Protection des données

La présente Politique de confidentialité vous renseigne sur les données que la CSSF recueille de votre part lorsque vous utilisez son site Internet. En recueillant lesdits renseignements, la CSSF agit en tant que contrôleur des données et est tenue par la loi (règlement UE 2016/679 (RGPD)) de vous fournir des informations concernant la CSSF, les raisons de l’utilisation de vos données, la manière dont la CSSF utilise vos données et les droits dont vous disposez sur vos données.

 

Le traitement de vos données personnelles se fonde sur l’article 6(1)(a), (b), (c), (e) ou (f) du règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

 

La CSSF, qui agit en tant que contrôleur des données, traite les données personnelles uniquement pour la finalité spécifique pour laquelle elles ont été recueillies au travers du site Internet. Les données personnelles recueillies ne sont pas traitées à des fins commerciales. Les données personnelles sont divulguées uniquement en cas de nécessité au personnel responsable de la collecte. Ces données peuvent être divulguées à des personnes externes à la CSSF, lorsque cela apparaît nécessaire pour assurer la collecte ou dans les cas prévus par la loi. Dans le cas où un visiteur du site Internet refuserait de fournir certaines données, la CSSF se réserve le droit de s’abstenir de traiter la question ou la demande du visiteur.

 

La CSSF traite ces données personnelles durant la période strictement nécessaire à l’atteinte des objectifs spécifiques pour lesquels les données sont traitées.

 

Sur la CSSF

La Commission de Surveillance du Secteur Financier (CSSF) est une institution publique, qui supervise les professionnels et les produits du secteur financier luxembourgeois. La CSSF est sise : 283, route d’Arlon L-1150 Luxembourg.

 

Délégué à la protection des données

La CSSF a désigné un délégué interne à la protection des données que vous pouvez contacter en cas de questions ou d’inquiétudes concernant les politiques ou les pratiques de la CSSF en matière de données personnelles. Vous trouverez ci-dessous les coordonnées du délégué à la protection des données :

 

DPO / Pascal Pirih
CSSF
283, route d’Arlon
L-1150 Luxembourg
dpo@cssf.lu
+352 26 25 1 2283
 

Utilisation de vos données

Utilisation du site Internet de la CSSF

Envoi de requêtes à partir du site Internet de la CSSF

Abonnement à la Newsletter de la CSSF

Signalement d’une violation du cadre réglementaire de la place financière (whistleblowing)

Lorsque vous soumettez une réclamation

Lorsque vous agissez en tant que personne en charge du reporting ou personne de contact pour le compte d’une entité surveillée dans le cadre des formulaires en ligne de la CSSF

Transferts de données en dehors de l'Espace économique européen

Vos droits en tant que personne concernée

Votre droit à la réclamation

Mises à jour de la présente politique de confidentialité

 

 

Utilisation du site Internet (politique en matière de cookies)

La CSSF utilise des cookies sur son site Internet mais qui ne sont pas intrusifs dans le sens où :


• ils ne sont pas utilisés pour collecter des données personnelles vous concernant de quelque manière que ce soit ;
• la CSSF n'utilise pas de cookies de ciblage ou publicitaires qui permettraient une création de votre profil.

 

Lorsque vous utilisez le site Internet de la CSSF aux fins de consulter les informations qu’elle rend publiques, de télécharger des documents ou d’utiliser des formulaires en ligne, un certain nombre de cookies est utilisé par la CSSF ainsi que par des tierces parties afin de permettre au site de fonctionner, de recueillir des informations utiles sur les visiteurs et d’améliorer votre expérience d’utilisateur.

 

Les cookies

  

Nom du cookie

Objectif

Autres informations

fe_typo_user

Conserve les préférences de l'utilisateur au fil des demandes de pages ou requêtes.

Supprimé à la fin de la session

_pk_id.#

Recueille des statistiques anonymes sur les consultations du site Internet, telles que le nombre de visites, le temps moyen passé sur le site Internet.

Données anonymes

_pk_ses.#

Utilisé pour le suivi des pages consultées durant la session.

Données anonymes

 

 

Envoi de requêtes à partir du site Internet de la CSSF

Lorsque vous soumettez une requête à partir du site Internet de la CSSF, il vous est demandé de fournir votre nom, courriel, et accessoirement le nom de la société et/ou son adresse.

 

Ces informations sont utilisées afin de répondre à votre requête. La CSSF peut vous contacter par courriel à la suite de votre requête afin de faire un suivi et de s’assurer que vous avez obtenu une réponse satisfaisante, ceci dans l’intérêt légitime de la CSSF de fournir des informations exactes.

 

Votre requête est conservée et traitée en tant que courriel hébergé sur les serveurs de la CSSF au Luxembourg.

 

La CSSF n’utilise pas les informations que vous fournissez en vue de générer des décisions automatisées susceptibles de vous affecter.

 

La CSSF conserve les requêtes sous forme de courriels pendant un an, ensuite elles sont supprimées.

 

 

Abonnement à la Newsletter de la CSSF

Lorsque vous vous abonnez à la Newsletter de la CSSF, il vous est demandé de fournir votre courriel.

 

Votre consentement vous sera demandé avant d’utiliser votre courriel pour vous envoyer les informations suivantes en fonction de votre sélection : Avertissements, Communiqués, Législation et Réglementation, Newsletter, Reporting légal, Sanctions infligées par la CSSF, Statistiques, EU/International et autres informations.

 

Vous pouvez retirer votre consentement en tout temps et la CSSF cessera de vous envoyer lesdites informations.

 

Votre courriel est conservé sur nos serveurs au Luxembourg et n’est pas divulgué à des tiers.

 

La CSSF n’utilise pas les informations que vous fournissez pour générer des décisions automatisées susceptibles de vous affecter.

 

La CSSF conserve votre courriel aussi longtemps qu’elle élabore et diffuse ses Newsletters. En cas de retrait de votre consentement, votre courriel sera supprimé de la base de données de la CSSF.

 

 

Signalement d'une violation du cadre réglementaire de la place financière (whistleblowing)

Lorsque vous signalez une violation du cadre réglementaire de la place financière (whistleblowing), il vous est demandé de fournir votre nom, courriel, rapport et accessoirement votre adresse et jusqu’à cinq pièces justificatives. Veuillez noter que vous pouvez également envoyer un courriel à whistleblowing@cssf.lu.

 

La CSSF utilisera ces informations afin de déterminer si elle est compétente pour traiter les faits rapportés, d’en analyser le fondement et de vous contacter pour tout complément d’information. Le traitement de vos données est nécessaire en vue d’accomplir une mission d’intérêt public ou dans le rôle institutionnel de la CSSF. Vous trouverez de plus amples informations sur la procédure de whistleblowing sous :

Questions/Réponses - Whistleblowing 

 

La CSSF s’engage à protéger l’identité du lanceur d’alerte (whistleblower) dans les limites de la loi applicable. En d’autres termes, ni l’identité de l’employé qui signale une violation ni l’identité de tierces parties qui pourraient être impliquées ne seront divulguées à l’entité concernée. L’identité du lanceur d’alerte ou de tierces parties est divulguée uniquement dans des circonstances où la divulgation est inévitable du fait de la loi (p.ex. en raison du devoir de la CSSF d’informer le Procureur d’État si les actes sont susceptibles de constituer un crime ou un délit, ou dans le cadre de procédures pénales à l’encontre de l’entité concernée, auquel cas le lanceur d’alerte peut, le cas échéant, être appelé comme témoin). S’il ne peut être totalement exclu, malgré toutes les précautions prises, que l’employeur soit susceptible de découvrir l’identité du lanceur d’alerte par recoupement d’informations, la CSSF s’efforcera de la protéger. Lorsque la CSSF reçoit un rapport pour lequel elle n’est pas compétente et en vue d’assurer l’efficacité des rapports de whistleblowing, les informations seront transmises à l’autorité de surveillance compétente (p.ex. la Banque centrale européenne, ou autres autorités de surveillance du secteur financier de l’UE ou hors UE).

 

Votre rapport sera conservé sur les serveurs internes de la CSSF jusqu’à la clôture de la procédure. Ensuite, vos données personnelles seront supprimées.

 

 

Envoi d'une réclamation

Lorsque vous soumettez une réclamation en tant que personne physique, il vous sera demandé de fournir votre nom, courriel, la réclamation ainsi que des pièces justificatives, y compris une copie de votre carte d’identité ou tout document similaire prouvant votre identité. Vous pouvez également indiquer les coordonnées de votre mandataire.

 

La CSSF utilisera lesdites informations afin de déterminer si elle est en charge de la réclamation, d’en analyser le fondement et de vous contacter pour toute information supplémentaire. Le traitement de vos données est nécessaire en vue d’accomplir une mission d’intérêt public ou dans le rôle institutionnel de la CSSF.

 

Vos coordonnées peuvent, en raison du devoir de la CSSF, être transmises au Procureur d’État si les actes sont susceptibles de constituer un crime ou un délit, ou dans le cadre de procédures pénales à l’encontre de l’entité concernée, auquel cas vous pouvez, le cas échéant, être appelé comme témoin.

 

Votre réclamation sera conservée sur les serveurs internes de la CSSF jusqu’à la clôture de la procédure ou durant les dix années suivantes. Ensuite, vos données personnelles seront supprimées.

 

Vous trouverez des informations complémentaires sur le traitement de vos réclamations sous :


Questions/Réponses - Réclamations 

Règlement CSSF N° 16-07 relatif à la résolution extrajudiciaire des réclamations

 

 

Lorsque vous agissez en tant que personne en charge du reporting ou personne de contact pour le compte d'une entité surveillée dans le cadre des formulaires en ligne

Lorsque vous agissez en tant que personne en charge du reporting ou personne de contact dans le cadre des formulaires en ligne de la CSSF, il vous sera demandé de fournir votre nom, courriel et accessoirement votre numéro de téléphone.

 

Ces informations seront utilisées pour vous contacter dans le cadre de la procédure concernée. Le traitement de vos données est nécessaire en vue d’accomplir une mission d’intérêt public ou dans le rôle institutionnel de la CSSF.

 

Toutes les données sont conservées sur les serveurs de la CSSF au Luxembourg durant la procédure concernée et aussi longtemps que l’exigeront les obligations de la CSSF.

 

 

Transferts des données en dehors de l'Espace économique européen

Comment et pourquoi la CSSF traite vos données personnelles ?

Compte tenu de la dimension internationale de nos missions de surveillance prudentielle du secteur financier et de surveillance des marchés d’instruments financiers, la CSSF est susceptible de transférer vos données personnelles à ses homologues situés dans l’Espace économique européen (EEE) et en dehors de l’EEE.

Par principe, la CSSF collecte et traite des données personnelles uniquement en vue d’accomplir les missions qui lui sont confiées, en application de l’article 2 de la Loi modifiée du 23 décembre 1998 portant création d’une commission de surveillance du secteur financier (la « Loi du 23 décembre 1998 »).

Dans le cadre de la coopération internationale avec ses homologues étrangers, la CSSF s’engage à mettre en place les garanties énoncées dans l’Arrangement administratif pour le transfert de données personnelles entre les autorités de surveillance du secteur financier de l’EEE et les autorités de surveillance du secteur financier des Etats tiers à l’EEE, sans préjudice des décisions d’adéquation de la Commission européenne à l’égard de certains Etats[1].

En particulier, lorsque la CSSF collecte et traite les données à caractère personnel transférées conformément à l’Arrangement administratif, elle garantit qu’elle :

  • transfèrera uniquement les données à caractère personnel adéquates et pertinentes, dans la limite de ce qui est nécessaire à la poursuite des finalités pour lesquelles elles sont transmises et ultérieurement traitées ;
  • disposera de mesures techniques et organisationnelles appropriées permettant de protéger les données à caractère personnel qui lui sont transmises contre tout traitement non autorisé ou illicite et contre leur destruction, leur perte, leur modification ou leur divulgation non autorisée ;
  • conservera les données à caractère personnel pour une durée qui n’excèdera pas celle qui est pertinente et nécessaire à la poursuite des objectifs pour lesquels elles sont traitées ;
  • ne prendra aucune décision, y compris de profilage, à l’égard d’une personne physique sur la seule base d’un traitement automatisé des données à caractère personnel, sans intervention humaine ;
  • ne divulguera pas vos données à caractère personnel à d’autres fins, notamment à des fins commerciales ou de marketing.

Quelles sont vos garanties au regard de l’Arrangement administratif ?

En ce qui concerne les données à caractère personnel transférées dans le cadre de l’Arrangement administratif, vous avez la possibilité d’être informé par la CSSF sur le traitement de vos données à caractère personnel, d’y accéder, de rectifier toute donnée à caractère personnel qui serait inexacte ou incomplète, ainsi que de demander leur effacement, la limitation de leur traitement, ou de vous opposer à leur traitement en adressant une demande écrite :

  • par courrier : Commission de Surveillance du Secteur Financier
                          DPO / Pascal Pirih
                          283, route d’Arlon
                          L-1150 Luxembourg

ou

Toutefois, en raison du caractère sensible de notre mission d’intérêt public et du secret professionnel auquel nous sommes astreints, ces garanties pourront être limitées dans certaines situations, notamment lorsqu’elles sont susceptibles de compromettre gravement la réalisation des objectifs des traitements concernés (article 14, paragraphe 5, lettre b) du RGPD), lorsque l’obtention ou la communication des informations sont expressément prévues par la loi (article 14, paragraphe 5, lettre c) du RGPD) ou lorsqu’elles portent atteinte au secret professionnel auquel la CSSF est soumise (article 14, paragraphe 5, lettre d) du RGPD et article 16 de la Loi du 23 décembre 1998 dont la violation est sanctionnée par l’article 458 du Code pénal).

Dans chaque cas, la CSSF évaluera si la restriction apportée est appropriée. La restriction apportée devra être nécessaire et prévue par la loi, et ne sera maintenue que tant que le motif fondant la restriction subsistera.


De quel recours disposez-vous ?

Si vous estimez que vos données personnelles n’ont pas été exploitées conformément à ces garanties, vous pouvez formuler une réclamation auprès de l’autorité qui a transféré les données, de l’autorité destinataire des données ou de ces deux autorités. Pour cela, vous pouvez contacter le Délégué à la protection des données de la CSSF, dont les coordonnées figurent ci-dessous. Dans ce cas, l’autorité concernée ou les autorités concernées s’efforceront de traiter la réclamation ou le différend à l’amiable dans les meilleurs délais.

Dans l’hypothèse où le différend ne serait pas résolu, d’autres moyens pourront être utilisés en vue de sa résolution, à moins que la demande ne soit manifestement infondée ou excessive. Ces moyens comprennent notamment la participation à une médiation, ainsi qu’à d’autres procédures non-contraignantes de règlement des différends engagées par la personne physique ou par l’autorité concernée.

Si le différend n’est pas résolu par la coopération des autorités, par une médiation ou par d’autres procédures non contraignantes de règlement des différends, et que l’autorité qui a transféré les données estime que l’autorité destinataire n’a pas agi conformément aux garanties énoncées dans l’Arrangement administratif, elle suspendra, en application de l’Arrangement administratif, le transfert de données personnelles vers cette autorité, jusqu’à ce qu’elle estime que le problème soulevé a été résolu de manière satisfaisante par l’autorité destinataire et vous en informera.


Contact

Pour toute question ou demande d’information sur ces recours, vous pouvez contacter la CSSF :

  •  par courrier : Commission de Surveillance du Secteur Financier
                          DPO / Pascal Pirih
                          283, route d’Arlon
                          L-1150 Luxembourg

 ou

 [1] La liste des Etats tiers reconnus comme présentant des garanties équivalentes est disponible en cliquant sur le lien suivant : https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

 

Avis 4/2019 du Comité européen de la protection des données

Arrangement administratif (uniquement en anglais)

Signature CSSF (uniquement en anglais)

 

Vos droits en tant que personne concernée

Sans préjudice des limites prévues par le RGPD, vous avez le droit de consulter les renseignements que la CSSF détient à votre sujet, et de demander à la CSSF de les corriger s’ils sont inexacts. Si votre consentement vous a été demandé afin de traiter vos données personnelles, vous pouvez retirer votre consentement en tout temps.

 

Si vos données personnelles sont traitées pour des raisons de consentement ou pour honorer un contrat, vous pouvez demander que vous soit envoyée une copie des informations sous un format lisible par une machine afin qu’elles puissent être transférées à un autre prestataire. 

 

Sans préjudice des limites prévues par le RGPD, si vos données personnelles sont utilisées pour des raisons de consentement, vous pouvez en demander la suppression.

 

Vous avez le droit de demander à la CSSF de cesser d’utiliser vos informations pendant une certaine période, si vous pensez qu’elle n’agit pas en toute légalité.

 

Enfin, dans certaines circonstances, vous pouvez demander à la CSSF de ne pas prendre de décisions qui vous concernent en utilisant le traitement ou le profilage automatisé.

 

Pour soumettre une demande concernant vos données personnelles par courriel, par voie postale ou par téléphone, veuillez utiliser les coordonnées figurant dans la section Sur la CSSF de la présente politique.

 

 

Votre droit à la réclamation

Si vous avez une réclamation à faire concernant l‘utilisation de vos informations, veuillez contacter directement la CSSF en premier lieu afin qu’elle puisse traiter votre réclamation. Cependant, vous pouvez également contacter la CNPD à partir de leur site Internet www.cnpd.lu ou leur écrire à l'adresse suivante :

 

Commission nationale pour la protection des données
Service des plaintes
1, avenue du Rock'n'Roll
L-4361 Esch-sur-Alzette

 

 

Mises à jour de la politique de confidentialité

La CSSF revoit régulièrement et, le cas échéant, actualise la présente politique à mesure que les services de la CSSF et les données personnelles évoluent. Au cas où la CSSF voudrait utiliser vos données personnelles d’une manière qu’elle n’aurait pas identifié auparavant, vous serez contacté afin de fournir des informations à cet égard et, le cas échéant, il vous sera demandé votre consentement.

 

La CSSF mettra à jour la version et la date de la présente politique de confidentialité à chaque changement.

 

Version 1.1 du 8 août 2019