[...] libertés, Saisie par FIDAL d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme [...] En outre, le dispositif doit permettre l’application du dispositif de gel des avoirs dans le cadre de la lutte contre le financement du terrorisme et des mesures relatives aux sanctions financières. [...]
(Demande d’autorisation n° 1799403)
La Commission nationale de l'informatique et des libertés,
Saisie par FIDAL d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme ;
Vu la directive 2006/70/CE de la Commission du 1er août 2006 portant mesures de mise en œuvre de la directive 2005/60/CE du Parlement européen et du Conseil pour ce qui concerne la définition des « personnes politiquement exposées » et les conditions techniques de l’application d’obligations simplifiées de vigilance à l’égard de la clientèle ainsi que de l’exemption au motif d’une activité financière exercée à titre occasionnel ou à une échelle très limitée ;
Vu le code monétaire et financier (CMF), notamment ses articles L. 561-1 à L. 562-11, L. 574-1, L. 574-2, R. 562-1, R. 562-2, R. 563-1 à R. 563-3 et R. 564-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 25.I.4° et 69 ;
Vu l’ordonnance n° 2009-104 du 30 janvier 2009 relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme, ratifiée par la loi n° 2009-526 du 12 mai 2009 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n°2007-451 du 25 mars 2007 ;
Vu le décret n° 2009-1087 du 2 septembre 2009 relatif aux obligations de vigilance et de déclaration pour la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme ;
Vu le décret n° 2012-1125 du 3 octobre 2012 relatif aux obligations de vigilance et de déclaration pour la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme portant modification des articles R. 561-12, R. 561-16, R 561-18 et R. 561-20 du Code monétaire et financier ;
Vu l’arrêté du 2 septembre 2009 pris en application de l’article R. 561-12 du code monétaire et financier et définissant des éléments d’information liés à la connaissance du client et de la relation d’affaire aux fins d’évaluation des risques de blanchiment de capitaux et de financement du terrorisme ;
Vu la délibération n° 2005-297 du 1er décembre 2005 portant autorisation unique de certains traitements de données à caractère personnel mis en œuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme, modifiée par la délibération n° 2007-060 du 25 avril 2007 et la délibération n° 2011-180 du 16 juin 2011 ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
|
Responsable du traitement |
FIDAL, cabinet d’avocats dans le domaine du droit des affaires. |
|
Sur la finalité |
Le cabinet d’avocats FIDAL a saisi la Commission d’une demande d’autorisation relative à un traitement automatisé de données à caractère personnel pour répondre aux obligations légales dans leurs missions non juridictionnelles en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme, ainsi que de gel des avoirs. Le traitement vise à analyser et à déterminer le niveau de risque propre à chaque client, à mettre en place une surveillance adaptée et à détecter les opérations portant sur des sommes dont le responsable de traitement sait, soupçonne ou a de bonnes raisons de soupçonner qu’elles proviennent d’une infraction passible d’une peine privative de liberté supérieure à un an ou participent au financement du terrorisme. En outre, le dispositif doit permettre l’application du dispositif de gel des avoirs dans le cadre de la lutte contre le financement du terrorisme et des mesures relatives aux sanctions financières. A ce titre, le cabinet FIDAL souhaite disposer d’un accès aux informations issues des bases documentaires mises à disposition par un éditeur spécialisé pour les comparer périodiquement avec sa base client afin d’identifier les personnes politiquement exposées (PPE). Le basculement d’un client sous le statut de PPE peut survenir au cours de la relation d’affaires. Dès lors, cette identification sur la base de critères intégrés dans le traitement automatisé de du cabinet FIDAL peut conduire ce dernier à souhaiter, pour des raisons de prudence, rompre toute relation contractuelle avec certains des clients qui en font l’objet. Le dispositif peut ainsi, du fait de sa portée, conduire à l’exclusion de personnes du bénéfice d’un contrat en l’absence de toute disposition légale prévoyant la mise en œuvre d’une telle exclusion. Dès lors, le traitement relève du 4° du I de l’article 25 de la loi du 6 janvier 1978 modifiée en 2004 et doit, à ce titre, faire l’objet d’une autorisation de la CNIL. Par sa délibération modificative n° 2005-297 du 1er décembre 2005 susvisée, la Commission a autorisé « certains traitements de données à caractère personnel qui sont mis en œuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme », sous réserve que les finalités de ces traitements, les catégories de données utilisées et leurs destinataires n’excèdent pas le cadre fixé par l’autorisation unique AU-003, que ces traitements remplissent également les conditions définies dans ce texte et que la CNIL ait reçu un engagement de conformité à l’AU-003. Tout projet de traitement automatisé dont les finalités ou les catégories de données ou de destinataires excèdent le cadre de cette autorisation unique ou qui ne respecterait pas les exigences qui y sont définies, doit, en revanche, faire l’objet d’une demande d’autorisation spécifique présentant et expliquant les différences entre le traitement envisagé et l’autorisation unique. L’analyse des caractéristiques du traitement automatisé visé par la présente demande d’autorisation permet de conclure à la conformité de la demande de traitement au regard de l’AU 003 à l’exception des différences sur les données et destinataires qui, de ce fait, sont soumises à l’examen de la CNIL. |
|
Sur les données traitées |
Les données qui viennent s’ajouter à la liste déjà prévue par l’AU 003 sont les suivantes :
|
|
Sur les destinataires |
Les personnes destinataires du traitement et habilitées à avoir accès aux informations sont d’une part la personne habilitée de la DSI et d’autre part la direction juridique du cabinet FIDAL. La Commission relève que les déclarations de soupçon rédigées par les avocats sont transmises par l’intermédiaire du bâtonnier. Il en est de même pour les droits de communication adressés par TRACFIN aux avocats dans le cadre de ses investigations. La liste de ces destinataires n'appelle pas d'observation particulière. |
|
Sur l’information et le droit d’accès |
Les clients sont informés du traitement par une mention d’information qui figure sur le site internet du cabinet ainsi que dans la lettre de mission adressé au client. Enfin, les salariés sont informés par une note interne conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978. Les droits d’accès, de rectification et d’opposition s’exercent auprès du Service Risque et Conformité de Factiva Limited à l’adresse suivante : 22, Gray’s Inn Road WC1X 8HB – Londres ou par courrier électronique à l’adresse suivante : cil@fidal.com Ces modalités d’exercice des droits n’appellent pas d’observations de la part de la Commission. |
|
Sur les autres caractéristiques du traitement |
L’outil de requête et de corrélation d’informations du prestataire permet au cabinet FIDAL de confronter de manière automatisée les informations communiquées par le client avec celles qui figurent dans la base documentaire du prestataire pour détecter une éventuelle alerte sur l’identification de la qualité de PPE. Les éléments d’information utilisés par le prestataire procèdent de sources officielles nationales et internationales, des décisions de justice ou d’autorités publiques. Les vérifications ne doivent porter que sur les seules listes appliquées en France et en Europe ou qui trouvent dans les résolutions adoptées par l’ONU en la matière, une base juridique pouvant justifier leur portée extraterritoriale dès lors que l’organisme participe à la lutte contre le blanchiment de capitaux et le financement du terrorisme. A ce titre, l’outil fourni par le prestataire de services dispose d’un système de filtre permettant de limiter les informations transmises au cabinet FIDAL. Conformément à l’article 10 de la loi du 6 janvier modifiée, aucune décision de refus ne peut être prise sur la base des seuls éléments d’information recueillis par le biais de l’outil utilisé, qui devront faire l’objet d’un examen individuel, permettant notamment de lever les cas d’homonymies, après collecte, le cas échéant, d’informations complémentaires adaptées au niveau du risque identifié en fonction des opérations effectuées. |
Autorise, conformément à la présente délibération, FIDAL à mettre en œuvre le traitement susmentionné.
La Présidente
I. FALQUE-PIERROTIN
