Délibération n° 2005-297 du 1er décembre 2005 portant autorisation unique de certains traitements de données à caractère personnel mis en oeuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme (décision d'autorisation unique n° AU-003) <BR>

J.O. 77 du 31 mars 2006 J.O. disponibles Alerte par mail Lois,décrets codes AdmiNet
Ce document peut également être consulté sur le site officiel Legifrance

Délibération n° 2005-297 du 1er décembre 2005 portant autorisation unique de certains traitements de données à caractère personnel mis en oeuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme (décision d'autorisation unique n° AU-003)

NOR : CNIX0603163X

La Commission nationale de l'Informatique et des Libertés,

Vu la convention no 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 91/308 /CE du Conseil du 10 juin 1991 modifiée relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux ;

Vu la directive 95/46 /CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi no 2004-801 du 6 août 2004, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment les articles 11 et 25 ;

Vu le code monétaire et financier (CMF), notamment ses articles L. 511-34, L. 561-1 à L. 563-5, L. 574-1, L. 574-2, L. 613-13, R. 562-1, R. 562-2, R. 563-1 à R. 563-3 et R. 564-1 ;

Vu le code pénal, notamment les articles 222-34 et suivants et 324-1 et suivants ;

Vu le règlement du Comité de la réglementation bancaire et financière (CRBF) no 91-07 du 15 février 1991 modifié relatif à la lutte contre le blanchiment des capitaux provenant du trafic de stupéfiants, le règlement no 2002-01 du 18 avril 2002 modifié relatif aux obligations de vigilance en matière de chèque aux fins de lutte contre le blanchiment de capitaux et le financement du terrorisme, ainsi que le règlement no 2002-13 du 21 novembre 2002 relatif à la monnaie électronique et aux établissements de monnaie électronique ;

Vu les travaux du Groupe d'action financière sur le blanchiment de capitaux (GAFI), notamment ses quarante recommandations révisées et ses recommandations spéciales sur le financement du terrorisme, ainsi que la liste des pays non coopératifs (PTNC) en matière de lutte contre le blanchiment ;

Vu les recommandations du Comité de Bâle sur le contrôle bancaire relatives au devoir de diligence des banques au sujet de la clientèle en date d'octobre 2001 ;

Après avoir entendu M. Philippe Nogrix, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

Les traitements de données à caractère personnel qui sont mis en oeuvre par les organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme visent à détecter des transactions financières réalisées par leurs clients qui sont susceptibles d'être qualifiées d'infraction de blanchiment ou de financement du terrorisme par les autorités compétentes et qui, de ce fait, doivent, le cas échéant après la collecte de renseignements complémentaires ou un travail d'analyse non automatisé, donner lieu à l'envoi d'une déclaration à la cellule Tracfin du ministère de l'économie, des finances et de l'industrie.

Ces traitements visent également à permettre l'application du dispositif légal de gel des avoirs dans le cadre de la lutte contre le financement du terrorisme.

L'identification de tels faits, pour une large part sur la base de critères intégrés dans les traitements automatisés de l'organisme financier, peut conduire ce dernier à souhaiter, pour des raisons de prudence, rompre toute relation contractuelle avec certains des clients qui en font l'objet. Ces traitements peuvent ainsi, du fait de leur portée, conduire à l'exclusion de personnes du bénéfice d'un contrat en l'absence de toute disposition légale prévoyant la mise en oeuvre d'une telle exclusion.

Dès lors, ces traitements relèvent du 4° du I de l'article 25 de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL.

En vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, la Commission peut autoriser par une décision unique une catégorie de traitements répondant aux mêmes finalités, portant sur des catégories de données identiques et ayant les mêmes catégories de destinataires. Il en résulte que le responsable d'un traitement conforme à cette décision unique d'autorisation pourra déclarer son traitement en adressant à la Commission un engagement de conformité par lequel il s'engage à respecter les termes de la décision de la CNIL.

Décide que les établissements du secteur bancaire, au sens du titre 1er du livre V du code monétaire et financier, la Banque de France, l'institut d'émission des départements d'outre-mer, l'institut d'émission d'outre-mer, la Caisse des dépôts et consignations et les entreprises d'investissement qui souhaiteront se référer à la présente décision et adresseront, à cette fin, à la Commission une déclaration comportant un engagement de conformité pour leurs traitements qui répondent strictement aux conditions fixées dans la présente décision unique, seront autorisés à mettre en oeuvre ces traitements.

Article 1

Finalité et champ d'application des traitements.

Seuls peuvent faire l'objet d'un engagement de conformité par référence à la présente décision unique les traitements que les organismes susvisés mettent en oeuvre pour répondre à leurs obligations légales en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme et dont la finalité exclusive est d'apporter une aide à la détection, à l'examen et à la surveillance de certaines transactions financières dans le but éventuel, à l'issue d'une analyse non automatisée, de déclarer à la cellule de renseignement financier TRACFIN les opérations qui relèvent de l'article L. 562-2 du CMF ou de constituer un dossier de renseignements au titre de l'article L. 563-3 du CMF ou de bloquer la réalisation des opérations menées par une personne ou à destination d'une personne qui fait l'objet d'une mesure de gel des avoirs.

Les informations enregistrées dans ces traitements peuvent provenir des autres services nationaux de l'organisme financier (notamment les agences commerciales) ou du groupe financier, ou avoir fait l'objet d'une détection automatique par le système d'information.

Elles peuvent concerner, en tout ou partie :

- des sommes inscrites dans leurs livres qui sont susceptibles de provenir du trafic de stupéfiants, de la fraude aux intérêts financiers des Communautés européennes, de la corruption ou d'activités criminelles organisées ou de participer au financement du terrorisme, ainsi que les opérations s'y rapportant (art. L. 562-2 du CMF) ;

- des opérations dont l'identité du donneur d'ordre ou du bénéficiaire est douteuse malgré les diligences effectuées (art. L. 562-2 et L. 563-1 du CMF) ;

- des opérations réalisées avec des personnes physiques ou morales agissant sous forme ou pour le compte de fonds fiduciaires ou de tout autre instrument de gestion d'un patrimoine d'affectation dont l'identité des constituants ou des bénéficiaires n'est pas connue (art. L. 562-2 du CMF) ;

- des opérations effectuées avec des personnes physiques domiciliées, enregistrées ou établies dans un Etat ou territoire inscrit sur la liste des pays et territoires non coopératifs en matière de lutte contre le blanchiment d'argent et désignés par décret (art. L. 562-2 et L. 563-1-1 du CMF) ;

- des opérations importantes qui se présentent dans des conditions inhabituelles de complexité et ne paraissent pas avoir de justification économique ou d'objet licite (art. L. 563-3 et R. 563-2 du CMF) ;

- des opérations sur chèques ou monnaie électronique qui sont susceptibles d'apparaître anormales ou inhabituelles, notamment au regard du fonctionnement habituel du compte du client ou qui entrent dans le champ du programme de contrôle arrêté par l'organisme financier (règlement CRBF no 2002-01 du 18 avril 2002, art. 7 et suivants du règlement CRBF no 2002-13 du 21 novembre 2002) ;

- des avoirs - ainsi que leurs supports - des personnes qui font l'objet d'une mesure de gel des avoirs pour leurs liens présumés avec une activité terroriste et qui sont, à ce titre, inscrites sur des listes à caractère réglementaire émanant d'autorités nationales ou européennes ;

- d'autres opérations intéressant les donneurs d'ordre ou bénéficiaires mentionnés dans le traitement au titre de l'une des catégories d'opérations précitées ;

- des opérations réalisées par les « personnes politiquement exposées » au sens des recommandations du GAFI.

Article 2

Données à caractère personnel enregistrées.

Elles peuvent aussi bien se rapporter à des clients, habituels ou occasionnels, qu'aux tiers concernés par leurs opérations financières, notamment les donneurs d'ordre et bénéficiaires réels de ces transactions, que ce soit au titre de leur participation aux opérations citées à l'article 1er ou de leur qualification de « personne politiquement exposée ».

Seules les catégories d'informations suivantes peuvent être traitées :

- en ce qui concerne l'identification des clients et des tiers :

- pour les personnes physiques : nom, prénoms, pseudonyme, code état (M., Mme, Mlle), photographie, date et lieu de naissance, nationalité, situation de famille, adresses, références des documents d'identité présentés, identité du conjoint ;

- pour les personnes morales : raison sociale, forme juridique, enseigne, numéro SIREN, code APE, identité des dirigeants et principaux associés ;

- en ce qui concerne leur situation professionnelle, économique et financière : numéro de compte, date d'ouverture du compte ou de l'entrée en relation, profession et nom de l'employeur pour les salariés, secteur d'activité économique pour les professionnels indépendants, pensions et autres prestations pour les étudiants et retraités, niveau des revenus ou du chiffre d'affaires, catégorie socioprofessionnelle, codes NAF, origine du patrimoine et des fonds impliqués dans la transaction ;

- en ce qui concerne les opérations financières : montant et nature de la transaction, devise traitée, origine et destination de la transaction (origine géographique, organisme financier intervenant en tant qu'intermédiaire, numéro des comptes crédités ou débités), identité de la personne bénéficiaire de la transaction, justification économique déclarée de l'opération, identité du donneur d'ordre réel, motifs de la déclaration de soupçon ;

- Identité du (ou des) correspondant(s) TRACFIN, transmission au parquet du dossier par TRACFIN.

Article 3

Destinataires des données.

Dans la limite de leurs attributions respectives et pour l'exercice de la finalité précitée, seuls peuvent être habilités à avoir communication des données précitées traitées aux fins de lutte contre le blanchiment de capitaux et le financement du terrorisme :

a) Les personnels habilités du (ou des) service(s) chargé(s) de la lutte contre le blanchiment, notamment ceux ayant la qualité de correspondant TRACFIN, au sein des services de contrôle, d'audit ou juridique de l'organisme responsable du traitement ;

b) La cellule de renseignement financier TRACFIN du ministère de l'économie, des finances et de l'industrie ;

c) L'autorité de contrôle compétente au sens de l'article L. 562-7 du CMF ;

d) Pour les données relatives aux personnes qui font l'objet d'une mesure de gel des avoirs pour leurs liens présumés avec une activité terroriste, le bureau compétent de la direction générale du Trésor et de la politique économique ;

e) Lorsque l'organisme financier fait partie d'un groupe au sens de l'article L. 511-34 du CMF, les services de lutte contre le blanchiment des entreprises du même groupe dont le siège social est situé dans un Etat membre de la Communauté européenne, dans un Etat partie à l'accord sur l'Espace économique européen ou dans un Etat dont les autorités ont conclu avec la Commission bancaire une convention bilatérale en application de l'article L. 613-13 du CMF, sous réserve que cet Etat ait été reconnu par une décision de la Commission européenne comme assurant un niveau de protection adéquat ;

f) Les autorités de contrôle compétentes des Etats précités, sous les mêmes conditions.

Les destinataires visés aux e et f ne peuvent pas avoir accès aux éléments relatifs aux déclarations de soupçon transmises à la cellule TRACFIN, ni aux suites qui leur sont réservées.

En outre, un code particulier peut être enregistré dans les fichiers centralisés de la clientèle au nom des personnes qui font l'objet d'un enregistrement dans les traitements régis par la présente décision, afin de signifier la nécessité d'une consultation du service chargé de la lutte contre le blanchiment pour toute nouvelle opération.

Article 4

Durée de conservation.

Les données relatives aux opérations faites par les clients de l'organisme financier qui sont enregistrées au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme sont conservées pendant cinq ans à compter de l'année de l'exécution de l'opération, y compris en cas de clôture du compte du client ou de cessation des relations.

Les données relatives aux mesures de gel des avoirs ne sont conservées qu'aussi longtemps que ces mesures sont en vigueur.

Article 5

Information des personnes concernées.

Les personnes sont informées que, pour répondre à ses obligations légales, le responsable du traitement met en oeuvre un traitement de surveillance ayant pour finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme.

Pour l'application des articles L. 563-3 et L. 574-1 du CMF et à la demande d'un organisme financier saisi d'une demande de droit d'accès, la Commission nationale de l'Informatique et des Libertés peut formuler un avis sur le caractère communicable des informations enregistrées dans les traitements régis par la présente autorisation.

Article 6

Mesures de sécurité.

Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et notamment pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.

Les accès individuels au traitement s'effectuent par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d'authentification.

Article 7

La présente délibération sera publiée au Journal officiel de la République française.

Le président,

A. Türk