Aller à la navigationAller à la connexionAller au contenu

Politique de la vie privée

Dernière mise à jour 12/2023

Le respect de la vie privée, et plus particulièrement la protection des données à caractère personnel (ci-après " DCP ") contre les divulgations ou traitements non autorisés, est au cœur des préoccupations de Keytrade Bank (ci-après " la Banque ").

La présente Politique de la Vie Privée (" Politique ") a pour objectif de vous expliquer clairement et simplement comment la Banque collecte, traite, modifie, transfère, conserve, archive, consulte et supprime vos DCP.

Par donnée à caractère personnel on entend toute information se rapportant à une personne physique identifiée ou identifiable notamment par référence à un identifiant (qui peut être un numéro). En d'autres termes, dès qu'une personne peut être identifiée sur base des éléments dont le responsable du traitement dispose, toute donnée relative à cette personne (avoirs, âge, n° de compte en banque, adresse...) est une DCP.

Cette Politique s'applique aux DCP qui sont collectées initialement lorsque vous visitez le Site Internet de la Banque, lorsque vous entrez en relation avec celle-ci ainsi qu'aux données obtenues ultérieurement par la Banque (par exemple lors de la souscription à un produit ou service complémentaire ou lors de la mise à jour des données renseignées initialement).

Le traitement de vos DCP est soumis au respect du règlement européen n° 2016/679 du 27 avril 2016 sur la protection des personnes physiques à l'égard du traitement des DCP, dit " RGPD ", ainsi qu'à toute règlementation s'appliquant aux DCP*.

Vous pouvez obtenir de plus amples informations sur la protection des DCP auprès de l'Autorité de protection des données (https://www.autoriteprotectiondonnees.be).

Cette Politique est régulièrement mise à jour. La Banque vous invite à consulter régulièrement son Site Internet afin de prendre connaissance de la version en vigueur.

Tous les termes qui ne sont pas définis dans la présente Politique et sont écrits avec une majuscule, ont le sens tel que décrit dans les Conditions Générales de la Banque.

*Entre autres :

  • La loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements des DCP
  • La loi du 13 juin 2005 relative aux communications électroniques
  • Directive 2002/58/CE du parlement européen et du conseil du 12 juillet 2002 concernant le traitement des DCP et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

1. Qui est le responsable du traitement de vos DCP ?

Keytrade Bank, succursale belge d’Arkéa Direct Bank SA (France), située Boulevard du Souverain 100 à 1170 Bruxelles inscrite sous le numéro BCE BE 0879.257.191 est le responsable du traitement de vos DCP.

En tant que succursale d’Arkéa Direct Bank SA (France), elle-même filiale du Crédit Mutuel Arkéa, la Banque fait partie du groupe Crédit Mutuel Arkéa (« groupe CMA »).

Au sein de Keytrade Bank, la DPO Team est responsable du suivi quotidien des problématiques liées au RGPD (premier point de contact) et du respect de la règlementation applicable aux DCP.

Si vous avez des questions, et souhaitez introduire une demande pour exercer un de vos droits repris dans le RGPD, ou si vous êtes confronté à un problème lié à vos DCP, vous pouvez contacter notre DPO Team par e-mail à l’adresse dpo@keytradebank.com ou par courrier à l’adresse postale Boulevard du Souverain 100, 1170 Bruxelles.

Keytrade Bank a également désigné un Délégué à la Protection des Données ("DPD" - DPO en anglais) qui a notamment pour mission d’informer et conseiller la Banque sur toutes les questions relevant de la protection des DCP. Vous pouvez contacter le DPO par courrier postal (Madame la Déléguée à la Protection des Données – Crédit Mutuel Arkéa - 1 rue Louis Lichou, 29808 Brest Cedex 9, France) ou par e-mail : protectiondesdonnees@arkea.com.

2. Quelles catégories de DCP sont traitées ?

Les différentes catégories de DCP que la Banque est amenée à collecter dans le cadre de la relation bancaire ou lorsque vous entrez en contact avec elle sont les suivantes :

  • Les données d’identification : votre nom, prénom, adresse, numéro de carte d’identité, numéro de registre national, adresse e-mail, numéro de téléphone, identifiant (login), statut professionnel ;
  • Les données transactionnelles : les données relatives à vos transactions bancaires et boursières telles que vos numéros de comptes, numéros de carte, communications bancaires, retraits, transferts liés à vos comptes, éventuels défauts de remboursement de crédit au sein de la Banque ;
  • Les données financières : vos factures, fiches salariales, revenus, la valeur de vos biens mobiliers ou immobiliers, votre capacité de remboursement, l’origine de vos fonds ou de votre patrimoine ;
  • Les données d’état civil : nom, prénom, âge, sexe, date de naissance, lieu de naissance, état civil et nationalité;
  • Les données de composition de ménage : votre situation familiale, les détails sur les autres membres du ménage ;
  • Les données liées à votre niveau de connaissance et expérience ou à votre profil d’investisseur : votre connaissance et expérience des instruments financiers et votre situation financière, y compris votre capacité à supporter les pertes, vos objectifs d’investissement et votre tolérance au risque ;
  • Les données concernant les enquêtes de satisfaction ou provenant de vos interactions avec la Banque ;
  • Les données audiovisuelles et électroniques : les enregistrements des vidéos de surveillance agences, les enregistrements téléphoniques du service client ou les enregistrements de vos communications par e-mail ;
  • Les données concernant votre capacité juridique à conclure certains contrats ou poser certains actes : en règlement collectif de dette, état de faillite, incapable, enregistré sur le volet négatif de la Centrale des Crédits aux Particuliers de la Banque Nationale de Belgique ;
  • Les données liées au dispositif d’alerte professionnelle (« Whistleblowing ») : l’identité, fonctions et coordonnées de l’émetteur de l’alerte (sauf signalement anonyme) et/ou des personnes faisant l’objet de l’alerte, en ce compris, le cas échéant son numéro d’entreprise ; l’identité, fonctions et coordonnées des personnes intervenant dans le recueil et dans le traitement de l’alerte (sauf alerte anonyme) ; les éléments recueillis dans le cadre de la vérification des faits signalés ; les comptes rendus des opérations de vérification ; et les suites données à l’alerte ;
  • Les données relatives aux contributions des personnes qui déposent des avis sur des produits, services ou contenus, notamment leur pseudonyme ;
  • Les données pour répondre à nos obligations légales et réglementaires : les données, y compris les données particulières, pour nous conformer de façon non-limitative à nos obligations légales (KYC, KYT), réglementaires (MiFID, SRD II), décisions judiciaires, et demandes de saisies ;
  • Les données obtenues via les cookies et autres technologies similaires : adresse IP, la version de votre navigateur, votre comportement sur le site, le nombre de fois que vous avez consulté le Site Transactionnel (logs). Pour plus d’informations veuillez consulter notre Cookies Policy.

3. Quand la Banque collecte-t-elle vos DCP ?

La Banque collecte des DCP vous concernant sur base des sources suivantes :

3.1 Données déclaratives

Ce sont toutes les données que vous ou un tiers procurez explicitement et directement à la Banque (Nom, prénom, adresse, numéro de téléphone, adresse e-mail, statut professionnel (indépendant, employé…)). Ces données peuvent être transmises :

Lors de l’ouverture de la relation bancaire, lorsque vous les mettez à jour ou lorsqu’elles sont nécessaires pour souscrire à un nouveau service ou produit.

Lorsque vous participez à des séminaires, tutoriels, concours, évènements… organisés par la Banque vous devrez transmettre des données permettant de vous identifier et de vous contacter.

Par un tiers et ce pour autant que cette transmission est nécessaire (par exemple : si vous êtes bénéficiaire effectif d’une personne morale).

3.2 Sources publiques ou accessibles à la Banque

Lors du traitement de votre demande d’ouverture de compte ou de souscription d’un produit, la Banque peut être amenée à compléter ou vérifier certaines données dans des registres publics ou qui lui sont accessibles (par exemple Banque Carrefour des entreprises, Moniteur Belge, Registre National, Centrale des Crédits aux Particuliers (pour plus d’informations sur ce dernier point veuillez consulter la section Centrale des Crédits aux Particuliers (« CCP »)).

3.3 Utilisation de nos logiciels

Lorsque vous utilisez l’application mobile (« Application ») développée par Keytrade Bank ou vous connectez au Site Transactionnel, vos données sont récoltées (e.g. logs dans les systèmes informatiques, données relatives aux signatures électroniques).

3.4 Données divulguées lors de nos interactions

Lorsque vous répondez à un questionnaire, envoyez un e-mail, répondez à un message, et/ou passez un appel téléphonique, la Banque collecte et conserve les données reprises dans ces fichiers.

3.5 Données récoltées par ou via des tiers

Pour certains services, la Banque fait appel à des tiers qui collectent des données vous concernant et les communiquent à la Banque (par exemple : l’utilisation de votre carte VISA, la récupération de créances…). La Banque sera amenée à traiter ces données pour des finalités spécifiques.

Il en va de même pour les DCP récoltées lorsque vous interagissez avec nous sur les réseaux sociaux (tels que Facebook, Instagram), ou lorsque vous laissez un avis sur une plateforme spécialisée dans la collecte d’avis clients (telle que Trustpilot), la Banque pourrait collecter indirectement vos DCP pour répondre à vos questions, avis, et/ou commentaires.

4. Dans quels cas êtes-vous tenu de communiquer vos DCP à la Banque ?

La Banque s’engage à uniquement vous demander vos données, que ce soit lors de l’ouverture de la relation bancaire ou lors de la souscription à un service et/ou produit, ou lors de la mise à jour de vos données, dont elle a besoin pour analyser en bonne et due forme votre demande (principe du « privacy by default »). Pour s’assurer du respect de ce principe, chaque demande d’informations adressée aux clients et prospects (par ex. lors de la souscription d’un produit en ligne) a été revue par la DPO Team qui se fait fort de pouvoir justifier la raison pour laquelle chaque donnée demandée est nécessaire eu égard à la finalité pour laquelle elle est collectée.

La majorité de ces données sont demandées pour que la Banque puisse respecter la règlementation en vigueur DCP (par ex. les règlementations relatives à la prévention du blanchiment de capitaux et du financement du terrorisme, aux marchés et instruments financiers, et aux abus de marché).

Vous avez bien entendu le droit de refuser de communiquer ces données mais si ce refus empêche la Banque de respecter ses obligations légales, elle sera contrainte de vous refuser le service et/ou produit ou de résilier la relation bancaire

La Banque étant une banque en ligne, elle a besoin d’une adresse e-mail et d’un numéro de GSM pour vous communiquer certaines informations qu’elle doit vous faire parvenir. Sans ces données pour valider l’ouverture de la relation bancaire, la Banque ne peut ouvrir de relation bancaire.

Si une donnée n’est légalement pas requise, la Banque l’indique et vous pourrez poursuivre votre demande de produits et/ou service sans communiquer cette donnée. Ces données ont principalement pour vocation d’améliorer votre expérience client (personnalisation de votre environnement client : ajouter une photo, donner un nom à vos comptes, adaptation de la visualisation de votre espace client…).

5. A quelles fins et sur quelle base légale la Banque traite vos DCP ?

Dans la suite de cette section, la Banque précisera les différents traitements de DCP qu’elle met en œuvre. De manière générale, la Banque traite vos données sur les bases légales suivantes :

  • Afin de respecter les dispositions légales et réglementaires auxquelles la Banque est soumise ;
  • Dans le cadre de l’exécution du contrat ou la prise de mesures précontractuelles ;
  • Pour des raisons qui relèvent de l’intérêt légitime de la Banque, tout en préservant l’équilibre entre cet intérêt légitime et le respect de votre vie privée ;
  • Lorsque vous avez donné votre consentement pour une ou des finalité(s) spécifique(s).

5.1 Obligations légales

La Banque est tenue par de nombreuses obligations légales et réglementaires qui nécessitent de traiter vos DCP. Ces obligations relèvent essentiellement des domaines repris ci-dessous.

5.1.1 Identification, Know Your Customer (KYC) et Know Your Transactions (KYT)

Lors de l’ouverture de votre relation bancaire et tant que celle-ci reste ouverte, la Banque doit respecter ses obligations d’indentification et de connaissance de ses clients (KYC) et de suivi des transactions (KYT) - repris dans la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme et à la limitation de l'utilisation des espèces ( « LCB-FT »). Elle a donc l'obligation de contribuer à la prévention du blanchiment de capitaux et du financement du terrorisme, en identifiant ses clients, représentants et bénéficiaires effectifs, déterminer un profil de risque, et contrôler les opérations et transactions. Pour ce faire, la Banque traitera vos données à plusieurs reprises et peutêtre amenée à vous demander des informations complémentaires.

Si la Banque estime que les conditions règlementaires sont remplies, elle devra également transmettre vos données à la Cellule de traitement des informations financières (CTIF).

5.1.2 Enquêtes pénales – réquisitoires

Dans le cadre d’enquêtes pénales, de réquisitoires, les autorités peuvent solliciter de la Banque de lui communiquer certaines informations quant à la relation bancaire. Moyennant le strict respect de la règlementation, la Banque communiquera vos données aux autorités habilitées à adresser ces demandes.

5.1.3 Conformité aux décisions judiciaires

La Banque a l’obligation légale de se conformer aux décisions et actes judiciaires qui lui sont opposables. Ainsi, si vous avez été déclaré incapable, en état de faillite,… la Banque a l’obligation de traiter vos données pour donner une suite utile à la décision prononcée et ce dès qu’elle en prend connaissance. La Banque peut également être amenée à communiquer des informations aux intervenants (avocats, notaires, tuteurs, administrateurs provisoires…). La Banque communique uniquement les données auxquels l’intervenant a droit, soit en vertu d’un jugement, soit en vertu de la règlementation.

5.1.4 Saisies sur comptes

Lorsqu’une saisie (exécutoire ou conservatoire) est pratiquée sur vos comptes dans le respect de la règlementation, la Banque est tenue de communiquer certaines informations relatives à vos comptes pour que la saisie puisse produire ses effets. Vous serez informé de la saisie par l’huissier instrumentant ou toute autre autorité compétente pour pratiquer des saisies.

5.1.5 Successions et divorces

Dans le cadre de successions, les héritiers sont en droit d’obtenir les extraits de compte des comptes en banque du défunt afin de contrôler et prévenir un éventuel recel successoral. La Banque peut être amenée à transférer vos DCP si celles-ci sont reprises sur les extraits de compte.

Dans le cadre d’un divorce, le notaire instrumentant peut solliciter qu’il lui soit remis un état des comptes des parties à la date du divorce pour pouvoir réaliser la liquidation -partage des avoirs.

5.1.6 Abus de marché (Règlement relatif aux abus de marché)

La Banque a l'obligation de contribuer à la lutte contre les abus de marché, en détectant et signalant certaines informations aux autorités compétentes ou partenaires avec lesquels la Banque travaille sur ces marchés financiers.

La Banque peut ainsi être amenée à transférer vos DCP à la FSMA dans le cadre de déclarations de la Banque, d’enquêtes de la FSMA ou d’un traité de coopération avec une administration étrangère et ce moyennant le respect de la règlementation.

Pour la détection d’abus de marché, la Banque transmet certaines DCP pseudonymisées relatives aux transactions financières à LiquidMetrix ou à nos brokers.

5.1.7 Marchés d’instruments financiers (MiFID)

La Banque a l'obligation de protéger l’investisseur de produits et services financiers en identifiant, pour et selon certains services, le niveau de connaissance et d’expérience, le profil et la catégorie d'investisseur, ses capacités et ses objectifs d'investissement.

5.1.8 Shareholder Rights Directive (SRD II)

Pour se conformer à la Shareholder Rights Directive, une des obligations qui incombe à la Banque est de divulguer les DCP des actionnaires d’une société cotée afin que cette-dernière, ou un tiers mandaté par elle à cet effet, puisse prendre contact avec ses actionnaires pour l’organisation de leur participation et de leur vote à l’assemblée générale.

5.1.9 Violation de DCP (RGPD)

En cas de violation de vos DCP qui engendre un risque pour vos droits et libertés, la Banque communiquera des données, en principe anonymisées, à l’Autorité de Protection des Données (« APD ») afin de les informer de la violation de DCP et de lui procurer les éléments nécessaires à l’appréciation de la gravité de la violation et de lui expliquer les mesures de remédiation prises.

Dans le cas où la violation engendre un risque élevé pour vos droits et libertés, la Banque vous en informera et vous fera parvenir un résumé des mesures prises pour atténuer les risques pour vos droits.

Les dossiers relatifs aux violations de DCP sont conservés pendant le délai de cinq ans (pour de plus amples informations concernant les différents délais de conservation appliqués, veuillez consulter la section ‘Délai de conservation’).

5.1.10 Exercice de vos droits en lien avec le RGPD

Lorsque vous exercez un des droits que vous octroie le RGPD, la Banque est tenue d’analyser votre demande et, dans le cas où il n’y a pas de motif de refuser celle-ci, d’y réserver une suite utile.

Le dossier relatif à votre demande sera conservé pendant le délai de cinq ans (cfr section ‘Délai de conservation’).

5.1.11 Point de Contact Central (« PCC »)

Afin de se conformer à l’Arrêté Royal du 17 juillet 2013 relatif au point de contact central, la Banque communique chaque année vos données (identification, comptes bancaires, contrats en cours) à la Banque Nationale de Belgique.

Le délai de conservation du rapport transmis à la Banque Nationale de Belgique est de 8 ans conformément à l’article 8 de l’Arrêté Royal susmentionné. A l’expiration du délai de conservation, les données échues sont irrévocablement supprimées par la Banque Nationale de Belgique.

5.1.12 Centrale des Crédits aux Particuliers (« CCP »)

Lorsque vous contractez un crédit, la Banque a une obligation légale d’enregistrer cette information dans la Centrale des Crédits aux Particuliers (Arrêté Royal réglementant la Centrale des Crédits aux Particuliers). Il en est de même lorsque vous êtes en défaut de paiement, la Banque doit communiquer le défaut à la Banque Nationale de Belgique. Vous serez notifié de cet enregistrement sur le volet négatif de la BNB par courrier.

5.1.13 Crédit hypothécaire et crédit à la consommation

5.1.13.1 Code de Droit Economique

Le Code de Droit Economique oblige la Banque, e.a., à contrôler l’exactitude des informations transmises, de vous assister dans votre demande de crédit et de vous conseiller. Pour respecter ses obligations légales, la Banque sera amenée à traiter vos données. Lorsque des documents (ESIS, Conditions particulières…) doivent être rédigés dans le cadre de votre demande de crédit hypothécaire, nous transmettons vos données à Crefius (pour plus d’informations quant au rôle et les interventions de Crefius, veuillez consulter la section ‘Keyhome – Crefius’).

5.1.13.2 Gestions des risques financiers

La Banque à l’obligation règlementaire de gérer ses risques financiers et son exposition au risque. Afin d’évaluer ses risques, la Banque détermine des scores de risques et a recours à des modèles statistiques de risques utilisant vos DCP. .

5.1.13.3 AnaCrédit – Bâle III

Tant le Règlement AnaCrédit que les accords de Bâle III sont applicables aux activités de crédit de la Banque. Pour se conformer à ces règlementations, la Banque transmet des DCP des clients qui ont souscrits un crédit à la Banque Nationale de Belgique (AnaCrédit) ainsi qu’au Crédit Mutuel Arkéa. Cette dernière consolide les données relatives aux crédits avec celles des autres entités du groupe Crédit Mutuel Arkéa avant de transférer son rapport à la Banque Centrale Européenne (Bâle III).

5.1.14 Common Reporting Standard (« CRS »)

Si vous êtes résidant fiscal d’un pays membre du CRS autre que la Belgique, la Banque a l’obligation légale (conformément à la Loi du 16 décembre 2015 réglant la communication des renseignements relatifs aux comptes financiers par les institutions financières belges et le SPF Finances, dans le cadre d’un échange automatique de renseignements au niveau international et à des fins fiscales) de vous renseigner auprès de l’administration fiscale belge qui communiquera à son tour les données sur vos avoirs à l’autorité fiscale étrangère compétente.

Les reportings que la Banque produit dans le cadre de CRS sont conservés pendant le délai de 7 ans à compter du 1er janvier de l’année civile qui suit l’année civile au cours de laquelle elles ont communiquées à l’autorité compétente belge. Vous pouvez demander à la Banque une copie des informations qu’elle a communiquées dans le cadre de CRS à l’autorité fiscale.

5.1.15 Foreign Account Tax Compliance Act (“FATCA”) & Qualified Intermediary (“QI”)

Si vous avez le statut de ‘US Person’ selon la règlementation américaine, la Banque est obligée de vous rapporter à l’administration fiscale américaine comme détenteur de compte ou bénéficiaire effectif et préciser les avoirs en compte que vous avez.

Si la Banque estime que les conditions règlementaires sont remplies, elle vous reprendra dans son reporting QI auprès de l’administration fiscale belge (conformément à la Loi du 16 décembre 2015 réglant la communication des renseignements relatifs aux comptes financiers par les institutions financières belges et le SPF Finances, dans le cadre d’un échange automatique de renseignements au niveau international et à des fins fiscales) destiné à l’Internal Revenue Service (IRS) américain. C’est l’administration fiscale belge (le SPF Finances) qui communiquera in fine vos DCP à l’administration fiscale américaine compétente.

Les reportings que la Banque produit dans le cadre de la règlementation FATCA et QI sont conservés pendant un délai de 7 ans à compter du 1er janvier de l’année civile qui suit l’année civile au cours de laquelle elles ont communiquées à l’autorité compétente belge (conformément à l’article 12(4) de la Loi du 16 décembre 2015 précitée)

5.1.16 Directives for Administrative Cooperation (“DAC”)

Sur base de la règlementation et des informations publiées, vos données pourraient être transmises par la Banque afin de se conformer aux directives européennes relatives à la coopération administrative (« DAC ») dans le domaine fiscal, telles que transposées en droit belge

5.1.17 Fonds de Garantie des dépôts et de résolution (« FGDR »)

Le FGDR a pour vocation de protéger vos avoirs jusqu’à 100 000EUR en cas de défaillance de la Banque. La Banque étant une succursale d’Arkéa Direct Bank (France), vos avoirs doivent être additionnés à ceux que vous détenez sur un compte chez Arkéa Direct Bank (nom commercial Fortuneo). La Banque et Arkéa Direct Bank déposent un rapport commun au FGDR français.

Les rapports générés par la Banque et transmis à Arkéa Direct Bank dans le cadre du FGDR sont conservés pendant un mois coulant (ils sont produits quotidiennement).

Pour plus d’information quant au FGDR nous vous invitons à consulter le document d’information sur la protection de vos dépôts : https://www.keytradebank.be/files/documentcenter/docsProtectionOfDeposits_fr.pdf.

5.1.18 Comptes dormants

Si vos comptes en banque tombent dans le champ d’application de la législation sur les avoirs dormants, nous devons traiter vos données afin de tenter de prendre contact avec vous avant de transférer les avoirs à la Caisse des dépôts et consignation.

Une fois que les avoirs sur compte ont été transférés à la Caisse des dépôts et consignation, votre relation bancaire est clôturée et vos données ne seront plus traitées sauf si vous ouvrez une nouvelle relation bancaire.

5.1.19 Contrôles des autorités

En cas de contrôle des autorités compétentes, qu’elles soient belges, européennes ou étrangères, la Banque devra procurer certaines informations et accès aux autorités pour qu’elles puissent réaliser le contrôle règlementaire dont elles sont investies. Vos DCP peuvent être transférées ou consultées lors de ces contrôles.

La liste des domaines légaux et réglementaires en vertu desquels la Banque est amenée à mettre à disposition, transférer ou traiter vos DCP est susceptible d'évoluer.

5.1.20 Dispositif d’alerte professionnelle (Whistleblowing)

Keytrade Bank a mis en place un dispositif d’alerte professionnelle (« Whistleblowing » en anglais). Ce traitement est mis en œuvre afin de se conformer aux exigences relatives au dispositif d’alerte professionnelle exigé par la Loi du 28 novembre 2022 sur la protection des personnes qui signalent des violations au droit de l’Union ou au droit national constatées au sein d’une entité juridique du secteur privé (« Loi Lanceur d’alerte »).

Vous pouvez effectuer des signalements auprès de notre département « Regulatory » par e-mail à  whistleblower@keytradebank.com. Le traitement de vos DCP est strictement limité aux alertes entrant dans les catégories mentionnées dans la Loi Lanceur d’alerte. Si vous introduisez une alerte professionnelle ou faites l’objet d’une telle alerte, vos DCP (y compris les faits signalés, les éléments recueillis dans le cadre de la vérification des faits signalés et les comptes rendus des opérations de vérification et les suites données à l’alerte) seront traitées à cette fin.

5.2 Relation précontractuelle

5.2.1 Avant l’ouverture de la relation bancaire

Avant d’ouvrir la relation bancaire ou d’accepter la souscription à un produit ou service commercialisé par la Banque, cette dernière peut et, dans certains cas, doit obtenir et traiter certaines DCP, afin notamment de :

Répondre à votre demande ;

  • Aider dans le cas où vous rencontrez un problème lors du processus de souscription en ligne d’un produit ou service ;
  • Donner suite à une demande, évaluer l'opportunité et estimer les risques liés à un éventuel produit ou service ;
  • Evaluer votre solvabilité ou éventuellement celle des personnes qui vous sont liées lors d'une demande de crédit.

De manière plus spécifique, la Banque traite vos DCP dans le cadre précontractuel de la manière suivante :

  • Si vous ouvrez votre relation bancaire en ligne en utilisant un lecteur de carte d’identité, vos données seront lues par un logiciel installé sur les serveurs de la Banque. Ce logiciel collecte les données de votre carte d’identité et les modifie afin qu’elles soient dans un format lisible pour le système informatique de la Banque.
  • Si vous ouvrez votre relation bancaire en utilisant une application dédiée (itsme®), vos DCP seront transférées par la société qui a développée l’application (Belgian Mobile Wallet NV/SA) à la Banque.

Tout document que vous communiquerez dans le cadre de la relation bancaire dont le formulaire d’entrée en relation est archivé en recourant aux services d’archivage de la société (Merak NV/SA).

Lors du traitement de votre demande d’ouverture de relation bancaire, la Banque consulte les bases de données suivantes :

Registre National si votre domicile est en Belgique (carte ID Belge) via l’ASBL Identifin (si vous êtes non résident belge, vous devrez nous procurer les documents nécessaires, dont une preuve officielle d’adresse et votre passeport pour que la Banque puisse respecter ses obligations règlementaires) ;

World-Check (de la société Refinitiv) afin de respecter ses obligations Know Your Customer (« KYC ») avant d’ouvrir toute relation bancaire.

Toute autre source publique qu’elle estime nécessaire pour éventuellement contrôler l’exactitude des données renseignées.

5.2.2 Ouverture de la relation bancaire

En cas d’acceptation de votre demande d’ouverture de relation bancaire, la Banque transfère les DCP nécessaires pour générer et vous faire parvenir le(s) moyen(s) de connexion que vous avez sélectionné (Sofkey et/ou Hardkey) à la société Onespan NV.

Pour ouvrir votre relation bancaire, la Banque créera votre profil dans son système informatique et prendra les mesures concrètes pour l’ouverture de la relation bancaire (par ex. création des numéros de compte, identifiant (login), mot de passe).

Si vous utilisez le service de Bankswitching pour transférer vos données bancaires de votre précédent établissement financier vers la Banque, vos données seront transmises à la Banque via le Centre d’échange et de Compensation (CEC) ASBL.

5.3 Relation contractuelle – produits

5.3.1 Gestion des comptes

La gestion de vos différents comptes (calcul des intérêts, aperçu des comptes et des transactions, mise à disposition des documents, calcul taxe TOB, service d’information sur les comptes…) se fait de manière totalement interne chez la Banque. Vos DCP ne sont donc pas transférées à des tiers à cette fin.

Toutefois, vos données peuvent, lorsqu’un problème spécifique est rencontré, être transmises par la Banque à des intervenants pour échanger des informations quant à la gestion de votre compte. Cela sera par exemple le cas si vous avez introduit un virement vers un destinataire erroné et souhaitez l’annuler ou avez été victime d’une escroquerie. La Banque transmettra uniquement les données nécessaires pour que l’intervenant puisse traiter la demande.

5.3.2 Cartes bancaires (crédit & débit)

5.3.2.1 Cartes de crédit

Votre demande de carte de crédit est dans un premier temps analysée de manière automatisée (cfr infra point 8.3 de la présente Politique de la Vie Privée). Si le système détecte une cause d’exclusion d’office, votre demande sera refusée immédiatement. Vous pouvez dans ce cas toujours demander à ce qu’une analyse manuelle soit faite du refus. Dans le cas où aucune cause d’exclusion d’office n’est détectée, votre demande est analysée manuellement par un gestionnaire de dossier. En cas d’approbation de votre demande de carte de crédit, vos données sont transmises à :

  • Thales Group,– pour la création physique de la carte et l’envoi.
  • Monext, Société par Actions Simplifiée françaisepour la création informatique de la carte et générer le code PIN. En cas de changement à votre carte (modification code PIN, renouvellement ou remplacement de la carte…), vos données seront également transférées à Monext.
  • VISA Belgium SCRL transfère à la Banque des données relatives à vos opérations par carte.
  • L’assurance liée à votre carte de crédit a été conclue avec Inter Partner Assistance SA. Si vous déclarez un sinistre, il y aura un échange d’information entre la Banque et Inter Partner Assistance relatif au sinistre.
  • Si vous bloquez votre carte via le service Cardstop de equensWorldline plutôt que via le Site Transactionnel, vos données seront traitées et transférées par equensWorldline.
  • WEngage SA - Si vous notifiez une fraude par carte au numéro + 32 2 679 90 00 en dehors des heures d’ouverture de la Banque, vos données seront traitées et transférées par WEngage SA.
5.3.2.2      Carte de débit

Vos données sont transmises à :

  • Thales Group, - pour la création physique de la carte et l’envoi.
  • Monext, Société par Actions Simplifiée française pour la création informatique de la carte et générer le code PIN. En cas de changement à votre carte (modification code PIN, renouvellement ou remplacement de la carte…), vos données seront également transférées à Monext.
  • Bancontact, VISA ou Maestro : Lors de chaque paiement par carte de débit, vos données sont traitées par Bancontact Payconiq Company, VISA Belgium SCRL ou Maestro International et remises à la Banque. Le fait que vos DCP soient transmises à Bancontact Payconiq Company, VISA Belgium SCRL ou Maestro International est repris sur votre carte de débit.
  • Si vous bloquez votre carte via le service Cardstop de Worldline plutôt que via le Site Transactionnel, vos données seront traitées et transférées par Worldline.
  • WEngage SA - Si vous notifiez une fraude par carte au numéro + 32 2 679 90 00 en dehors des heures d’ouverture de la Banque, vos données seront traitées et transférées par WEngage SA.

5.3.3 Service d’agrégation de comptes

La Banque ne communiquera les données nécessaires à l’intervention de certains prestataires de services de paiement, tels que les initiateurs de services de paiement et les agrégateurs de compte, qu’une fois que vous avez souscrit au service.

Les données relatives aux services d'initiation de paiement et d’agrégateurs de comptes dans le cadre de PSD2 sont conservées dans le ‘Cloud’ d’Amazon Web Services. Pour ce transfert de données, la Banque a mis, en collaboration avec Amazon Web Services, toutes les mesures techniques et organisationnelles pour garantir la sécurité des données en place. Ces mesures répondent aux règles de l’art applicables et sont revues à des intervalles réguliers pour être certains qu’elles soient toujours adéquates.

5.3.4 Service de Cashback - Paylead

La Banque propose un service de Cashback en collaboration avec Paylead. Si vous souscrivez à ce service, vos données pseudonymisées seront transmises à Paylead. Cette dernière a besoin des informations relatives à vos paiements par carte (crédit et débit) pour déterminer le Cashback auquel vous avez droit. Vos données ne sont plus transmises dès que vous vous désinscrivez du service de Cashback.

Pour plus d’informations quant au traitement de vos DCP par Paylead, nous vous invitons à prendre connaissance de la Politique de Confidentialité de Paylead disponible sur l’espace Cashback de l’Application.

5.3.5 Ordres en Bourse – dépositaires

Pour le placement et l’exécution d’ordres en bourse, vos DCP ne sont en général pas transférées à un intermédiaire. Il en est de même pour les dépositaires avec qui la Banque collabore.

Par contre, la Banque peut être amenée à dévoiler vos DCP à des intermédiaires ou dépositaires dans le cadre de demandes d’informations règlementaires.

5.3.6 KEYPLAN & KEYPRIVATE

Si vous ouvrez un KEYPLAN ou KEYPRIVATE, la Banque prendra les mesures nécessaires pour ouvrir le compte-titres en lien avec votre KEYPLAN ou KEYPRIVATE et encoder les informations nécessaires dans son système informatique pour pouvoir vous offrir le service auquel vous avez souscrit.

Aucune de vos DCP n’est transmise à un tiers pour vous offrir ces services.

5.3.7 Keytrade Pro – Saxo Bank

Si vous souscrivez au service de Keytrade Pro, vos DCP seront transmises à Saxo Bank pour l’exécution du contrat dont la réalisation de vos ordres ainsi que pour respecter la règlementation.

5.3.8    Paiement de factures - Zoomit

Si vous avez souscrit au service Zoomit (CodaBox SA) pour le paiement de vos factures, la Banque et Zoomit traiteront vos DCP pour l’exécution du contrat que vous avez conclu avec Zoomit.

Pour plus d’informations, nous vous invitons à consulter la Politique de la Vie Privée de Zoomit : https://www.zoomit.be/fr/respect-de-la-vie-privee/.

5.3.9 Récupération de créances

Lorsque la Banque détient une créance (dépassement, découvert non autorisé…) à votre encontre qui n’a pas été remboursée endéans un certain délai, elle transmet vos données à son partenaire en vue de la récupération de la créance et ce dans le respect de la règlementation en vigueur.

En cas de transfert de vos données au partenaire, vous en serez informé par courrier et/ou tout autre moyen de communication électronique

5.3.10 KEYHOME - Crefius

Dès que vous introduisez une demande de crédit hypothécaire, la Banque transmet vos données à Crefius avec qui elle collabore pour la rédaction des documents relatifs à votre demande de crédit hypothécaire (ESIS, Offre de crédit…). Si vous signez un contrat de crédit hypothécaire avec la Banque, le suivi des paiements et les aléas de votre crédit sont gérés par Crefius (reprise d’encours, remboursement unique, prélèvement par tranche…).

5.3.11 KEYHOME – partenaires

Keytrade Bank a conclu des partenariats pour la commercialisation de son produit KEYHOME avec les clients de certains partenaires. Ces partenaires interviennent en leur qualité d’intermédiaires de crédits ou d’apporteur d’affaires. Ceux-ci transmettent vos données à la Banque, soit pour pouvoir prendre contact avec vous suite à l’intérêt que vous avez montré pour le produit, soit pour analyser concrètement votre demande de crédit hypothécaire.

Vous serez informé par le partenaire avant tout transfert de DCP vers la Banque.

Pour plus d’informations, nous vous invitons à consulter la Politique de la Vie Privée du partenaire en question.

5.3.12 Réclamations

Dans le cadre de la gestion des réclamations, la Banque devra traiter, et éventuellement transférer, des DCP aux parties intervenantes (la personne qui dépose plainte, les personnes qui sont intervenus dans le dossier, Test-Achat, ombudsfin…) afin de pouvoir répondre à la plainte et défendre ses intérêts. La Banque traitera et divulguera uniquement les DCP qu’elle estime nécessaire pour traiter la réclamation en bonne et due forme.

5.4 Relation contractuelle – moyens de communications

5.4.1 Echanges téléphoniques

Toute interaction téléphonique de la Banque avec ses clients et prospects est conservée à des fins probatoires et/ou d’analyse de qualité.

La base légale pour l’enregistrement des échanges téléphoniques est la prise de mesures précontractuelles ou l’exécution du contrat si la relation bancaire est déjà ouverte.

La Banque peut également conserver des enregistrements téléphoniques lorsqu’une telle obligation est prévue par la loi et si la finalité le requiert. Il s’agit en particulier des finalités suivantes : si votre appel a lieu dans le cadre d’une plainte ou une procédure judiciaire ou si nous devons conserver l’enregistrement dans le cadre d’une de nos obligations légales (LCB FT, Abus de marché, MiFID). Il en va de même de la notification en cas de perte, vol, détournement, ou de toute utilisation non autorisée de votre instrument de paiement.

Les délais de conservations des enregistrements téléphoniques sont définis dans la section prévue à cet effet (cfr. point « Délai de conservation des échanges téléphoniques et écrits »).

Les enregistrements téléphoniques ne sont pas communiqués à des tiers sauf si une disposition légale le prévoit ou que cela est nécessaire dans le cadre de la gestion de votre relation contractuelle (par ex. vous avez introduit une réclamation).

5.4.2 E-mails et échanges écrits électroniques

La Banque utilise différents logiciels pour l’envoi, le traitement et la réception d’e-mails. Pour l’envoi d’e-mails, la Banque utilise des méthodes d’encryptions en transport qui sont appliquées selon le logiciel qui envoie l’e-mail et le contenu de l’e-mail et ce pour autant que le serveur qui réceptionne l’e-mail supporte l’encryption.

Pour garantir une sécurité optimale des échanges d’informations, la Banque a mis en place un « Secure Message Box » sur l’Application et le Site Transactionnel qui lui permet de communiquer directement et aisément avec ses clients (corporate actions, problèmes d’exécution d’ordres…). L’envoi des communications via le Secure Message Box, permet, contrairement à l’e-mail, de limiter sensiblement l’intervention de tiers dans le processus d’envoi et de réception. Il est uniquement fait appel à Amazon Web Services pour l’hébergement des données.

Un délai de conservation général est d’application aux e-mails et autres échanges électroniques (Secure Message Box) et ce pour autant qu’aucune obligation règlementaire de conserver les informations pendant un délai plus long n’est applicable (cfr point ‘délai de conservation’).

5.4.3 Courriers papiers

De manière générale, la Banque privilégie les échanges électroniques aux échanges papiers. Néanmoins le client peut exprimer le souhait de recevoir certaines informations sur format papier (par ex. ses extraits de compte).

Pour les envois de courriers papiers qui se font de manière automatisée (par ex. extraits de compte, information qui doit être envoyée à tous les clients dans le cadre d’un produit spécifique…), la Banque fait appel aux services de Publimail.

Pour les courriers entrants, la Banque fait appel aux services de Merak pour le scanning. Une fois le courrier scanné, la version scannée est remise à la Banque qui traitera votre courrier. Le courrier papier est détruit sauf si la Banque est légalement tenue de conserver l’original.

Un délai de conservation général d’un an est d’application à tout courrier papier et ce pour autant qu’une conservation plus longue ne se justifie légalement.

5.5 Intérêt légitime

La Banque traite également vos données pour la réalisation de ses intérêts légitimes. À cet effet, la Banque veille à préserver lors de chaque traitement un juste équilibre entre les nécessités de traiter les données et le respect de vos droits et libertés.

Pour les traitements qui se font sur base de l’intérêt légitime, vous avez toujours le droit de vous opposer au traitement. Le cas échéant, la Banque ne traitera plus vos données pour cette finalité sauf si ses droits prévalent sur vos libertés et droits fondamentaux.

Des DCP sont ainsi traitées pour les finalités reprises ci-dessous.

5.5.1 Modèles, statistiques

Pour la production de modèles (de risque, marketing, prédictions et autres) et statistiques, la Banque recourt toujours à des techniques d'anonymisation.

Pour la production de modèles et statistiques, la Banque traite de nombreuses données telles que :

Les données transactionnelles afin de mieux comprendre l’utilisation de ses services en vue de les améliorer ; Le suivi des activités de la Banque, notamment la mesure des ventes, le nombre d'appels et de personnes qui se sont connectés au Site Transactionnel, le type de questions fréquemment posées par les clients...

L’extraction de données de documents produits pour analyser et prédire l’exposition aux risques de la Banque et prendre, si nécessaire, des mesures pour réduire cette exposition.

5.5.2 Communications publicitaires

La promotion de produits et services commercialisés par la Banque dans le respect de la règlementation (voir communications publicitaires). La Banque a réalisé une analyse scrupuleuse pour définir tant les produits et services qui peuvent faire l’objet d’une communication publicitaire que les clients à qui peuvent être adressés ces communications.

5.5.3 Formation du personnel

Vos interactions avec la Banque qui sont conservées peuvent être anonymisées à des fins de formation du personnel (appels téléphoniques, échanges d’e-mails…). La préservation de la sécurité des biens et des personnes, la lutte contre la fraude ou les tentatives d'intrusion, d'abus ou d'autres infractions ainsi les images enregistrées par les caméras de vidéo-surveillance sont sauvegardées uniquement dans le but de préserver la sécurité des biens et des personnes ainsi que de prévenir les abus, fraudes et autres infractions dont les clients ou la Banque pourraient être victimes.

5.5.4 Réseaux sociaux et/ou autres plateformes

Lorsque vous interagissez avec un contenu ou une page de la Banque sur les plateformes de réseaux sociaux (tels que Facebook, Instagram, TikTok, Snapchat), ou lorsque vous laissez un avis sur une plateforme spécialisée dans la collecte d’avis clients (telle que Trustpilot), la Banque pourrait collecter indirectement vos DCP. Ces informations peuvent inclure des DCP qui sont accessibles au public, comme vos publications et interactions sur nos pages de réseaux sociaux, les commentaires ou messages que vous partagez avec nous (en public ou en privé), ainsi que toutes autres réactions que vous pourriez avoir. La Banque ne fera aucun usage de vos messages privés à des fins publicitaires.

Notez toutefois que vos DCP sont d’abord traitées par les réseaux sociaux sur lesquels vous possédez un profil. La Banque n’a accès qu’à une petite partie de vos DCP détenues par les réseaux sociaux et ne les traite que si vous interagissez avec nos pages. Si vous souhaitez savoir comment les réseaux sociaux traitent vos DCP, nous vous invitons à lire leurs politiques de vie privée sur les réseaux sociaux concernés.

Vos DCP seront traitées pour les finalités suivantes : répondre à vos questions, avis, et/ou commentaires ; mettre en place des campagnes de promotion relatives aux activités, produits, ou services de la Banque et envoyer des annonces publicitaires y relatives ; effectuer des analyses statistiques sur les utilisateurs qui interagissent sur nos pages et améliorer le fonctionnement de nos pages.

Par ailleurs, nous considérons qu’il est important de connaître l’expérience de nos clients en ce qui concerne nos services et produits. C’est pourquoi, de manière aléatoire, nos clients peuvent recevoir une demande par e-mail pour laisser un avis sur la plateforme d’avis vérifiée et indépendante Trustpilot. À cet égard, la Banque pourrait collecter certaines de vos DCP, telles que des données d’identification ou des coordonnées de contact, afin de correspondre avec vous et répondre à vos éventuelles questions.

5.6 Consentement

Dans certains cas, la Banque traitera vos DCP seulement si elle a obtenu spécifiquement votre consentement à ce sujet.

5.6.1 Cookies

Seuls les cookies fonctionnels (de connexion) et autres technologies similaires, qui sont nécessaires pour le bon fonctionnement du Site Internet de la Banque, seront automatiquement activés lors de votre visite. Les autres cookies (cookies statistiques, publicitaires ou traçages) ne seront activés que si vous avez donné votre consentement. Vous trouverez plus d’informations concernant le fonctionnement des cookies dans notre Politique en matière de cookies (https://www.keytradebank.be/fr/usage-cookies/).

5.6.2 Concours, jeux, évènements et séminaires

La participation aux jeux, concours, séminaires et évènements organisés par la Banque nécessite également le traitement de vos DCP. La Banque s’engage à traiter exclusivement vos données dans le cadre de l’organisation du concours, jeux, évènement ou séminaire. Vos données ne seront pas utilisées à des fins de marketing a posteriori.

Dans le cas où le concours, jeux, évènement ou séminaire est organisé par un tiers ou que la Banque fait appel aux services d’un tiers pour l’organisation, vous serez informé du transfert de vos DCP lorsque vous communiquez celles-ci.

5.6.3 Enquêtes

La Banque analyse les résultats des enquêtes réalisées auprès de ses clients et prospects, et les avis donnés par ceux-ci lors d’interactions afin d’améliorer la relation client ainsi que ses services et produits.

Avant la participation à une enquête, nous vous demanderons votre consentement et éventuellement de signer un document pour l’utilisation d’images et enregistrements.

Il se peut que la Banque fasse appel aux services d’un tiers pour l’organisation de l’enquête. Dans ce cas, ce dernier s’est engagé contractuellement à respecter les dispositions règlementaires et la Banque a pris des mesures pour s’en assurer (cfr point ‘notre dispositif de sécurité’).

5.6.4 KEYHOME – Cardif et Ethias

Pour les assurances liées à votre crédit hypothécaire, la Banque a conclu des partenariats avec Cardif pour l’assurance solde restant dû et Ethias pour l’assurance incendie. Si vous donnez votre consentement, Cardif et Ethias pourront pré-compléter le formulaire d’assurance avec les données que vous avez déjà communiquées à la Banque

5.6.5 Communications publicitaires

En fonction de la date à laquelle vous avez ouvert la relation bancaire, vous avez dû ou non donner votre consentement pour la réception de communications publicitaires.

Dans le cas où vous avez donné votre consentement pour la réception de communications publicitaires lors de l’entrée en relation, la Banque traite vos DCP, et en particulier vos données de contact, pour vous faire parvenir des communications publicitaires (opt-in). Si vous n’avez pas donné votre consentement lors de l’ouverture de la relation bancaire, la Banque ne vous adressera aucune communication publicitaire et ne traitera pas vos données à cette fin (opt-out).

Si la Banque ne vous a pas demandé votre consentement lors de l’entrée en relation, la Banque se base sur l’intérêt légitime pour l’envoi de communications publicitaires (soft opt-in).

Concrètement, cela signifie que vous pouvez être contacté(e) par exemple dans les cas suivants :

  • A propos de produits ou services pour lesquels vous avez montré un intérêt (par exemple par une inscription à une séance d’information ou en effectuant une simulation sur le produit ou service) ;
  • Lorsque la Banque commercialise des produits ou services qui, selon les analyses de la Banque, correspondent à vos besoins ;
  • La Banque analyse les résultats de ses activités marketing afin de mesurer l’efficacité de ses campagnes en vue de vous proposer, en tant que client, des services et produits plus pertinents ;

Dans le cadre de ses communications publicitaires, la Banque peut vous contacter par différents canaux de communication (par ex. e-mail, téléphone (SMS et appels téléphoniques), secure mailbox (via le Site Transactionnel) réseaux sociaux, courrier). La Banque choisira le mode de communication le plus approprié et le moins intrusif en fonction de la finalité de la communication. Pour vous informer de (nouveaux) produits et services, la Banque privilégie l’e-mail.

Toute communication publicitaire que la Banque envoie contient un lien vous permettant de retirer aisément votre consentement ou d’indiquer des préférences spécifiques.

Vous pouvez également à tout moment indiquer que vous ne souhaitez plus recevoir de communications publicitaires en vous connectant sur le Site Transactionnel > Préférences > Données personnelles > Communication. La Banque ne traitera en aucun cas vos données si vous avez retiré votre consentement ou vous vous êtes opposé au traitement de vos DCP à des fins de marketing.

La Banque n’envoie pas de communications publicitaires si vous n’avez pas de relation bancaire active avec elle (les prospects et les clients dont les comptes sont clôturés sont donc exclus).

6  Cookies et autres technologies similaires

D’une manière générale, les cookies sont de petits fichiers de données stockés sur votre Appareil. Ils peuvent avoir différentes fonctions. La Banque utilise des cookies notamment sur son Site Internet et son Application afin d’accroître ses performances, de lui permettre de se souvenir de vos préférences, et de vous apporter des informations que la Banque pense être intéressantes ou utiles pour vous. La Banque utilise également des données enregistrées par les cookies pour compiler des statistiques pour son Site Internet et pour faire en sorte que ses performances et son contenu soient améliorés.

Pour de plus amples informations à propos de l’utilisation de cookies, veuillez lire la Politique de confidentialité en matière de cookies  (https://www.keytradebank.be/fr/usage-cookies/).

7 Profilage et décisions automatisées

Le profilage consiste à traiter de manière automatisée vos DCP pour évaluer certains aspects personnels comme par exemple vos centres d’intérêts, vos préférences personnelles… .

Afin de vous offrir rapidement et efficacement certains produits et services, vos DCP peuvent occasionnellement être traitées de manière, partiellement ou totalement, automatisée ce qui peut engendrer une décision ayant des effets juridiques à votre égard ou qui pourrait vous affecter significativement. Il s’agit alors de décisions automatisées.

Il y a lieu de distinguer trois formes de profilage :

  • Le profilage en général (qui ne produit pas d’effets juridiques à votre égard) ;
  • Une prise de décision humaine basée sur les résultats d’un profilage (qui ne produit pas d’effets juridiques à votre égard) ;
  • Une décision entièrement automatisée (qui produits des effets juridiques ou vous affecte de manière significative).

7.1 Profilage en général

La Banque commercialise une vaste gamme de produits et services financiers (Comptes d’épargne, services d’investissement, épargne pension, assurances, crédits hypothécaires, crédit à la consommation…). Pour identifier les produits et services qui correspondent réellement à vos besoins, la Banque met en œuvre du profilage sur la base de certaines de vos DCP.

Grâce au profilage, la Banque est à même de rédiger des communications publicitaires sur mesure et de limiter les envois à des communications dont elle a la conviction qu’elles sont pertinentes pour vous. Les produits et services resteront accessibles à tous les clients de la Banque, sauf exclusion légale, même si le profilage n’a pas identifié que les produits correspondent aux besoins ou aux centres d’intérêts de certaines catégories de clients.

Vous pouvez à tout moment vous opposer au profilage à des fins de marketing en vous connectant sur le Site Transactionnel > Préférences > Données personnelles > Communication. Chaque communication publicitaire contient également un lien via lequel vous pouvez aisément vous opposer au profilage à des fins de marketing.

La Banque réalise également du profilage anonyme pour d’autres finalités tels que :

  • A des fins statistiques ;
  • Pour mieux comprendre le comportement et les besoins des clients de la Banque et améliorer les services ;
  • Analyser le comportement de navigation des visiteurs du Site internet de la Banque.

Lorsque la Banque se base sur l’intérêt légitime pour le profilage, elle évalue préalablement et attentivement l’intérêt légitime pour déterminer s’il est justifié de mettre en œuvre le profilage et elle prend, dans tous les cas, les mesures nécessaires pour minimiser l’impact éventuel sur vos droits et libertés.

7.2 Décision humaine basée sur les résultats de profilage

C’est le cas lorsqu’une demande est introduite en matière de crédit hypothécaire ou de carte de crédit. La décision du gestionnaire de dossier de vous octroyer ou non un prêt ou un crédit sera en partie basée sur le résultat du profilage qui est réalisé par un algorithme. Cet algorithme utilise les données que vous communiquez à la Banque dans le cadre de votre demande de crédit ainsi que des données externes (Centrale des crédits aux particuliers). Il évalue votre capacité à rembourser le prêt ou le crédit que vous sollicitez et vise à permettre le gestionnaire de dossier à prendre une décision rapide et non discriminatoire.

7.3. Décision automatisée produisant des effets juridiques ou vous affectant de manière significative

Une décision entièrement automatisée est une décision prise à l’égard d’une personne, par le biais d’un algorithme appliqué à ses DCP, sans qu’aucun être humain n’intervienne dans le processus (considérant 71 et art. 22 du RGPD).

C’est le cas des simulations KEYHOME et KEYPRIVATE qui sont disponibles sur le Site internet de la Banque. En cas de refus par l’algorithme, quelle qu’en soit la raison, il s’agit d’une décision qui peut produire des effets juridiques à votre égard.

Dans certains cas, la décision de ne pas accorder de carte de crédit ou de débit se fait également sur base d’une décision entièrement automatisée. L’algorithme prend en compte divers éléments de votre demande et consulte le fichier de la Centrale des crédits aux particuliers pour déterminer s’il doit refuser la demande.

Lorsqu’il s’agit d’une décision entièrement automatisée, vous recevrez une réponse immédiate à votre demande.

Dans tous les cas où une décision automatisée produit des effets juridiques ou vous affecte de manière significative, vous avez le droit d'obtenir une intervention humaine et d’obtenir une explication quant à la décision prise à l'issue de ce type d'évaluation et éventuellement de contester cette décision.

8 Délai de conservation

Pour ce qui concerne les délais de conservation, il y a lieu de distinguer la base active et la base archivée. Les données des clients relatives à leur relation bancaire et les produits auxquels ils ont souscrits sont conservées en base active et ce tant qu’ils utilisent le produit ou que la relation bancaire n’est pas clôturée. Dès que toutes les relations bancaires d’un client sont clôturées, l’intégralité de ses données sont transférées en base archivée. Lorsqu’un client ne bénéficie plus d’un produit, seules les données relatives à ce produit seront archivées. Lorsque les données sont placées en base archivée, la Banque ne traite plus les données, sauf obligation règlementaire en ce sens, et se contente de conserver celles-ci.

La Banque s’assure de ne pas conserver vos DCP en base active au-delà du temps nécessaire au traitement pour lequel elles ont été collectées.

Lors de l'évaluation de la durée de conservation de vos DCP en base archivée, la Banque prend en compte les exigences réglementaires applicables (p. ex. les exigences résultant de la loi LCB-FT).

8.1 Prospects

Vos données à caractère personnel (informations relatives à votre ouverture de compte, ainsi que les échanges écrits et oraux) en tant que prospect seront conservées pendant une période maximale d’un an. Passé ce délai, vos données seront automatiquement supprimées de notre base de données.

8.2  Clients

La Banque applique plusieurs délais de conservation aux DCP en fonction de la disposition règlementaire applicable et des documents concernés. Lorsqu’un délai de conservation particulier est d’application à un document, ce délai de conservation est précisé dans le point relatif à ce document (reportings).

Dans la présente section vous trouverez un exposé des différents délais de conservation que la Banque a retenu ainsi que les données auquel le délai s’applique.

8.2.1 Délai de conservation des données d’identification

Vos données d’identification seront conservées pendant dix ans à partir de la date de clôture de toutes vos relations bancaires avec la Banque (art. 60 de la loi LCB-FT). Ce délai peut être étendu dans certains cas, par exemple si vous clôturez votre relation bancaire mais avez un crédit hypothécaire en cours ou en cas de litige (jusqu’à l’issue du litige).

8.2.2 Délai de conservation des échanges téléphoniques et écrits

La Banque applique un délai de conservation général d’un an pour tous les échanges (par ex. téléphoniques, écrits électroniques et papiers) qu’elle a avec ses clients et ce à des fins probatoires et d’analyse de qualité, et pour autant qu’aucune règlementation ne justifie une conservation plus longue de la donnée (cfr infra).

La Banque se fonde sur une obligation légale (sur pied de l’article 6.1, c) du RGPD, ainsi que son considérant 39) et le fait que les premiers échanges relatifs à un problème particulier permettent de mieux comprendre l’origine et les éventuelles solutions proposées par la Banque pour justifier le délai d’un an.

La Banque conserve pendant dix-huit mois à compter de votre notification en cas de perte, vol, détournement, ou de toute utilisation non autorisée de votre instrument de paiement, les moyens de prouver que vous avez bien procédé à cette notification (Article VII.39, 3° du Code de droit économique).

Vous pouvez à tout moment demander une copie des échanges téléphoniques et écrits que vous avez eu avec la Banque et ce pour autant que vous introduisez votre demande endéans le délai de conservation indiqué dans la présente Politique. La Banque ne peut être tenue de produire un document qu’elle a supprimé dans le respect du délai réglementaire applicable.

8.2.3  Délai de conservation des informations relatives aux opérations

Conformément à l’article 60 de la loi LCB-FT, les informations relatives à une opération en particulière, seront conservées pendant un délai de dix ans à dater de l’opération.

Concrètement, si votre appel téléphonique ou votre échange écrit est catégorisé dans notre système informatique comme ayant trait à une opération particulière au sens de l’article 60 de la loi susmentionnée, nous n’appliquerons pas le délai général d’un an mais bien un délai de dix ans.

8.2.4 Délai de conservation d’ordres en bourse

Toute information qui relève du règlement relatif aux abus de marché et la directive MiFID sera conservée pendant un délai de cinq ans au minimum.

Concrètement, si vous passez un ordre en bourse par téléphone ou par écrit, la Banque conservera les données relatives à cet ordre pendant un délai de cinq au minimum à dater de l’insertion de l’ordre en bourse (et non le délai général d’un an).

8.2.5 Délai de conservation des données en lien avec une réclamation ou une procédure judiciaire

Si vous introduisez officiellement une réclamation auprès du service Quality care, soumettez votre réclamation entre les mains de l’ombudsfin ou d’un avocat ou que votre réclamation fait l’objet d’une procédure judiciaire ou d’arbitrage, la Banque conservera les données relatives à la réclamation et/ou procédure judiciaire pendant un délai de dix ans à dater de la clôture de la réclamation ou de la procédure judiciaire.

8.2.6 Délai de conservation des données produites par la Banque (modèles, statistiques…)

Pour les statistiques, modèles, liste d’inscriptions à des séminaires et autres données que la Banque créé à partir des données de ses clients, un délai général de deux ans est appliqué. Le délai de deux ans se justifie car les modèles et statistiques doivent faire l’objet d’une vérification empirique et éventuellement être affinés sur base des constatations faites pour que la Banque puisse continuellement améliorer ses services et mieux répondre aux attentes de ses clients.

8.2.7 Délai de conservation des vidéos des caméras de surveillance

Les données collectées par le biais de caméras de surveillance sont conservées pendant une période plus courte (durée d’un mois glissant pour les images enregistrées par les caméras de surveillance sauf si le contenu d’une image justifie une durée de conservation plus long).

8.2.8 Délai de consersation dans le cadre d’assurances

Les données et documents récoltés dans le cadre d’assurances (et assurances-vie de la branche 21 et de la branche 23) sont conservés pendant une durée de dix ans à dater de la résiliation du contrat de crédit hypothécaire sur lequel l’assurance a trait, du contrat d’assurance UPPIE ou KeyPension Blue.

8.2.9 Délai de conservation d’une notification de perte, vol, détournement ou de toute utilisation non autorisée d’un instrument de paiement

La Banque conservera pendant dix-huit mois toute notification qui relève la perte, le vol, le détournement, ou toute utilisation non autorisée de votre instrument de paiement, y compris si celle-ci intervient par téléphone (conformément à l’article VII.39 du Code de Droit Economique).

8.2.10 Délai de conversation dans le cadre du dispositif d’alerte professionnelle (« Whistleblowing »)

La Banque conservera les DCP et les informations que vous fournissez dans le cadre d’une alerte. Les DCP qui ne sont manifestement pas pertinentes pour le traitement d’un signalement spécifique ne sont pas collectées ou, si elles le sont accidentellement, sont effacées sans retard injustifié.

Si une suite est donnée à l’alerte, c’est-à-dire qu’une décision est prise pour tirer des conséquences de l’alerte ou qu’une action disciplinaire ou contentieuse est engagée à l’encontre de la personne mise en cause ou de l’auteur d’une alerte abusive, l’ensemble des DCP collectées à l’occasion de l’instruction peuvent être conservées jusqu’au terme de la procédure, jusqu’à acquisition de la prescription ou épuisement des voies de recours à l’encontre de la décision.

Les DCP recueillies dans le cadre d’une alerte dont le traitement ne donne pas lieu à des suites doivent être détruites ou archivées, après anonymisation, dans un délai de deux mois à compter de la clôture des opérations de vérification.

8.2.11 Délai de conversation des données issues des réseaux sociaux et/ou autres plateformes

La Banque conservera les DCP obtenues (directement ou indirectement) via les réseaux sociaux ou lorsque vous laissez un avis sur nos produits, services, ou contenus sur une plateforme spécialisée dans la collecte d’avis clients

Les DCP issues des réseaux sociaux seront conservées jusqu’au retrait du consentement ou 3 ans à compter du dernier contact des personnes avec la Banque.

Les DCP obtenues via plateforme spécialisée dans la collecte d’avis clients seront conservées soit pour la durée nécessaire pour la réalisation de l’objectif de l’étude sur la qualité des produits ou services de KTB ou jusqu’à l’exercice du droit d’opposition ou le retrait du consentement, soit pour la durée de la relation contractuelle dans le cadre du suivi de la relation client.

9  Mesures de sécurité encadrant les données

9.1 Notre dispositif de sécurité

9.1.1 Contrôle de la sécurité des systèmes informatiques

La Banque prend les mesures nécessaires pour s’assurer que la confidentialité de vos données soit garantie. Pour ce faire, la Banque contrôle à intervalles réguliers que ses systèmes informatiques garantissent un niveau de protection approprié. En outre, la Banque mandate certains tiers pour également contrôler la sécurité des systèmes informatiques de la Banque.

9.1.2 Privacy by Design

Lors de chaque projet impliquant le traitement de DCP, la DPO Team vérifie le respect des principes RGPD (e.a. : uniquement traiter les données nécessaires pour réaliser la finalité – Privacy by Default) et s’assure que les mesures techniques et organisationnelles adéquates, conformes aux normes en vigueur et à celles préconisées par le Groupe CMA, aient été mises en place (Privacy by Design). Le projet ne peut être commercialisé ou publié qu’une fois validé par la DPO Team.

Si la Banque constate un incident avec un risque pour vos droits et libertés, elle veille, selon le cadre imposé par la réglementation, à le notifier à l’Autorité de Protection des Données (APD) dans les meilleurs délais, à en informer les personnes concernées, et à prendre immédiatement les mesures nécessaires pour que les conséquences pour les personnes concernées soient les moins dommageables.

9.1.3 Transferts vers des partenaires (sous-traitant et responsable distinct de traitement)

Comme vous l’aurez lu au travers de la présente Politique, pour certains services, la Banque fait appel à des partenaires spécialisés qui agissent comme sous-traitants ou responsables distincts (voy. Également la Section « Quels sont les destinataires de vos DCP ? »). La Banque veille à assurer la protection de vos DCP par des dispositions appropriées dans ses contrats avec ces partenaires et fait uniquement appel à ceux qui mettent en œuvre des mesures techniques et organisationnelles appropriées. Si nécessaire, la Banque complète la contractualisation et la documentation du partenaire par d’autres mesures appropriées (par ex. questionnaire annuel, audit sur place).

Lorsque des DCP doivent être transférées à un partenaire, la DPO Team doit analyser le transfert avant sa mise en œuvre et s’assure que la Banque met uniquement à la disposition du partenaire les DCP nécessaires pour mener à bien sa mission (Privacy by Default).

En aucun cas la Banque ne communique vos DCP à des tiers sans qu’il n’y ait une finalité spécifique qui justifie le transfert de DCP.

Lorsque la Banque travaille avec des sous-traitants en dehors de l’espace économique européen (EEE), elle prend des mesures adéquates (par ex. réalisation d’une analyse d’impact relative à la protection des données, mise en place de mesures complémentaires – techniques, contractuelles, ou organisationnelles) et utilise les mécanismes juridiques proposés par le RGPD (par ex. les décisions d’adéquation, les Clauses Contractuelles Types), afin de garantir que vos DCP soient dûment protégées dans le pays de destination. Dans ce cas, la Banque s’assure raisonnablement que les DCP sont traitées avec le même niveau de sécurité que celui exigé par le RGPD.

9.1.4 Accès à vos données en interne

Conformément à la règlementation, la Banque a mis en place des procédures internes (profils d’habilitation) afin de limiter l’accès des collaborateurs aux seules données strictement nécessaires à l’accomplissement de leurs missions/tâches.

9.1.5 Formation et sensibilisation du personnel

Tous les collaborateurs de la Banque sont sensibilisés à la protection des DCP via une formation annuelle. Par exemple, la Banque s’assure que ses collaborateurs respectent notamment le code de déontologie reprenant les consignes en matière de traitement des DCP.

9.2 Les mesures que vous pouvez prendre

La sécurité des données, c’est l’affaire de tous.

Vous pouvez également contribuer à la sécurité de vos DCP en suivant ces quelques conseils :

  • Utilisez le système d’exploitation le plus récent sur votre Appareil et effectuez toutes les mises à jour de sécurité ;
  • Utilisez la version la plus récente de votre navigateur et procédez à toutes les mises à jour de sécurité ;
  • Installez un logiciel antivirus, un logiciel anti-spyware et un pare-feu et réglez vos préférences afin que ces protections soient régulièrement mises à jour ;
  • Ne laissez pas votre Appareil et vos méthodes de connexion sans surveillance ;
  • Déconnectez-vous du Site Transactionnel ou de l’Application si vous ne l’utilisez plus ;
  • Veillez à la confidentialité de vos codes ;
  • Connectez-vous seulement à partir d’un Appareil dans lequel vous avez confiance et évitez d’utiliser des Appareils partagés pour des transactions sensibles ;

La Banque ne vous demandera jamais par e-mail ou par téléphone (SMS / Applications / …) des numéros de comptes, des numéros de cartes de crédit ou de débit, des mots de passe ou des codes. Ne communiquez donc jamais ces informations par aucun moyen et sous aucun prétexte ! Si vous appelez la Banque, il se peut qu’elle doive vous identifier. Elle le fera en posant certaines questions personnelles.

10  Quels sont les destinataires de vos DCP ?

La Banque peut transmettre vos DCP à d’autres entités du groupe CMA lui étant affiliées, faire appel à des prestataires, ou partager certaines de vos DCP avec nos destinataires dans la mesure où cela est nécessaire (par ex. nos services internes) et autorisé conformément à la législation en vigueur et pour les finalités décrites ci-avant.

Dans certains cas, nous sommes tenus de divulguer ou de partager vos DCP afin de nous acquitter d’une obligation légale quelconque ou de protéger les droits, la propriété ou la sécurité de la Banque, ou de tiers :

  • aux autorités de marché et de contrôle belges, aux autorités analogues étrangères, aux autorités fiscales belges ou étrangères lorsque la Banque est tenue de communiquer vos DCP (par ex. dans le cadre de reporting) ;
  • aux autorités compétentes ou partenaires avec lesquels la Banque travaille sur les marchés financiers (FSMA, CTIF, LiquidMetrix, ProCapital) ;
  • à la Banque Nationale de Belgique par exemple dans le cadre des crédits qui vous sont octroyés (uniquement pour les personnes morales) et à la centrale des crédits aux particuliers ;
  • au Fonds de Garantie des dépôts et de résolution ;
  • à la Caisse des dépôts et consignation dans le cadre de la législation en matière de comptes dormants ;
  • à la Banque Centrale Européenne notamment dans le cadre du respect des normes finales de Bâle III et des obligations de reporting aux entités auxquelles ces créances bancaires ont été cédées ou affectées ;
  • à Crefius dans le cadre des demandes de crédit hypothécaire ;
  • aux autorités publiques, administratives, ou judiciaires telles que la police, les procureurs, les régulateurs, les tribunaux, et ce uniquement à leur demande expresse (ou par exemple, dans le cadre d’un incident cybernétique) ainsi que les services de médiation extrajudiciaire ;
  • aux huissiers ou toute autorité compétente pour pratiquer des saisies ;
  • aux avocats, notaires (par exemple lors d’un crédit immobilier ou d’une succession), tuteurs, ou administrateurs provisoire ;
  • aux personnes spécialement chargées de la gestion des alertes au sein de la Banque ;
  • aux entités gouvernementales légalement habilitées à accéder à/ou à obtenir vos DCP ;
  • aux bénéficiaire des opérations de cession ou d’affectation de créances bancaires ;
  • aux parties prenantes tierces qui y ont un intérêt légitime dans le cadre d’opération de cession ou d’affectation de créances bancaires (en ce compris les créances hypothécaires à destination immobilière) comme par ex. des agences de notations, des auditeurs externes ;
  • aux tiers conservateurs ou gestionnaires de données dans le cadre d’opération de cession ou d’affectation de créances bancaires, ou des investisseurs qui ont investi dans les titres émis à la suite d’une cession ou affectation de créances bancaires.

Dans d’autres cas, la Banque fait appel à des tiers pour vous fournir les services auxquels vous avez souscrits ou pour traiter vos DCP. Il peut s’agir par exemple de :

  • Fournisseurs spécialisés du secteur financier ou prestataires de services de paiement (par exemple : SWIFT, Euroclear, ING, Institutions bancaires correspondantes dans les pays étrangers, Oberthur Technologies, The Netherlands BV, Monext Société par Actions Simplifiées française, VISA Belgium SCRL, Inter Partner Assistance SA, equensWorldline, Bancontact, Maestro).
  • Fournisseurs de service qui aident la Banque dans : la conception et la maintenance de ses outils ; fournisseurs de services informatiques (Amazon Web Services) ; la commercialisation de ses activités, l’organisation d’évènements, et la gestion des communications avec la clientèle (e.g. Onespan NV) ; le développement et/ou la gestion des produits et services (e.g. Merak NV/SA, Belgian Mobile Wallet NV/SA, CodaBox SA, Paylead, Publimail). Dans ce cas, la Banque veille à ce que ces tiers n’aient accès qu’aux DCP nécessaires pour mener à bien les tâches spécifiques requises. La Banque veille également à ce que ses sous-traitants s’engagent à utiliser les DCP de manière sécurisée et confidentielle, et les utilisent conformément à ses instructions.
  • ProCapital et Saxo Bank : pour le courtage, le dépôt de titres, y compris les opérations sur titres ;
  • Des compagnies d’assurances dans le cadre de partenariat (e.g. Cardif, Ethias) ;

Enfin, dans le cas d’une opération de restructuration (y compris cession totale ou partielle d’actifs, fusion, absorption acquisition, scission et plus généralement toute opération de réorganisation de la Banque), nous sommes susceptibles de transmettre certaines de vos DCP vers une partie tierce impliquée dans l’opération et ce, conformément au RGPD. Finalement, la Banque peut partager vos DCP pour réaliser une des finalités énoncées dans la présente Politique.

11  Quels sont vos droits ?

11.1 Droit d’information

Vous avez le droit d’obtenir des informations claires, transparentes, et compréhensibles sur la manière dont la Banque traite vos DCP et sur l’exercice de vos droits. Ces informations sont contenues dans la présente Politique. Si elles ne devaient pas être suffisamment claires, nous vous invitons à nous contacter (via nos coordonnées reprises dans la Politique).

11.2 Droit d’accès

Vous avez le droit d’obtenir la confirmation que des DCP vous concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel. Vous avez le droit d’obtenir une copie de vos DCP, à moins que l’exercice de ce droit ne porte atteinte aux droits et libertés d’autrui.

(voir point ’comment exercer vos droits’).

11.3 Droit de rectification

La Banque prend toutes les mesures nécessaires pour veiller à ce que vos DCP soient correctes, à jour, complètes, pertinentes. C’est pourquoi la Banque vous demande de là tenir au courant de tout changement (déménagement, nouvelle carte d’identité, ajout d’une nouvelle nationalité…).

Toutefois, vous pouvez aussi modifier vous-même certaines de vos DCP en vous connectant sur le Site Transactionnel > Préférences > Données personnelles > communication ou via l’Application > Plus > Extra > Paramètres> Données personnelles. Pour certaines modifications de DCP insérées par vos soins, la Banque consulte le registre national car la Banque doit s’assurer que la modification insérée correspond aux bases de données officielles.

Pour les DCP que vous ne pouvez pas modifier vous-même sur le Site Transactionnel ou sur l’Application, vous disposez également d’un droit de rectification en cas d’erreur ou d’omission : vous pouvez envoyer un e-mail à dpo@keytradebank.comen spécifiant clairement les raisons pour lesquelles vous estimez que les DCP doivent être rectifiées et en annexant les éventuels documents probants.

Si la Banque corrige vos DCP et qu’elle les avait partagées précédemment avec un tiers, elle notifiera également ce dernier.

11.4  Droit à l’oubli

Dans certains cas précis, la règlementation vous permet de faire effacer vos DCP de la base de données de la Banque.

C’est le cas notamment si les données ne sont plus nécessaires au regard des finalités pour lesquelles la Banque les a collectées, si le traitement de vos données est fondé exclusivement sur votre consentement et que vous décidez de le retirer ou si vous vous êtes opposé au traitement de vos données et qu’il n’existe pas, dans le chef de la Banque, de motifs légitimes qui prévalent sur les vôtres (par exemple parce que vous avez communiqué vos DCP en vue d’introduire une demande de crédit hypothécaire que vous n’avez finalement pas conclue).

La Banque pourrait cependant conserver vos DCP lorsqu’elles sont nécessaires à la constatation, à l'exercice ou à la défense de ses droits en justice ou au respect de ses obligations légales (cfr. section ‘délai de conservation’).

11.5  Droit à la limitation du traitement

Ce droit d’opposition vous permet de demander à la Banque l’arrêt temporaire du traitement de vos DCP dans des cas précis définis par la règlementation.

Ce « verrouillage » peut être demandé :

  • Lorsque les données en question sont inexactes, incomplètes, équivoques, périmées, pendant le temps nécessaire pour permettre à la Banque de vérifier l'exactitude de vos données ;
  • Lorsque leur collecte, traitement, communication ou conservation est interdite ;
  • Lorsque les données ne sont plus nécessaires à la réalisation des finalités du traitement ;
  • Pendant la période nécessaire à l’examen, par la Banque, du bien-fondé de la demande d’opposition.

Si vous avez fait usage de ce droit, la Banque pourra conserver vos données mais elle ne pourra plus les traiter sauf avec votre accord ou pour la constatation, l'exercice ou la défense de ses droits (ou ceux d’une autre personne) ou dans les cas prévus par la règlementation.

11.6 Droit à la portabilité des données

En vertu de ce droit, vous pouvez demander à la Banque de vous transmettre vos DCP ou de les transmettre directement à un autre responsable du traitement, lorsque cela s'avère techniquement possible pour la Banque. Ce droit ne concerne que les DCP que vous avez vous-même fournies à la Banque et qui font l’objet d’un traitement automatisé, sur la base du contrat ou sur la base de votre consentement.

Vous pouvez faire une demande via le formulaire suivant

11.7  Droit de retirer votre consentement

Lorsque le traitement de vos DCP est basé sur votre consentement, vous avez à tout moment le droit de retirer ce consentement (voy. Section « Comment exercer vos droits ? »). Ce retrait ne remettra toutefois pas en cause la légalité du traitement effectué durant la période précédant votre retrait de consentement.

11.8 Droit d’opposition

Vous avez le droit de vous opposer, pour des raisons tenant à votre situation particulière, à tout traitement de vos DCP qui est fondé sur l’intérêt légitime de la Banque. Toutefois, il ne sera pas donné suite à votre demande s’il existe des motifs légitimes et impérieux qui prévalent sur vos intérêts, droits et libertés ou si le traitement de vos DCP est requis pour la constatation, l’exercice ou la défense de ses droits en justice.

Par ailleurs, vous avez toujours le droit de vous opposer, sans justification et sans frais, au traitement de vos DCP à des fins de marketing (voir point « communications publicitaires »). Dans ce cas, vos DCP ne seront plus utilisées à cette fin.

12  Comment exercer vos droits ?

Les clients peuvent envoyer leur demande à partir de leur adresse e-mail authentifiée (c’est-à-dire, soit l’adresse e-mail qu’ils ont renseignée lors de votre ouverture de compte, soit toute adresse e-mail qu’ils ont communiquée ultérieurement et qui a été validée par la Banque) sans devoir annexer une copie de leur carte d’identité à dpo@keytradebank.com.

Si vous n’avez plus accès à votre adresse e-mail authentifiée ou n’êtes pas client, pour exercer vos droits, vous devez faire parvenir à la Banque votre demande, accompagnée d’une copie lisible recto/verso de votre carte d’identité à l’adresse e-mail dpo@keytradebank.com.

Dès réception de votre demande complète, la Banque analysera le bien fondé de celle-ci et, dans le cas où vous êtes en droit d’exercer le droit invoqué, elle prendra les mesures nécessaires dans les plus brefs délais.

La Banque vous répondra dans tous les cas dans un délai d’un mois. Si votre demande s’avère être complexe, la Banque vous en informera dans un délai d’un mois et elle reviendra vers vous avec les éléments demandés dans un délai maximal de deux mois supplémentaires.

Pour toute copie ou information supplémentaire demandée dans le cadre de l’exercice de votre droit d’accès à vos DCP, la Banque est autorisée à vous facturer un montant raisonnable sur la base de coûts administratifs.

13 A qui vous adresser en cas de réclamation ?

En cas de réclamation concernant le traitement de vos DCP, vous pouvez soumettre une requête en médiation auprès de l’Autorité de Protection des Données à l’adresse suivante:

Autorité de Protection des Données Rue de la Presse 35 1000 Bruxelles Tél : +32 2 274 48 00 Email : contact@apd-gba.be