• Accueil
  • Protection des données personnelles

Protection des données personnelles

Protection des données personnelles

1. Préambule

  • Contexte

La présente Politique s’inscrit dans le cadre des dispositions de la loi n°2011-003 du 12 janvier 2011 abrogeant et remplaçant la loi n° 96-019 du 19 juin 1996.

  • Périmètre et champ d’application

La présente politique s’applique à tous les collaborateurs et entités de la Banque Nationale de Mauritanie sans restriction.

Le suivi du respect des principes qui y figurent incombe en premier lieu aux fonctions opérationnelles dans le cadre du contrôle de premier niveau, puis aux fonctions dédiées au contrôle notamment la fonction Conformité.

  • Objectifs de la politique générale de Protection des données à caractère personnel

La présente politique générale énonce les principes et lignes directrices applicables à la Banque Nationale en matière de traitement des données à caractère personnel.

Il a pour objet de définir les conditions de traitement de données à caractère personnel et de mettre l’accent sur les obligations qui régissent la Banque Nationale de Mauritanie en matière de respect des droits des personnes concernées (clients, membres du personnel, prospect…) lors du traitement et transfert de leurs données

  • Sources
  1. La présente Politique s’inscrit dans le cadre de l’application des dispositions :
  2. De la loi n°2011-003 du 12 janvier 2011 ;
  3. La loi a pour objet de mettre en place un cadre normatif et institutionnel pour le traitement de données à caractère personnel ;
  4. Politique de conformité de la Banque Nationale de Mauritanie ;
  5. Code de déontologie de la Banque Nationale de Mauritanie.
  • Les principes directeurs

La Banque Nationale de Mauritanie adhère aux quatre (4) principes directeurs, ci-après :

  1. La responsabilité individuelle : la conformité est l’affaire de chacun. Elle ne peut être dissociée de l’exercice de toute activité professionnelle au sein de la banque ou en son nom quelle que soit la mission ou la direction dont chacun relève. L’existence d’une fonction Conformité au sein de la banque ne saurait exonérer quiconque de sa propre responsabilité personnelle dans tous les domaines de la conformité.
  2. L’exhaustivité : les missions de l’entité Conformité s’étendent à tous les niveaux de la banque ; pour les exercer dans de bonnes conditions, elle doit avoir accès à toutes les informations nécessaires dans les différentes directions.
  3. L’indépendance : les collaborateurs et correspondants conformité au sein de la banque exercent leurs missions dans des conditions qui garantissent leur indépendance de jugement et d’action.
  4. La règle du « mieux disant » déontologique : dans le domaine des normes déontologiques, celles retenues par la Banque Nationale de Mauritanie prévalent sur les règles locales dès lors que ces dernières sont d’un niveau d’exigence et rigueur inférieur.

2. Traitement des données à caractère personnel

  • Définitions :
  • Données à caractère personnel

Les données à caractère personnel ou données personnelles sont des informations existant sous diverses formes et permettant d’identifier directement ou indirectement une personne par référence à un numéro d’immatriculation ou à un ou plusieurs éléments propres à son identité physique, physiologique, biométrique, génétique, psychique, culturelle, sociale ou économique. Elles peuvent être des identifiants universels permettant de raccorder entre eux, plusieurs fichiers constituant des bases de données, ou de procéder à leur interconnexion.

Une donnée à caractère personnel est une information relative à une personne physique identifiée ou identifiable, de quelque nature qu’elle soit et indépendamment de son support y compris le son et l’image.

Est réputée « identifiable », une personne qui peut être identifiée directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique.

Exemples :

  1. Identification directe : nom et prénom,
  2. Identification indirecte : numéro de compte (ne permet d’identifier une personne que si l’on dispose simultanément du fichier client), …

Les données bancaires (transactions, opérations sur titres, virements…) sont des données à caractère personnel dès lors que les émetteurs, les bénéficiaires, les contreparties ou le personnel chargé des opérations peuvent être identifiés.

De même, les fichiers de personnes morales peuvent contenir des données à caractère personnel dans la mesure où peuvent être enregistrées l’identité des dirigeants, des bénéficiaires effectifs et/ou des contacts ou au moins leurs coordonnées.

  • Traitement des données à caractère personnel

Toute opération ou ensemble d’opérations , effectuées à l’aide de procédés automatisés ou non, et appliquées à des données, telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction des données à caractère personnel.

Exemple :

La collecte manuelle ou informatique des nom et prénoms du client constitue un traitement de données à caractère personnel.

  • Fichier de données à caractère personnel

Constitue un fichier de données à caractère personnel, tous ensemble structuré et stable de données à caractère personnel accessible selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Les fichiers de données à caractère personnel concernent aussi bien les clients, les salariés, les prestataires, les fournisseurs, les dirigeants sociaux, quel que soit leur lieu de résidence et leur nationalité.

Exemple :

Un ensemble structuré de fiches cartonnées classées par ordre alphabétique peut être qualifié de fichier de données à caractère personnel. Il en est de même pour un dossier papier avec un numéro.

  1. Responsable du traitement Le responsable d’un traitement de données à caractère personnel est la personne physique ou morale, publique ou privée, tout autre organisme ou association qui, seul ou conjointement avec d’autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités. La Banque Nationale de Mauritanie est le responsable du traitement.
  2. Transfert international des données à caractère personnel : Constitue un transfert international de données à caractère personnel vers un pays tiers, toute communication, copie ou déplacement de données par l’intermédiaire d’un réseau, ou toute communication, copie ou déplacement de ces données d’un support à un autre, quel que soit le type de ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire.
  3. Données sensibles : Une donnée sensible est une donnée à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, la vie sexuelle, de la personne concernée ou qui est relative à sa santé y compris ses données génétiques.
  • Conditions préalables au traitement des données à caractère personnel

Les traitements de données à caractère personnel ne font l’objet d’aucune déclaration ou demande d’autorisation préalable.

  • Les règles de traitement des données à caractère personnel

La Banque Nationale de Mauritanie a mis en place un ensemble de principes permettant un traitement loyal et licite des données clients en respectant les orientations réglementaires internationales dans le domaine.

La Banque Nationale de Mauritanie est tenue de procéder au traitement des données à caractère personnel suivant les règles suivantes :

  1. Les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.
  2. Il est prohibé de collecter les données dont la finalité n’est pas justifiée. Les données à caractère personnel collectées doivent être proportionnées à la finalité poursuivie c’est-à-dire être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
  3. Toutes les données à caractère personnel collectées, sont conservées pour une durée limitée n’excédant pas la durée nécessaire à la réalisation des finalités pour lesquelles elles sont collectées et traitées, ou conformément à la durée de conservation minimale prévue par la législation applicable.
  4. Les données doivent être traitées loyalement et licitement, et ne peuvent faire objet de cession externe ou d’utilisation par des personnes/prestataires externes (sous-traitants, consultants…)
  5. Il convient de mettre en place les mesures de sécurité nécessaires afin d’assurer la confidentialité, l’exactitude et l’intégrité des données manipulées.
  6. Le traitement des données, à caractère personnel ne peut être effectué que si la personne concernée a indubitablement donné son consentement à l’opération ou à l’ensemble des opérations envisagées.
  7. Tout traitement effectué pour le compte du responsable du traitement doit être régi par un contrat ou un acte juridique consigné par écrit qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n’agit que sur la seule instruction du responsable du traitement et que les obligations relevées précédemment sont respectées.
  • Les règles de transfert des données à caractère personnel avec un pays tiers

La Banque Nationale de Mauritanie ne peut transférer des données à caractère personnel vers un pays tiers que si cet Etat assure un niveau de protection suffisant de la vie privée, des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font ou peuvent faire l’objet.

  • Restriction à la collecte des données à caractère personnel

Il s’agit d’informations qui ne sont pas recueillies directement auprès de la personne concernée. Dans ce cas, il est nécessaire de demander à la personne qui fournit les informations (le client ou autre) d’informer la personne concernée des informations qu’elle a transmises à la banque. A défaut, c’est la banque qui doit informer la personne dont les données sont collectées indirectement.

Il est interdit de procéder à la collecte et à tout traitement des données sensibles sauf dans les cas ci-après :

  1. La personne concernée a donné son consentement par écrit, quel que soit le support, à un tel traitement et en conformité avec les textes en vigueur ;
  2. Une procédure judiciaire ou une enquête pénale est ouverte ;
  3. Le traitement des données à caractère personnel s’avère nécessaire pour un motif d’intérêt public notamment à des fins historiques, statistiques ou scientifiques.
  • Les cas de dérogation à la condition du consentement pour le traitement des données à caractère personnel

Le consentement des personnes concernées n’est pas exigé dans les cas suivants :

  1. Le traitement est nécessaire au respect d’une obligation légale à laquelle est soumis(e) le responsable du traitement ou la personne concernée.
  2. Le traitement entre dans le cadre de l’exécution d’un contrat auquel la personne concernée est partie.
  3. La personne concernée est dans l’incapacité physique ou juridique de donner son consentement et le traitement envisagé permet la sauvegarde d’intérêts vitaux la concernant.
  4. Le traitement permet l’exécution d’un service d’intérêt public ou relevant de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel il a communiqué les données ( Cas des déclarations de soupçons de blanchiment d’argent et de financement du terrorisme pour lesquelles la déclaration est réglementairement soumise au secret absolu : le client ne doit en aucune façon apprendre que les opérations ou les sommes qu’il a confiées à la banque ont conduit à une déclaration de soupçons).
  5. Le traitement permet la réalisation d’un intérêt légitime poursuivi par le responsable du traitement, à condition de ne pas méconnaître l’intérêt et les droits des personnes concernées.

3. Obligations du Responsable du traitement (La Banque Nationale de Mauritanie) des données à caractère personnel

  • Obligations de confidentialité

Le traitement des données à caractère personnel est confidentiel. Il est effectué exclusivement par des personnes qui agissent sous l’autorité de la Banque Nationale de Mauritanie et seulement sur ses instructions.

Pour la réalisation du traitement, La Banque Nationale de Mauritanie doit choisir des personnes présentant, au regard de la préservation de la confidentialité des données, toutes les garanties tant de connaissances techniques et juridiques que d’intégrité personnelle.

Tous les employés de la Banque Nationale de Mauritanie ainsi que les prestataires ayant accès aux données à caractère personnel (sous-traitants) doivent signer un engagement écrit à traiter les données à caractère personnel conformément aux principes énoncés dans la présente politique générale.

Le contrat liant chaque sous-traitant à La Banque Nationale de Mauritanie doit comporter l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et doit prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

  • Obligations de sécurité

La Banque Nationale est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des personnes non autorisées y aient accès. La banque devra en particulier prendre les mesures visant à :

  1. Garantir que, pour l’utilisation d’un système de traitement automatisé de données, les personnes autorisées ne puissent accéder qu’aux données à caractère personnel relevant de leur compétence ;
  2. Garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des données à caractère personnel peuvent être transmises ;
  3. Garantir que puisse être vérifiée et constatée à posteriori l’identité des personnes ayant eu accès au système d’information et quelles données ont été lues ou introduites dans le système, à quel moment et par quelle personne ;
  4. Empêcher toute personne non autorisée d’accéder aux locaux et aux équipements utilisés pour le traitement des données ;
  5. Empêcher que des supports de données puissent être lus, copiés, modifiés, détruits ou déplacés par une personne non autorisée ;
  6. Empêcher l’introduction non autorisée de toute donnée dans le système d’information ainsi que toute prise de connaissance, toute modification ou tout effacements non autorisés de données enregistrées ;
  7. Empêcher que des systèmes de traitements de données puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données ;
  8. Empêcher que, lors de la communication de données et du transport de supports de données, les données puissent être lues, copiées, modifiées ou effacées de façon non autorisée ;
  9. Sauvegarder les données par la constitution de copies de sécurité
  10. Rafraîchir et si nécessaire convertir les données pour un stockage pérenne.
  • Obligations de conservation

Les données à caractère personnel ne peuvent être conservées au-delà de la durée nécessaire qu’en vue d’être traitées à des fins historiques, statistiques ou scientifiques.

  • Obligations de pérennité

La Banque Nationale de Mauritanie est tenue de prendre toute mesure utile pour s’assurer que les données à caractère personnel traitées pourront être exploitées quel que soit le support technique utilisé. Elle doit particulièrement s’assurer que l’évolution de la technologie ne sera pas un obstacle à cette exploitation.

4. Droits des personnes à l’égard des traitements de données à caractère personnelle

  • Droit à l’information
  1. La personne concernée par le traitement des données doit être informée de(s) :
  2. L’identité du responsable du traitement ;
  3. La finalité poursuivie par le traitement ;
  4. Destinataires ou catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
  5. Ses droits : accès, opposition, rectification, suppression ;
  6. La durée de conservation des données ;
  7. Le cas échéant, des transferts de données à caractère personnel envisagés à destination de l’étranger.
  • Droit d’accès

Toute personne physique, justifiant de son identité, a le droit d’interroger par écrit le responsable d’un traitement automatisé de données à caractère personnel en vue d’obtenir :

  1. La confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement ;
  2. Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées, aux destinataires ou aux catégories de destinataires auxquelles les données sont communiquées ;
  3. Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés.
  • Droit de rectification et de suppression

Toute personne physique justifiant de son identité peut exiger, par écrit, de la Banque Nationale de Mauritanie que soit, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel le concernant, qui sont inexactes, incomplètes, équivoques, périmées ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Remarque : un prospect peut demander à tout moment à être supprimé des fichiers de prospection commerciale de la Banque Nationale de Mauritanie doit justifier dans un délai de 2 mois après l’enregistrement de la demande, la mise en œuvre effective de la requête du client.

  • Droit d’opposition

Le droit d’opposition permet à un client personne physique de s’opposer, pour des motifs légitimes, à ce que ses données soient utilisées à des fins de prospection, notamment commerciale.

Un client ou prospect doit pouvoir manifester son accord ou son désaccord à recevoir des sollicitations commerciales avant toute signature de contrat ou de convention. Et même en cas d’accord initial de sa part pour être sollicité, il peut à tout moment revenir sur cet accord et demander à être supprimé des fichiers de prospection commerciale de la banque.

Ainsi, lors de toute nouvelle entrée en relation : la manifestation de l’accord ou de l’opposition du client est recueillie sur un formulaire papier ou sur une case à cocher si le service est hébergé en ligne.

Ce formulaire sera édité en agence par le conseiller clientèle qui est chargé de le faire remplir et signer par le client au même titre que les autres documents demandés lors de l’entrée en relation ou sur le site internet de la Banque Nationale de Mauritanie en cas d’entrée en relation virtuelle à travers internet. Ainsi, cette autorisation devient une donnée obligatoire dans l’entrée en relation au même titre notamment que la carte d’identité.

5. Dispositif de protection des données à caractère personnel

  • Rôle de la fonction Conformité

La fonction Conformité est l’interlocuteur compétent pour toutes les questions relatives à l’application et à la mise en œuvre des formalités relatives à la protection des données à caractère personnel auprès des autorités compétentes du pays.

Elle assure les missions suivantes :

  1. La coordination et la liaison avec les autorités compétentes du pays sur tous les sujets relatifs à la protection des données à caractère personnel des clients ;
  2. La définition des procédures opérationnelles et mesures précises nécessaires à l’application de la réglementation locale sur le traitement des données à caractère personnel ;
  3. L’animation du réseau des interlocuteurs désignés sur le sujet et les assiste dans la mise en œuvre des formalités préalables qui seront adressées aux autorités compétentes du pays ;
  • Processus opérationnel de traitement de données à caractère personnel

Le traitement des données à caractère personnel s’articule autour de 2 processus :

L’autorisation de la mise en œuvre de traitements de données à caractère personnel par la personne objet du traitement.

Le processus de traitement des droits d’accès aux données, de communication et de rectification, pour répondre aux demandes d’information sur le contenu des fichiers ou de rectification de ces données nominatives. Le client peut effectuer une demande d’exercice de ses droits d’accès, de rectification, de suppression ou d’opposition :

  1. Soit en l’adressant par courrier postal ou électronique ;
  2. Soit en déposant un courrier sur place dans les différentes agences ;
  3. Soit en intervenant directement sur place (en face à face), dans les différentes agences en interrogeant oralement les conseillers.

Une fois la demande reçue, l’information est remontée à l’entité Conformité qui traite le sujet de la demande et adresse une réponse écrite ou par mail au client.

 

Ouvrir un compte bancaire

Devenir client à la Banque Nationale de Mauritanie, c’est choisir de simplifier la gestion de vos comptes au quotidien.

La Banque Nationale de Mauritanie s’est fixée pour objectif d’accompagner tous ceux qui entreprennent sur le chemin de la réussite.

Son engagement est au service des projets personnels et professionnels de ses clients et de les accompagner dans la durée, tel est l’esprit de la Banque Nationale de Mauritanie.

Ouvrir un compte