L’Institut d’émission des départements d’Outre-mer (IEDOM) exerce ses missions au sein de l’Eurosystème, composé de la banque de centrale européenne et des banques centrales nationales de la zone euro. L’IEDOM est chargé d’assurer la continuité territoriale des missions de banque centrale par délégation de la Banque de France dans les départements et collectivités d’Outre-mer dont la monnaie est l’euro : Guadeloupe, Guyane, Martinique, Mayotte, La Réunion, Saint-Barthélemy, Saint-Martin, Saint-Pierre-et-Miquelon et les Terres australes et antarctiques françaises (TAAF). Pour mener à bien ses missions, l’IEDOM est conduit à collecter et à traiter différentes catégories de données à caractère personnel.

La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental dont le régime juridique a été considérablement enforcé par le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) que par la Loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.

L’IEDOM veille en permanence, en qualité de responsable de traitement, à la protection des données à caractère personnel et au respect des obligations qui s’imposent à lui pour la collecte, l’utilisation et la conservation de ces données.

Dans un souci de transparence et de strict respect de ses obligations, l’IEDOM a adopté la présente Politique de Confidentialité afin d’informer l’ensemble des personnes concernées des principes d’utilisation et de protection des données à caractère personnel collectées qu’elle met en œuvre.

1. Quelle sont les catégories de données à caractère personnel traitées ?

On entend par donnée à caractère personnel tout information relative à une personne physique (ci-après dénommée « personne concernée ») identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

L’IEDOM s’engage à ne collecter que les données strictement nécessaires à l’exécution de ses missions et activités et à les traiter de manière licite, loyale et transparente.

Les données à caractère personnel peuvent être recueillies directement auprès de la personne concernée. Cette situation se rencontre, par exemple, dans le cadre d’une demande d’exercice de droit au compte, d’un dépôt de dossier de surendettement, d’un recrutement ou lors de la navigation sur le site Internet (www.iedom.fr). Mais, ces données peuvent également être recueillies de manière indirecte en application de dispositions légales, réglementaires ou contractuelles. Il en va ainsi, par exemple, en cas d’inscription dans l’un des fichiers gérés par l’IEDOM.

Les catégories de données à caractère personnel ainsi recueillies par l’IEDOM varient en fonction des missions et activités considérées. Il peut ainsi s’agir de :

  • Identité et coordonnées de la personne concernée (par exemple : données d’état civil, numéro et copie d’une pièce d’identité, données de contact, identifiants de connexion aux services en ligne, traces informatiques des connexions et des opérations ou demande effectuées, adresse IP) ;
  • Situation personnelle et familiale, qualité (par exemple, statut marital, régime matrimonial, lien de parenté, existence d’une incapacité juridique, représentant légal ou mandataire social, ayant droit) ;
  • Situation professionnelle (par exemple : profession, secteur d’activité, identité et
    coordonnées de l’employeur, niveau de rémunération) ;
  • Données bancaires et financières (par exemple : surendettement) ;
  • Images vidéo, données biométriques dans le cadre des mesures de sécurité liées à
    l’accès aux locaux de la Banque de France.

2. Sur quelles bases juridiques et pour quelles finalités les données sont-elles traitées ?

Selon les missions et activités concernées, le traitement de données à caractère personnel a pour fondement :

  • Une obligation légale à laquelle le responsable de traitement est soumis ou l’exécution d’une mission d’intérêt public dont il est investi. La tenue des grands fichiers tel que le traitement des dossiers de surendettement ;
  • L’exécution d’un contrat auquel la personne concernée est partie ou l’exécution de mesures précontractuelles prises à la demande de celle-ci. C’est le cas par exemple pour le recrutement, l’utilisation du service d’accueil de l’IEDOM ;
  • L’intérêt légitime de l’IEDOM dans le cadre des mesures de sécurité prises pour le contrôle d’accès à ses locaux (vidéosurveillance, badge etc…) ;
  • Le consentement de la personne concernée lorsque celui-ci est requis. Il en va ainsi
    s’agissant des témoins de connexion ou « cookies » et de l’inscription sur des listes de
    diffusion de l’IEDOM.

Les données à caractère personnel sont recueillies selon les principes de licéité, de loyauté et de transparence et sont utilisées par l’IEDOM pour des finalités prédéfinies, légitimes, adéquates et limitées :

  • Réponse aux demandes de toute nature de la personne concernée ;
  • Exécution des missions d’intérêt public qui lui sont confiées (notamment, traitement des demandes de droit au compte, des dossiers de surendettement)
  • Respect des dispositions légales et réglementaires en vigueur telles que la réglementation bancaire et financière (par exemple : droit au compte), la réglementation statistique (par exemple : collecte d’informations sur les entrepreneurs individuels), les dispositions relatives à la lutte contre le blanchiment des capitaux et le financement du terrorisme, les dispositions du Code du travail, les règles régissant les demandes de communication émanant d’organismes publics, d’autorités administratives ou judiciaires ou d’officiers ministériels dûment autorisés ;
  • Constatation, exercice ou défense en justice des intérêts de l’IEDOM à des fins
    probatoires.

Les données collectées peuvent également être utilisées pour prévenir et lutter contre la fraude notamment informatique (envoi de courriels indésirables ou « spamming » ,
hameçonnage ou « phising », piratage informatique ou « hacking », usurpation de la qualité ou de l’identité du destinataire des données personnelles collectées au sein de l’IEDOM) et améliorer la qualité des services rendus ainsi que, le cas échéant, la navigation sur le site internet de l’IEDOM.

3. Quels sont les destinataires des données ? Peuvent-elles être transmises hors Union Européenne ?

Les données à caractère personnel ainsi recueillies sont destinées aux services autorisés par l’IEDOM.

L’IEDOM peut faire appel à des prestataires et sous-traitants externes qui agissent sur ses instructions, pour le traitement de tout ou partie des données à caractère personnel, dans la limite nécessaire à l’accomplissement de leurs prestations.

L’IEDOM peut être amenée à transmettre des données à des tiers afin de respecter une obligation légale, d’exécuter une mission d’intérêt public qui lui est confiée ou un contrat (par exemple : personnes habilitées à consulter les fichiers tenus par l’IEDOM, autorités de supervision…). Des données à caractère personnel peuvent également faire l’objet d’une communication, dans les limites prévues par la réglementation, aux autorités administratives, financières ou judiciaires, aux organismes publics, aux officiers ministériels et professions règlementées (huissiers, notaires, commissaires aux comptes, avocats…).

Dans le cadre de la stratégie DATA, l’IEDOM donne accès à des chercheurs, français ou étrangers, à des informations confidentielles dans le respect des règlementations européennes et nationales. Lorsque ces informations comportent des données à caractère personnel, elles ne peuvent être rendues publiques qu’après avoir fait l’objet d’un traitement d’anonymisation permettant de rendre impossible l’identification directe ou indirecte des personnes.

Les données à caractère personnel sont conservées par l’IEDOM sur le territoire français.

Toutefois, l’exécution d’une mission d’intérêt public ou d’une convention peut nécessiter le transfert de données à caractère personnel vers un pays membre de l’Union européenne, vers un pays n’appartenant pas à l’Union européenne (dont les règles de protection des données à caractère personnel peuvent différer de celles qui sont applicables au sein de l’Union européenne) ou encore à une organisation internationale.

L’IEDOM veille à ce que la communication des données s’effectue dans des conditions
permettant de préserver la sécurité et la confidentialité des informations. A cet effet, il existe des procédures d’équivalence entre systèmes de protection des données personnelles qui sont gérées par la Commission européenne. En cas de transmission de données vers un destinataire situé dans un pays hors de l’Union européenne et ne bénéficiant pas d’une décision d’adéquation rendue par la Commission européenne, l’IEDOM s’engage à mettre en œuvre des mesures de protection appropriées, notamment à encadrer la transmission des données par des clauses contractuelles types.

4. Quelle est la durée de conservation des données ?

Lorsque le traitement est fondé sur une obligation légale ou l’exécution d’une mission
d’intérêt public, la durée de conservation des données à caractère personnel est fixée par les dispositions qui les régissent.

A défaut, l’IEDOM, responsable de traitement, conserve les données :

  • Pendant la durée de la relation contractuelle ou jusqu’à révocation du consentement lorsque le traitement est fondé sur celui-ci
  • La durée nécessaire à l’exécution de l’opération ou à la fourniture du produit ou service concerné

Et jusqu’à l’expiration des délais de prescription et d’archivage, applicables en la matière, qui courent le plus souvent, à compter de la date de fin de la relation ou de la date d’exécution de l’opération. Seules doivent être éliminées les données dépourvues d’utilité administrative ou d’intérêt scientifique, statistique ou historique.

5. Quels sont les droits des personnes concernées ?

Conformément aux dispositions en vigueur, la personne concernée, sous réserve qu’elle
justifie de son identité, dispose de différents droits selon le fondement sur lequel est effectué le traitement de ses données à caractère personnel :

  • Droit d’accès : droit d’obtenir des informations sur le traitement des données la concernant ainsi qu’une copie de ces données,
  • Droit de rectification : droit de mettre à jour les données à caractère personnel ou inexactes ou incomplètes,
  • Droit d’opposition : droit de s’opposer, pour des raisons tenant à sa situation particulière, à ce que des données à caractère personnel fassent l’objet d’un traitement ou soient utilisées à des fins de prospection commerciale,
  • Droit à la limitation du traitement : droit d’obtenir, dans certains cas, que les données conservées ne soient plus traitées,
  • Droit à la portabilité des données : droit de récupérer les données fournies, et, lorsque le traitement le permet, de les transmettre à un autre responsable de traitement,
  • Droit de définir des directives relatives au sort de ses données à caractère personnel après son décès,
  • Droit de retrait du consentement à tout moment, lorsque le traitement est effectué sur la base de ce consentement.

La personne concernée peut exercer ses droits en adressant sa demande selon les
modalités définies pour chaque traitement de l’IEDOM.

La personne concernée dispose également de la faculté d’introduire une réclamation
auprès de la Commission Nationale de l’Informatique et Libertés (CNIL).

6. Quelles sont les mesures techniques et organisationnelles mises en œuvre pour protéger les données à caractère personnel ?

Pour s’assurer et être en mesure de démontrer que les traitements effectués sont en conformité avec les dispositions légales et réglementaires applicables, l’IEDOM met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte accidentelle, une altération, une divulgation ou un accès non autorisé.

Ces mesures assurent un niveau de sécurité adapté aux risques liés aux traitements et à la nature des données protégées.

En cas de détection d’une violation des données à caractère personnel, l’IEDOM en tant que responsable de traitement en informe la CNIL, autorité de contrôle nationale compétente, conformément aux dispositions en vigueur ainsi que, le cas échéant, les personnes concernées.

7. Comment contacter le délégué à la protection des données ?

L’IEDOM a désigné un délégué à la protection des données, déclaré auprès de la CNIL. Les coordonnées du délégué à la protection des données sont 1200-DPD-delegue-ut@banque-france.fr.

8. Comment prendre connaissance des modifications apportées à la Politique de confidentialité ?

La Politique de Confidentialité est publiée sur le site Internet IEDOM. Elle est disponible sur simple demande auprès du service Risques et Continuité d’Activité de l’IEDOM par mail à l’adresse suivante : rgpd@iedom-ieom.fr ou auprès du délégué à la protection des données, dont les coordonnées sont mentionnées au point 7 ci-dessus.

Toute modification de la présente Politique de confidentialité est effective dès sa publication sur le site Internet de l’IEDOM.

Seule la version en vigueur est accessible sur le site.