Publié le 11 mars 2024

Le groupe La Poste place la protection des données à caractère personnel au cœur de ses missions et des services qui vous sont proposés.

La présente Politique illustre l’attachement que le groupe porte au respect des libertés et droits fondamentaux, à la vie privée et à la protection des données personnelles. Le groupe s’assure que les Données Personnelles qui lui sont confiées sont traitées de manière loyale et licite, et en toute transparence.

La présente Politique énonce ainsi les principes et lignes directrices suivis pour la protection de vos Données Personnelles et a pour objectifs de vous informer sur :

  • les Données Personnelles que le groupe collecte et les raisons de cette collecte,

  • la façon dont sont utilisées ces Données Personnelles,

  • ainsi que vos droits sur vos Données Personnelles.

Cette Politique s’applique à toutes les Données Personnelles traitées dans le cadre de la fourniture des services et produits du groupe, à l’exclusion de ceux proposés par les partenaires du groupe. Toutes les opérations sur ces Données Personnelles sont réalisées dans le respect de la réglementation en vigueur et notamment du Règlement européen sur la protection des données personnelles (ci-après « RGPD »), de la loi n°78-17 « Informatique, Fichiers et Libertés » du 6 janvier 1978 modifiée ainsi que ses décrets d’application (ci-après “la Règlementation” ou “la Règlementation applicable”).

La présente Politique est susceptible d’évoluer dans le temps afin notamment de tenir compte des modifications de la Réglementation ou pour signaler l’adaptation des pratiques du groupe aux évolutions technologiques. Nous vous recommandons de la consulter régulièrement sur le site.

QUELLES SONT LES PERSONNES CONCERNEES PAR CETTE POLITIQUE DE PROTECTION DES DONNEES ?

La présente Politique concerne toute personne dont les données sont traitées par le groupe ou une entité du groupe située en France ou en Union européenne. Certaines filiales sont susceptibles de disposer d’une politique qui leur est propre, qui peut venir compléter les présentes dispositions.

QUELLES SONT LES DONNEES PERSONNELLES QUE NOUS COLLECTONS ET COMMENT LES OBTENONS-NOUS ?

Le groupe La Poste respecte le principe de minimisation des données, en ce qu’elle s’engage à ne collecter que les données strictement nécessaires à la réalisation directe ou indirecte des services souscrits lorsqu’ils nécessitent de traiter les données personnelles des clients. Dans le cas où des données facultatives seraient demandées, le groupe informera clairement sur les Données Personnelles indispensables à la réalisation du service. Les Données Personnelles sont principalement collectées directement auprès de vous par le groupe et ne sont utilisées que pour les usages qui ont été portés à votre connaissance.

Certaines données traitées par le groupe peuvent, lorsque cela est nécessaire, être collectées de manière indirecte à partir des sources suivantes :

  • Soit des clients, précisant des informations sur des souscripteurs, des bénéficiaires, des ayants-droits, des contacts, des destinataires ;

  • Soit des tiers, tels que des partenaires commerciaux, des organismes de prévention de la fraude, des fournisseurs de données, des organisations (Organisation Mondiale des Douanes, …) et des membres de l’Union Postale Universelle ;

  • Soit de sources accessibles au public (données issues de publication/bases de données rendues accessibles par les autorités officielles, données issues de sites internet/réseaux sociaux contenant des informations rendues publiques par la personne elle-même…) ;

  • Soit d’administrations et autorités publiques.

En cas de collecte indirecte, le groupe s’engage à informer les personnes concernées dans le respect des conditions posées à l’article 14 du RGPD. Les principales catégories de Données Personnelles susceptibles d’être collectées sont :

  • Données d’identification et coordonnées de contact ; 

  • Données de vie personnelle ; 

  • Données de connexion liées à l’utilisation de nos services en ligne ou applications mobiles ;

  • Données relatives aux habitudes et préférences des personnes concernées.

  • Données collectées dans le cadre de vos interactions avec les entités du groupe.

Par ailleurs, certains services peuvent être utilisés par des mineurs. Dans ce cas, en cas de collecte directe, le groupe veillera à obtenir le consentement des mineurs auprès de leurs représentants légaux.

POURQUOI ET SUR QUELLE BASE LÉGALE COLLECTONS-NOUS DES DONNEES PERSONNELLES ?

La finalité d’un traitement correspond à l’objectif poursuivi par le Responsable de traitement. Le groupe s’engage à traiter les Données Personnelles qu’il collecte ou détient pour des finalités déterminées, explicites et légitimes, et à ne pas les traiter ultérieurement d’une manière incompatible avec ces finalités.

Les différentes bases légales sur lesquelles se fonde le groupe pour traiter les données, ainsi que les principales finalités qui y sont rattachées sont les suivantes :

  • Le recueil du consentement de la personne concernée ;

  • L’exécution d’un contrat auquel la personne concernée est partie, ou l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

  • Le respect d’obligations légales et réglementaires ;

  • Les intérêts légitimes poursuivis par le groupe ;

  • L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le groupe

Vous pouvez consulter la liste complète des finalités des traitements ainsi que leur base légale et les durées de conservation des données personnelles issues des traitements mis en œuvre par le groupe en cliquant sur les liens suivants :

  • Pour les traitements concernant les clients particuliers en cliquant ici.

  • Pour les traitements concernant les clients professionnels en cliquant ici.

D’une manière générale, les finalités, la durée de conservation et la base légale diffèrent selon les services et produits concernés.

Le groupe peut également agir en tant que sous-traitant au sens du RGPD. Dans ce cas, il s’engage à respecter les obligations prévues à ce titre par la réglementation applicable ainsi que ses obligations contractuelles vis-à-vis du donneur d’ordres, notamment s’agissant des finalités et bases légales déterminées par le Responsable du traitement. Le groupe ne traite ainsi les données à caractère personnel que sur instruction documentée du Responsable du traitement.

  • Les partenaires du groupe, après acceptation préalable de votre part ;

  • Les cocontractants, les bénéficiaires de prestations, les ayants-droits habilités ou tout tiers désigné par les clients ou utilisateurs de nos services et/ou produits, en vertu des relations contractuelles;

  • les organismes publics, les auxiliaires de justice, les officiers ministériels, les avocats, les autorités administratives ou judiciaires, afin de se conformer à toute loi ou réglementation en vigueur, ou pour répondre à toute demande judiciaire ou administrative, dans le cadre du respect des obligations légales incombant au groupe ou pour lui permettre d’assurer la défense de ses droits et intérêts ;

  • les médiateurs, les autorités de tutelle et de contrôle habilités à recevoir de telles données ;

  • les services chargés du contrôle tels que les commissaires aux comptes et les auditeurs, les Douanes et les Postes des pays dans lesquels vous envoyez vos marchandises.

A QUELS SERVICES OU ORGANISMES PRIVÉS OU PUBLICS PEUVENT ÊTRE COMMUNIQUÉES LES DONNÉES PERSONNELLES ?

Les Données Personnelles communiquées au groupe La Poste sont, lorsque le groupe est responsable de traitement, susceptibles d'être transmises aux

destinataires suivants :

Destinataires internes au groupe :

  • Les services, directions et unités d’affaires constituant le groupe habilités à accéder à ces informations ;

  • Les filiales du groupe.

Destinataires extérieurs, ne faisant pas partie du groupe :

  • Les prestataires techniques du groupe y compris ses sous-traitants, dans le cadre strict des missions qui leur sont confiées ;

  • Les partenaires du groupe, après acceptation préalable de votre part ;

  • Les cocontractants, les bénéficiaires de prestations, les ayants-droits habilités ou tout tiers désigné par les clients ou utilisateurs de nos services et/ou produits, en vertu des relations contractuelles;

  • les organismes publics, les auxiliaires de justice, les officiers ministériels, les avocats, les autorités administratives ou judiciaires, afin de se conformer à toute loi ou réglementation en vigueur, ou pour répondre à toute demande judiciaire ou administrative, dans le cadre du respect des obligations légales incombant au groupe ou pour lui permettre d’assurer la défense de ses droits et intérêts ;

  • les médiateurs, les autorités de tutelle et de contrôle habilités à recevoir de telles données ;

  • les services chargés du contrôle tels que les commissaires aux comptes et les auditeurs, les Douanes et les Postes des pays dans lesquels vous envoyez vos marchandises.

POUR COMBIEN DE TEMPS SONT CONSERVEES LES DONNEES PERSONNELLES ?

La durée de conservation des Données Personnelles varie en fonction de leur nature et de la finalité poursuivie par le traitement concerné. Lorsqu’une Donnée Personnelle est collectée pour plusieurs finalités, elle est conservée jusqu’à l’épuisement du délai de conservation le plus long. Le groupe s’engage à ne pas conserver les Données Personnelles au-delà de la durée nécessaire à la fourniture de ces produits ou services.

Les principales durées de conservation des données personnelles par le groupe sont :

  • Pour la gestion du client et des produits et services offerts par le groupe :

    o   Souscription et ouverture d’un compte « Mon Compte La Poste », gestion, respect des obligations légales et réglementaires liées à la gestion du compte : 3 ans à compter de la dernière authentification ou de la date de suppression du compte, sous réserve qu’aucun service associé à « Mon Compte La Poste » ne soit encore actif ;

    o   Gestion des achats en ligne : 3 ans à compter de la dernière transaction ;

    o   Gestion des préférences de livraison : 5 ans.

    o   Durée de la relation contractuelle.

  • Pour la prospection commerciale : 3 ans à compter du dernier contact avec le prospect ou jusqu’au retrait du consentement

  • Pour les enregistrements de conversation téléphoniques dans le cadre du service client : 6 mois à compter de la date de l’enregistrement.

  • Pour la détection, la prévention et la lutte contre la fraude et la cybercriminalité : 12 mois à compter de la date de l’alerte pour fraude.

  • Pour le traitement des demandes d’exercices de droits : 5 ans pour les données relatives au traitement de vos demandes, et 1 an pour les pièces justificatives d’identité.

  • Pour la tenue de la comptabilité : 10 ans à compter de la clôture de l’exercice en cours

Au terme de ces délais, le groupe s’engage à ce qu’il soit procédé à leur destruction conformément à sa politique interne ou les anonymise pour les utiliser à des fins statistiques, archivistiques ou historiques.

Lorsque l’entité du groupe agit en qualité de sous-traitant, au terme de la prestation et selon le choix du Responsable du traitement prévu au contrat, elle supprime ou restitue au Responsable du traitement les données personnelles qu’elle a traitées pour son compte, sous réserve des réclamations en cours et des obligations légales et réglementaires.

LES DONNEES PERSONNELLES PEUVENT-ELLES ETRE TRANSFEREES EN DEHORS DE L’UE ?

Les Données Personnelles traitées par le groupe La Poste sont hébergées au sein de l’Union Européenne (UE) ou de l’Espace Economique Européen (EEE). Toutefois, pour certaines prestations spécifiques, certaines entités du groupe peuvent avoir recours à des sous-traitants établis en dehors de l’UE ou de l’EEE, dont certains sont situés dans des pays ne faisant pas l’objet d’une décision d’adéquation rendue par la Commission européenne (exemples : Maroc, Inde, Sénégal, Tunisie, Ile Maurice, Etats-Unis). Ces sous-traitants exécutent des tâches opérationnelles pour le compte de l’entité du groupe dans le cadre des finalités de traitement déterminées par l’entité concernée. Ces sous-traitants peuvent avoir accès aux Données Personnelles strictement nécessaires à la réalisation de leurs missions. Dans ce cas, conformément à la règlementation en vigueur, le groupe exige de ses sous-traitants qu’ils fournissent les garanties appropriées notamment la signature de clauses contractuelles types de la Commission européenne et le cas échéant la mise en place de mesures complémentaires ou l’adoption par ces derniers de Règles d’entreprise contraignantes (Binding Corporate Rules).

COMMENT LE GROUPE LA POSTE PROTEGE-T-ELLE LES DONNEES PERSONNELLES QUI LUI SONT CONFIEES ?

Le groupe La Poste s’engage à prendre en compte la protection des Données Personnelles et de la vie privée des personnes concernées dès la conception des nouveaux produits ou services qui leur sont proposés, et à prendre ainsi toutes mesures afin d’assurer la sécurité et la confidentialité des Données Personnelles. En particulier le groupe met en œuvre toutes les mesures techniques et organisationnelles propres à garantir la sécurité et la confidentialité des Données Personnelles collectées et traitées et notamment à empêcher qu’elles soient déformées, endommagées, détruites ou communiquées à des tiers non autorisés, en assurant un niveau de sécurité adapté aux risques liées au traitement et à la nature des données personnelles à protéger. Conformément à la réglementation européenne, ces mesures peuvent consister, entre autres, au chiffrement, à l’anonymisation, à la pseudonymisation, au cloisonnement, ou encore à la restriction d’accès aux données.

Par ailleurs, le groupe impose à chacun des destinataires des Données Personnelles de respecter les garanties de sécurité et de confidentialité adaptées. En cas de violation de données personnelles au sens de l’article 4 du RGPD affectant les Données Personnelles traitées (destruction, perte, altération ou divulgation), le groupe La Poste s’engage à respecter l’obligation de notification des violations de Données Personnelles, notamment auprès de la CNIL, dans les meilleurs délais et, dans la mesure du possible soixante-douze (72) heures après avoir pris connaissance de toute violation susceptible d’engendrer un risque pour les droits et libertés.

QUELS SONT LES DROITS CONCERNANT LES DONNEES PERSONNELLES ET COMMENT LES EXERCER ?

Lorsque le groupe La Poste collecte vos Données Personnelles, vous recevez, par le biais des mentions d’information, une information claire et transparente sur les traitements effectués ainsi que sur les droits qui vous sont reconnus et leurs modalités d’exercice.

Selon la réglementation :

  • Vous avez le droit d’accéder aux données personnelles que nous détenons à votre sujet. Cela inclut le droit de nous demander des informations complémentaires sur :

    o    les catégories de données que nous traitons

    o   les finalités du traitement des données

    o   les destinataires et les catégories de destinataires à qui vos données ont été transmises

    o   lorsque cela est possible, la durée de conservation des données ou lorsque ce n’est pas possible les critères pour déterminer cette durée.

Le groupe s’engage à communiquer ces informations dans un format compréhensible, ou sous une forme conforme à votre demande dans les limites des moyens techniques disponibles, le cas échéant.

  • Vous avez le droit de nous faire corriger les données personnelles inexactes ou incomplètes vous concernant ;

  • Vous pouvez vous opposer à tout moment pour des raisons tenant à votre situation particulière, au traitement de vos données personnelles lorsque que celui-ci est basé sur notre intérêt légitime, à moins que ce dernier ne prévale sur vos propres intérêts et vos droits et libertés, ou que le traitement ne soit nécessaire à la constatation, l’exercice ou la défense de droits en justice. Nous continuerons également d’utiliser vos données personnelles lorsque la loi nous y oblige ou si nous devons le faire pour exécuter une obligation contractuelle ;

  • Vous pouvez également, à tout moment, vous opposer au traitement de vos données personnelles lorsque ce traitement est effectué à des fins de prospection commerciale par voie électronique ou postale, en ce inclus lorsque le traitement concerné constitue un profilage ;

  • Vous avez le droit d’être « oubliées » par nous en exerçant votre droit d’effacement sur vos données, sauf si leur conservation est nécessaire au respect d’une obligation légale par le groupe, pour assurer l’exécution d’un contrat en cours avec vous, pour permettre au groupe d’exercer ou défendre ses droits en justice ou à des fins archivistiques, historiques ou scientifiques ;

  • Vous avez le droit de demander la suspension du traitement de vos Données Personnelles, notamment pour contester l’exactitude de vos Données ou si vous vous opposez à ce que vos données soient traitées ;

  • Vous pouvez demander à ce que vos Données Personnelles soient récupérées dans un format structuré, couramment utilisé et lisible afin d’en disposer et de les transmettre à un autre responsable de traitement, sous réserve que l’exercice de ce droit ne porte pas atteinte aux droits des tiers, dont les données se trouveraient transmises suite à une demande de portabilité ;

  • Vous avez la faculté de fournir des directives relatives au sort de vos Données personnelles après votre décès ;

  • Vous pouvez également retirer votre consentement à tout moment, pour les cas où celui-ci vous aurait été demandé. Cela vous permettra notamment de modifier et/ou retirer votre consentement concernant la prospection commerciale.

  • Vous pouvez exercer vos droits en justifiant de votre identité, en précisant a minima vos nom, prénom et le produit ou service concerné.

 Pour les traitements mis en œuvre par La Poste SA (maison-mère) en renseignant notre formulaire prévu à cet effet, en cliquant ici.

Vous pouvez également le faire en vous adressant à : La Poste - BP 10245 - 33506 Libourne Cedex Si vous disposez d’un Compte La Poste, vous pouvez également modifier vos données personnelles en se connectant sur « Mon Compte La Poste », accessible sur le site laposte.fr. Pour les traitements mis en œuvre par une filiale du groupe La Poste, en s’adressant au service désigné par chaque filiale dont les coordonnées sont indiquées dans les mentions d’information du service que vous avez souscrit ou sur le site internet de la filiale concernée au sein de sa politique de confidentialité.

Lorsque le groupe agit en qualité de Sous-traitant, il s’engage à aider le Client, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits.

COMMENT CONTACTER LE DELEGUE A LA PROTECTION DES DONNEES PERSONNELLES DESIGNE PAR LE GROUPE LA POSTE ?

Vous pouvez contacter le Délégué à la Protection des Données à l’adresse suivante : Le Délégué à la Protection des Données CP Y412 9 rue du Colonel Pierre Avia 75015 PARIS Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l’Informatique et des Libertés (3 place de Fontenoy - TSA 80715 – 75334 Paris cedex 07 ; tél. : 01 53 73 22 22).

ENGAGEMENT DE LA POSTE SUR L’INTELLIGENCE ARTIFICIELLE

De par la diversification constante de ses activités, le groupe La Poste est de plus en plus amenée à faire usage de l’intelligence artificielle (IA). De ce fait, dans le cadre de la mise en place de certains outils ou services, le traitement de vos données personnelles est susceptible d’impliquer l’intervention d’un système d’intelligence artificielle (SIA).

Cependant, nous pensons qu’il est essentiel :

  • d’une part, que ces pratiques respectent l’ensemble des principes de protection des données détaillés dans la présente politique ;

  • d’autre part, de toujours s’attacher à mesurer, limiter et surtout contrôler l’impact que peut avoir l’utilisation de l’IA sur le traitement de vos données.

En ce sens, le groupe La Poste fait de l’utilisation éthique de l’intelligence artificielle une priorité, de sorte à ce qu’elle reste toujours en cohérence avec les valeurs de confiance qu’elle porte.

Dans ce cadre, le groupe La Poste a notamment adopté une démarche éthique spécifique pour tout traitement de données impliquant un système d’intelligence artificielle.