POLITIQUE GENERALE DE PROTECTION DES DONNEES
A CARACTERE PERSONNEL

1. Préambule

1.1. Contexte

La présente Politique s’inscrit dans le cadre de l’application des dispositions de l’acte additionnel A/SA. du 01/01/2010 relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO. Elle s’inspire également de la loi 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, de l’arrêté N° 511/MPTIC/CAB du 11 novembre 2014 du Ministère de la poste et des technologies de l’information et de la communication, portant définition du profil et fixant les conditions s’emploi du correspondant à la protection des données à caractère personnel et de la politique de protection des données à caractère personnel du Groupe BMCE BANK OF AFRICA.

1.2. Périmètre et champ d’application

La présente politique s’applique à tous les collaborateurs et entités de BOA-MALI sans restriction. Le suivi du respect des principes qui y figurent incombe en premier lieu aux fonctions opérationnelles dans le cadre du contrôle de premier niveau, puis aux fonctions dédiées au contrôle notamment la fonction Conformité.

1.3. Objectifs de la politique générale de Protection des données à caractère personnel

La présente politique générale énonce les principes et lignes directrices applicables à BOA-MALI en matière de traitement des données à caractère personnel. Il a pour objet de définir les conditions de traitement de données à caractère personnel et de mettre l’accent sur les obligations qui régissent BOA-MALI en matière de respect des droits des personnes concernées (clients, membres du personnel, prospect…) lors du traitement et transfert de leurs données.

1.4. Sources

La présente politique générale puise ses sources dans le corpus légal et réglementaire ci-après :

• Acte additionnel A/SA.1/01/2010 relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO;
• Loi N° 2013-015 du 21 MAI 2013 relative à la protection des données à caractère personnel;
• L’arrêté N° 511/MPTIC/CAB du 11 novembre 2014 du Ministère de la poste et des technologies de l’information et de la communication, portant définition du profil et fixant les conditions s’emploi du correspondant à la protection des données à caractère personnel;
• Politique de conformité de BOA-MALI;
• Politique générale de Protection des données à caractère personnel de BMCE BANK OF AFRICA;
• Code de déontologie de BOA-MALI.

1.5. Les principes directeurs

BOA-MALI adhère aux 4 principes directeurs, ci-après :

• La responsabilité individuelle : la conformité est l’affaire de chacun. Elle ne peut être dissociée de l’exercice de toute activité professionnelle au sein de la banque ou en son nom quelle que soit la mission ou la direction dont chacun relève. L’existence d’une fonction Conformité au sein de la banque ne saurait exonérer quiconque de sa propre responsabilité personnelle dans tous les domaines de la conformité.
• L’exhaustivité : les missions de l’entité Conformité s’étendent à tous les niveaux de la banque; pour les exercer dans de bonnes conditions, elle doit avoir accès à toutes les informations nécessaires dans les différentes directions.
• L’indépendance : les collaborateurs et correspondants conformité au sein de la banque exercent leurs missions dans des conditions qui garantissent leur indépendance de jugement et d’action.
• La règle du « mieux disant » déontologique : dans le domaine des normes déontologiques, celles retenues par BOA-MALI prévalent sur les règles locales dès lors que ces dernières sont d’un niveau d’exigence et rigueur inférieur.

2. Traitement des données à caractère personnel

2.1. Définitions

2.1.1 Données à caractère personnel

Une donnée à caractère personnel est une information relative à une personne physique identifiée ou identifiable, de quelque nature qu'elle soit et indépendamment de son support y compris le son et l'image.

Est réputée « identifiable », une personne qui peut être identifiée directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique.

Exemples :

• Identification directe : nom et prénom,
• Identification indirecte : numéro de compte (ne permet d'identifier une personne que si l'on dispose simultanément du fichier client), …

Les données bancaires (transactions, opérations sur titres, virements…) sont des données à caractère personnel dès lors que les émetteurs, les bénéficiaires, les contreparties ou le personnel chargé des opérations peuvent être identifiés.

De même, les fichiers de personnes morales peuvent contenir des données à caractère personnel dans la mesure où peuvent être enregistrées l’identité des dirigeants, des bénéficiaires effectifs et/ou des contacts ou au moins leurs coordonnées.

2.1.2 Traitement des données à caractère personnel

Toute opération ou ensemble d’opérations , effectuées à l’aide de procédés automatisés ou non, et appliquées à des données, telles que la collecte, l’exploitation, l'enregistrement, l'organisation, la conservation, l’adaptation, la modification, l'extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l'effacement ou la destruction des données à caractère personnel.

Exemple :
La collecte manuelle ou informatique des nom et prénoms du client constitue un traitement de données à caractère personnel.

2.1.3 Fichier de données à caractère personnel

Constitue un fichier de données à caractère personnel, tout ensemble structuré et stable de données à caractère personnel accessible selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Les fichiers de données à caractère personnel concernent aussi bien les clients, les salariés, les prestataires, les fournisseurs, les dirigeants sociaux, …, quel que soit leur lieu de résidence et leur nationalité.

Exemple :
Un ensemble structuré de fiches cartonnées classées par ordre alphabétique peut être qualifié de fichier de données à caractère personnel. Il en est de même pour un dossier papier avec un numéro.

2.1.4 Responsable du traitement

Le responsable d'un traitement de données à caractère personnel est la personne physique ou morale, publique ou privée, tout autre organisme ou association qui, seul ou conjointement avec d'autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités. BOA-MALI est le responsable du traitement.

2.1.5 Sous-traitant

Toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui traite des données pour le compte du responsable du traitement.

2.1.6 Transfert international des données à caractère personnel

Constitue un transfert international de données à caractère personnel vers un pays tiers, toute communication, copie ou déplacement de données par l’intermédiaire d’un réseau, ou toute communication, copie ou déplacement de ces données d’un support à un autre, quel que soit le type de ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire.

2.1.7 Données sensibles

Une donnée sensible est une donnée à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, la vie sexuelle, de la personne concernée ou qui est relative à sa santé y compris ses données génétiques.

2.2 Conditions préalables au traitement des données à caractère personnel

Les traitements de données à caractère personnel font l’objet au préalable d’une déclaration auprès de l’Autorité APDP (Autorité de la Protection des Données à caractère Personnel) qui délivre obligatoirement un accusé de réception pour attester de l’effectivité de la déclaration à l’Autorité APDP dispose d’un délai d’un (1) mois pour délivrer un récépissé au demandeur afin de lui permettre de mettre en œuvre le traitement sans toutefois ne l’exonérer d’aucune de ses responsabilités. Ce délai peut être prorogé une fois sur décision motivée de la Commission.

2.3 Les règles de traitement des données à caractère personnel

BOA-MALI a mis en place un ensemble de principes permettant un traitement loyal et licite des données clients en respectant les orientations réglementaires nationales et internationales dans le domaine.

BOA-MALI est tenue de procéder au traitement des données à caractère personnel suivant les règles suivantes :

• Les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.
• Il est prohibé de collecter les données dont la finalité n’est pas justifiée. Les données à caractère personnel collectées doivent être proportionnées à la finalité poursuivie c'est-à-dire être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
• Toutes les données à caractère personnel collectées, sont conservées pour une durée limitée n’excédant pas la durée nécessaire à la réalisation des finalités pour lesquelles elles sont collectées et traitées, ou conformément à la durée de conservation minimale prévue par la législation applicable.
• Les données doivent être traitées loyalement et licitement, et ne peuvent faire objet de cession externe ou d’utilisation par des personnes/prestataires externes (sous-traitants, consultants…)
• Il convient de mettre en place les mesures de sécurité nécessaires afin d’assurer la confi-dentialité, l’exactitude et l’intégrité des données manipulées.
• Le traitement des données, à caractère personnel ne peut être effectué que si la personne concernée a indubitablement donné son consentement à l'opération ou à l'ensemble des opérations envisagées.
• Tout traitement effectué pour le compte du responsable du traitement doit être régi par un contrat ou un acte juridique consigné par écrit qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n’agit que sur la seule instruction du responsable du traitement et que les obligations relevées précédemment sont respectées.

2.4 Les règles de transfert des données à caractère personnel avec un pays tiers

BOA-MALI ne peut transférer des données à caractère personnel vers un pays tiers que si cet Etat assure un niveau de protection suffisant de la vie privée, des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font ou peuvent faire l'objet.

Avant tout transfert des données à caractère personnel vers un pays tiers, BOA-MALI doit préalablement informer l’Autorité BOA-MALI, aux fins d’autorisation.

Avant tout traitement des données à caractère personnel provenant de l’étranger, BOA-MALI doit préalablement, vérifier que le responsable du traitement assure un niveau de protection suffisant de la vie privée, des libertés et droits fondamentaux des personnes à l’égard du traitement en vertu de la loi sur la protection des données à caractère personnel.

Le caractère suffisant du niveau de protection assuré par BOA-MALI s’apprécie en fonction notamment des mesures de sécurité qui y sont appliquées conformément à la loi sur la protection des données à caractère personnel, des caractéristiques propres du traitement, telles que ses finalités, sa durée ainsi que de la nature, de l’origine et de la destination des données traitées.

2.5 Restriction à la collecte des données à caractère personnel

Il s'agit d'informations qui ne sont pas recueillies directement auprès de la personne concernée. Dans ce cas, il est nécessaire de demander à la personne qui fournit les informations (le client ou autre) d’informer la personne concernée des informations qu'elle a transmises à la banque. A défaut, c’est la banque qui doit informer la personne dont les données sont collectées indirectement.

Il est interdit de procéder à la collecte et à tout traitement des données sensibles sauf dans les cas ci-après :

• la personne concernée a donné son consentement par écrit, quel que soit le support, à un tel traitement et en conformité avec les textes en vigueur ;
• une procédure judiciaire ou une enquête pénale est ouverte ;
• le traitement des données à caractère personnel s’avère nécessaire pour un motif d’intérêt public notamment à des fins historiques, statistiques ou scientifiques.

2.6 Les cas de dérogation à la condition du consentement pour le traitement des données à caractère personnel

Le consentement des personnes concernées n’est pas exigé dans les cas suivants :

• Le traitement est nécessaire au respect d’une obligation légale à laquelle est soumis(e) le responsable du traitement ou la personne concernée.
• Le traitement entre dans le cadre de l’exécution d’un contrat auquel la personne concernée est partie.
• La personne concernée est dans l’incapacité physique ou juridique de donner son consentement et le traitement envisagé permet la sauvegarde d’intérêts vitaux la concernant.
• Le traitement permet l’exécution d’un service d’intérêt public ou relevant de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel il a communiqué les données ( Cas des déclarations de soupçons de blanchiment d’argent et de financement du terrorisme pour lesquelles la déclaration est réglementairement soumise au secret absolu : le client ne doit en aucune façon apprendre que les opérations ou les sommes qu’il a confiées à la banque ont conduit à une déclaration de soupçons).
• Le traitement permet la réalisation d’un intérêt légitime poursuivi par le responsable du traitement, à condition de ne pas méconnaitre l’intérêt et les droits des personnes concernées.

3. Obligations du Responsable du traitement (BOA-MALI) des données à caractère personnel

3.1 Obligations de confidentialité

Le traitement des données à caractère personnel est confidentiel. Il est effectué exclusivement par des personnes qui agissent sous l’autorité de BOA-MALI et seulement sur ses instructions.

Pour la réalisation du traitement, BOA-MALI doit choisir des personnes présentant, au regard de la préservation de la confidentialité des données, toutes les garanties tant de connaissances techniques et juridiques que d’intégrité personnelle.

Tous les employés de BOA-MALI ainsi que les prestataires ayant accès aux données à caractère personnel (sous-traitants) doivent signer un engagement écrit à traiter les données à caractère personnel conformément aux dispositions de la loi sur le traitement des données à caractère personnel.

Le contrat liant chaque sous-traitant à BOA-MALI doit comporter l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et doit prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

3.2 Obligations de sécurité

BOA-MALI est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des personnes non autorisées y aient accès. La banque devra en particulier prendre les mesures visant à :

• garantir que, pour l’utilisation d’un système de traitement automatisé de données, les personnes autorisées ne puissent accéder qu’aux données à caractère personnel relevant de leur compétence ;
• garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des données à caractère personnel peuvent être transmises ;
• garantir que puisse être vérifiée et constatée à posteriori l’identité des personnes ayant eu accès au système d’information et quelles données ont été lues ou introduites dans le système, à quel moment et par quelle personne ;
• empêcher toute personne non autorisée d’accéder aux locaux et aux équipements utilisés pour le traitement des données ;
• empêcher que des supports de données puissent être lus, copiés, modifiés, détruits ou déplacés par une personne non autorisée ;
• empêcher l’introduction non autorisée de toute donnée dans le système d’information ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisés de données enregistrées ;
• empêcher que des systèmes de traitements de données puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données ;
• empêcher que, lors de la communication de données et du transport de supports de données, les données puissent être lues, copiées, modifiées ou effacées de façon non autorisée ;
• sauvegarder les données par la constitution de copies de sécurité
• rafraîchir et si nécessaire convertir les données pour un stockage pérenne.

3.3 Obligations de conservation

Les données à caractère personnel ne peuvent être conservées au-delà de la durée nécessaire qu’en vue d’être traitées à des fins historiques, statistiques ou scientifiques.

3.4 Obligations de pérennité

BOA-MALI est tenue de prendre toute mesure utile pour s’assurer que les données à caractère personnel traitées pourront être exploitées quel que soit le support technique utilisé. Elle doit particulièrement s’assurer que l’évolution de la technologie ne sera pas un obstacle à cette exploitation.

4. Droits des personnes à l’égard des traitements de données à caractère personnelle

4.1 Droit à l’information

La personne concernée par le traitement des données doit être informée de(s) :

• L’identité du responsable du traitement ;
• La finalité poursuivie par le traitement ;
• Destinataires ou catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
• Ses droits : accès, opposition, rectification, suppression ;
• La durée de conservation des données ;
• Le cas échéant, des transferts de données à caractère personnel envisagés à destination de l’étranger.

4.2 Droit d’accès

Toute personne physique, justifiant de son identité, a le droit d'interroger par écrit le responsable d'un traitement automatisé de données à caractère personnel en vue d'obtenir :

• la confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;
• des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées, aux destinataires ou aux catégories de destinataires auxquelles les données sont communiquées ;
• le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés.

4.3 Droit de rectification et de suppression

Toute personne physique justifiant de son identité peut exiger, par écrit, de BOA MALI que soit, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel le concernant, qui sont inexactes, incomplètes, équivoques, périmées ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Remarque : un prospect peut demander à tout moment à être supprimé des fichiers de prospection commerciale de la banque. BOA-MALI doit justifier dans un délai de 1 mois après l’enregistrement de la demande, la mise en œuvre effective de la requête du client.

4.4 Droit d’opposition

Le droit d’opposition permet à un client personne physique de s’opposer, pour des motifs légitimes, à ce que ses données soient utilisées à des fins de prospection, notamment commerciale.

Un client ou prospect doit pouvoir manifester son accord ou son désaccord à recevoir des sollicitations commerciales avant toute signature de contrat ou de convention. Et même en cas d’accord initial de sa part pour être sollicité, il peut à tout moment revenir sur cet accord et demander à être supprimé des fichiers de prospection commerciale de la banque.

Ainsi, lors de toute nouvelle entrée en relation : la manifestation de l’accord ou de l’opposition du client est recueillie sur un formulaire papier ou sur une case à cocher si le service est hébergé en ligne.

Ce formulaire sera édité en agence par le conseiller clientèle qui est chargé de le faire remplir et signer par le client au même titre que les autres documents demandés lors de l’entrée en relation ou sur le site internet de BOA MALI en cas d’entrée en relation virtuelle à travers internet. Ainsi, cette autorisation devient une donnée obligatoire dans l’entrée en relation au même titre notamment que la carte d’identité.

5. Dispositif de protection des données à caractère personnel

5.1. Rôle de la fonction Conformité

La fonction Conformité est l’interlocuteur compétent pour toutes les questions relatives à l’application et à la mise en œuvre des formalités relatives à la protection des données à caractère personnel auprès des autorités compétentes du pays.

Elle assure les missions suivantes :

• La coordination et la liaison avec les autorités compétentes du pays sur tous les sujets relatifs à la protection des données à caractère personnel des clients ;
• La définition des procédures opérationnelles et mesures précises nécessaires à l’application de la réglementation locale sur le traitement des données à caractère personnel ;
• L’animation du réseau des interlocuteurs désignés sur le sujet et les assiste dans la mise en œuvre des formalités préalables qui seront adressées aux autorités compétentes du pays ;
• Le reporting sur le sujet de la protection des données à caractère personnel vis-à-vis du Groupe.

5.2. Processus opérationnel de traitement de données à caractère personnel

Le traitement des données à caractère personnel s'articule autour de 2 processus :

Le processus de déclaration, ou de demande d’autorisation préalablement à la mise en œuvre de traitements de données à caractère personnel : les modalités de ce processus sont décrites par la Commission Nationale de Protection des Données Personnelles. BOA-MALI doit désigner et déclarer un correspondant à ces autorités et détailler à travers des procédures la démarche à suivre pour être conforme à la législation.

Le processus de traitement des droits d’accès aux données, de communication et de rectification, pour répondre aux demandes d’information sur le contenu des fichiers ou de rectification de ces données nominatives. Le client peut effectuer une demande d’exercice de ses droits d’accès, de rectification, de suppression ou d’opposition :

• soit en l’adressant par courrier postal ou électronique ;
• soit en déposant un courrier sur place dans les différents points de vente ;
• soit en intervenant directement sur place (en face à face), dans les différents points de vente en interrogeant oralement les conseillers.

Une fois la demande reçue, l’information est remontée à l’entité Conformité qui traite le sujet de la demande et adresse une réponse écrite au client.

5.3. Reporting

Le reporting interne : à destination des entités Conformité de BOA GROUP et de la Direction Générale de BOA-MALI, ce reporting récapitule les déclarations effectuées, les demandes traitées, les réclamations clients, les rapports avec les autorités compétentes, …

Le reporting réglementaire : Outre l’obligation de notifier l’identité du correspondant de l’Autorité APDP au niveau de BOA-MALI, aucune obligation de reporting périodique ne pèse sur cette dernière. Toutefois elle est tenue, afin d’éviter toute sanction, de répondre dans les plus brefs délais à toute requête ponctuelle de l’Autorité APDP (Autorité de Protection des données à caractère personnel).