Protection des données

Protection des données

DÉCLARATION DE PRIME PARTNERS S.A. (PPSA) EN MATIÈRE DE PROTECTION DES DONNÉES

1. La confidentialité : un pilier de la culture d’entreprise de PPSA

Depuis sa création en 1998, PPSA s’est employée avec constance et détermination à protéger au mieux les données à caractère personnel de sa clientèle.

Elle en a fait un pilier de sa culture d’entreprise sachant qu’elle ne peut vivre que de la confiance que sa clientèle lui accorde et que, sur ce point, elle n’a pas le droit de la décevoir.

La protection des données à caractère personnel est devenue plus légitime que jamais dans un monde où les évolutions sociétales et technologiques facilitent, souvent par trop, l’accès à ces données.

Aussi, est-ce avec satisfaction que PPSA a accueilli l’entrée en vigueur, le 25 mai 2018, de nouvelles dispositions réglementaires de l’Union européenne (EU) sur la protection des données à caractère personnel qui sont rassemblées dans le Règlement général sur la protection des données (RGPD). Il s’agit d’une législation majeure qui tend à renforcer la sphère privée de tout un chacun.

En émettant la présente déclaration, PPSA entend expliquer à ses clients quelle est pour eux la portée de cette importante réglementation.

PPSA note aussi avec satisfaction qu’en Suisse, le projet en cours de révision totale de la loi sur la protection des données reprend pour l’essentiel ces nouvelles dispositions européennes. Cette loi devrait entrée en vigueur dans le courant de l’année 2019.

2. Objet du RGPD

En vertu de son article 1, ledit Règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.

De plus, il protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.

3. Champ d’application matériel du RGPD

Ledit Règlement s’applique au traitement des données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

4. Champ d’application territorial du RGPD

Au-delà des sociétés domiciliées dans l’UE, le RGPD s’applique également à celles, comme PPSA, établies en dehors de l’UE qui fournissent des biens ou des services à des résidents européens et traitent dans ce contexte leurs données personnelles (extraterritorialité de la loi : article 3 du RGPD).

5. Qui sont les « personnes concernées » par le traitement par PPSA de données à caractère personnel ?

Les « Personnes concernées » sont :

5.1  les clients existants personnes physiques avec qui PPSA est entré en « relations d’affaires » ;

5.2  les clients potentiels personnes physiques avec qui PPSA cherche à entrer en «relations d’affaires» ;                                                                   

5.3  toute personne physique ou entité (dite « Personne liée ») sur laquelle le client ou un tiers fournit à PPSA des informations et/ ou dont cette dernière a connaissance d’une autre manière dans le cadre de la relation d’affaires.

Une Personne liée peut notamment être :

5.3.1    l’administrateur, le dirigeant ou l’employé d’une société ;

5.3.2    le trustee, le constituant (settlor) ou le protecteur (protector) d’un trust ;

5.3.3   le détenteur à titre fiduciaire (nominé) ou l’ayant droit économique de la relation d’affaires, respectivement du compte ;

5.3.4   le détenteur du contrôle ;

5.3.5   le bénéficiaire d’un paiement précis ;

5.3.6   tout représentant ou agent (fondé de procuration ou détenteur d’un droit d’information sur la relation d’affaires, respectivement le compte) ;

5.3.7   toute autre personne ou entité entretenant une relation avec le client qui est pertinente pour la relation d’affaires avec PPSA.

DANS CE CONTEXTE, PPSA EXIGE QUE LES CLIENTS CONCERNÉS CONTACTENT TOUTES LES PERSONNES LIÉES ET LEUR TRANSMETTENT LA PRÉSENTE DÉCLARATION, AINSI QUE LES INFORMATIONS QU’ILS CONTIENNENT.

6. Qui est responsable du traitement des données à caractère personnel des personnes concernées et à qui ces dernières peuvent-elles s’adresser au sein de PPSA en cas de questions relatives au RGPD ?

C’est PPSA qui est responsable du traitement des données à caractère personnel de ces clients Personnes concernées du fait que ce sont ses organes qui déterminent les finalités et les moyens de traitements (article 4, chiffre 7 RGPD).

C’est exclusivement pour se conformer aux réglementations et législations suisses et étrangères régissant ses activités de gestionnaire indépendant, ainsi que pour assurer la bonne exécution des contrats qui la lient à ses clients, que PPSA est obligée de traiter ces données à caractère personnel. Elle peut le faire en qualité soit de responsable du traitement soit de responsable conjoint du traitement, par exemple avec les banques dépositaires de ses clients (ci-après « Responsable du traitement »).

Elle peut opérer aussi en qualité de « Sous-traitant » : c’est par exemple le cas où une assurance-vie luxembourgeoise lui demande de collecter des données à caractère personnel sur la personne physique qui souscrit à la police, qui paie la prime ou qui en est bénéficiaire.

Pour toute question relative à la présente Déclaration, le client Personne concernée de PPSA peut contacter son gérant ou le délégué désigné par cette dernière à la protection des données (Data Protection Officer/DPO) à l’adresse suivante :

Prime Partners S.A.
PPSA Data Protection Officer, DPO
15, rue des Alpes,
1201 Genève
Suisse

7 Comment PPSA Traite-t-elle les données à caractère personnel ?

PPSA est soumise à certaines obligations de confidentialité et/ou de respect du secret, par exemple découlant de l’actuelle loi fédérale sur la protection des données, de contrats, du secret professionnel ou du secret bancaire. Les données personnelles, qui sont traitées, sont soumises auxdites obligations que PPSA s’emploie à respecter avec la plus grande rigueur.

La présente déclaration décrit la façon dont PPSA traite, c’est-à-dire par exemple collecte, enregistre, conserve, modifie, consulte, extrait ou efface les données à caractère personnel que lui confient les Personnes concernées (ci-après « Traitement » ou « opérations de traitements » article 4, chiffre 2 RGPD).

PPSA respecte déjà et continuera à respecter, si nécessaire en renforçant son organisation, les principes relatifs au traitement des données à caractère personnel de l’article 5 RGDP (notamment, les données doivent être collectées de manière licite, loyale et transparente au regard de la Personne concernée, limitée aux finalités pour lesquelles elles sont traitées, adéquates, pertinentes, exactes et corrigées dans le cas contraire, conservées dans les limites de temps imposées par la loi et traitées de façon à garantir une sécurité appropriée).

PPSA n’est responsable du Traitement des données à caractère personnel que dans le cadre de la présente « Déclaration ». Elle ne répond pas par exemple du traitement des données à caractère personnel que, de manière licite, elle est obligée de transmettre aux banques dépositaires de ses clients. Seules ces dernières en ont la responsabilité dès le moment où ces données entrent dans leurs sphères d’activité.

8 Quelles sont les données à caractère personnel traitées par PPSA et d’où peuvent-elles provenir ?

8.1. Les données à caractère personnel peuvent notamment provenir :

8.1.1    de la Personne concernée elle-même, y compris d’une Personne liée ;

8.1.2   de la banque dépositaire de la Personne concernée ou d’une autre banque ;

8.1.3   de son conseiller, d’un avocat, d’un notaire, d’autres tiers ou d’un apporteur d’affaires ;

8.1.4   d’une organisation supranationale (par ex. Liste de sanctions de l’ONU ou de l’Union européenne/EU) d’un organisme de la Confédération suisse (par ex. publication / bases de données rendues accessibles au public tels les listes du SECO ou le Journal Officiel), d’un canton (par ex. Registre du commerce) ou d’une Commune (par ex. autorisation de séjour) ;

8.1.5    de médias papier ou électronique ;

8.1.6   de sites internet ;

8.1.7   de bases de données spécialisées rendues accessibles au public conformément à la législation en vigueur en matière de protection des données (World-check / Thomson-Reuters / Bloomberg).

8.2 Les données personnelles que PPSA traite peuvent notamment comprendre :

8.2.1   des données d’identification (par exemple, nom, prénom, carte d’identité ou passeport, nationalité, lieu et date de naissance, genre, photographie, adresse IP) ;

8.2.2   des coordonnées (par exemple, adresse postale, numéro de téléphone, adresse e-mail) ;

8.2.3   des informations sur la situation familiale (par exemple, statut marital, nombre d’enfants, en cas de décès certificat de décès et d’hérédité, numéro national d’assurance, numéro de sécurité sociale) ;

8.2.4   des informations sur le statut fiscal (par exemple, numéro d’identité fiscale, attestation d’amnistie, indication du statut fiscal ordinaire ou particulier) ;

8.2.5   des informations professionnelles (par exemple, emploi, historique professionnel, titre, fonction, pouvoir de représentation, éducation, rémunération) ;

8.2.6   des données relatives à la lutte contre le blanchiment d’argent sale et le financement du terrorisme (par exemple, informations sur l’origine des actifs déposés, sur la fortune totale de la Personne concernée, son statut politique, sa relation familiale ou professionnelle avec un PEP) ;

8.2.7   des données bancaires et transactionnelles (par exemple, coordonnées bancaires, historique financier et numéro de cartes de crédit) ;

8.2.8   des données relatives aux transactions/investissements (par exemple, investissements actuels et passés, questionnaire servant à définir le profil client, profil d’investissement, préférence en matière d’investissement et montant investi, détails des transactions) ;

8.2.9   des données nécessaires à la gestion des risques (par exemple, profils de risques des clients, qualification d’investisseur qualifié ou non, contrôle des transactions, alertes des outils de dépistage) ;

8.2.10 des données résultant de la communication avec la Personne concernée, y compris les Personnes liées ou du tiers (par exemple, courriels, courriers postaux, notifications officielles, notes téléphoniques et rapports de visites ou enregistrements téléphoniques ou électroniques) ;

8.2.11 informations transmises, par ex. par les « cookies » et des technologies similaires sur les sites internet et dans des courriels.

9 Avec quelles finalités et sur quelles bases légales, PPSA traite-t-elle les données à caractère personnel ?

9.1 PPSA collecte et traite les données à caractère personnel avec les finalités déterminées, explicites et légitimes (ci-après « Finalités ») et selon les bases légales énoncées dans le présent document.

De manière générale, le Traitement par PPSA des données à caractère personnel des Personnes concernées est basé sur les Finalités suivantes :

9.1.1    l’exécution d’un contrat auquel la Personne concernée, y compris la Personne liée est partie (y compris pour exécuter les mesures pré-contractuelles à la demande de la Personne concernée ou à celle de la Personne liée) ;

9.1.2   l’obligation pour PPSA de respecter les dispositions légales et réglementaires ;

9.1.3    la poursuite de son intérêt légitime ;

9.1.4   l’exécution d’une mission d’intérêt public (par ex. prévenir ou détecter des infractions).

9.2 Plus spécifiquement, PPSA collecte et traite les données à caractère personnel nécessaires :

9.2.1   à L’EXÉCUTION D’UN CONTRAT (article 6, chiffre 1, lettre b RGPD) auquel la Personne concernée est partie, ce qui inclut :

9.2.1.1   l’ouverture de la Relation d’affaires avec PPSA avec la signature d’un mandat de gestion discrétionnaire ou d’un mandat de conseil et des documents juridiques y afférents, y compris les formalités concernant l’identification de la Personne concernée, de son profil et de sa qualification d’investisseur ;

9.2.1.2   l’assistance à la Personne concernée et la réponse à ses demandes ;

9.2.1.3 la fourniture des informations relatives aux produits et aux services qui sont offerts et l’évaluation de ceux qui peuvent lui être recommandés ;        

9.1.2.4 les données nécessaires à l’analyse des besoins de la Personne concernée et à l’exécution des transactions.

9.2.2   au RESPECT DES OBLIGATIONS LÉGALES ET RÉGLEMENTAIRES (article 6, chiffre 1, lettre e, RGPD) auxquelles PPSA est soumise, et parmi lesquelles:

9.2.2.1     la réglementation suisse applicable aux gestionnaires indépendants, dont en particulier celle émise par l’Association suisse des gérants indépendant (ASG) ;

9.2.2.2     la réglementation interne de PPSA ;

9.2.2.3     la législation relative à la lutte contre le blanchiment d’argent sale et le financement du terrorisme ;

9.2.2.4     celle concernant la prévention de la corruption ;

9.2.2.5     la législation boursière suisse et étrangère ainsi que les dispositions du code pénal suisse relatives à «l’opération d’initié » et à « la manipulation de cours » ;

9.2.2.6     les dispositions légales suisses relatives à la lutte contre la fraude fiscale, à sa prévention et à sa détection ;

9.2.2.7     le « Foreign Account Tax Compliance Act » (FATCA) américain ;

9.2.2.8     la loi fédérale sur l’échange automatique de renseignements (EAR/CRS) en matière fiscale ;

9.2.2.9     les dispositions de la législation suisse qui peuvent amener un intermédiaire financier suisse comme PPSA à devoir coopérer avec le MROS ainsi qu’avec les autorités judiciaires suisses ou étrangères, les autorités ou organes de surveillance, la police ou les autorités fiscales cantonales et fédérales et leurs livrer des données à caractère personnel d’une Personne concernée ;

9.2.2.10   la législation suisse en matière d’entraide internationale pénale, administrative, fiscale, voire civile, avec pour PPSA les mêmes obligations de communication que celles évoquées sous le chiffre précédent ;

9.2.2.11   les normes légales et réglementaires applicables à PPSA en matière de gestion du risque, en particulier opérationnel, financier et juridique ;

9.2.2.12   la législation applicable en matière de sanctions internationales et d’embargos.

9.3 à L’EXÉCUTION D’UNE MISSION D’INTÉRÊT PUBLIC (article 6, chiffre 1, lettre e RGPD)

Les opérations de traitement visées sous chiffre 9.2 ci-dessus peuvent se fonder sur d’autres bases légales et, au final, se fondent largement sur l’exécution d’une mission d’intérêt public (par ex. prévenir ou détecter des fraudes, des délits ou des crimes).

9.4 aux FINS D’INTÉRÊTS LÉGITIMES (article 6, chiffre 1, lettre 1 RGPD) que PPSA poursuit afin :

9.4.1    d’évaluer certaines caractéristiques des Personnes concernées sur la base de données à caractère personnel traitées automatiquement et devant permettre de les classifier en diverses catégories de clients tels par ex. clients à risques accrus, PEP’s, investisseurs qualifiés et profils d’investisseur (« Profilage » / cf. chiffre 10 ci-dessous) ;

9.4.2   de développer la Relation d’affaires avec la Personne concernée ;

9.4.3   de contrôler les transactions pour identifier celles qui présenteraient des anomalies ;

9.4.4   de conserver la preuve d’opérations ou de transactions ainsi que les communications échangées avec la Personne concernée, de vive voix (par l’émission d’un rapport de visite), par téléphone (dans certains cas par enregistrement ou plus communément par l’émission de notes d’entretiens téléphoniques), par tous moyens électroniques ou par voie postale, dans le but de vérifier des instructions, de faire appliquer ou de défendre les intérêts et les droits de PPSA et de gérer les risques ;

9.4.5   d’améliorer l’organisation interne et les activités opérationnelles de PPSA, notamment le contrôle interne ;

9.4.6   de gérer les risques financiers, opérationnels, juridiques et d’investissements de PPSA et de prendre des décisions pertinentes en ces domaines ;

9.4.7   de garder la correspondance avec les banques dépositaires, les avocats, les notaires, les conseillers fiscaux ou tous autres consultants extérieurs ;

9.4.8   de faire constater, d’exercer et/ou de défendre des droits dans le cadre d’actions en justice, d’enquêtes ou de procédures similaires ;

9.4.9   de prévenir et d’élucider des infractions pénales, y compris le financement du terrorisme, en accédant par exemple aux sources publiques de moteurs de recherches spécialisées ;

9.4.10 de collecter des informations par l’analyse de données à des fins statistiques, pour permettre, par ex. d’apprécier les risques géographiques notamment en rapport avec les activités financières transfrontières ;

9.4.11  de gérer la sécurité et le fonctionnement des technologies de l’information, y compris la surveillance des accès aux locaux de PPSA ;

9.4.12 dans certains cas, d’enregistrer des conversations avec les Personnes concernées (par exemple des communications téléphoniques ou électroniques) afin de vérifier des instructions, de faire appliquer ou de défendre les intérêts ou droits de PPSA, ou d’évaluer, d’analyser ou de gérer les risques opérationnels, financiers ou juridiques de PPSA.

9.5 sur LA BASE DU CONSENTEMENT de la personne concernée (article 6, paragraphe 1, lettre du RGPD)

Si PPSA procède à des Opérations de données à caractère personnel à des fins autres que celles décrites ci-dessus ou à certaines qui supposent que la personne concernée donne son Consentement préalable (par exemple l’enregistrement généralisé des conversations téléphoniques), celle-ci sera  sollicitée en temps utile.

Ce consentement peut être révoqué à tout moment. Ceci vaut aussi pour les déclarations de consentement qui ont été accordées à PPSA avant l’entrée en vigueur du RGPD, à savoir le 25 mai 2018. La révocation du consentement n’affecte pas le caractère légal du Traitement des données à caractère personnel effectué avant ladite révocation.

La fourniture des données à caractère personnel relatives à la Personne concernée peut, indépendamment de son consentement, être obligatoire parce qu’imposée par des normes légales ou réglementaires auxquelles PPSA est soumis. Le fait de refuser de telles informations peut amener PPSA à mettre fin à la Relation d’affaire nouée avec la Personne concernée ou à l’empêcher de lui fournir des prestations.

10 Est-ce que PPSA a recours au profilage ou à la prise de décision automatisée ?

PPSA n’a recours au Profilage tel que défini à l’article 4, chiffre 4, du RGPD que dans le strict cadre des Finalités exposées sous chiffre 9 ci-dessus et, plus spécifiquement, au chiffre 9.4.1 ci-dessus.

Hors de ces finalités, elle ne procède à aucun autre Profilage ayant pour but par exemple de développer des opérations de marketing ou d’analyser des comportements spécifiques des Personnes concernées ou de groupes de Personnes spécifiques.

Elle ne fait pas non plus appel à la prise de décision automatisée en rapport avec les Relations d’affaires et/ou les Personnes concernées. Si elle devait être un jour amenée à le faire, elle respecterait les exigences légales et réglementaires applicables.

11 Est-ce que PPSA partage avec des tiers les données à caractère personnel qu’elle a récoltées ?

Si nécessaire ou utile pour atteindre les Finalités décrites ci-dessus (article 9 ci-dessus), PPSA se réserve le droit de divulguer ou de rendre accessibles des données à caractère personnel relatives à des Personnes concernées notamment aux destinataires suivants, ce pour autant que cette divulgation soit légale, autrement autorisée (par ex. par contrat) ou requise par une autorité :

11.1   les administrations publiques ou gouvernementales, les tribunaux, les autorités fiscales et de poursuites pénales ;

11.2  les autorités compétentes (OAR, voire FINMA, MROS) ou acteurs des marchés financiers (banques dépositaires, autres banques, notamment banques correspondantes, courtiers, bourses, respectivement autorités boursières, prestataires de services, fournisseurs de services de traitement de cartes de crédit/débit) ;

11.3   les auditeurs, avocats, notaires, tuteurs et curateurs ou exécuteurs testamentaires;

11.4  des Sous-traitants, agissant sur délégation expresse de PPSA (par ex. : fonctions Risques ou Compliance), qui peuvent être amenés à traiter dans l’exercice de leurs mandats des données à caractère personnel relatives à des Personnes concernées.

12 PPSA transmet-elle des données à caractère personnel à l’étranger ?

PPSA peut être amenée à transmettre directement ou indirectement des données à caractère personnel dans des pays autres que la Suisse lorsque :

12.1  cela est nécessaire pour l’exécution du contrat qui la lie à la Personne concernée (par ex. les ordres de paiements ou de négoce sur titres) ;

12.2  la loi l’exige (par ex. les obligations de déclaration en vertu des législations fiscales ou les documents à produire dans le cadre de demandes d’entraide internationales) ;

12.3  la Personne concernée a donné son consentement.

13 Quels sont les droits de la personne concernée en matière de protection de ses données à caractère personnel ?

Sous réserve de la législation locale applicable en matière de protection des données, la Personne concernée a les droits suivants :

13.1 DROIT D’ACCÈS, soit demander de pouvoir accéder à ses données à caractère personnel que PPSA détient et d’en recevoir copie ;

13.2 DROIT DE RECTIFICATION, soit demander de corriger, respectivement de compléter, toutes données inexactes ou incomplètes ;

13.3 DROIT À L’EFFACEMENT, soit de supprimer toutes données personnelles lorsque leur traitement n’est plus nécessaire pour atteindre les Finalités visées sous chiffre 9 ci-dessus, ou n’est pas ou plus licite pour d’autres raisons, sous réserve toutefois des durées de conservation imposées par la loi ;

13.4 DROIT À LA RESTRICTION DU TRAITEMENT de données à caractère personnel dont l’exactitude est contestée, si ledit traitement est illicite ou si la Personne concernée s’est opposée à celui-ci ;

13.5 DROIT D’OPPOSITION au Traitement des données à caractère personnel, pour des raisons liées à la situation particulière de la Personne concernée ;

13.6 DROIT DE RETIRER SON CONSENTEMENT pour toute Personne concernée qui en décide ainsi ;

13.7  DROIT À LA PORTABILITÉ DES DONNÉES, soit recevoir des données à caractère personnel en format structuré, couramment utilisé et lisible par une machine ;

13.8  DROIT DE DÉPOSER UNE RÉCLAMATION auprès du DPO de PPSA relative au Traitement des données à caractère personnel et, en l’absence d’un règlement à l’amiable satisfaisant du problème, de porter le litige devant l’autorité compétente de protection des données.

Sous réserve des limitations prévues dans le présent document et/ou des dispositions locales en vigueur sur la protection des données, la Personne concernée peut exercer les droits énumérés ci-dessus sans frais, en contactant le DPO de PPSA.

14 Pendant combien de temps les données à caractère personnel de la personne concernée sont-elles conservées ou archivées auprès de PPSA ?

En principe, PPSA supprime ou rend anonyme les données à caractère personnel dès lors qu’elles ne sont plus nécessaires pour atteindre les Finalités visées sous chiffre 9 ci-dessus, sous réserve toutefois :

14.1 des exigences légales ou réglementaires suisses applicables à la conservation des données à caractère personnel pour une durée plus longue ;

14.2 pour faire constater, exercer et/ou défendre des droits réels ou potentiels dans le cadre par exemple d’actions en justice, d’enquêtes ou de procédures similaires, y compris des conservations à des fins juridiques que PPSA pourrait requérir pour préserver des informations pertinentes.

15 Comment la sécurité des données à caractère personnel est-elle assurée au sein de PPSA ?

Pour assurer la sécurité des données à caractère personnel des Personnes concernées, y compris les Personnes liées et le clients potentiels, PPSA a mis depuis longtemps en œuvre des mesures internes techniques et organisationnelles qu’elle n’a de cesse d’améliorer : ces mesures peuvent inclure le cryptage, l’anonymisation, les restrictions d’accès et des mesures de sécurité physiques.

De plus, PPSA exige que ses employés et toute tierce personne exécutant des activités pour son compte respectent les normes légales en la matière, y compris de protéger toutes les informations et d’appliquer des mesures appropriées lors de l’utilisation du transfert de données personnelles.

16 Où peut-on consulter la déclaration en matière de protection des données de PPSA ?

Un exemplaire de la présente Déclaration peut être demandée au DPO de PPSA à l’adresse mentionnée au chiffre 6 ci-dessous.

La présente Déclaration peut être modifiée à tout moment conformément aux dispositions applicables. La version révisée sera adressée aux Personnes concernées.

17 Approbation et entrée en vigueur de cette Déclaration

17.1 Approbation

La présente Déclaration de Prime Partners SA, ayant son siège 15, rue des Alpes, à Genève, a été édicté et adopté par le le Conseil d’Administration de PPSA, dans sa séance du 26 juin 2018.

17.2 Entrée en vigueur

Cette Déclaration entre en vigueur le 26 juin 2018.