Politique de confidentialité

Cette politique s’applique aux visiteurs du site web (www.afa.ad), aux utilisateurs des services que l’AFA offre aux fins décrites dans la section 4 de cette politique (les services), et à toutes les personnes dont les données personnelles, par exemple, leurs images, peuvent apparaître sur le site web ou dans le contexte des services.

Le seul responsable de l’utilisation des données personnelles de l’utilisateur, comme indiqué dans la section précédente, est le titulaire du site web :

Autorité Financière Andorrane (AFA)

NRT numéro : D-800383-X

Siège social :

Rue Bonaventura Armengol, 10

Immeuble Montclar, bloc 2, 4^ème étage

AD500 Andorra la Vella

Principauté d’Andorre.

L’utilisateur peut contacter le délégué à la protection des données par courrier électronique à dpd@afa.ad.

L’AFA n’est pas responsable des activités menées par d’autres sites web du fait qu’ils soient accessibles moyennant des liens publiés sur le site web de l’AFA. Il est recommandé à l’utilisateur de lire attentivement les informations fournies par les responsables de ces autres sites web, en particulier les politiques de confidentialité et de cookies de chaque site web fréquenté, avant de donner les données personnelles et de communiquer directement avec ces responsables pour toute inquiétude ou question.

En général, c’est l’utilisateur qui fournit directement ses données personnelles, par exemple à travers les formulaires disponibles sur ce site. Les seules exceptions à cette règle sont :

• l’image de l’utilisateur lorsque les caméras de vidéosurveillance éventuellement la collectent ;
• les données fournies par des tiers auxquels des informations supplémentaires doivent être demandées ou qui fournissent des données à l’AFA pour le compte de l’utilisateur ;
• les images qui correspondent à des nouvelles où l’intérêt public et le droit à l’information sont considérés comme prévalant sur les intérêts potentiels des personnes, l’image ou d’autres données personnelles publiées sur le site de l’AFA;
• les données sur l’utilisateur qui peuvent apparaître dans les courriers électroniques et dans d’autres supports d’information envoyés, entre autres, par les forces de sécurité de l’État, la Batllia (le tribunal), les tribunaux et d’autres organes de justice ou de contrôle et/ou les autorités réglementaires d’autres pays;
• les coordonnées fournies par les fournisseurs de services et de produits lorsque l’utilisateur les représente; et/ou
• les cookies de ce site web, sur lesquels vous trouverez plus d’informations dans la politique de cookies du site web de l’AFA.

Pour établir et maintenir des relations avec les fournisseurs

Si l’utilisateur représente un fournisseur de produits ou de services, ses coordonnées et sa signature sont collectées afin de :

1. a) gérer les relations de tout type avec le fournisseur que l’utilisateur représente ;
2. b) gérer la fiche correspondante de la liste des fournisseurs agréés ; et/ou
3. c) gérer les devis et les factures du fournisseur que l’utilisateur représente.

Les traitements liés aux finalités a) et b) sont légitimés par le contrat de travail ou de services que l’utilisateur a signé avec le fournisseur qu’il représente et l’intérêt légitime de l’AFA en contactant celui-ci; et les traitements liés au but c) sont légitimés parce qu’ils sont nécessaires à l’exécution du contrat que l’utilisateur a signé avec l’AFA.

Pour préserver la sécurité par vidéosurveillance

L’AFA capte l’image de l’utilisateur à travers les systèmes de vidéosurveillance afin de préserver la sécurité des personnes, des biens et des installations elles-mêmes.

La base de légitimation pour les traitements précités est l’intérêt public pour la sécurité publique, l’intérêt légitime de l’AFA pour la sécurité des installations de l’AFA, et l’intérêt légitime des tiers qui souhaitent exercer un recours en justice contre une infraction présumée qui puisse être attestée par une portion d’un enregistrement.

 Pour sélectionner et recruter du personnel

L’AFA traite les données des CV que les utilisateurs lui font parvenir volontairement pour gérer la relation avec les candidats à un emploi à l’AFA, y compris le processus de recherche, filtrage et stockage des CV des candidats, le processus de sélection du personnel et le processus de recrutement.

La base de légitimation pour ces traitements est l’agrément de l’utilisateur, que l’utilisateur lui-même manifeste en faisant parvenir son CV à l’AFA, l’exécution de mesures précontractuelles et, si le candidat ne fait pas l’objet d’une procédure de sélection ouverte ou s’il n’est pas embauché et que l’AFA estime que le candidat peut s’adapter à des futures procédures de sélection, l’intérêt légitime de l’AFA en conservant le CV du candidat afin de l’inclure dans des processus futurs.

Pour créer un compte d’utilisateur de bureau virtuel

L’AFA collecte les données nécessaires à la création d’un compte utilisateur pour accéder au bureau virtuel afin de :

• donner à l’utilisateur l’accès au bureau virtuel ;
• répondre aux demandes et aux écrits relatifs aux différentes formalités qui peuvent être effectuées par ce canal ; et
• fournir l’attestation ou l’accusé de réception des demandes et des écrits.

La base qui légitime cette activité de traitement est l’intérêt public à fournir un canal d’accès pour l’exécution des formalités auxquelles les entités soumises à la surveillance de l’AFA sont légalement tenues.

Pour accomplir les fonctions de l’AFA

L’AFA collecte les données que l’utilisateur fournit directement et celles fournies par des tiers dans l’exercice de leurs fonctions respectives, afin de remplir les fonctions indiquées dans la section Objectifs et Fonctions du site web de l’AFA.

La base qui légitime ces activités de traitement est l’intérêt public et les obligations légales qui, pour chaque traitement, sont indiquées sur ladite page du site web de l’AFA.

Pour envoyer des informations, des avis, des notifications ou des communications d’intérêt pour l’utilisateur

Lorsque l’utilisateur s’abonne à la newsletter de l’AFA, l’adresse e-mail de l’utilisateur, ses données d’identification, sa profession et ses intérêts sont recueillis pour lui envoyer les informations jugées pertinentes selon son profil.

La base légale de ce traitement est l’agrément de l’utilisateur, qui peut le retirer à tout moment en exerçant son droit, comme indiqué ci-dessous dans la présente politique ou moyennant le lien qui se trouve au pied de chaque e-mail. La seule conséquence du retrait de l’agrément est que l’utilisateur cessera de recevoir les informations qui lui étaient envoyées.

Pour répondre aux demandes, consultations, réclamations ou communications d’infractions

L’AFA recueille les données personnelles que l’utilisateur fournit dans ses e-mails, par téléphone, à travers le formulaire de la page de contact, à travers les correspondants formulaires de consultation, plainte ou communication des infractions qui sont fournis sur le web, et les données personnelles, y compris les demandes d’exercice des droits, afin de pouvoir répondre à l’utilisateur lui-même.

Pour répondre à l’utilisateur, l’AFA peut être obligée de demander des informations supplémentaires à des tiers. Lorsque ces informations sont liées ou peuvent être liées à l’utilisateur, elles sont traitées comme des données personnelles. Si ces données personnelles ne sont pas directement liées au traitement de la demande, à la consultation, à la plainte, à la notification d’infraction, etc. ou si elles ne fournissent pas d’informations supplémentaires à celles fournies par l’utilisateur lui-même, elles sont immédiatement détruites. Si, au contraire, les données personnelles reçues de tiers sont pertinentes pour le traitement de la demande de l’utilisateur, ce sera communiqué avec la diligence requise, en respectant les restrictions inhérentes à la notion de données personnelles définie par la réglementation qui s’applique et les droits et libertés des autres personnes physiques susceptibles d’être affectées par cette communication. Dans tous les cas, lorsque des informations supplémentaires doivent être demandées pour répondre aux besoins de l’utilisateur, et dans la mesure du possible, les informations qui doivent être partagées pour répondre aux besoins de l’utilisateur sont anonymisées.

La base légale de ce traitement est le consentement que l’utilisateur manifeste en donnant ces données, l’obligation légale de l’AFA de répondre aux demandes de droits de l’utilisateur, et l’intérêt légitime de l’AFA à assister l’utilisateur. La mise à disposition des données personnelles est donc volontaire, mais si les données personnelles nécessaires ne sont pas fournies, la demande, la consultation ou la réclamation de l’utilisateur ne pourra pas être traitée. L’utilisateur peut révoquer son agrément à tout moment, mais cette révocation rendra également impossible la poursuite du traitement de sa demande, consultation ou réclamation.

Pour gérer d’éventuelles réclamations futures

De même, l’AFA conserve les données qui peuvent être nécessaires pour gérer les éventuelles réclamations de l’utilisateur, sur la base de l’intérêt légitime de l’AFA à se défendre pour sauvegarder ses droits.

Pour contrôler l’accès aux installations, événements ou services moyennant des entrées ou des informations d’identification

L’AFA utilise les données des visiteurs et parfois celles de leurs documents nationaux d’identité ou passeports et même, si la législation le détermine à un moment donné, celles du document attestant de l’état de protection auprès du Covid-19, pour autoriser, ou pas, l’accès aux zones restreintes des bureaux de l’AFA, pour analyser et contrôler l’occupation et la logistique des différentes zones, et pour veiller à la santé, y compris la prévention de la propagation des maladies et le suivi des contacts des personnes affectées par le Covid-19, et la sécurité de tous les utilisateurs des installations.

La base juridique de ce traitement est l’obligation légale de secret et l’intérêt public pour préserver la confidentialité des données traitées dans les bureaux et les archives de l’AFA. Dans le cas où des documents attestant de l’état de protection du visiteur contre le Covid-19 sont demandés, le traitement sera légitimé par l’obligation légale correspondante.

 Pour assurer le fonctionnement du site web (cookies fonctionnels)

Des cookies fonctionnels sont utilisés pour garantir le bon fonctionnement du site web de l’AFA.

S’agissant de cookies nécessaires au bon fonctionnement du site web, leur utilisation n’exige pas que l’utilisateur donne son agrément exprès et la base qui légitime l’AFA pour les utiliser est l’intérêt légitime pour pouvoir offrir les services du site web.

Vous trouverez plus d’informations sur ces cookies dans la politique de cookies de l’AFA.

Pour extraire des statistiques agrégées concernant l’utilisation du site web (cookies analytiques)

Des cookies analytiques ou statistiques sont utilisés pour identifier les pages les plus et les moins visitées, pour analyser le contenu qui intéresse davantage les visiteurs, et pour mesurer le succès des campagnes d’information, tout cela dans le but d’améliorer les services offerts sur le web. Toutes ces finalités fournissent des résultats agrégés, dans lesquels il n’est pas possible d’identifier les intérêts d’une personne en particulier.

S’agissant de cookies non nécessaires, ils ne sont utilisés qu’avec le consentement de l’utilisateur, dans le but d’améliorer le site en analysant les statistiques agrégées de la navigation des visiteurs.

Vous trouverez plus d’informations sur ces cookies dans la politique de cookies de l’AFA.

 Pour pouvoir utiliser certains services Google

En outre, en tant qu’obligation que Google LLC, société dont Google Ireland Ltd est une filiale, impose aux établissements utilisant les outils Google reCAPTCHA et Google Analytics, on informe que ces deux services sont exploités par Google Inc., domicilié au 1600 Amphitheatre Parkway, Mountain View, CA 94043, aux États-Unis et que Google Inc. est part bénéficière de ceux-ci.

Les informations générées par les cookies sur l’utilisation de ce site web et les préférences publicitaires sont généralement envoyées à un serveur Google aux États-Unis et y sont stockées. Pour plus d’informations, vous pouvez consulter la page qui décrit comment Google utilise les informations du site web et/ou la politique de confidentialité de Google en ce qui concerne ces services.

L’AFA signale que la fonction d’anonymisation des adresses IP sur le site web de l’AFA a été activée afin d’ajouter des garanties supplémentaires aux clauses contractuelles types qui protègent ce transfert international de données aux États-Unis. Ainsi, Google raccourcira l’adresse IP de l’utilisateur moyennant un processus de brouillage de son identité avant de l’envoyer aux États-Unis. Ce n’est que dans des cas exceptionnels que l’adresse IP complète est envoyée à un serveur Google aux États-Unis où elle est abrégée. Google garantit que l’adresse IP envoyée par le navigateur de l’utilisateur dans Google Analytics ne sera pas traitée conjointement avec d’autres données détenues par Google.

Les catégories de données personnelles traitées par ces services peuvent être consultées sur privacy.google.com/businesses/adsservices.

 À d’autres fins qui ne sont pas incompatibles avec les précédentes

L’AFA peut utiliser les données personnelles de l’utilisateur à d’autres fins qui ne soient pas incompatibles avec celles mentionnées ci-dessus, comme des finalités d’archivage pour des raisons d’intérêt public, des finalités de recherche scientifique ou historique, ou des finalités statistiques, dans la mesure où cela est permis par la législation en vigueur en matière de protection des données personnelles et en agissant toujours en conformité avec celle-ci et les autres réglementations applicables.

Les données personnelles de l’utilisateur ne sont confiées à personne, sauf si :

• c’est l’utilisateur lui-même qui les demande ;
• il existe une obligation légale de le faire, par exemple, les données des agents financiers qui sont publiées dans la section correspondante du site web ou celles des agents figurant dans le registre des intermédiaires d’assurances ;
• l’utilisateur dépose une réclamation contre un établissement, qui doit être informé pour pouvoir traiter la réclamation ;
• il existe l’obligation légale de le faire; par exemple, de fournir des copies des factures au Département des impôts et des frontières du Gouvernement andorran ;
• l’utilisateur utilise les services de l’AFA moyennant des intermédiaires, par exemple des représentants, à qui les données doivent être transmises ;
• l’AFA est coresponsable de la collecte des données, toujours avec l’agrément de l’utilisateur, pour que d’autres entités les traitent en son nom propre. C’est le cas de Google Ireland Ltd, dont le siège social est situé au 4 Gordon House, Barrow, à Dublin, en Irlande, qui est chargé du traitement des cookies nécessaires à l’utilisation de ses services de reCAPTCHA, et de Google Analytics. Google Ireland Ltd agit en tant que responsable indépendant pour tous les traitements effectués conformément à sa politique de confidentialité. Les données sont transférées à Google Ireland Ltd sur la base de l’accord de protection des données que cette société située dans l’UE inclut dans l’addendum au contrat standard pour les pays conformes au Règlement UE 679/2016, comme c’est le cas de l’Andorre, auquel nous ajoutons la garantie supplémentaire d’activer l’anonymisation des adresses IP collectées par les cookies. Dans la Politique de Cookies de l’AFA, vous pouvez voir quels cookies analytiques et publicitaires sont offerts et comment les configurer.
• il est nécessaire de protéger les droits de l’utilisateur, de l’AFA, des employés de l’AFA et/ou de tiers, ce qui peut requérir la cession aux services de police pour des raisons de sécurité ou aux autorités de santé pour prévenir la propagation de maladies; par exemple, aux fins de la recherche de contacts, si les caméras de vidéosurveillance enregistrent un vol dans les locaux, ou si un tiers demande des images de vidéosurveillance sur la base de son intérêt légitime à demander une protection juridictionnelle effective en ce qui concerne la commission d’une infraction ou des dommages-intérêts susceptibles d’être prouvés par les images cédées, et avec l’engagement de ce tiers de les utiliser exclusivement pour la dénonciation de cette infraction ou pour la réclamation des dommages subis, et de réduire la transmission des images au minimum et soit indispensable pour atteindre le but poursuivi; et/ou
• si les données doivent être traitées par les prestataires de services, au nom de l’AFA, et sous les termes et conditions du contrat de sous-traitant correspondant.

Tout transfert international qui s’avérerait nécessaire sera conforme aux règles en vigueur à tout moment.

L’AFA conserve les données personnelles de l’utilisateur uniquement pendant la durée des traitements qui les requièrent et ensuite pendant toute la durée de la prescription des responsabilités légales en vigueur découlant du traitement concerné, y compris l’obligation de prouver que l’AFA a répondu à la demande de destruction de données à caractère personnel.

Par exemple, les enregistrements de vidéosurveillance sont conservés pendant 30 jours au maximum lorsqu’ils ne contiennent pas d’incidents et, si, exceptionnellement, un incident de sécurité s’est produit pendant cette période ou s’il y a des indices de commission d’une infraction, une copie de la partie de l’enregistrement qui enregistre l’incident est extraite et conservée jusqu’à sa remise à la police ou à l’intéressé concerné qui en a besoin pour justifier sa demande de protection judiciaire.

Lorsqu’il n’y a pas à des fins légitimes pour traiter certaines données personnelles de l’utilisateur, elles sont supprimées ou rendues anonymes et, si cela n’est pas possible, par exemple parce qu’elles sont sauvegardées, elles sont stockées en toute sécurité et verrouillées pour les isoler de tout traitement ultérieur jusqu’à ce que leur élimination soit possible.

L’utilisateur a le droit d’obtenir confirmation à propos de si l’AFA dispose ou pas de ses données personnelles.

Il convient rappeler que lorsque des données personnelles sont partagées avec d’autres responsables, l’utilisateur doit exercer ses droits directement auprès de ces responsables, en suivant les instructions fournies dans leurs propres politiques de confidentialité. Plus précisément, en ce qui concerne les données que les cookies dans le site web de l’AFA partagent avec Google, l’utilisateur est informé qu’il peut installer sur son navigateur Chrome, Internet Explorer, Safari, Firefox et/ou Opera, le plug-in pour ne pas envoyer de données de Google Analytics ou Google Ads à Google Inc.

D’autres droits de l’utilisateur et comment les exercer sont expliqués ci-dessous.

Les droits de l’utilisateur

Conformément à ce qui est établie par la Loi 29/2021, l’utilisateur peut demander l’exécution des suivants droits :

• accès à ses données personnelles ;
• rectification d’une ou plusieurs des données personnelles , après spécification de la raison de la rectification ;
• suppression d’une ou plusieurs des données personnelles ;
• limitation du traitement des données, après spécification de la raison de la limitation ;
• opposition au traitement des données personnelles;
• portabilité des données lorsque la base de légitimation de la collecte est le consentement ou un contrat; et/ou
• droit à ne pas faire l’objet de décisions individuelles automatisées.

Où comment l'utilisateir peut exercer ses droits

L’utilisateur peut exercer ses droits :

1. par l’envoi d’une demande écrite à l’AFA, adressée à l’adresse postale indiquée au paragraphe 2 de la présente politique, dans laquelle il faut indiquer un moyen de contacter l’utilisateur pour pouvoir répondre à sa demande ou pour demander davantage d’informations si nécessaire, et sous le titre "Exercice des droits de protection des données personnelles"; ou
2. en envoyant le formulaire associé au droit que l’utilisateur souhaite exercer à l’adresse e-mail dpd@afa.ad et dans lequel, dans l’objet de l’e-mail, il faut spécifier "Exercice des droits de protection des données personnelles". Ces formulaires sont disponibles ci-dessous dans cette même section de la politique de confidentialité.

Dans les deux cas, pour vérifier l’identité de l’utilisateur et répondre uniquement à la personne concernée ou à son représentant légal, une preuve d’identité sera demandée, telle qu’une copie du document national d’identité ou passeport, pouvoirs de représentation, ou toute autre accréditation.

Cependant, et surtout si l’utilisateur estime qu’il n’a pas obtenu la pleine satisfaction de l’attention de l’exercice de ses droits, il peut déposer une plainte auprès de l’autorité nationale de contrôle de son pays ou s’adresser, à cet effet, à l’Agence andorrane de protection des données (APDA).

Formulaires pour l'exercice droits de l'utilisateur

Afin de faciliter l’exercice des droits de l’utilisateur, il est recommandé d’utiliser les formulaires de demande suivants :

• Formulaire d’exercice du droit d’accès
• Formulaire d’exercice du droit de rectification
• Formulaire d’exercice du droit d’opposition (modèle A et modèle B)
• Formulaire d’exercice du droit de rétractation
• Formulaire d’exercice du droit à la limitation du traitement
• Formulaire d’exercice du droit à la portabilité
• Formulaire d’exercice du droit à ne pas faire l’objet de décisions individuelles automatisées.

L’AFA est pleinement engagée dans la protection de la vie privée et des données personnelles. Un registre de toutes les activités de traitement des données à caractère personnel a été créé, les risques que chacune de ces activités peut présenter pour l’utilisateur ont été analysés et les garanties légales, techniques et organisationnelles appropriées ont été mises en place pour éviter, dans la mesure du possible, l’altération des données personnelles de l’utilisateur, leur mauvaise utilisation, perte, vol, accès non autorisé, ou traitement non autorisé. L’AFA tient à jour les politiques de protection des données afin de garantir que les utilisateurs reçoivent toutes les informations relatives au traitement de leurs données personnelles et que le personnel de l’AFA reçoive les instructions appropriées concernant le traitement des données personnelles des utilisateurs. L’AFA a signé des clauses de protection des données et des contrats de sous-traitance avec tous les fournisseurs de services, en tenant compte de la nécessité pour chacun d’eux de traiter des données personnelles.

L’accès aux données personnelles est également limité aux employés qui ont réellement besoin de les connaître pour effectuer l’un des traitements mentionnés dans cette politique, et qui ont été formés et sensibilisés à l’importance de la confidentialité, le maintien de l’intégrité, la disponibilité de l’information et les mesures disciplinaires qu’impliquerait toute infraction en la matière.

Cette politique sera mise à jour par l’AFA chaque fois que cela sera nécessaire pour tenir compte d’éventuels changements dans la réglementation ou le traitement des données. Dans le cas de modifications substantielles, l’AFA en informe l’utilisateur avant son entrée en vigueur par une notification ou la publication d’un avis important sur son site web, afin que l’utilisateur ait la possibilité d’exercer ses droits.

Pour toute question ou doute concernant cette politique, l’utilisateur peut s’adresser par e-mail à dpd@afa.ad.