Note interne · RGPD

Confidentialité et traitement des données

Cette note décrit le traitement des données personnelles réalisé par l'outil LCB-FT interne. Elle s'applique aux analystes utilisateurs et aux personnes dont les données sont criblées.

Responsable de traitement

Riviera MultiFinance (le « cabinet »), en sa qualité d'assujetti LCB-FT, est responsable de traitement au sens du Règlement (UE) 2016/679 (RGPD) et de la loi Informatique et Libertés. Le délégué à la protection des données (le cas échéant) est joignable à l'adresse indiquée dans les mentions légales.

Finalités et base légale

  • Criblage LCB-FT(sanctions, gel des avoirs, PPE, bénéficiaires effectifs) — exécution d'une obligation légale (art. L.561-4-1 et suivants du Code monétaire et financier).
  • Vigilance constante(re-criblage périodique du portefeuille, alertes d'élévation de risque) — obligation légale, art. L.561-6 CMF.
  • Examen renforcé et déclaration de soupçon le cas échéant — obligation légale, art. L.561-10-2 et L.561-15 CMF.

Catégories de données

  • Personnes physiques: identité, date et lieu de naissance, nationalité, résidence fiscale, profession, revenus, patrimoine déclaré, pièce d'identité.
  • Personnes morales : dénomination, SIREN, dirigeants, bénéficiaires effectifs.
  • Opérations : montant, origine et destination des fonds, objectif patrimonial.
  • Données de risque : résultats de criblage, recommandations, décisions analystes.

Durée de conservation

Les données et documents sont conservés cinq (5) ansà compter de la fin de la relation d'affaires ou de l'exécution de l'opération (art. L.561-12 CMF). Au-delà, les données sont anonymisées par le responsable LCB-FT via la fonction de purge dédiée. Le registre d'audit chaîné(SHA-256) reste, lui, inchangé : il constitue la trace probante des actions et ne contient pas de données personnelles brutes au-delà de l'identifiant de l'analyste consignataire.

Destinataires

  • Analystes et dirigeants habilités du cabinet (accès par authentification individuelle, tracé).
  • Autorités compétentes en cas de transmission obligatoire (TRACFIN, DG Trésor, ACPR).
  • Sous-traitants techniques limités à l'hébergement (OVH, hébergement en France/UE).

Sécurité

  • Authentification individuelle de chaque utilisateur, mot de passe haché en scrypt avec sel aléatoire.
  • Session signée HMAC-SHA256, cookie HTTP-only, durée 12 heures.
  • Audit chaîné SHA-256 : toute altération est détectable.
  • Hébergement en Union européenne (OVH, France) ; les données ne quittent pas l'UE.

Droits des personnes concernées

Les personnes concernées disposent d'un droit d'accès, de rectification et, dans les limites prévues par les obligations LCB-FT, d'un droit à l'effacement et à la limitation. L'exercice de ces droits ne peut pas faire obstacle aux obligations légales de l'assujetti (notamment la conservation réglementaire et l'interdiction d'informer la personne concernée d'une déclaration de soupçon — art. L.561-19 CMF). Les demandes sont adressées au cabinet via le contact des mentions légales.

Cookies

L'outil utilise un seul cookie de session lcbft_session strictement nécessaireau fonctionnement. Aucun cookie de mesure, de tracking ou publicitaire n'est posé. Conformément à l'art. 82 LIL, ce type de cookie ne requiert pas de consentement.

Modèle à valider par le cabinet (responsable LCB-FT / DPO) avant déploiement.

← Retour à la connexion