[...] Saisie par TEMPO FRANCE d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme [...] ; Vu la directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme [...]
(Demande d’autorisation n° 1818536)
La Commission nationale de l'informatique et des libertés,
Saisie par TEMPO FRANCE d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme ;
Vu la directive 2006/70/CE de la Commission du 1er août 2006 portant mesures de mise en œuvre de la directive 2005/60/CE du Parlement européen et du Conseil pour ce qui concerne la définition des « personnes politiquement exposées » et les conditions techniques de l’application d’obligations simplifiées de vigilance à l’égard de la clientèle ainsi que de l’exemption au motif d’une activité financière exercée à titre occasionnel ou à une échelle très limitée ;
Vu le code monétaire et financier (CMF), notamment ses articles L. 561-1 à L. 562-11, L. 574-1, L. 574-2, R. 562-1, R. 562-2, R. 563-1 à R. 563-3 et R. 564-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 25.I.4° et 69 ;
Vu l’ordonnance n° 2009-104 du 30 janvier 2009 relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme, ratifiée par la loi n° 2009-526 du 12 mai 2009 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n°2007-451 du 25 mars 2007 ;
Vu le décret n° 2009-1087 du 2 septembre 2009 relatif aux obligations de vigilance et de déclaration pour la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme ;
Vu le décret n° 2012-1125 du 3 octobre 2012 relatif aux obligations de vigilance et de déclaration pour la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme portant modification des articles R. 561-12, R. 561-16 et R. 561-20 du Code monétaire et financier ;
Vu l’arrêté du 2 septembre 2009 pris en application de l’article R. 561-12 du code monétaire et financier et définissant des éléments d’information liés à la connaissance du client et de la relation d’affaire aux fins d’évaluation des risques de blanchiment de capitaux et de financement du terrorisme ;
Vu la délibération n° 2005-297 du 1er décembre 2005 portant autorisation unique de certains traitements de données à caractère personnel mis en œuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme, modifiée par la délibération n° 2007-060 du 25 avril 2007 et la délibération n° 2011-180 du 16 juin 2011 ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
|
Responsable du traitement |
TEMPO FRANCE est un établissement de paiement proposant des opérations de transferts de fonds à l’international. |
|
Sur la finalité |
La société TEMPO FRANCE a saisi la Commission d’une demande d’autorisation relative à un traitement automatisé de données à caractère personnel pour répondre aux obligations légales en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme, ainsi que de gel des avoirs. Les traitements automatisés utilisés par les établissements du secteur bancaire dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme visent notamment à détecter les transactions financières, réalisées par leurs clients, qui sont susceptibles d’être qualifiées d’infraction de blanchiment ou de financement du terrorisme par les autorités compétentes et qui, de ce fait, doivent, le cas échéant après collecte de renseignements complémentaires et analyse manuelle des éléments du dossier, donner lieu à l’envoi d’une déclaration à la cellule de renseignement financier nationale TRACFIN. L’identification de telles opérations, pour une large part sur la base de critères intégrés dans les traitements automatisés des établissements concernés, peut conduire ces derniers à souhaiter, pour des raisons de prudence, rompre toute relation contractuelle avec certains des clients qui en font l’objet. Ces traitements, peuvent ainsi, du fait de leur portée, conduire à l’exclusion de personnes du bénéfice d’un contrat en l’absence de toute disposition légale prévoyant la mise en œuvre d’une telle exclusion. Dès lors, le traitement considéré relève du 4° du I de l’article 25 de la loi du 6 janvier 1978 modifiée en 2004 et doit, à ce titre, faire l’objet d’une autorisation de la CNIL. Par sa délibération modificative n° 2005-297 du 1er décembre 2005 susvisée, la Commission a autorisé « certains traitements de données à caractère personnel qui sont mis en œuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme », sous réserve que les finalités de ces traitements, les catégories de données utilisées et leurs destinataires n’excèdent pas le cadre fixé par l’autorisation unique AU-003, que ces traitements remplissent également les conditions définies dans ce texte et que la CNIL ait reçu un engagement de conformité à l’AU-003. Tout projet de traitement automatisé dont les finalités ou les catégories de données ou de destinataires excèdent le cadre de cette autorisation unique ou qui ne respecterait pas les exigences qui y sont définies, doit, en revanche, faire l’objet d’une demande d’autorisation spécifique présentant et expliquant les différences entre le traitement envisagé et l’autorisation unique. L’analyse des caractéristiques des traitements automatisés visés par la présente demande d’autorisation permet de conclure à la conformité de la demande de traitement au regard de l’AU 003 à l’exception des différences sur les données qui, de ce fait, sont soumises à l’examen de la CNIL. |
|
Sur les données traitées |
Les données qui viennent s’ajouter à la liste déjà prévue par l’AU 003 sont les suivantes :
|
|
Sur l’information et le droit d’accès |
Les clients des transferts de fonds sont informés du traitement dans le reçu qu’ils signent lorsque le transfert est exécuté. Les bénéficiaires sont informés via le site internet : tempo.eu.com. Enfin, les salariés sont informés par voie d’affichage conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978. Les droits d’accès, de rectification et d’opposition s’exercent auprès à l’adresse suivante : 88 avenue Victor Hugo – 75006 PARIS ou par courrier électronique à l’adresse : jphaneuf@tempo.eu.com Ces modalités d’exercice des droits n’appellent pas d’observations de la part de la Commission. |
|
Sur les autres caractéristiques du traitement |
La finalité du transfert consiste à procéder au paiement des fonds transférés. Les données d’identification des salariés, des clients et des bénéficiaires des transferts de fonds, sont transmises aux différents établissements chargés du décaissement des fonds. La Commission relève que les établissements concernés garantissent un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet. |
Autorise, conformément à la présente délibération, TEMPO FRANCE à mettre en œuvre le traitement susmentionné.
La Présidente
I. FALQUE-PIERROTIN
