[...] informées que, pour répondre à ses obligations légales, le responsable du traitement met en œuvre un traitement de surveillance ayant pour finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme [...]
[...] Seules peuvent réaliser un engagement de conformité à la présente autorisation unique les personnes assujetties aux obligations de lutte contre le blanchiment de capitaux et le financement du terrorisme [...]
[...] de l'article L. 561-45 du CMF, le droit d'accès aux traitements mis en œuvre aux seules fins de l'application des dispositions relatives à la lutte contre le blanchiment de capitaux et le financement du terrorisme [...]
[...]fins du blanchiment de capitaux et du financement du terrorisme ; Vu la directive 2006/70/CE de la Commission[...]
La Commission nationale de l'informatique et des libertés, Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ; Vu le traité sur le fonctionnement de l'Union européenne, notamment son article 215 ; Vu le règlement n° 2580/2001/CE du Conseil du 27 décembre 2001 concernant l'adoption de mesures restrictives spécifiques à l'encontre de certaines personnes et entités dans le cadre de la lutte contre le terrorisme ; Vu le règlement n° 881/2002 du Conseil du 27 mai 2002 instituant certaines mesures restrictives spécifiques à l'encontre de certaines personnes et entités liées à Oussama ben Laden, au réseau Al-Qaida et aux Taliban, et abrogeant le règlement (CE) n° 467/2001 du Conseil interdisant l'exportation de certaines marchandises et de certains services vers l'Afghanistan, renforçant l'interdiction des vols et étendant le gel des fonds et autres ressources financières décidées à l'encontre des Taliban d'Afghanistan ; Vu le règlement n° 1781/2006 du Parlement européen et du Conseil du 15 novembre 2006 relatif aux informations concernant le donneur d'ordre accompagnant les virements de fonds ; Vu les règlements du Conseil pris en application de l'article 215 du traité sur le fonctionnement de l'Union européenne ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Vu la directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme ; Vu la directive 2006/70/CE de la Commission du 1er août 2005 portant mesures de mise en œuvre de la directive 2005/60/CE du Parlement européen et du Conseil pour ce qui concerne la définition des « personnes politiquement exposées » et les conditions techniques de l'application d'obligations simplifiées de vigilance à l'égard de la clientèle ainsi que de l'exemption au motif d'une activité financière exercée à titre occasionnel ou à une échelle très limitée ; Vu le code pénal, notamment les articles 222-38 et suivants, 324-1 et suivants et 421-1 et suivants ; Vu le code monétaire et financier (CMF), notamment ses articles L. 511-34, L. 561-1 à L. 562-11 et R. 561-1 à R. 562-5 ; Vu le code des assurances, notamment ses articles L. 322-1-3, L. 334-2 et A. 310-5 et suivants ; Vu le code de la mutualité, notamment son article R. 211-28 ; Vu le code de la sécurité sociale, notamment son article R. 931-43 ; Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment son article 25 ; Vu l'article 19 de l'ordonnance n° 2009-104 du 30 janvier 2009 relative à la prévention de l'utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme ; Vu le décret n° 2005-1309 du 20 octobre 2005 pris en application de la loi n° 78-17 du 6 janvier 1978 précitée ; Vu les décrets pris en application de l'article L. 151-2 du CMF ; Vu l'arrêté du 2 septembre 2009 pris en application de l'article R. 561-12 du CMF et définissant des éléments d'information liés à la connaissance du client et de la relation d'affaires aux fins d'évaluation des risques de blanchiment de capitaux et de financement du terrorisme ; Vu les arrêtés du ministre en charge de l'économie pris en application des articles L. 562-1 et L. 562-2 du CMF ; Vu le règlement du Comité de la réglementation bancaire et financière (CRBF) n° 97-02 du 21 février 1997 modifié relatif au contrôle interne des établissements de crédit et des entreprises d'investissement, le règlement n° 2002-01 du 18 avril 2002 modifié relatif aux obligations de vigilance en matière de chèques aux fins de lutte contre le blanchiment de capitaux et le financement du terrorisme et le règlement n° 2002-13 du 21 novembre 2002 modifié relatif à la monnaie électronique et aux établissements de monnaie électronique ; Vu le règlement général de l'Autorité des marchés financiers, notamment ses articles 315-49 à 315-58, 321-48, 321-57, 325-12, 550-4, 550-9 à 550-11, 560-4 et 560-12 à 560-14 ; Après avoir entendu M. Jean Paul AMOUDRY, commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations, Formule les observations suivantes : La législation relative à la lutte contre le blanchiment de capitaux et le financement du terrorisme impose aux organismes financiers une obligation d'identification et de vigilance constante à l'égard de l'ensemble de leurs clients, qu'il s'agisse de relation d'affaires ou de clients occasionnels, qu'il leur appartient de moduler, conformément aux dispositions législatives et réglementaires, en fonction de l'évaluation du risque de blanchiment de capitaux et de financement du terrorisme propre à chaque relation d'affaires ou à chaque client occasionnel. Les traitements de données à caractère personnel mis en œuvre par ces organismes au titre de ces obligations visent à analyser et à déterminer le niveau de risque propre à chaque client, à mettre en place une surveillance adaptée et à détecter les sommes inscrites dans leurs livres ou les opérations portant sur des sommes dont elles savent, soupçonnent ou ont de bonnes raisons de soupçonner qu'elles proviennent d'une infraction passible d'une peine privative de liberté supérieure à un an ou participent au financement du terrorisme et qui, de ce fait, doivent, le cas échéant après la collecte de renseignements complémentaires, donner lieu à l'envoi d'une déclaration de soupçon à la cellule de renseignement financier nationale (Tracfin). Les traitements visent également à permettre l'application du dispositif de gel des avoirs dans le cadre de la lutte contre le financement du terrorisme et des mesures relatives aux sanctions financières. L'identification de tels faits, en partie sur la base de critères intégrés dans les traitements automatisés de l'organisme, peut conduire ce dernier à rompre toute relation d'affaires avec les clients concernés. Ces traitements peuvent ainsi, du fait de leur portée, conduire à l'exclusion de personnes du bénéfice d'un contrat ou d'une prestation. Dès lors, ils relèvent du 4° du I de l'article 25 de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL. En vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, la commission peut autoriser par une décision unique une catégorie de traitements répondant aux mêmes finalités, portant sur des catégories de données identiques et ayant les mêmes catégories de destinataires. Il en résulte que le responsable d'un traitement conforme à cette décision unique d'autorisation pourra déclarer son traitement en adressant à la commission un engagement de conformité par lequel il s'engage à respecter les termes de la décision de la CNIL. En raison des nouvelles dispositions résultant de la transposition de la directive 2005/60/CE du 26 octobre 2005, il est apparu nécessaire d'adopter une nouvelle autorisation unique en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme. Celle-ci a vocation à abroger et remplacer la délibération n° 2005-297 du 1er décembre 2005, modifiée par la délibération n° 2007-060, portant autorisation unique de certains traitements de données à caractère personnel mis en œuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme. Reprenant et confirmant la plupart des dispositions adoptées en 2005, cette nouvelle autorisation permet désormais et en particulier : ― d'inclure les traitements permettant de détecter les fonds et ressources économiques faisant l'objet d'une mesure de gel au titre des sanctions financières ; ― de prendre en compte de nouvelles catégories de responsables de traitement ; ― d'appliquer des mesures de vigilance conformément à « l'approche par les risques » ; ― d'identifier des personnes politiquement exposées ; ― de désigner de nouvelles catégories de destinataires des données, et ― de permettre l'exercice du droit d'accès via la procédure de droit d'accès indirect. Décide :
