Déclaration de protection des données personnelles
La présente déclaration de protection des données explique comment la Zürcher Kantonalbank gère les données personnelles.
1. Généralités
La Zürcher Kantonalbank (ci-après : la Banque) est ouverte, transparente et au service de ses clients également dans le domaine de la protection des données. Les données personnelles (données à caractère personnel) correspondent à toutes les informations qui se rapportent à une personne physique identifiée ou identifiable. La notion de traitement comprend toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, la conservation, l’exploitation, la modification, la communication, l’archivage et la destruction de données personnelles.
Il peut exister d’autres déclarations de protection des données ou d’autres conditions (p. ex. conditions générales ou d’utilisation) pour certains traitements de données spécifiques, p. ex. en lien avec les applications proposées par la Banque telles que ZKB TWINT, pour le ZKB Mobile Banking ou les présence sur les médias sociaux de la banque ou encore en matière de travail médiatique. Ces documents sont accessibles sur les sites web ou dans les applications concernées.
1.1 Conditions générales
1.1 Conditions générales
Les dispositions inscrites aux art. 15 à 17 des Conditions générales (CG), édition janvier 2022, contiennent des informations générales sur la protection des données, principalement en lien avec l’exécution de contrats.
1.2 Sécurité des données
1.2 Sécurité des données
La Banque s’engage à protéger votre sphère privée conformément à la législation suisse, notamment par le respect du secret bancaire et le droit de la protection des données personnelles. À cette fin, la Banque prend de nombreuses mesures, dont la mise en place de mesures de sécurité techniques et organisationnelles (p. ex. pare-feu, mots de passe personnels, technologies de chiffrement et d’authentification, restriction des accès virtuels, sensibilisation et formation du personnel).
2 Cadre de traitement des données
2.1 Catégories de données personnelles
2.1 Catégories de données personnelles
La Banque peut traiter les catégories de données personnelles suivantes, en fonction des produits et prestations qu’elle vous offre. La Banque limite le traitement aux données nécessaires.
2.1.1 Clients anciens, actuels et potentiels (ou personnes éventuelles)
Cette catégorie inclut notamment :
- des données de base et d'inventaire telles que nom, adresse, numéro de téléphone, adresse e-mail, date de naissance, nationalité, profession, situation économique et familiale, objectifs financiers, connaissance et expérience en matière d’investissement, numéro du contrat, durée du contrat, données d’identification et d’authentification telles que login pour l’eBanking, documents permettant de vérifier l’identité des clients, par exemple carte d’identité ou passeport, informations sur le compte, le dépôt, les cartes et paiements, les opérations en cours ou achevées, les contrats, les produits, les prestations ; des informations sur les tiers concernés par un traitement de données, tels que les partenaires, les membres de la famille, les fondés de pouvoir et les conseillers
- le domicile fiscal et, le cas échéant, d’autres documents et informations liés à l'imposition
- des données liées aux transactions, aux ordres et à la gestion du risque, par exemple concernant les bénéficiaires, les contreparties, les banques tierces en cas de transfert ou de paiement par carte, détails du mandat le cas échéant, des informations sur votre fortune, les biens immobiliers, les financements, la solvabilité, les produits d’investissement, le profil de risque et d’investissement, les cas de fraude, les demandes, conseils, entretiens, la correspondance physique ou électronique
- des données sensibles telles que des données biométriques, par exemple pour reconnaître la voix d’une personne afin de l’identifier en cas d’appel téléphonique
- le cas échéant, des enregistrements audio de vos conversations téléphoniques avec la Banque ou des enregistrements vidéo de votre visite dans nos locaux ou de l’utilisation de nos bancomats
- des données marketing, par exemple besoins, souhaits, intérêts, préférences, informations sur l’utilisation des produits et prestations, ou les canaux de contact et de communication
- des données techniques, par exemple identifiants internes et externes, numéros d’opérations, adresses IP, journaux des accès virtuels ou des modifications
2.1.2 Données sur les visiteurs (visiteurs des filiales ou des sites web)
Cette catégorie inclut notamment :
- des données de base et d'inventaire telles que nom, numéro de téléphone, adresse e-mail, adresse, date de naissance, données personnelles obtenues au moyen d’un formulaire
- le cas échéant, des enregistrements audio de vos conversations téléphoniques avec la Banque ou des enregistrements vidéo de votre visite dans nos locaux ou de l’utilisation de nos bancomats
- des données techniques, par exemple identifiants internes et externes, adresses IP, journaux des accès virtuels ou des modifications
- des données marketing, par exemple besoins, souhaits, préférences, interactions
- des données qui nous sont transmises lorsque vous visitez nos sites web (p. ex. par le biais d’un formulaire)
2.1.3 Données sur le personnel des fournisseurs
Cette catégorie inclut notamment :
- des données de base et d'inventaire telles que nom, adresse, fonction, numéro de téléphone, adresse e-mail, date de naissance, numéro du contrat, durée du contrat, informations sur les prestations, produits ou projets en cours ou achevés
- le cas échéant, des enregistrements audio de vos conversations téléphoniques avec la Banque ou des enregistrements vidéo de votre visite dans nos locaux ou de l’utilisation de nos bancomats
- des données techniques, par exemple identifiants internes et externes, numéros d’opérations, adresses IP, journaux des accès virtuels ou des modifications.
2.2 Durée de conservation des données
2.2 Durée de conservation des données
La durée de conservation des données est fonction des obligations légales de conservation des données et des buts dans lesquels les données sont traitées.
En règle générale, la Banque enregistre les données pendant la durée de la relation commerciale ou du contrat, puis pendant cinq, dix ans ou plus (selon la base légale applicable). Cela correspond à la période pendant laquelle il est possible de faire valoir des droits à l’égard de la Banque. Si une procédure juridique ou prudentielle est en cours ou risque d’être ouverte, les données peuvent être conservées plus longtemps.
2.3 Objectifs
2.3 Objectifs
La Banque peut traiter les données personnelles visées au ch. 2.1 afin d'exécuter ses prestations, à ses propres fins ou aux fins prévues par la loi. Cette catégorie inclut notamment :
- la procédure d’acceptation de clients, la vérification, la conclusion, l’exécution, la réalisation et l’administration de la relation d’affaires et des produits et prestations d’une banque universelle (p. ex. communication, vérification de l’identité, évaluation des demandes, décisions de crédits, financements, planification financière, paiements, factures, comptes, cartes, investissement, bourse, prévoyance, constitution et transmission d’entreprise et assurance, eFinance, service clients, communication)
- l’établissement de statistiques, la planification ou le développement de produits, des décisions commerciales (p. ex. calcul d’indicateurs concernant l’utilisation des prestations, chiffres concernant le degré d’utilisation, analyses de transactions ; le développement d’idées pour de nouveaux produits, prestations, procédés, technologies, systèmes et rendements ou pour l’évaluation ou l’amélioration des produits, prestations, procédés, technologies, systèmes et rendements existants)
- la surveillance et la gestion des risques, l’examen de la relation d’affaires, l’ouverture de relations d’affaires, la prompte exécution des opérations (p. ex. lutte contre la fraude, profils d’investissement, limites, risques de marché, de crédit ou opérationnels, formations aux systèmes et aux produits, formations du personnel)
- le placement de produits et prestations de tiers, par exemple cartes de crédit ou de débit
- le marketing, les études de marché, l’entretien de la relation avec les clients, la réacquisition de clients, le suivi complet de la clientèle, la fourniture de conseils et d’informations sur l’offre de prestations, la préparation et la fourniture de prestations sur mesure (p. ex. marketing direct, publicité sur papier et en ligne, événements pour la clientèle ou les personnes intéressées, événements culturels, concours, sponsoring, jeux-concours, études de satisfaction de la clientèle, enquêtes sur les besoins futurs de la clientèle ou sur son comportement, évaluation d’un potentiel en termes de clientèle, de marché ou de produit)
- le respect d’obligations légales ou réglementaires en matière de vérification, de fourniture de renseignements, d’information ou de déclaration aux tribunaux ou autorités, l’exécution de décisions des autorités (p. ex. vérification de l’identité, échange automatique de renseignements avec des autorités fiscales étrangères, décisions de la FINMA ou des ministères publics en lien avec la prévention des fraudes, du blanchiment d’argent et du financement du terrorisme ou avec l’enregistrement et la surveillance des communications)
- la sauvegarde des intérêts de la Banque et la garantie de ses prétentions en cas de créances à l’encontre de la Banque ou de ses clients, ainsi que la garantie de la sécurité de ses clients et de son personnel
- l’exploitation du site web (p. ex. pour la gestion et le développement techniques des sites web ZKB)
- le cas échéant, d’autres fins, dont la Banque vous informera
2.4 Provenance
2.4 Provenance
La Banque peut collecter, aux fins exposées au ch. 2.3 des données personnelles provenant des sources suivantes :
- des données personnelles communiquées à la Banque, par exemple dans le cadre de l’ouverture d’une relation d’affaires, d’un entretien de conseil, d’une communication avec la Banque, pour des produits et prestations ou sur les sites web et les applications de la Banque. À moins que la loi ne vous y oblige, vous ne devez nous communiquer des données personnelles de tiers que si vous avez attiré au préalable l’attention des tiers en question sur la présente déclaration.
- des données personnelles générées du fait que vous utilisez nos produits ou prestations et transmises à la Banque via l’infrastructure ou des processus techniques (p. ex. sur les sites web, dans l’eBanking, dans les applications, pour les opérations de paiement, lors du négoce de papiers-valeurs ou dans le cadre de la collaboration avec d’autres prestataires de services financiers ou informatiques, ainsi qu’avec d’autres marchés et bourses)
- des données personnelles provenant de sources tierces, par exemple les banques correspondantes pour les opérations de paiement, la Centrale d’information de crédit (ZEK), le Centre de renseignements sur le crédit à la consommation (IKO), les agences de renseignements en matière de crédit, les sociétés de vérification de la solvabilité, les revendeurs d’adresses, les assurances, les autorités, les autres sociétés appartenant au groupe de la Banque ou les listes de sanctions de l’ONU, du SECO et de l’UE
- des données personnelles accessibles au public, par exemple sur Internet, dans les médias, dans des registres publics tels que le registre foncier ou le registre du commerce
2.5 Bases pour le traitement des données personnelles
2.5 Bases pour le traitement des données personnelles
En fonction des produits et prestations que la Banque vous offre ou de la fin en vue de laquelle sont traitées les données personnelles, le traitement des données repose sur la base suivante :
- conclusion ou exécution d’un contrat ou d’une relation d’affaires avec vous ou exécution des obligations de la Banque en vertu d’un contrat ou d’une relation d’affaires (y compris les mesures précontractuelles nécessaires), par exemple pour des financements, la planification financière, des paiements, des factures, des comptes, des cartes, le placement, la bourse, la prévoyance, la constitution et la transmission d’entreprises et l’assurance, l’eFinance, le service clients
- le cas échéant, pour sauvegarder les intérêts légitimes de la Banque, par exemple par l’établissement de statistiques, la planification ou le développement de produits, des décisions commerciales ; la surveillance et la gestion des risques, l’examen de relations d’affaires ; le marketing, les études de marché, l’entretien de la relation avec les clients, le suivi complet de la clientèle, la fourniture de conseils et d’informations sur l’offre de prestations, la préparation et la fourniture de prestations sur mesure, dans la mesure où aucune opposition n’a été formulée ; la sauvegarde des intérêts de la Banque, de ses clients et de son personnel et la garantie de leurs droits
- le cas échéant, le respect d’obligations légales ou réglementaires de la Banque ou l’exécution de tâches d’intérêt public, par exemple sur la base des lois suisses sur les banques, les placements collectifs, le blanchiment d’argent, sur l’émission des lettres de gage, des ordonnances et circulaires de la FINMA, des lois fiscales (voir les informations relatives aux accords fiscaux et à l’échange d’informations avec les autorités)
- le cas échéant, sur la base de votre consentement1.
1 Le présent chapitre ne concerne pas les consentements obtenus pour d’autres raisons, p. ex. sur la base des dispositions relatives au secret bancaire conformément à la loi fédérale sur les banques et les caisses d’épargne (LB).
2.6 Obligation de mise à disposition de données personnelles
2.6 Obligation de mise à disposition de données personnelles
Lorsque des données personnelles sont nécessaires pour que la Banque puisse se conformer à ses obligations juridiques ou prudentielles ou pour conclure ou exécuter un contrat ou une relation d’affaires avec vous, il est possible que la Banque ne puisse pas vous accepter en tant que client, ni vous offrir des produits ou des prestations, si elle n’est pas en mesure de traiter ces données personnelles. Dans ce cas, nous vous informerons.
2.7 Existence d’une décision individuelle automatisée, par chaque cas y compris profilage
2.7 Existence d’une décision individuelle automatisée, par chaque cas y compris profilage
La Banque se réserve le droit d’analyser et d’évaluer automatiquement, à l’avenir, les données des clients (y compris des données de tiers concernés, voir le ch. 2.1) afin d’identifier les caractéristiques personnelles essentielles du client ou pour anticiper des évolutions et établir des profils clients. Ceux-ci servent en particulier à l’examen et à l’exécution de la relation d’affaires (p. ex. élaboration d’une stratégie de placement, profils de risque, contrôle de solvabilité, lutte contre le blanchiment d’argent, les abus et la fraude, sécurité informatique) et au conseil individuel, ainsi qu’à l’élaboration d’offres et d’informations (p. ex. marketing, développement et amélioration des produits afin que vous receviez uniquement des offres correspondant à vos intérêts) que la Banque et ses sociétés du groupe mettent à la disposition du client.
Les profils clients pourront également aboutir à des décisions individuelles automatisées, par exemple des décisions de solvabilité automatisées, pour accepter et exécuter automatiquement des ordres du client dans l’eBanking.
La Banque veille à ce qu’une personne de contact compétente soit à disposition au cas où le client souhaite s’exprimer quant à une décision individuelle automatisée, dans la mesure où la loi prévoit cette possibilité.
2.8 Catégories de destinataires prévus, garanties et communication à l’étranger
2.8 Catégories de destinataires prévus, garanties et communication à l’étranger
2.8.1 Destinataires
Au sein de la Banque, l’accès à vos données personnelles est limité aux services qui en ont besoin pour la conclusion ou l’exécution d’un contrat ou d’une relation d’affaires, en vertu d’obligations légales ou réglementaires ou pour l’exécution de tâches d’intérêt public.
La Banque ne communique les données des clients à des tiers que dans les cas suivants, en fonction des produits et prestations utilisés :
- aux fins de l’exécution des ordres, c’est-à-dire pour l’utilisation de produits ou de prestations, par exemple aux destinataires de paiements, aux bénéficiaires, aux fondés de pouvoir, aux intermédiaires, ainsi qu’aux banques correspondantes, aux courtiers, aux services de clearing, aux autres parties concernées par une opération, aux prestataires (p. ex. Swisscom), aux bourses ou aux marchés, ainsi que pour déclarer des opérations boursières spécifiques aux registres internationaux de transactions
- avec le consentement du client, aux sociétés du groupe afin d’offrir un suivi complet de la clientèle et à des fins d’externalisation
- sur la base d’obligations légales, de motifs justificatifs légaux ou de décisions d’autorités, par exemple à des tribunaux ou à des autorités de poursuite pénale ou de surveillance, par exemple dans le domaine des marchés financiers ou des impôts, ou dans la mesure nécessaire pour préserver les intérêts légitimes de la Banque en Suisse et à l’étranger. Ce dernier aspect concerne en particulier la communication aux autorités suisses compétentes lorsqu’un client entame ou menace d’entamer des procédures judiciaires à l’encontre de la Banque ou de faire des déclarations publiques, pour garantir les prétentions de la Banque à l’encontre du client ou de tiers, lors du recouvrement de créances de la Banque à l’encontre du client et pour rétablir le contact avec le client suite à une perte de contact.
Un sous-traitant est un tiers qui traite des données personnelles pour le compte de la Banque et à ses objectifs, tels que les prestataires de services dans le domaine de l’informatique, du marketing, des études de marché, de la distribution ou de la communication, les entreprises de logistique, les imprimeurs, les prestataires de services financiers, les prestataires de services immobiliers, les agences de notation, les sociétés de recouvrement, les services de lutte contre la fraude, les prestataires de services de sécurité de l’information et de cybersécurité, les agences de renseignements en matière de crédit ou les sociétés de conseil. Lorsque des données personnelles sont communiquées à un sous-traitant, il peut exclusivement les utiliser de la même manière que la Banque. La Banque choisit ses sous-traitants avec diligence et les oblige par un contrat à garantir la confidentialité, le secret bancaire en Suisse et la sécurité des données personnelles.
2.8.2 Lieu de la divulgation
Le lieu de la divulgation dépend du type de produit ou de prestation utilisé. Du fait de notre modèle d’affaires en tant que banque universelle, les constellations suivantes existent :
- La banque négocie et conserve des valeurs mobilières et des instruments financiers et/ou effectue des placements fiduciaires et des opérations en monnaies étrangères sur instruction du client. Dans ce contexte, le droit étranger et des dispositions contractuelles peuvent obliger la Banque à divulguer l’identité de la personne pour qui elle réalise ces opérations. De fait, la Banque peut être amenée à divulguer certaines personnes, informations et documents à l’égard d’autorités et d’entreprises à l’étranger ou en Suisse. À cet égard, il convient de noter que le négoce (en fonction de la bourse ou du système de négoce), des opérations d’exécution en aval et la conservation peuvent avoir lieu dans des pays tiers. Les obligations de divulgation varient d’un pays à l’autre. De plus, il est toujours possible que les obligations existantes soient modifiées ou que de nouvelles obligations soient instaurées.
Davantage d’informations sur le lieu de la communication des données personnelles en lien avec les valeurs mobilières et les instruments financiers et/ou les placements fiduciaires et les opérations en monnaies étrangères vous ont déjà été transmises en lien avec les différents produits et prestations (voir les conditions générales et les dispositions relatives à nos produits et services, ainsi que les mentions légales et informations relatives à nos activités de négoce et de placement, en particulier Offenlegung von Kundendaten im Zusammenhang mit Finanzmarkt und Fremdwährungsgeschäften, Directive concernant les droits des actionnaires II, Ländervorgaben bei Auslandszahlungen, Règlement des marchés d'instruments financiers (MiFIR) ainsi que les recommandations de l’ASB (février 2016 et juin 2009).
- La Banque peut également traiter des données de contact telles que le nom, l’adresse e-mail ou le numéro de téléphone de ses personnes de contact (collaborateurs ou fournisseurs) en lien avec la gestion des contrats avec ses fournisseurs. Ces données de contact sont traitées dans un système informatique hébergé sur des serveurs situés en Allemagne.
2.8.3 Garanties
Si, exceptionnellement, des données personnelles sont communiquées dans des pays n’assurant pas un niveau adéquat de protection des données personnelles (voir aussi l’art. 16 CG et ses indications concernant l’application du secret bancaire et du droit de la protection des données suisses, qui s’appliquent par analogie aux données des fournisseurs concernant les visiteurs et les collaborateurs), la Banque conclut avec le destinataire des clauses contractuelles types de protection des données afin de l’obliger à assurer un niveau adéquat de protection, ou alors elle s’appuie sur une dérogation légale (p. ex. la conclusion ou l’exécution d’un contrat, la sauvegarde d’intérêts publics prépondérants, la mise en œuvre de droits, votre consentement).
Nous pouvons vous faire parvenir gratuitement une copie des clauses contractuelles standards.
3 Droits
Vous avez un droit d’accès, de rectification, d’effacement et de limitation de vos données, un droit de vous opposer au traitement ainsi que, le cas échéant, le droit à la portabilité de ces données. Vous avez en outre le droit d’introduire une réclamation auprès de l’autorité de surveillance compétente pour la protection des données (voir le ch. 5).
La Banque accepte les demandes d’accès par écrit, accompagnées d’une copie lisible d’un document d’identification officiel valable (p. ex. passeport, carte d’identité, permis de conduire). Les coordonnées sont indiquées au ch. 5.
Le droit à l’effacement des données et le droit d’opposition ne sont pas absolus. En fonction des cas, des intérêts d’ordre supérieur peuvent imposer la poursuite du traitement. La Banque vérifie chaque cas particulier et vous communique le résultat. Si des données personnelles sont traitées à des fins de marketing direct, votre droit d’opposition s’applique aussi au marketing direct, y compris au profilage à des fins de marketing. Vous pouvez à tout moment vous opposer au marketing direct en adressant une communication à cet effet à la Banque (voir le ch. 5).
Si vous avez consenti à un traitement de données personnelles, vous pouvez à tout moment aviser la Banque que vous retirez ce consentement. Veuillez noter que le retrait d’un consentement ne s’applique que pour l’avenir. Les traitements effectués avant le retrait n’en sont pas affectés.
Si la Banque ne correspond pas à vos attentes en ce qui concerne le traitement des données personnelles, si vous souhaitez introduire une réclamation concernant ses pratiques en matière de protection des données ou si vous souhaitez exercer vos droits, nous vous remercions d’en informer la Banque (voir le ch. 5). Cela permettra à la Banque d’examiner vos demandes et le cas échéant de s’améliorer. Nous vous prions de fournir suffisamment d’informations pour que la Banque puisse répondre à votre demande. La Banque examinera votre demande et y répondra dans un délai approprié.
4 Modifications des données personnelles
La Banque est tenue de traiter les données personnelles de manière correcte et de les tenir à jour. Veuillez informer la Banque par le canal de communication que vous utilisez habituellement en cas de modification des données personnelles.
5. Coordonnées et exercice de vos droits
Responsable du traitement des données personnelles
Responsable du traitement des données personnelles
Responsable du traitement des données personnelles :
Zürcher Kantonalbank
Sitz Zürich
Bahnhofstrasse 9
8001 Zurich
Exercer vos droits conformément au ch. 3
Exercer vos droits conformément au ch. 3
Pour toute autre question en lien avec la protection des données, veuillez vous adresser au contact suivant :
Zürcher Kantonalbank
Data Office
Case postale
8010 Zurich
ou nous contacter par e-mail à l’adresse dsr@zkb.ch
Autre question en lien avec la protection des données
Autre question en lien avec la protection des données
Pour toute autre question en lien avec la protection des données, veuillez vous adresser au contact suivant :
Zürcher Kantonalbank
Datenschutzberater
Legal & Compliance
Case postale
8010 Zurich
ou nous contacter par e-mail à l’adresse datenschutz@zkb.ch
Représentant dans l’UE conformément à l’art. 27 RGPD
Représentant dans l’UE conformément à l’art. 27 RGPD
VGS Datenschutzpartner UG
Am Kaiserkai 69
20457 Hamburg
Allemagne
ou par e-mail à info@datenschutzpartner.eu
Si la réaction de la Banque n’est pas à votre satisfaction, vous avez le droit d’introduire une réclamation auprès de l’autorité de protection des données compétente pour la juridiction où vous vivez ou travaillez, ou celle du lieu où vous estimez qu’un problème concernant les données personnelles s’est produit.
En cas de questions, suggestions et remarques d’ordre général, n’hésitez pas à contacter votre conseiller à la clientèle.
6. État de la déclaration de protection des données personnelles
La présente déclaration de protection des données personnelles a été mise à jour pour la dernière fois en juin 2024. Elle explique de manière générale le traitement des données personnelles par la Banque. La présente déclaration de protection des données personnelles n’est pas un élément du contrat conclu entre vous et la Banque. La Banque se réserve le droit d’adapter de temps à autre la présente déclaration de protection des données personnelles. Dans ce cas, elle vous informera de manière appropriée, selon le canal de communication habituellement utilisé avec vous, par exemple via le site web zkb.ch.
Déclaration de protection des données personnelles (PDF, 161 KB)
Dernière mise à jour : Juin 2024