Conditions générales d’utilisation et protection des données

Sommaire

    Conditions générales d'utilisation

    Toute personne faisant usage de ce site et de son contenu est réputée avoir pris connaissance et accepté l’intégralité des termes et mentions des présentes conditions générales d’utilisation.

    La CSSF se réserve le droit de modifier, à tout moment et sans préavis, les présentes conditions générales pour des raisons de mise à jour des contenus, en raison de l’évolution de la législation ou pour tout autre motif jugé nécessaire. Il appartient à l’usager de s’informer sur les conditions générales d’utilisation du site, dont seule la version actualisée accessible en ligne est réputée en vigueur.

    Propriété intellectuelle

    Sauf indication contraire, l’usager est autorisé à consulter, télécharger, sauvegarder et imprimer les informations disponibles sur ce site. Hormis le remplissage des champs des formulaires, aucune autre modification ne peut être effectuée, de quelque manière que ce soit, aux informations et données qui y sont publiées. Aucune reproduction ou diffusion des informations reprises sur ce site n’est permise sans l’autorisation écrite préalable de la CSSF.

    Ce site peut inclure des contenus n’appartenant pas à la CSSF. Ces contenus sont soumis aux droits d’auteurs et aux conditions générales d’utilisation de leurs auteurs, même si les contenus concernés ne renvoient pas expressément aux droits d’auteurs de tiers.

    Sites externes à la CSSF

    Ce site peut contenir des références sous forme de liens vers des pages et documents externes à la CSSF. De telles références ne représentent aucunement le consentement ou la reprise inconditionnelle de ces contenus par la CSSF. La CSSF décline toute responsabilité quant au contenu et à l’accessibilité des documents et sites auxquels elle renvoie. L’accès aux pages et documents externes à la CSSF se fait aux risques de l’utilisateur.

    Modifications et disponibilité du site Internet

    La CSSF se réserve le droit de modifier ou de faire évoluer ce site, ainsi que d’en suspendre l’accès, sans préavis, pour tout motif jugé nécessaire. La CSSF pourra notamment à tout moment retirer, ajouter, modifier, compléter ou préciser tout ou une partie des informations, services et applications proposés sur le site.

    Limitations générales de responsabilité

    Le présent site Internet a été rédigé avec le plus grand soin. La CSSF s’efforce d’assurer au mieux l’amélioration, l’actualisation et l’exhaustivité des contenus du site. Cependant, elle ne garantit ni expressément ni implicitement l’exhaustivité, l’actualité ou l’exactitude des informations et documents consultables, ni l’accès sans entrave à ce site. Les informations contenues sur ce site ne constituent pas un conseil légal. La responsabilité de la CSSF ou de ses agents ne saurait en outre être engagée pour un quelconque dommage, direct ou indirect, lié à l’utilisation de ce site ou du contenu qui y est mis à disposition.

    Loi applicable et juridiction compétente

    Tout litige relatif à l’utilisation de ce site Internet sera soumis à la loi luxembourgeoise et relèvera de la compétence exclusive des juridictions luxembourgeoises.

    Protection des données

    1. Préambule

    La Commission de Surveillance du Secteur Financier (CSSF) est l’autorité de surveillance du secteur financier luxembourgeois. Ses missions et son champ de compétences sont définis par la section 2 de la loi du 23 décembre 1998 portant création d’une Commission de surveillance du secteur financier (ci-après, la « Loi organique »). La CSSF conduit ses missions de surveillance prudentielle et des marchés dans le but de contribuer à la solidité et à la stabilité du secteur financier et ce, exclusivement dans l’intérêt public. Dans le cadre de l’exercice de ses compétences elle veille notamment au respect, par les personnes agréées et les émetteurs, des réglementations qui leur sont applicables, y compris celles visant à assurer la protection des consommateurs financiers et la prévention de l’utilisation du secteur financier à des fins de blanchiment ou de financement du terrorisme. La CSSF représente la supervision luxembourgeoise sur la scène internationale et européenne.

    Dans ce contexte, la CSSF souligne son attachement à la protection de vos données à caractère personnel (ci-après, « Données à caractère personnel » ou « Données ») et veille au respect du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (ci-après, le « RGPD ») ainsi que de la législation luxembourgeoise applicable en la matière.

    Les Données à caractère personnel visées par la présente politique (la « Politique ») sont celles des tiers externes à la CSSF (excluant le personnel de la CSSF, à savoir les membres de la direction de la CSSF, le directeur résolution, les agents assimilés aux fonctionnaires de l’Etat, les agents stagiaires, les employés assimilés aux employés de l’Etat, les salariés assimilés aux salariés de l’Etat, les stagiaires et étudiants et les prestataires internes) qui sont ci-après dénommés individuellement la « Personne concernée » (telle que définie ci-après) ou « Vous », soit :

    • les personnes physiques directement surveillées par la CSSF ;
    • les personnes physiques travaillant au sein des entités surveillées (agents, employés, membres des organes de direction, titulaires de postes-clés, actionnaires, intermédiaires et autres intervenants, etc.) ;
    • les personnes physiques au sein d’autorités ou organismes nationaux, étrangers et internationaux avec lesquelles la CSSF est amenée à coopérer ;
    • toute personne prestant un ou plusieurs service(s) pour la CSSF dans le cadre d’un contrat de prestation de services ayant pour objectif l’accomplissement de tâches sans lien avec les missions légales de la CSSF, en ce compris notamment les déménagements, l’entretien courant des locaux (travaux de nettoyage, réparations, etc.), la conciergerie et la gestion des restaurants de la CSSF ;
    • toute autre personne sur laquelle la CSSF a pu collecter des Données à caractère personnel aux fins décrites en préambule.

    Les personnes qui ont postulé à une offre d’emploi ou qui ont envoyé une candidature spontanée sont informées du Traitement de leurs Données à caractère personnel par le biais d’une politique spécifique nommée « Politique de confidentialité applicable aux candidatures » disponible via l’espace Recrutement du site Internet de la CSSF : https://careers.cssf.lu/fr/accueil/

    La présente Politique vous renseigne sur les éléments suivants :

    • Qui est le Responsable du traitement ? Comment nous contacter ?
    • Pourquoi traitons-nous des Données à caractère personnel ?
    • Quelles sont les finalités de Traitement ?
    • Combien de temps les Données sont conservées ?
    • Avec qui partageons-nous ces Données ?
    • Comment vos Données sont protégées ?
    • Vos droits en tant que Personne concernée ?
    • Mise à jour de la Politique.

    2. Concepts

    Les concepts suivants sont utilisés dans la présente Politique :

    • Données personnelles ou Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « Personne concernée »); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale – Article 4(1) RGPD.
    • Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés, et appliquées à des Données ou des ensembles de Données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction – Article 4(2) RGPD.
    • Responsable du traitement: la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement; lorsque les finalités et les moyens de ce Traitement sont déterminés par le droit de l’Union européenne ou le droit d’un État membre, le Responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union européenne ou par le droit d’un État membre – Article 4(7) RGPD.

    3. Qui est le Responsable du traitement et comment nous contacter ?

    La Commission de Surveillance du Secteur Financier (CSSF), personne morale de droit public établie au 283, route d’Arlon L-1150 Luxembourg, agit en tant que Responsable du traitement de vos Données à caractère personnel.

    Nous avons désigné un délégué interne à la protection des Données (data protection officer ou « DPO ») que Vous pouvez contacter en cas de questions concernant nos politiques ou nos pratiques en matière protection des Données à caractère personnel. Vous pouvez contacter le DPO par courrier électronique ou voie postale à l’adresse suivante :

    Commission de Surveillance du Secteur Financier

    DPO / Pascal Pirih
    283, route d’Arlon
    L-1150 Luxembourg

    dpo@cssf.lu

    4. Pourquoi traitons-nous des Données à caractère personnel ?

    Nous traitons les Données personnelles des Personnes concernées dans le cadre de :

    • l’exécution des missions d’intérêt public ou de prérogatives de puissance publique conférées à la CSSF par le législateur ;
    • l’utilisation du site Internet de la CSSF ;
    • l’utilisation des guichets digitaux ;
    • l’envoi de requêtes à partir du site Internet de la CSSF ;
    • l’abonnement aux nouveautés parues sur le site Internet de la CSSF ;
    • le signalement d’une violation du cadre réglementaire de la place financière (lanceur d’alerte (whistleblowing)) ;
    • la soumission d’une réclamation ;

    Mais aussi :

    • lorsque Vous effectuez une mission de travail quelconque pour la CSSF (sous-traitance / prestation) ;
    • lorsque Vous vous rendez physiquement dans les locaux de la CSSF.

    4.1. L'exécution des mission d'intérêt public ou l'exercice de l'autorité publique attribuée à la CSSF

    Il s’agit, entre autres, des Données personnelles que Vous nous fournissez ou qui nous parviennent par des tiers (de quelque manière que ce soit, y compris via les guichets digitaux) dans le cadre de notre surveillance prudentielle, de la surveillance des marchés d’instruments financiers (y compris de leurs opérateurs), de la résolution, du contrôle en matière de lutte contre le blanchiment et le financement du terrorisme, de la protection des consommateurs financiers et de la supervision publique de la profession d’audit.

    Les Données à caractère personnel que traite la CSSF aux fins de l’exercice de ses missions d’intérêt public et de l’exercice de l’autorité publique dont elle est investie, seront conservées aussi longtemps que Vous, ou la personne physique ou morale soumise à notre supervision pour laquelle vous travaillez ou auprès de laquelle vous exercez ou avez exercé une fonction, êtes soumis au contrôle de la CSSF. La CSSF peut continuer à traiter vos Données à caractère personnel au-delà de cette période, par exemple dans la mesure où celles-ci pourraient redevenir pertinentes pour l’exercice de notre supervision ou dans le cadre d’éventuelles actions en responsabilité.

    4.2. Utilisation du site Internet de la CSSF (politique en matière de cookies)

    La CSSF utilise des cookies sur son site Internet mais qui ne sont pas intrusifs dans le sens où :

    • ils ne sont pas utilisés pour collecter des Données personnelles Vous concernant de quelque manière que ce soit ;
    • la CSSF n’utilise pas de cookies de ciblage ou publicitaires qui permettraient un profilage.

    Lorsque Vous utilisez le site Internet de la CSSF aux fins notamment de consulter les informations qu’elle rend publiques, de télécharger des documents ou d’utiliser des formulaires en ligne, un certain nombre de cookies est utilisé par la CSSF ainsi que par des tierces parties afin de permettre au site de fonctionner, de recueillir des informations utiles sur les visiteurs et d’améliorer votre expérience d’utilisateur.

    Gerer les cookies

    Les cookies utilisés sur www.cssf.lu :

    4.3. Utilisations des guichets digitaux

    Lorsque Vous créez un compte dans un des guichets digitaux mis à disposition par la CSSF, il Vous est demandé de fournir votre nom, adresse courriel, mot de passe et accessoirement le nom de la société et son adresse.

    Ces informations sont utilisées afin de sécuriser votre accès au guichet concerné.

    Votre compte est conservé tant que Vous utilisez le guichet et que Vous ne supprimez pas votre accès.

    La CSSF n’utilise pas les informations que Vous fournissez en vue de générer des décisions automatisées susceptibles de Vous affecter.

    La CSSF conserve les requêtes sous forme de courriels pendant un an, délai après lequel elles sont supprimées.

    4.4. Envoi de requêtes à partir du site Internet de la CSSF

    Lorsque Vous soumettez une requête à partir du site Internet de la CSSF, il Vous est demandé de fournir votre nom, adresse courriel, et accessoirement le nom de la société et son adresse.

    Ces informations sont utilisées afin de répondre à votre requête. La CSSF peut Vous contacter par courriel à la suite de votre requête afin de faire un suivi et de s’assurer que Vous avez obtenu une réponse satisfaisante.

    Votre requête est conservée et traitée en tant que courriel hébergé sur les serveurs de la CSSF au Luxembourg.

    La CSSF n’utilise pas les informations que Vous fournissez en vue de générer des décisions automatisées susceptibles de Vous affecter.

    La CSSF conserve les requêtes sous forme de courriels pendant un an, délai après lequel elles sont supprimées.

    4.5. Abonnement aux nouveautés parues sur le site Internet de la CSSF

    Lorsque Vous vous abonnez aux nouveautés parues sur le site Internet de la CSSF, il est demandé de fournir votre adresse courriel.

    Conformément à l’article 6 (1)(a) du RGPD votre consentement Vous sera demandé avant d’utiliser votre adresse courriel pour Vous envoyer les informations suivantes en fonction de votre sélection entre ces éléments : avertissements, sanctions et mesures administratives infligées par la CSSF, communiqués, législation et réglementation, newsletter, reporting légal, statistiques, UE/international et autres publications.

    Afin de remplir cet objectif, nous faisons appel à un sous-traitant localisé dans l’Union Européenne et qui présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection de vos données personnelles.

    Votre adresse courriel est conservée sur des serveurs situés dans l’Union Européenne.

    La CSSF n’utilise pas les informations que Vous fournissez pour générer des décisions automatisées susceptibles de Vous affecter.

    La CSSF conserve votre adresse courriel aussi longtemps qu’elle élabore et diffuse ses nouveautés. En cas de retrait de votre consentement, la CSSF cessera immédiatement de Vous envoyer les nouveautés et votre adresse courriel sera supprimée de la base de données de la CSSF et du sous-traitant.

    4.6. Signalement d'une violation du cadre réglementaire de la place financière (whistleblowing)

    Lorsque vous signalez une violation du cadre réglementaire de la place financière (lanceur d’alerte (whistleblowing)) via le formulaire prévu à cet effet, ou via toute autre méthode exposée sur la page Protection des lanceurs d’alerte, il vous est demandé de fournir au minimum votre nom (sauf si le signalement est effectué de manière anonyme), une adresse courriel, ainsi que l’objet dudit signalement. Ces informations peuvent être complétées également par vos coordonnées personnelles, ainsi que toute pièce justificative pertinente dans la limite imposée par le canal de communication choisi.

    La CSSF utilisera ces informations afin de déterminer si elle est compétente pour traiter les faits rapportés, d’en analyser le fondement et de vous contacter pour tout complément d’information. Le Traitement de vos Données à caractère personnel est nécessaire en vue d’accomplir les missions d’intérêt public ou dans le rôle institutionnel de la CSSF qui lui sont attribués notamment par la loi du 23 décembre 1998 portant création d’une commission de surveillance du secteur et par les différentes lois dites « sectorielles » applicables au secteur financier. Pour plus d’informations concernant la mission et compétences de la CSSF, veuillez consulter la page dédiée.

    La CSSF s’engage à protéger l’identité du lanceur d’alerte ou whistleblower dans les limites de la loi applicable. En d’autres termes, ni l’identité de l’employé qui signale une violation ni l’identité de tierces parties qui pourraient être impliquées ne seront divulguées à la personne surveillée concernée, excepté dans les cas où la divulgation est inévitable du fait de la loi (p.ex. en raison du devoir de la CSSF d’informer le Procureur d’État si les actes sont susceptibles de constituer un crime ou un délit, ou dans le cadre de procédures pénales à l’encontre de l’entité concernée, auquel cas le lanceur d’alerte peut, le cas échéant, être appelé comme témoin).

    Lorsque la CSSF reçoit un rapport pour lequel elle n’est pas compétente et en vue d’assurer l’efficacité des rapports de whistleblowing, les informations seront transmises à l’autorité de surveillance compétente (p.ex. la Banque centrale européenne, ou autres autorités de surveillance du secteur financier de l’UE ou hors UE), sous réserve du respect des règles relatives au secret professionnel prévues à l’article 16 de la Loi organique et des dispositions du chapitre V du RGPD relatif aux transferts de Données à caractère personnel vers des pays tiers (voir section 5 ci-dessous).

    Les données personnelles obtenues par le biais d’un signalement jugé infondé, tombant en dehors du champ de compétence de la CSSF par les agents habilités sont effacées sans délai.

    Les données personnelles obtenues par le biais d’un signalement sont conservées sur les serveurs internes de la CSSF au Luxembourg pendant trois mois suivant la clôture de l’enquête menée par la CSSF dans l’exercice de ses missions respectives ou de la procédure concernant les faits allégués dans le signalement jusqu’à la fin de la période de recours.

    Vous trouverez de plus amples informations sur (i) la procédure pour les lanceurs d’alertes (whistleblowing) en cliquant sur la page dédiée et (ii) les règles de confidentialité relatives à la procédure de signalement à la CSSF de violations du cadre réglementaire de la place financière sur la page dédiée.

    4.7. Envoi d'une réclamation

    Lorsque Vous soumettez une réclamation en tant que personne physique, il Vous sera demandé de fournir votre nom, adresse courriel, la réclamation ainsi que des pièces justificatives, y compris une copie de votre carte d’identité ou tout document admis par la loi pour prouver l’identité d’une personne physique.

    La CSSF utilisera lesdites informations afin de déterminer si elle a compétence pour traiter la réclamation, d’en analyser le fondement et de Vous contacter pour toute information supplémentaire. Le Traitement de vos Données à caractère personnel est nécessaire en vue d’accomplir une mission d’intérêt public ou dans le rôle institutionnel de la CSSF.

    Votre réclamation sera conservée sur les serveurs internes de la CSSF au Luxembourg jusqu’à la clôture de la procédure ou durant les dix années suivantes. Ensuite, vos Données personnelles seront supprimées.

    Vous trouverez des informations complémentaires sur le traitement de vos réclamations en cliquant sur les liens ci-dessous :

    4.8. Lorsque Vous effectuez une mission de travail pour la CSSF (sous-traitance/prestation)

    Nous pouvons également collecter et utiliser vos Données à caractère personnel si elles nous sont fournies par votre employeur ou une société à laquelle Vous êtes liés de quelque manière que ce soit, dans le cadre d’une relation contractuelle entre la CSSF et votre employeur ou ladite société.

    Il s’agit de votre nom, de votre adresse courriel et d’autres Données à caractère personnel et, dans certains cas, les références à vos travaux antérieurs et pièce d’identité.

    4.9. Lorsque Vous vous rendez physiquement dans les locaux de la CSSF

    La CSSF dispose d’un système de vidéosurveillance dans ses locaux. On entend par « vidéosurveillance », l’activité de surveillance par caméra vidéo ayant pour finalité :

    • de sécuriser les accès aux bâtiments ;
    • d’assurer la sécurité des membres du personnel ;
    • de détecter et d’identifier des comportements potentiellement suspects ou dangereux susceptibles de provoquer des accidents ou incidents ;
    • de repérer avec précision l’origine d’un incident ;
    • de protéger les biens de la CSSF (bâtiments, installations, matériel etc.) ;
    • d’organiser et d’encadrer une évacuation rapide du personnel en cas d’incident ;
    • de pouvoir alerter en temps utile les services de secours, d’incendie ou des forces de l’ordre ainsi que de faciliter leur intervention.

    La CSSF conserve ses images de vidéosurveillance pour une durée de quatorze (14) jours.

    La CSSF tient un registre des visites avec votre nom, celui de votre entreprise et la personne visitée.

    5. Avec qui partageons-nous ces Données ?

    5.1. Transferts des Données à caractère personnel à l'intérieur de l'Espace économique européen

    Dans le cadre de ses missions d’intérêt public et de l’exercice de prérogatives de puissance publique, la CSSF coopère notamment avec la Banque centrale européenne, la Banque centrale du Luxembourg, les autorités de surveillance et/ou de résolution des Etats membres de l’Union européenne, ainsi qu’avec les autres institutions, autorités ou organes nationaux et européens ayant des compétences en matière de protection des investisseurs et des déposants et de préservation de la stabilité financière. Vos Données personnelles peuvent, en raison de l’obligation de dénonciation de la CSSF conformément à l’article 23(2) du Code de procédure pénale, être transmises au Procureur d’État si les actes sont susceptibles de constituer un crime ou un délit.

    5.2. Transferts des Données à caractère personnel à des organisations internationales 

    Il est possible que la CSSF, dans le cadre de ses missions d’intérêt public et de l’exercice de prérogatives de puissance publique, et dans les limites des normes applicables, échange vos Données personnelles avec une organisation internationale. Lorsque tel est le cas, la CSSF s’assure que l’organisation internationale assure un niveau de protection adéquat (conformément à l’article 45 RGPD) ou qu’elle peut se prévaloir d’une dérogation, comme celle applicable en cas de transfert nécessaire pour des motifs importants d’intérêt public (conformément à l’article 49 RGPD) ou d’un autre instrument contenant des garanties appropriées et satisfaisant aux dispositions du chapitre V du RGPD relatif aux transferts de Données à caractère personnel vers des pays tiers ou à des organisations internationales.

    5.3. Transferts des Données à caractère personnel en dehors de l'Espace économique européen

    5.3.1. Comment et pourquoi la CSSF traite vos données personnelles ?

    Compte tenu de la dimension internationale de nos missions de surveillance prudentielle du secteur financier et de surveillance des marchés d’instruments financiers, la CSSF est susceptible de transférer vos Données personnelles à ses homologues situés dans l’Espace économique européen (EEE) et en dehors de l’EEE.

    Dans le cadre de la coopération internationale avec ses homologues étrangers, la CSSF s’engage à mettre en place les garanties énoncées dans l’Arrangement administratif pour le transfert de données personnelles entre les autorités de surveillance du secteur financier de l’EEE et les autorités de surveillance du secteur financier des Etats tiers à l’EEE, sans préjudice des décisions d’adéquation de la Commission européenne à l’égard de certains États1.

    En particulier, lorsque la CSSF collecte et traite les Données à caractère personnel transférées conformément à l’Arrangement administratif, elle garantit qu’elle :

    • transfèrera uniquement les Données à caractère personnel adéquates et pertinentes, dans la limite de ce qui est nécessaire à la poursuite des finalités pour lesquelles elles sont transmises et ultérieurement traitées ;
    • disposera de mesures techniques et organisationnelles appropriées permettant de protéger les Données à caractère personnel qui lui sont transmises contre tout Traitement non autorisé ou illicite et contre leur destruction, leur perte, leur modification ou leur divulgation non autorisée ;
    • conservera les Données à caractère personnel pour une durée qui n’excèdera pas celle qui est pertinente et nécessaire à la poursuite des objectifs pour lesquels elles sont traitées ;
    • ne prendra aucune décision, y compris de profilage, à l’égard d’une personne physique sur la seule base d’un Traitement automatisé des Données à caractère personnel, sans intervention humaine ;
    • ne divulguera pas vos Données à caractère personnel à d’autres fins, notamment à des fins commerciales ou de marketing.
    5.3.2. Quelles sont vos garanties au regard de l'Arrangement administratif ?

    En ce qui concerne les données à caractère personnel transférées dans le cadre de l’Arrangement administratif, Vous avez la possibilité d’être informé par la CSSF sur le Traitement de vos données à caractère personnel, d’y accéder, de rectifier toute Donnée à caractère personnel qui serait inexacte ou incomplète, ainsi que de demander leur effacement, la limitation de leur Traitement, ou de vous opposer à leur Traitement en adressant une demande écrite :

    par courrier :

    Commission de Surveillance du Secteur Financier

    DPO / Pascal Pirih
    283, route d’Arlon
    L-1150 Luxembourg

    ou

    par courriel : dpo@cssf.lu

    Toutefois, en raison du caractère sensible de la mission d’intérêt public et du secret professionnel auquel la CSSF est astreinte sommes astreints, ces garanties pourront être limitées dans certaines situations, notamment lorsqu’elles sont susceptibles de compromettre gravement la réalisation des objectifs des Traitements concernés (article 14, paragraphe 5, lettre b) du RGPD), lorsque l’obtention ou la communication des informations sont expressément prévues par la loi (article 14, paragraphe 5, lettre c) du RGPD) ou lorsqu’elles portent atteinte au secret professionnel auquel la CSSF est soumise (article 14, paragraphe 5, lettre d) du RGPD et article 16 de la Loi organique dont la violation est sanctionnée par l’article 458 du Code pénal).

    Dans chaque cas, la CSSF évaluera si la restriction apportée est appropriée. La restriction apportée devra être nécessaire et prévue par la loi, et ne sera maintenue que tant que le motif fondant la restriction subsistera.

    5.3.3. De quel recours disposez-vous ?

    Si Vous estimez que vos Données personnelles n’ont pas été exploitées conformément à ces garanties, Vous pouvez formuler une réclamation auprès de l’autorité qui a transféré les données, de l’autorité destinataire des données ou de ces deux autorités. Pour cela, Vous pouvez contacter le Délégué à la protection des données de la CSSF, dont les coordonnées figurent ci-dessous. Dans ce cas, l’autorité concernée ou les autorités concernées s’efforceront de traiter la réclamation ou le différend à l’amiable dans les meilleurs délais.

    Dans l’hypothèse où le différend ne serait pas résolu, d’autres moyens pourront être utilisés en vue de sa résolution, à moins que la demande ne soit manifestement infondée ou excessive. Ces moyens comprennent notamment la participation à une médiation, ainsi qu’à d’autres procédures non-contraignantes de règlement des différends engagées par la personne physique ou par l’autorité concernée.

    Si le différend n’est pas résolu par la coopération des autorités, par une médiation ou par d’autres procédures non contraignantes de règlement des différends, et que l’autorité qui a transféré les données estime que l’autorité destinataire n’a pas agi conformément aux garanties énoncées dans l’Arrangement administratif, elle suspendra, en application de l’Arrangement administratif, le transfert de Données personnelles vers cette autorité, jusqu’à ce qu’elle estime que le problème soulevé a été résolu de manière satisfaisante par l’autorité destinataire et Vous en informera.

    Contact

    Pour toute question ou demande d’information sur ces recours, Vous pouvez contacter la CSSF :

    par courrier :

    Commission de Surveillance du Secteur Financier

    DPO / Pascal Pirih
    283, route d’Arlon
    L-1150 Luxembourg

    ou

    par courriel : dpo@cssf.lu

    1 La liste des Etats tiers reconnus comme présentant des garanties équivalentes est disponible en cliquant sur le lien suivant : Adéquation en matière de protection des données pour les pays non membres de l’UE (europa.eu)
    Avis 4/2019 du Comité européen de la protection des données
    Arrangement administratif IOSCO (uniquement en anglais)
    La CSSF est signataire de l’Arrangement administratif. Une liste de toutes les autorités de l’EEE qui ont souscrit à l’Arrangement administratif figure à l’annexe A. Les autorités non-EEE ayant souscrit à l’Arrangement administratif sont listées à l’annexe B.

    6. Comment vos Données sont protégées ?

    La CSSF met en œuvre des moyens techniques et organisationnels afin de protéger vos Données à caractère personnel et de prévenir toute destruction, perte, altération ou modification, ainsi que tout accès ou divulgation non autorisé, volontaire ou non. Par ailleurs, la CSSF demande à ses prestataires de service traitant des Données à caractère personnel pour la CSSF d’également toujours prendre les mesures de sécurité nécessaires.

    7. Vos droits en tant que Personne concernée

    Sans préjudice de l’obligation générale au secret professionnel posée par l’article 16 de la Loi organique et sans préjudice des limites prévues par le RGPD, Vous avez le droit de consulter les renseignements que la CSSF détient à votre sujet, et de demander à la CSSF de les corriger s’ils sont inexacts. L’exercice du droit d’accès ne doit pas porter atteinte aux droits et libertés d’autrui.

    Lorsque le Traitement de vos Données personnelles repose sur le consentement, Vous avez à tout moment le droit de retirer votre consentement. Un tel retrait est sans conséquence sur la validité du Traitement de vos Données personnelles avant le retrait.

    Si vos Données personnelles sont traitées pour des raisons de consentement ou pour honorer un contrat, Vous pouvez demander que vous soit envoyée une copie des informations sous un format lisible par une machine afin qu’elles puissent être transférées à un autre prestataire. Ce droit ne s’applique pas au Traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont la CSSF est investie.

    Sans préjudice des limites prévues par le RGPD, Vous avez le droit de demander à la CSSF de cesser d’utiliser vos informations pendant une certaine période (droit à la limitation), si Vous pensez qu’elle n’agit pas en toute légalité.

    Pour exercer vos droits concernant vos Données à caractère personnel, par courriel ou par voie postale, veuillez utiliser les coordonnées du DPO renseignées à la section 3 ci-dessus. En cas de doute raisonnable quant à votre identité, Vous pourriez être invité à fournir une copie d’un document qui nous aidera à vérifier celle-ci. Il peut s’agir de tout type de document,  tel que votre carte d’identité ou votre passeport. L’utilisation que nous faisons des informations qui figurent sur votre document d’identification est strictement délimitée: les données ne seront utilisées qu’aux fins de vérification de votre identité, et ne seront pas stockées plus longtemps que nécessaire à cet effet.

    En cas de nécessité (litige, atteinte aux règles de protection des Données personnelles), Vous pouvez introduire une réclamation auprès de la Commission nationale pour la protection des données (CNPD) qui est au Luxembourg l’autorité compétente pour la protection des Données à caractère personnel, à partir de son site Internet www.cnpd.lu ou en lui écrivant à l’adresse suivante :

    Commission nationale pour la protection des données (CNPD)
    Service des réclamations
    15, Boulevard du Jazz
    L-4370 Belvaux

    8. Mise à jour de la Politique

    La CSSF revoit régulièrement et, le cas échéant, actualise la présente Politique à mesure que les services de la CSSF et les Données personnelles évoluent. Au cas où la CSSF voudrait utiliser vos Données personnelles d’une manière qu’elle n’aurait pas identifié auparavant, Vous serez contacté afin de Vous fournir des informations à cet égard et, si nécessaire, il Vous sera demandé votre consentement.

    La CSSF mettra à jour la version et la date de la présente Politique à chaque changement.

    Documentation