Politique de confidentialité

1. Préambule

Rex Change Sàrl (ci-après « Rex Change », « nous » ou « notre société ») accorde une importance fondamentale à la protection de la sphère privée et des données personnelles de ses clients, prospects et visiteurs.

La présente politique de confidentialité décrit la manière dont Rex Change collecte, utilise, conserve et communique les données personnelles dans le cadre de ses activités d'intermédiaire financier et de l'utilisation de son site Internet www.rexchange.ch.

Le traitement des données personnelles est effectué conformément à la Loi fédérale sur la protection des données (nLPD) entrée en vigueur le 1^er septembre 2023, à son ordonnance d'exécution (OPDo), à la Loi fédérale sur le blanchiment d'argent (LBA) et à son ordonnance d'exécution (OBA), ainsi qu'aux directives de l'organisme d'autorégulation auquel Rex Change est affiliée.

2. Responsable du traitement et référent protection des données

Le responsable du traitement des données personnelles au sens de la nLPD est :

Rex Change Sàrl
Rue de Berne 29bis
1201 Genève – Suisse
IDE : CHE-162.671.020
Affiliée à l'Association Romande des Intermédiaires Financiers (ARIF)

Coordonnées générales :
Téléphone : +41 22 340 42 77
Courriel : contact@rexchange.ch
Site Internet : www.rexchange.ch

Référent conformité et protection des données :

Bien que la désignation formelle d'un conseiller à la protection des données ne soit pas légalement requise pour Rex Change, la société a identifié au sein de sa direction un référent interne chargé de superviser la conformité au cadre LBA et à la nLPD. Toute demande relative à la protection des données peut être adressée :

Courriel dédié : contact@rexchange.ch (mention « Protection des données »)
Adresse postale identique à celle indiquée ci-dessus.

3. Champ d'application

La présente politique s'applique à toutes les données personnelles que Rex Change traite dans le cadre :

• de la consultation et de l'utilisation du site www.rexchange.ch ;
• de l'entrée en relation d'affaires (procédures KYC – Know Your Customer) ;
• de l'exécution des opérations de change manuel, de négoce de métaux précieux et de transactions sur cryptoactifs et stablecoins ;
• de toute communication écrite, téléphonique ou électronique avec nos équipes ;
• du respect de nos obligations légales et réglementaires, notamment en matière de lutte contre le blanchiment d'argent et le financement du terrorisme.

Le site www.rexchange.ch est un site institutionnel de présentation. Aucune boutique en ligne, ni service transactionnel automatisé n'est actuellement exploité depuis ce site.

4. Catégories de données personnelles collectées

Selon la nature de la relation et des prestations sollicitées, Rex Change est amenée à collecter et traiter les catégories de données suivantes :

4.1 Données d'identification

• Nom, prénom(s), date et lieu de naissance, sexe, nationalité(s) ;
• Adresse de domicile, adresse postale, pays de résidence fiscale ;
• Numéro de téléphone, adresse électronique ;
• Copie d'une pièce d'identité officielle en cours de validité (passeport, carte d'identité, permis de séjour) ;
• Numéro AVS le cas échéant, numéro fiscal étranger (TIN) lorsque applicable.

4.2 Données relatives à la situation économique

• Profession, employeur, secteur d'activité ;
• Origine des fonds et origine du patrimoine (justificatifs documentaires) ;
• Statut de personne politiquement exposée (PEP) le cas échéant ;
• Bénéficiaire(s) effectif(s) en cas de détention pour le compte de tiers ;
• Informations sur les personnes morales : raison sociale, forme juridique, structure d'actionnariat, organes dirigeants.

4.3 Données transactionnelles

• Montant, devise, contrepartie et nature des opérations effectuées ;
• Coordonnées bancaires émettrices et bénéficiaires ;
• Adresses de portefeuilles cryptographiques (wallets) et empreintes (hash) de transactions sur les blockchains pertinentes ;
• Justificatifs économiques relatifs aux opérations (factures, contrats, attestations).

4.4 Données techniques (site Internet)

• Adresse IP, type et version de navigateur, système d'exploitation ;
• Pages consultées, durée de la visite, source de provenance ;
• Cookies et identifiants techniques (voir section 12).

4.5 Données relatives aux communications

• Contenu des courriels, messages et formulaires de contact ;
• Enregistrements éventuels d'appels téléphoniques (lorsque la loi le permet et après information préalable des interlocuteurs).

4.6 Données personnelles sensibles

Conformément à l'article 5 lettre c de la nLPD, certaines des données traitées par Rex Change peuvent constituer des données personnelles sensibles, notamment :

• les données relatives aux poursuites ou sanctions administratives ou pénales : résultats des contrôles sur les bases de données de sanctions internationales (OFAC, UE, ONU, SECO), de personnes politiquement exposées (PEP) et de défavorable presse (adverse media) ;
• les données relatives aux mesures d'aide sociale : par exemple lorsqu'un client est placé sous curatelle (APEA) ou bénéficie d'une représentation légale ;
• les données biométriques : dans la mesure où une vérification d'identité à distance ou une comparaison faciale serait mise en œuvre dans le cadre du processus KYC ;
• les données révélant indirectement des opinions politiques : statut PEP, fonctions politiques exercées par le client ou ses proches.

Ces données sont traitées avec un niveau de protection renforcé, sur la base des obligations légales applicables aux intermédiaires financiers (LBA, OBA, directives ARIF) ou, à défaut, sur le fondement d'un consentement exprès.

5. Finalités du traitement

Rex Change traite vos données personnelles pour les finalités suivantes :

5.1 Exécution de la relation d'affaires

• Identification et vérification de l'identité du cocontractant et du bénéficiaire effectif ;
• Établissement et tenue à jour des dossiers clients ;
• Exécution des opérations de change, de négoce de métaux précieux et de transactions sur cryptoactifs ;
• Facturation, encaissement, comptabilité et reporting interne ;
• Gestion de la relation client et service après-vente.

5.2 Respect des obligations légales et réglementaires

• Respect des obligations de diligence prévues par la LBA et l'OBA ;
• Identification du cocontractant (Formulaire A) et des personnes morales (Formulaire K) ;
• Clarifications relatives à l'arrière-plan économique des opérations ;
• Surveillance des transactions et détection de schémas inhabituels ;
• Communications éventuelles au Bureau de communication en matière de blanchiment d'argent (MROS) ;
• Réponses aux réquisitions des autorités judiciaires, fiscales et réglementaires compétentes ;
• Conservation des pièces et justificatifs pendant les durées légales applicables.

5.3 Sécurité, prévention de la fraude et protection des intérêts patrimoniaux

• Sécurisation des locaux, des systèmes d'information et des transactions ;
• Détection des tentatives de fraude documentaire ou d'usurpation d'identité ;
• Conservation de pistes d'audit pour la défense de nos droits en justice.

5.4 Communication et amélioration des services

• Réponse aux demandes de renseignements et formulaires de contact ;
• Information sur l'évolution de nos prestations et de notre offre commerciale (uniquement avec votre accord lorsque celui-ci est requis) ;
• Amélioration de l'ergonomie et du contenu du site Internet.

6. Profilage de risque, contrôles automatisés et analyses blockchain

Dans le cadre du strict respect de ses obligations LBA, Rex Change met en œuvre certains traitements semi-automatisés à des fins de conformité et de gestion des risques :

6.1 Profilage de risque LBA

Chaque relation d'affaires fait l'objet d'une classification de risque (faible, normal, accru) en fonction d'un ensemble de critères : nature des opérations, pays concernés, montants, statut PEP, secteur d'activité, structure de détention, mode d'entrée en relation. Cette classification détermine l'intensité des mesures de diligence appliquées (clarifications complémentaires, validation hiérarchique, surveillance renforcée).

6.2 Screening sanctions et listes PEP

Le nom du cocontractant, du bénéficiaire effectif et des personnes liées est confronté de manière automatisée à des listes de sanctions internationales (notamment SECO, OFAC, UE, ONU), à des listes de personnes politiquement exposées et à des bases de données dites de défavorable presse. Toute correspondance positive (« hit ») fait l'objet d'une analyse manuelle par un collaborateur formé avant toute décision.

6.3 Analyses on-chain (blockchain)

Les adresses cryptographiques en lien avec les transactions exécutées par Rex Change peuvent faire l'objet d'analyses automatisées via l'outil Crystal Blockchain afin de détecter d'éventuels liens avec des activités illicites (mixers, marchés darknet, sanctions, exploitations frauduleuses, etc.). Ces analyses produisent un score de risque qui est revu manuellement avant toute décision opérationnelle.

6.4 Travel Rule

Pour les transferts d'actifs virtuels soumis à la Travel Rule, Rex Change échange avec ses contreparties les informations requises sur l'expéditeur et le bénéficiaire via l'outil 21 Analytics, conformément aux exigences réglementaires applicables.

6.5 Absence de décisions individuelles entièrement automatisées

Conformément à l'article 21 de la nLPD, aucune décision ayant des effets juridiques ou affectant de manière significative la personne concernée n'est prise sur la seule base d'un traitement automatisé. Toute décision opérationnelle (acceptation ou refus d'entrer en relation, blocage d'une opération, communication MROS) est prise par un collaborateur habilité, sur la base d'une analyse humaine du dossier.

7. Bases légales du traitement

Les traitements opérés par Rex Change reposent sur l'une ou plusieurs des bases suivantes :

• Exécution d'un contrat : traitement nécessaire à la conclusion ou à l'exécution de la relation d'affaires ;
• Obligation légale : respect des prescriptions découlant notamment de la LBA, de l'OBA, des directives de l'ARIF, du Code des obligations et de la législation fiscale ;
• Intérêt légitime prépondérant : prévention de la fraude, sécurité informatique, gestion interne et défense de nos droits en justice ;
• Consentement : pour les traitements qui ne reposent sur aucune autre base, notamment certaines communications commerciales et l'usage de cookies non strictement nécessaires.

8. Spécificités liées aux registres distribués (blockchain)

L'utilisation de cryptoactifs et de stablecoins repose sur des registres distribués publics (blockchains). Il en résulte des particularités importantes en matière de protection des données dont vous devez avoir conscience :

• Caractère public des transactions : les transactions enregistrées sur des blockchains publiques (Bitcoin, Ethereum, Polygon, Arbitrum, BNB Chain, Base, etc.) sont visibles par tout utilisateur disposant d'un explorateur de bloc. Les adresses, montants, horodatages et empreintes de transaction y figurent en clair ;
• Caractère immuable : les écritures inscrites sur ces registres ne peuvent être modifiées ni supprimées par Rex Change, par vous-même ou par un tiers. Le droit d'effacement prévu par la nLPD ne peut, par nature technique, s'exercer sur les données inscrites sur la blockchain elle-même ;
• Pseudonymisation et désanonymisation : les adresses de portefeuilles ne contiennent pas directement votre nom. Toutefois, par recoupement avec d'autres informations (notamment dans le cadre d'enquêtes judiciaires ou d'analyses on-chain), une adresse peut être rattachée à une personne identifiée ou identifiable ;
• Portée du contrôle de Rex Change : Rex Change peut effacer ou rectifier les données qu'elle conserve dans ses propres systèmes (dossier KYC, journaux de transactions internes, correspondance), mais elle n'a aucune capacité technique d'agir sur les blockchains publiques.

9. Destinataires des données

Les données personnelles ne sont transmises à des tiers que dans la mesure nécessaire à la fourniture des prestations, au respect des obligations légales ou avec votre consentement. Les principales catégories de destinataires sont :

9.1 Prestataires techniques et de conformité

Rex Change recourt à des prestataires spécialisés, soumis à des obligations contractuelles strictes de confidentialité et de protection des données :

• Crystal Blockchain : analyse de risque et investigation des transactions cryptographiques ;
• 21 Analytics : conformité à la Travel Rule pour les transferts d'actifs virtuels ;
• IS Change : système d'information métier pour le traitement des opérations ;
• Hébergeurs et prestataires d'infrastructure (notamment Infomaniak en Suisse pour l'hébergement de données et de services applicatifs) ;
• Prestataires de messagerie professionnelle, de stockage documentaire et de signature électronique ;
• Fiduciaire, réviseur agréé et conseillers juridiques tenus au secret professionnel.

9.2 Contreparties bancaires et financières

• Banques de premier rang en relation d'affaires avec Rex Change ;
• Émetteurs de stablecoins et plateformes institutionnelles (notamment dans le cadre des procédures d'onboarding) ;
• Affineurs, fondeurs et logisticiens de métaux précieux pour les opérations physiques.

9.3 Autorités et organismes habilités

• Organisme d'autorégulation ARIF dans le cadre de ses missions de surveillance ;
• Autorité fédérale de surveillance des marchés financiers (FINMA), Bureau de communication en matière de blanchiment d'argent (MROS), administrations fiscales et autorités judiciaires lorsque la loi l'exige ;
• Autorités étrangères dans les cas prévus par les conventions internationales (entraide administrative ou judiciaire).

Rex Change ne vend, ne loue et n'échange en aucun cas vos données personnelles à des fins commerciales auprès de tiers.

10. Transferts internationaux de données

Rex Change privilégie le recours à des prestataires établis en Suisse ou dans l'Espace économique européen (EEE), notamment Infomaniak (Suisse) pour l'hébergement de ses services applicatifs critiques.

Toutefois, certaines données peuvent être transférées dans des pays tiers, en particulier :

• Union européenne : prestataires d'analyse blockchain (Crystal Blockchain, dont la maison mère est établie aux Pays-Bas), de Travel Rule (21 Analytics, Suisse) et certains outils bureautiques. L'UE bénéficie d'une décision d'adéquation reconnue par le Conseil fédéral suisse ;
• Royaume-Uni : certaines plateformes financières et fournisseurs de données. Le Royaume-Uni bénéficie également d'une décision d'adéquation ;
• États-Unis : ponctuellement, dans le cadre des relations avec les émetteurs de stablecoins (Tether, Circle Mint), des plateformes de change institutionnelles ou de certains services tiers susceptibles d'être utilisés par notre site Internet. Le transfert s'effectue alors sur la base de clauses contractuelles types reconnues par le PFPDT, complétées par des mesures techniques et organisationnelles additionnelles ;
• Autres juridictions : selon le pays de résidence de la contrepartie ou de l'établissement de paiement utilisé.

Lorsque le pays destinataire ne dispose pas d'un niveau de protection adéquat reconnu par le Conseil fédéral, Rex Change met en œuvre les garanties prévues par la nLPD :

• clauses contractuelles types reconnues par le Préposé fédéral à la protection des données et à la transparence (PFPDT) ;
• mesures techniques et organisationnelles additionnelles (chiffrement, pseudonymisation, contrôles d'accès, journalisation) ;
• recours, le cas échéant, aux dérogations légales (exécution d'un contrat, intérêt public, consentement explicite, défense de droits en justice).

11. Durée de conservation

Rex Change conserve les données personnelles pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées et conformément aux obligations légales applicables :

• Documents d'identification et pièces relatives à la relation d'affaires : 10 ans à compter de la fin de la relation d'affaires ou de la dernière transaction (article 7 LBA) ;
• Documents et justificatifs comptables : 10 ans (article 958f du Code des obligations) ;
• Correspondance commerciale et électronique : durée de la relation, prolongée le cas échéant pour la défense de nos droits ;
• Données techniques de navigation : conservées pour des durées limitées en fonction de leur finalité (voir politique relative aux cookies) ;
• Prospects n'étant pas devenus clients : durée raisonnable n'excédant en principe pas 24 mois après le dernier contact, sauf obligation légale contraire.

À l'issue de ces durées, les données sont soit détruites de manière sécurisée, soit anonymisées de façon irréversible.

12. Cookies et technologies similaires

Le site www.rexchange.ch utilise des cookies et technologies similaires afin d'assurer son fonctionnement, d'en mesurer l'audience et d'améliorer l'expérience utilisateur. Une politique relative aux cookies, distincte du présent document, est mise à disposition sur le site et précise pour chaque cookie utilisé : son émetteur, sa finalité, sa durée de vie et la base juridique de son dépôt.

12.1 Cookies strictement nécessaires

Indispensables au fonctionnement du site (sécurité, gestion de session, équilibrage de charge, prévention des abus). Ils ne requièrent pas de consentement préalable.

12.2 Cookies de mesure d'audience

Permettent d'établir des statistiques sur la fréquentation du site. Lorsqu'ils ne bénéficient pas d'une exemption de consentement (mesure d'audience strictement limitée à la production de statistiques anonymes pour le compte de Rex Change), ils ne sont déposés qu'après votre accord exprès.

12.3 Cookies fonctionnels et de préférences

Mémorisent vos choix (langue, paramètres d'affichage) afin d'améliorer la navigation.

12.4 Services tiers susceptibles d'être utilisés

Selon la configuration technique du site à la date de votre visite, les services suivants peuvent être mobilisés et déposer des cookies ou collecter des données techniques :

• solutions de mesure d'audience (par exemple Google Analytics ou un équivalent respectueux de la vie privée tel que Matomo ou Plausible) ;
• services de protection contre les robots (par exemple Google reCAPTCHA, hCaptcha) ;
• polices de caractères hébergées par des tiers (par exemple Google Fonts, à défaut d'un hébergement local) ;
• vidéos, cartes ou contenus embarqués (par exemple YouTube, Google Maps) ;
• réseaux sociaux dans la mesure où des liens ou widgets seraient présents.

La liste exhaustive et actualisée des outils effectivement utilisés figure dans la politique cookies dédiée. Vous pouvez à tout moment configurer votre navigateur pour refuser les cookies, les supprimer ou être averti avant leur dépôt. Le refus de certains cookies peut limiter l'accès à certaines fonctionnalités du site.

13. Sécurité des données

Rex Change met en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les données personnelles contre tout accès non autorisé, altération, divulgation ou destruction, notamment :

• chiffrement des communications et des données sensibles ;
• contrôles d'accès stricts fondés sur le principe du besoin d'en connaître ;
• authentification multi-facteurs sur les systèmes critiques ;
• sauvegardes régulières et plans de continuité d'activité ;
• sensibilisation et formation continue du personnel aux exigences de protection des données et de lutte contre le blanchiment ;
• clauses contractuelles strictes avec nos sous-traitants imposant un niveau de protection équivalent.

L'ensemble des collaborateurs et organes de Rex Change est soumis au secret professionnel et à des obligations de confidentialité contractuelles.

14. Droits des personnes concernées

Conformément à la nLPD, vous disposez des droits suivants à l'égard de vos données personnelles :

• Droit d'accès : obtenir confirmation que vos données sont traitées et en recevoir une copie ;
• Droit de rectification : faire corriger des données inexactes ou incomplètes ;
• Droit d'opposition : vous opposer, pour des motifs légitimes, à certains traitements ;
• Droit à la remise ou à la transmission : recevoir vos données dans un format électronique courant ou demander leur transmission à un autre responsable de traitement, lorsque les conditions légales sont réunies ;
• Droit de retirer votre consentement : lorsque le traitement repose sur votre consentement, sans que cela n'affecte la licéité des traitements antérieurs ;
• Droit d'effacement : demander la suppression de vos données, sous réserve de nos obligations légales de conservation, en particulier celles découlant de la LBA et du Code des obligations.

Pour exercer ces droits, vous pouvez nous écrire à l'adresse contact@rexchange.ch (mention « Protection des données ») ou par courrier postal à l'adresse mentionnée à la section 2, en joignant une copie d'une pièce d'identité afin de prévenir toute usurpation.

Nous nous engageons à répondre à votre demande dans les meilleurs délais et, en tout état de cause, dans les délais prévus par la loi.

14.1 Limitations légales aux droits des personnes concernées

Conformément à la loi, l'exercice de certains droits peut être restreint, refusé ou différé dans les cas suivants :

• Obligations LBA et secret professionnel : Rex Change est tenue à des obligations strictes de discrétion lorsqu'une communication a été adressée au MROS ou lorsqu'une enquête en matière de blanchiment d'argent ou de financement du terrorisme est en cours. Dans ce contexte, l'information de la personne concernée et l'accès à certaines données peuvent être différés ou restreints, conformément à la LBA et à la nLPD ;
• Investigations judiciaires : lorsqu'une autorité a ordonné la production ou la conservation de données dans le cadre d'une procédure pénale, civile ou administrative, l'exercice des droits peut être suspendu pour la durée nécessaire à la procédure ;
• Protection des intérêts de tiers ou de Rex Change : lorsque la communication d'une donnée porterait atteinte aux droits ou intérêts légitimes d'un tiers, ou compromettrait la défense en justice des intérêts de Rex Change ;
• Caractère technique : pour les données inscrites sur des blockchains publiques, le droit d'effacement et de rectification ne peut s'exercer techniquement (voir section 8).

Dans tous les cas, Rex Change motive ses décisions de restriction et fournit à la personne concernée les éléments d'information qui peuvent l'être sans contrevenir à ses obligations légales.

14.2 Droit de réclamation auprès du PFPDT

Vous disposez du droit d'introduire une réclamation auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, 3003 Berne, www.edoeb.admin.ch.

15. Mineurs

Les services de Rex Change sont exclusivement destinés à des personnes majeures et capables au sens du droit suisse. Nous ne collectons pas sciemment de données concernant des mineurs.

16. Modifications de la présente politique

Rex Change se réserve le droit d'adapter à tout moment la présente politique de confidentialité afin de tenir compte de l'évolution de ses activités, du cadre légal applicable ou des technologies utilisées.

La version en vigueur est en permanence accessible sur le site www.rexchange.ch. La date de la dernière mise à jour figure en tête du présent document. Les modifications substantielles font l'objet d'une information particulière auprès des clients existants.

17. Droit applicable

La présente politique de confidentialité est régie par le droit suisse, en particulier la Loi fédérale sur la protection des données (nLPD) et son ordonnance d'exécution.

Les questions relatives à la compétence juridictionnelle et au for en cas de litige sont régies par les conditions générales contractuelles applicables à la relation d'affaires concernée, sous réserve des dispositions légales impératives en faveur du consommateur ou de la personne concernée.

18. Contact

Pour toute question relative à la présente politique de confidentialité ou au traitement de vos données personnelles :

Rex Change Sàrl – Référent protection des données
Rue de Berne 29bis, 1201 Genève – Suisse
Téléphone : +41 22 340 42 77
Courriel : contact@rexchange.ch (mention « Protection des données »)
Site Internet : www.rexchange.ch