement de vos données de santé ;
• De la prospection commerciale par voie électronique (mail et sms) pour les particuliers.

   4.5 - Intérêts légitimes du Groupe

Le Groupe et ses entités effectuent des traitements de données personnelles sur la base de leur intérêt légitime à assurer leur développement et la sécurité de leurs prestations et services telles que :

• La lutte contre la fraude ;
• La prospection commerciale par voie postale ou par téléphone, pour les particuliers et pour tout type de prospection pour les personnes morales ;
• La gestion des infrastructures et de la sécurité des systèmes d’information ;
• L’évaluation de la satisfaction des clients au regard des produits et services offerts par le Groupe.

5 - Partage de données personnelles

Vos données personnelles sont susceptibles d’être communiquées notamment aux destinataires suivants, dans le cadre des finalités énoncées ci-dessus :

• Aux sociétés du Groupe Attijariwafa bank ;
• Aux sous-traitants, mandataires, courtiers ou autres intermédiaires, partenaires ou prestataires de service qui réalisent des prestations pour le compte du Groupe ;
• Aux autorités administrative ou judiciaire habilitées ou plus généralement à tout tiers autorisé (avocats, commissaires aux comptes…), pour satisfaire les obligations légales ou réglementaires auxquelles le Groupe est soumis.

   5.1 - Partage au sein du Groupe 

En tant que sociétés dans le domaine de la Banque et de l’Assurance, toutes les entités du Groupe collaborent étroitement dans le monde entier afin de créer et de distribuer différents produits et services d’assurance, financiers et bancaires.

Les données personnelles collectées sont partagées au sein du Groupe à des fins commerciales, d’amélioration de son efficacité, de contrôle, de surveillance et de maitrise des risques notamment sur la base de :

• La conformité aux obligations légales et réglementaires, notamment :
  • Partage des données collectées à des fins de connaissance du client (KYC) ;
  • Gestion consolidée des risques ;
  • Surveillance consolidée du Contrôle Interne ;
  • Lutte contre le blanchiment de capitaux et le financement du terrorisme, respect de sanctions internationales, d’embargos ;
  • Respect des obligations déclaratives.
• Les intérêts légitimes :
  • Lutte contre la fraude ;
  • Sécurisation du réseau et des systèmes d’information ;
  • Conduite des initiatives de développement à des fins commerciales, de communication et de marketing ;
  • Obtention d’une vision globale et cohérente du portefeuille de clients et des activités du Groupe ;
  • Développement de l’offre de produits et de services du Groupe de manière adéquate;
  • Considérations en matière de pilotage, de supervision et de gouvernance au sein du Groupe.

   5.2 - Partage hors du Groupe

Afin de réaliser certaines des finalités évoquées dans la présente Politique, le Groupe est susceptible (de façon non systématique) de partager vos données personnelles avec :

• Des prestataires de services qui fournissent des services pour le compte du Groupe, par exemple des services informatiques, des services d’impression, de télécommunication, de recouvrement, de conseil, de distribution et de marketing ;
• Des partenaires bancaires et commerciaux, des agents indépendants, des intermédiaires ou des courtiers, des institutions financières, des contreparties, des référentiels centraux avec lesquels le Groupe entretient des liens, si un tel transfert est nécessaire pour vous fournir des services, des produits, pour satisfaire aux obligations contractuelles du groupe ou mener à bien des transactions (par exemple, des banques, des banques correspondantes, des dépositaires, des émetteurs de titres, des agents payeurs, des plates-formes d’échange, des compagnies d’assurances, des opérateurs de système de paiement, des émetteurs ou des intermédiaires de cartes de paiement, les sociétés de caution mutuelle ou organismes de garantie financière) ;
• Des autorités financières, fiscales, administratives, pénales, judiciaires, ou locales ou étrangères, des arbitres ou des médiateurs, des autorités chargées de l’application de la loi, des organismes gouvernementaux ou des organismes publics, auxquels le Groupe ou tout membre du Groupe est tenu de divulguer des données :
  • A leur demande ;
  • Dans le cadre de la défense ou de la réponse à une question, une action ou une procédure ;
  • Afin de se conformer à une réglementation ou une recommandation émanant d’une autorité compétente à l’égard du Groupe ou à l’égard de tout membre du Groupe.
• Des prestataires de services de paiement tiers (informations concernant les comptes bancaires), pour les besoins de la fourniture d’un service d’initiation de paiement ou d’information sur les comptes en cas de consentement de la personne concernée ;
• Certaines professions réglementées telles que des avocats, des notaires, des agences de notation ou des commissaires aux comptes, lorsque des circonstances spécifiques l’imposent (litige, audit, etc.), ainsi qu’à tout acheteur actuel ou potentiel des sociétés ou des activités du Groupe ou ses assureurs.

6 - Transferts internationaux de données personnelles

Le Groupe pourrait être amené à transférer vos données personnelles à l’international. Dans ce cas, vos données personnelles sont communiquées pour les stricts besoins de la réalisation de ses missions.

En cas de transfert international de vos données personnelles, le Groupe met en œuvre les mesures appropriées disponibles, au regard de la réglementation en vigueur, pour assurer l’encadrement et la sécurité de ces transferts.

7 - Conservation des données personnelles

Attijariwafa bank conserve vos données personnelles pendant la durée nécessaire au respect des législations et des réglementations applicables, ou pendant une durée définie au regard de ses contraintes opérationnelles, telles que la tenue de la comptabilité, une gestion efficace de la relation client, ainsi que pour faire valoir des droits en justice ou répondre à des demandes des organismes de régulation.

Ces durées de conservation sont précisées dans les documents d’information des personnes concernées et peuvent être obtenues en soumettant une demande auprès du délégué à la protection des données (DPO). 

8 - Sécurisation des données personnelles

Conformément à la réglementation en vigueur, le Groupe met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté et proportionné au risque. Ces mesures visent à garantir la confidentialité, l’intégrité, la disponibilité et la résilience des données personnelles.

Le Groupe met en place toutes les mesures nécessaires pour rétablir la disponibilité des données et permettre l’accès aux personnes concernées dans des délais appropriés en cas d’incident physique ou technique. Pour ce faire, le Groupe effectue régulièrement des évaluations de ses niveaux de sécurité. Ces évaluations prennent en compte les risques de destruction, perte, altération, accès et divulgation non autorisée des données personnelles.

Le Groupe impose à chacun des destinataires de données personnelles de respecter les garanties de sécurité et de confidentialité adaptées.

Le Groupe, en tant que responsable du traitement, notifie les violations de données personnelles à l’autorité de contrôle compétente, dans les meilleurs délais et, dans la mesure du possible soixante- douze (72) heures après avoir pris connaissance de toute violation de données personnelles susceptible d’engendrer un risque pour vos droits et libertés.

Toute violation de vos données personnelles susceptible d’engendrer un risque élevé pour vos droits et libertés vous sera notifiée dans les meilleurs délais conformément à la réglementation en vigueur. 

9 - Exercice des droits des personnes concernées

Conformément à la législation, vous avez la possibilité d’exercer vos droits auprès de toutes les entités du Groupe qui traitent vos données.

Ces droits sont les suivants :

• Droit d’accès : vous pouvez à tout moment obtenir des informations concernant le traitement de vos données personnelles ainsi qu’une copie de celles-ci ;
• Droit de rectification : dans le cas où vous estimez que vos données personnelles sont inexactes ou incomplètes, vous pouvez demander qu’elles soient modifiées en conséquence ;
• Droit à l’effacement : vous pouvez demander la suppression de vos données personnelles, dans la limite autorisée par la loi ;
• Droit à la limitation du traitement : Vous pouvez demander la limitation du traitement de vos données personnelles ;
• Droit d’opposition : Vous pouvez vous opposer au traitement de vos données personnelles pour des raisons tenant à votre situation particulière. Vous avez également le droit absolu de vous opposer à tout moment à ce que vos données soient utilisées à des fins de prospection commerciale, ou à des fins de profilage, si ce profilage est lié à une prospection commerciale;
• Vous avez le droit de définir des directives relatives à la conservation, l’effacement ou la communication de vos données personnelles, applicables après votre décès ;
• Droit de retirer votre consentement : si vous avez donné votre consentement au traitement de vos données personnelles, vous pouvez le retirer à tout moment;
• Droit à la portabilité des données : lorsque la loi l’autorise, vous pouvez demander la restitution des données personnelles que vous avez fournies ou, lorsque cela est techniquement possible, le transfert de celles-ci à un tiers ;

Si souhaitez exercer un des droits évoqués ci-dessus, vous pouvez adresser votre demande de la manière suivante :

• En précisant votre demande à l’aide du formulaire d’exercice des droits puis en l’envoyant à l’adresse suivante : Data Protection Office Attijariwafa bank 2, Boulevard Moulay Youssef Casablanca, 20250, Maroc
• Ou en envoyant ce même formulaire par courrier électronique au Délégué à la Protection des Données du Groupe Attijariwafa bank à l’adresse suivante : dpo@attijariwafa.com

En cas de non-réponse d’Attijariwafa bank dans les délais règlementaires à la suite de l’exercice d’un droit, vous pouvez saisir l’autorité de contrôle afin d’introduire une réclamation.