Déclaration de confidentialité applications d'e-banking

Informations concernant la protection des données pour les applications d’e-banking de la Banque Migros

1 Généralités

La Banque Migros SA («Banque Migros», «nous») offre un accès sûr à ses prestations d’e-banking via Internet, grâce à ses applications d’e-banking et de mobile banking pour smartphone, tablette et PC («application»).

Les indications ci-après offrent un aperçu des données traitées par l’application et des objectifs poursuivis.

Ces indications complètent nos Informations générales concernant la protection des données à la Banque Migros SA, que vous pouvez consulter à tout moment à l’adresse www.banquemigros.ch/bases ou obtenir directement chez nous, et qui s’appliquent également à l’utilisation de notre application.

2 Quelles sont les données personnelles traitées?

Tant que l’application n’est pas activée par la saisie du numéro de contrat e-banking et du code d’activation, elle peut être utilisée sans entrer de données personnelles.

Lors de l’activation de l’application, le système sollicite les données supplémentaires suivantes, dans le but de vous identifier ainsi que de lier l’application à l’appareil utilisé et à votre contrat e-banking:

  • numéro de contrat e-banking
  • code d’activation à usage unique
  • mot de passe

D’autres critères techniques sont automatiquement recensés en arrière-plan:

  • propriétés de l’appareil utilisé (type d’appareil et fabricant, système d’exploitation utilisé et version, ID de l’appareil, adresse IP, taille de l’écran, langue sélectionnée)
  • version de l’application

L’utilisation des prestations d’e-banking après activation repose sur les «Conditions d’utilisation des prestations d’e-banking» que vous avez acceptées à cet effet.

3 Comment vos données sont-elles protégées?

Pour assurer la protection des données, nous utilisons, entre autres, les dispositifs de sécurité suivants:

  • sur votre appareil: les rapports d’erreur et les données sensibles sont encodés, puis archivés localement par l’application;
  • lors de la transmission: l’application communique par liaisons codées et sécurisées;
  • à la Banque Migros: nous protégeons vos données grâce à des mesures organisationnelles et techniques contre l’accès non autorisé ou illicite, la modification ou l’abus.

Dans le cadre de la communication électronique, vos données sont transmises par l’intermédiaire d’un réseau public. Nous attirons cependant votre attention sur le fait que même en cas de transmission de données cryptée, l’émetteur et le destinataire d’un message ne sont pas cryptés et restent donc identifiables. Par conséquent, il ne peut être exclu que des tiers puissent consulter les données et en déduire l’existence de contacts avec la Banque Migros. Les données envoyées par le biais d’un réseau public peuvent également transiter par un pays tiers qui ne respecte pas les exigences en matière de protection des données de votre pays de résidence, même si l’expéditeur et le destinataire se trouvent dans le même pays.

4 Quels sont les droits système nécessaires à l’application?

L’utilisation de l’application requiert des droits garantissant son fonctionnement et sa sécurité. Ces droits varient en fonction de la plate-forme (smartphone, tablette, PC) et du système d’exploitation (Android, iOS, Windows, macOS).

Les droits pouvant être sollicités sont les suivants:

  • Accès à la caméra (uniquement pour smartphone): ce droit est nécessaire à la lecture de bulletins de versement et de codes-barres. Les images ne sont toutefois pas enregistrées, ni transmises à cet effet.
  • Accès à la caméra et au micro pour l’identification vidéo: si vous sélectionnez l’option «Identification vidéo» pour l’ouverture de compte, un accès unique à la caméra et au micro est nécessaire pour la durée de l’identification, afin de pouvoir communiquer avec nous et transmettre les images et les données audio requises.
  • Accès à la mémoire et aux données (lecture, modification, suppression): pour que l’application puisse enregistrer et lire localement ses propres données, les droits correspondants doivent être demandés.
  • Accès à Internet: l’accès à Internet est nécessaire pour que l’application puisse échanger des données avec les serveurs de la Banque Migros.
  • Lecture de contacts (uniquement pour smartphone): ce droit est utilisé exclusivement par la fonction «MobilePay P2P», afin de sélectionner des contacts locaux du carnet d’adresses aux fins de virements.
  • Recherche de comptes: ce droit est nécessaire à l’établissement de rapports d’erreur. L’option est désactivée par défaut et peut être activée manuellement par vos soins en cas de besoin.
  • Affichage via d’autres applications: sert à l’affichage protégé de données de transactions.
  • Désactivation du mode veille (tablette) ou déverrouillage de l’écran (smartphone), commande du vibreur: ces droits sont nécessaires pour signer des paiements.
  • Accès au capteur d’empreinte digitale (smartphone uniquement): si votre appareil dispose d’un capteur d’empreinte digitale, vous pouvez l’utiliser pour l’e-banking.

Pour des raisons de sécurité, des droits supplémentaires sont également nécessaires dans le but de lier l’application à un appareil unique. L’application utilise un identifiant d’appareil univoque afin d’éviter toute copie (à cette fin, l’autorisation de «lire l’état du téléphone et l’identité», notamment, est requise).

Comme dispositif d’autoprotection, l’application utilise par ailleurs des fonctions de sécurité permettant, par exemple, d’identifier les applications et paramètres (p. ex. «Jailbreaks») potentiellement dangereux pour la sécurité de l’accès à l’e-banking (l’autorisation d’«appeler des applications actives», par exemple, est requise).

Si vous utilisez le «mobile widget» sur un smartphone Android, cette fonction nécessite les droits de création et de gestion d’un compte local et des paramètres de synchronisation correspondants.

Si vous avez acquis un appareil de remplacement (Air+) auprès de la Banque Migros et souhaitez l’utiliser avec un smartphone ou une tablette, les autorisations Bluetooth nécessaires au raccordement et à l’utilisation de l’appareil de remplacement sont indispensables. Pour cela, Android doit avoir accès à la position géographique approximative.

Si vous n’avez pas besoin de certaines fonctions, vous pouvez en supprimer les droits à tout moment (p. ex. pour la caméra, le micro, les contacts, Bluetooth ou la position géographique). Les possibilités en la matière dépendent du système d’exploitation utilisé.

5 Fichiers d’historique

Afin de garantir une exploitation sûre et correcte et de pouvoir analyser les erreurs, les accès à nos prestations d’e-banking depuis l’application sont documentés dans des fichiers d’historique sur nos serveurs. Le stockage des informations se fonde sur nos intérêts légitimes.

6 Analyses d’utilisation

Nous utilisons le logiciel «Dynatrace APM» du fabricant Dynatrace LLC, 1601 Trapelo Road, # 116 Waltham, MA 02 451, USA, en raison de nos intérêts légitimes d’analyser l’utilisation de l’application, d’optimiser les performances et de corriger les erreurs liées à l’application. Par ailleurs, les messages d’erreur et les traces d’appels peuvent nous être transmis en cas de plantage. Il est alors possible que des données à caractère personnel soient également saisies.

Les données recueillies par Dynatrace APM sont stockées et évaluées localement, exclusivement chez nous. Elles ne sont pas transmises à des prestataires externes ou au fabricant. Les données sont automatiquement supprimées après l’évaluation, dans un délai de 90 jours.

7 Liens externes

Certains liens dans l’application conduisent à des pages web en dehors de celle-ci (p. ex. recherche de sites). Les déclarations relatives à la protection des données des pages web appelées s’appliquent dans ce cas.

8 Notifications par SMS, push et e-mail

L’envoi de notifications par SMS, push et e-mail depuis l’e-banking n’est pas crypté; les données peuvent donc être interceptées et consultées par des tiers. La Banque Migros SA apparaît en tant qu’expéditrice, ce qui permet à des tiers d’identifier votre relation bancaire avec nous. Par conséquent, le secret bancaire n’est pas garanti lors de l’activation des notifications par SMS, push et e-mail.

9 eBill

Pour l’utilisation des prestations «eBill», les dispositions relatives à la protection des données de la société SIX PayNet SA, Hardturmstrasse 201, 8021 Zurich, Suisse, s’appliquent. Elles peuvent être consultées à l’adresse internet Déclaration de confidentialité de SIX (ebill.ch).

Dès que vous accédez aux détails des factures de l’émetteur de facture, vous quittez la zone sécurisée de l’application. Il est dès lors également possible d’identifier votre relation bancaire.

Lorsque vous demandez à être informé(e) par e-mail des nouvelles factures et avis eBill des émetteurs de factures, cela se fait en général de manière non cryptée via des réseaux non sécurisés.

Les données peuvent également être traitées à l’étranger dans le cadre des prestations eBill. Pour le traitement des prestations eBill, la communication des détails des factures, les messages d’état, etc. sont transmis et traités dans les systèmes de Six Paynet SA. Il est possible que les établissements financiers chargés du traitement des paiements aient accès à certaines de vos données. En outre, SIX Paynet SA peut transmettre certaines informations sur le statut à l’émetteur de facture. Pour cette raison, en utilisant eBill, vous libérez la Banque Migros et SIX Paynet SA, notamment pour la fourniture des prestations eBill et des prestations de support, de leurs obligations de confidentialité et renoncez au secret bancaire. La Banque Migros peut en outre divulguer vos données en raison d’obligations légales.

10 E-Pay

L’activation de l’ID E-Pay dans l’e-banking vous permet de payer dans de nombreuses boutiques en ligne au débit de votre compte de la Banque Migros ou de retirer de l’argent à des points de retrait d’espèces. Les prestataires de services de paiement externes suivants sont utilisés pour les boutiques en ligne et les points de retrait d’espèces qui ne font pas partie du groupe Migros:

Klarna GmbH, Theresienhöhe 12, 80339 Munich, Allemagne
Déclaration relative à la protection des données: https://www.klarna.com/sofort/datenschutz/

SONECT AG, Dufourstrasse 47, 8008 Zurich
https://sonect.net/ch-fr/app-privacy-policy-5/

L’utilisation d’«E-Pay» et le traitement de vos données par les prestataires de services de paiement externes sont effectués sur la base de votre consentement et servent aussi au traitement contractuel de votre ordre de paiement. Les dispositions relatives à la protection des données du prestataire de services de paiement que vous avez choisi s’appliquent.

11 Identification vidéo

Pour ouvrir une relation client ou un compte auprès de la Banque Migros, nous vous offrons la possibilité, au lieu de passer dans l’une de nos succursales, de vous identifier en ligne par une identification vidéo et de signer par voie électronique les documents d’ouverture de compte nécessaires.
L’identification vidéo est effectuée par notre partenaire Intrum AG, Eschenstrasse 12, 8603 Schwerzenbach, Suisse (ci-après «Intrum»), avec une solution logicielle d’IDnow GmbH, Auenstrasse 100, 80469 Munich, Allemagne («IDnow»).

Nous sommes légalement tenus de vérifier votre identité lors de l’ouverture d’une relation client et d’enregistrer certaines données à cet effet. Aux fins de preuve, des photos de votre pièce d’identité et de votre visage sont prises avec la caméra de votre terminal, et un enregistrement vocal est effectué par le micro. Pendant l’entretien, la pièce d’identité est en outre examinée par un collaborateur de notre banque ou d’Intrum. Votre numéro de téléphone mobile indiqué est vérifié au moyen d’un message SMS envoyé sur votre téléphone avec un code de validation.

Ensuite, vos documents contractuels et/ou leurs valeurs de hachage sont transmis par Intrum à QuoVadis Trustlink Schweiz AG, Poststrasse 17, 9001 Saint-Gall, Suisse (ci-après «QuoVadis») et dûment signés en ligne avec une signature électronique (conformément à la loi fédérale sur la signature électronique, SCSE).

Une fois l’identification effectuée, Intrum transmet toutes les données et les supprime au plus tard après 90 jours de ses serveurs. QuoVadis stocke le matériel clé pour l’établissement de la signature pour trois ans, et votre numéro de téléphone mobile, votre prénom et votre nom pour 11 ans supplémentaires.

Vos données sont traitées sur la base de votre consentement explicite. Si vous ne souhaitez pas transmettre vos données en ligne et/ou souhaitez signer les contrats sur papier, veuillez vous rendre dans l’une de nos succursales pour l’ouverture d’une relation client avec nous.

12 Quelles sont les données transmises à des tiers?

L’application ne transmet aucune donnée personnelle à des tiers, à l’exception de l’identification vidéo, E-Pay et eBill. Les éventuelles requêtes effectuées auprès de partenaires externes pour le compte de l’utilisateur (p. ex. cours boursiers) se font sur une base anonyme, ne permettant aucune identification du requérant.

Lors du téléchargement de l’application depuis un App Store et de l’utilisation de l’application, il se peut que les fabricants d’appareils ou de systèmes d’exploitation (p. ex. Microsoft, Apple ou Google) reçoivent des données personnelles ou analysent le comportement de l’utilisateur. Ce faisant, il est possible qu’ils puissent ainsi établir un lien entre vous-même et la Banque Migros. Nous ne pouvons cependant pas empêcher, ni influencer cette éventualité.

13 Comment supprimer les données de l‘application?

La désinstallation correcte de l’application entraîne la suppression de toutes les données créées localement par l‘application (macOS: par la rubrique «Désinstaller l’e-banking»). Vous pouvez supprimer à tout moment les appareils activés dans votre e-banking.

14 Vos droits

Si les conditions respectives sont remplies, vous avez le droit de demander une copie des données que nous traitons et le droit à la rectification, suppression, limitation du traitement et transfert des données. Vous avez également le droit de vous opposer à tout moment à leur traitement. Cela s’applique en particulier si le traitement est effectué à des fins de marketing direct.

Vous pouvez exercer vos droits en nous envoyant un avis écrit accompagné d’une copie d’une pièce d’identité officielle valide.

En cas de questions, de demandes ou d’observations concernant la protection des données à la Banque Migros SA, vous pouvez vous adresser au service suivant:

Banque Migros SA
Compliance
Case postale
8010 Zurich
protectiondesdonnees@banquemigros.ch

En outre, vous avez le droit de déposer une plainte auprès de l’autorité de contrôle responsable à votre égard contre la manière dont vos données sont traitées.

15 Modification de la présente Déclaration relative à la protection des données

Nous pouvons modifier et compléter ces informations de temps à autre. La version actuelle est disponible sous forme électronique sur notre site Internet à l’adresse www.banquemigros.ch/bases.

Version 1.4 du 01.01.2020