[...] Crédit agricole immobilier d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la lutte contre le blanchiment de capitaux, le financement du terrorisme [...] Il vise également à permettre l'application du dispositif de gel des avoirs dans le cadre de la lutte contre le financement du terrorisme. [...]
(Demande d’autorisation n° 1604890)
La Commission nationale de l’informatique et des libertés ;
Saisie par le Crédit agricole immobilier d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la lutte contre le blanchiment de capitaux, le financement du terrorisme et l’application des mesures de gel des avoirs ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu le traité sur le fonctionnement de l’Union européenne, notamment son article 215 ;
Vu le règlement n°2580/2001/CE du Conseil du 27 décembre 2001 concernant l’adoption de mesures spécifiques à l’encontre de certaines personnes et entités dans le cadre de la lutte contre le terrorisme ;
Vu le règlement n° 881/2002 du Conseil du 27 mai 2002 instituant certaines mesures restrictives spécifiques à l’encontre de certaines personnes et entités liées à Oussama ben Laden, au réseau Al-Qaida et aux Taliban, et abrogeant le règlement (CE) n° 467/2001 du Conseil interdisant l’exportation de certaines marchandises et de certains services vers l’Afghanistan, renforçant l’interdiction des vols et étendant le gel des fonds et autres ressources financières décidées à l’encontre des Taliban d’Afghanistan ;
Vu le règlement n° 1781/2006 du Parlement européen et du Conseil du 15 novembre 2006 relatif aux informations concernant le donneur d’ordre accompagnant les virements de fonds ;
Vu la directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme ;
Vu la directive 2006/70/CE de la Commission du 1er août 2005 portant mesures de mise en œuvre de la directive 2005/60/CE du Parlement européen et du Conseil pour ce qui concerne la définition des « personnes politiquement exposées » et les conditions techniques de l’application d’obligations simplifiées de vigilance à l’égard de la clientèle ainsi que de l’exemption au motif d’une activité financière exercée à titre occasionnel ou à une échelle très limitée ;
Vu le code pénal, notamment les articles 222-38 et suivants, 324-1 et suivants et 421-1 et suivants ;
Vu le code monétaire et financier (CMF), notamment ses articles L. 511-34, L. 561-1 à L. 562-11 et R. 561-1 à R. 562-5 ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, notamment son article 25 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris en application de la loi n° 78-17 du 6 janvier 1978 précitée ;
Vu les décrets pris en application de l’article L. 151-2 du CMF ;
Vu l’arrêté du 2 septembre 2009 pris en application de l’article R. 561-12 du CMF et définissant des éléments d’information liés à la connaissance du client et de la relation d’affaires aux fins d’évaluation des risques de blanchiment de capitaux et de financement du terrorisme ;
Vu les arrêtés du ministre en charge de l’économie pris en application des articles L. 562-1 et L. 562-2 du CMF ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Jean-Paul AMOUDRY, commissaire et après avoir entendu les observations de Mme Elisabeth ROLIN, commissaire du Gouvernement ;
Formule les observations suivantes :
|
Sur le responsable du traitement |
Le Crédit Agricole immobilier, filiale du groupe Crédit Agricole |
|
Sur les finalités |
Le traitement a pour finalités : - d’une part la lutte contre le blanchiment d’argent et le financement du terrorisme, - et d’autre part, l’application des mesures de gel des avoirs, d’autre part. Ce traitement doit permettre au Crédit Agricole immobilier de répondre à ses obligations d’identification et de vigilance constante à l’égard de l’ensemble de ses clients, qu’il s’agisse de relations d’affaires ou de clients occasionnels, qu’il lui appartient de moduler, conformément aux dispositions législatives et réglementaires, en fonction de l’évaluation du risque de blanchiment de capitaux et de financement du terrorisme propre à chaque relation d’affaire, ou à chaque client occasionnel. Il vise également à permettre l'application du dispositif de gel des avoirs dans le cadre de la lutte contre le financement du terrorisme. L'identification de tels faits, en partie sur la base de critères intégrés dans les traitements automatisés de l'organisme, peut conduire ce dernier à rompre toute relation d’affaires avec les clients concernés. Ces traitements, peuvent ainsi, du fait de leur portée, conduire à l'exclusion de personnes du bénéfice d'un contrat ou d’une prestation. Dès lors, ils relèvent du 4° du I de l'article 25 de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL. Par sa délibération n°2011-180 du 16 juin 2011, la Commission a autorisé les traitements de données à caractère personnel mis en œuvre par des organismes financiers relatifs à la lutte contre le blanchiment de capitaux et le financement du terrorisme ainsi qu’à l’application des sanctions financières sous réserve que les caractéristiques de ces traitements n’excèdent pas le cadre qui y est défini, que ces traitements remplissent également les conditions qui y sont fixées et que leurs responsables adressent à la CNIL un engagement de conformité à l’AU 003. Tout projet de traitement automatisé dont les responsables de traitement ne sont pas désignés dans l’AU 003 doit faire l’objet d’une demande d’autorisation spécifique présentant et expliquant les différences entre le traitement envisagé et l’autorisation unique. Le Crédit Agricole immobilier ne fait pas partie des personnes mentionnées aux 1° à 7° de l’article L.561-2 du CMF ; dès lors il ne peut procéder à un engagement de conformité à l’AU 003. Le Crédit Agricole immobilier est assujetti aux obligations de lutte contre le blanchiment et le financement du terrorisme en application des dispositions de l’article L 561-2, 8° du CMF. ( Ce traitement permet d’appliquer les mesures de vigilance à l’égard de la clientèle conformément à l’approche par les risques mises en place par Crédit Agricole Immobilier. Celui-ci permet de déterminer des profils de risques en fonction des produits, des opérations ou des caractéristiques de la personne concernée. Le traitement permet dès lors de déterminer le profil de la relation d’affaires avec le client et, le cas échéant, avec le bénéficiaire effectif de cette relation. La classification ainsi obtenue a pour objectif la mise en place des mesures de vigilance adaptées au niveau de risque identifié. ( Ce traitement permet la recherche des personnes qui doivent faire l’objet de mesures de vigilance complémentaires en tant que personnes politiquement exposées (PPE) au sens de l’article R. 561-18 du CMF et des personnes susceptibles de faire l’objet de mesures de vigilance renforcée. Le fichier des relations d’affaires peut être mis en relation avec un fichier documentaire fiabilisé utilisé comme base de référence par l’organisme financier pour identifier les personnes qualifiées de PPE et celles susceptibles de faire l’objet de mesures de vigilance renforcée. Ce traitement ne comporte que des informations relatives à des relations d’affaires qui sont susceptibles d’être qualifiées de PPE ou de présenter un risque justifiant des mesures de vigilance renforcée. Il est exploité pour distinguer les cas d’homonymie. Toutes précautions doivent être prises par l’organisme financier ou, à sa demande, par ses prestataires pour exclure toute possibilité de consultation d’informations autres que celles qui sont susceptibles d’être collectées en application des dispositions de l’arrêté du 2 septembre 2009 pris pour l’application de l’article R. 561-12 du CMF. La classification d’une personne dans la catégorie des PPE est levée à l’issue de la cessation des fonctions justifiant cette classification augmentée d’un an. A l’issue de ce délai, la situation de la personne concernée peut être réexaminée afin d’évaluer les risques présentés par cette relation d’affaires et de décider de maintenir ou non des mesures de vigilance renforcée conformément aux dispositions de l’article L. 561-10-2 du CMF Conformément aux dispositions de l’article 10 de la loi du 6 janvier 1978 modifiée en 2004, aucune décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données. ( Ce traitement a également pour objet le déclenchement des alertes et déclarations de soupçon Ces traitements permettent d’identifier les sommes ou opérations ou tentatives d’opérations portant sur des sommes qui sont susceptibles de provenir d’une infraction passible d’une peine privative de liberté supérieure à un an ou de participer au financement du terrorisme et qui, à ce titre, doivent faire l’objet d’une déclaration de soupçon. Ils génèrent des alertes soit en présence d’un compte ou d’un contrat dont le fonctionnement durant une période déterminée laisse apparaître un écart au regard de son fonctionnement habituel établi sur une période donnée et de la connaissance actualisée du client par l’organisme financier, soit au vu d’une opération ou d’un ensemble d’opérations qui se rapprochent d’un scénario préétabli, correspondant à des techniques de blanchiment identifiées, après analyse de précédents signalements. Ces alertes font l’objet d’une analyse complémentaire non automatisée dans le but éventuel de déclarer au service Tracfin les opérations qui relèvent de l’article L. 561-15 ( Le traitement permet la mise sous surveillance de certains comptes, contrats ou clients sur la base de la classification des risques élaborée par l’organisme financier, ou d’opérations jugées complexes, d’un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d’objet licite, ou d’une déclaration de soupçon n’ayant pas donné lieu à la clôture du compte. ( Il rend également possible l’application des mesures de gel des avoirs dans le cadre de la lutte contre le financement du terrorisme et des sanctions financières. L’identification des clients et, le cas échéant, des bénéficiaires effectifs qui figurent sur les listes de mesures de gel des avoirs appliquées en France et dans le pays d’établissement de la maison mère pour les filiales ou les succursales d’organismes financiers étrangers : les opérations repérées au vu des listes de mesures de gel des avoirs font l’objet d’un examen manuel permettant de lever les cas d’homonymies, le plus souvent après collecte d’informations complémentaires auprès de la personne concernée et/ou de l’organisme financier contrepartie et/ou de la direction générale du Trésor, en vue de l’exécution ou non de l’opération et/ou du gel des fonds. Les opérations envisagées ne sont définitivement bloquées qu’en présence d’indices sérieux et concordants. Les vérifications, après suspension de l’ordre de réalisation, sont effectuées dans les plus brefs délais Les personnes qui ont déjà subi une suspension de leurs opérations pour cause d’homonymie font l’objet dans un traitement automatisé d’un signalement spécifique qui n’est accessible qu’aux seuls destinataires, afin de prévenir le plus rapidement possible tout blocage de leurs opérations. La Commission observe que ces finalités sont déterminées, explicites et légitimes. |
|
Sur les données traitées |
Les catégories de données pouvant être collectées : en ce qui concerne l’identification : pour les personnes physiques : nom, prénom(s), code état (M., Mme, Mlle), pseudonyme(s), nationalité et date et lieu de naissance, une copie d’un ou plusieurs documents officiels en cours de validité comportant sa photographie, le relevé des mentions suivantes : nature, date et lieu de délivrance du ou des documents et les nom et qualité de l’autorité ou de la personne qui a délivré le ou les documents et, le cas échéant, l’a ou les a authentifiés, pour les personnes physiques représentant des personnes morales : mandats et pouvoirs, identité des dirigeants, associés et mandataires, copie de tout acte ou extrait de registre officiel datant de moins de trois mois constatant l’identité des associés et dirigeants sociaux mentionnés aux 1° et 2° de l’article R. 123-54 du code de commerce ou de leurs équivalents en droit étranger ; en ce qui concerne les coordonnées : adresse et justificatif d’adresse du domicile à jour au moment où les éléments sont recueillis, coordonnées téléphoniques, électroniques et fax. en ce qui concerne la situation professionnelle : profession, nom de l’employeur pour les salariés, secteur d’activité économique pour les professionnels indépendants et les sociétés, activité, nature et niveau des revenus ou du chiffres d’affaires, justificatifs d’activité économique, de ressources ou de patrimoine prenant la forme d’un engagement sur l’honneur de la personne concernée ou d’un justificatif de nature à démontrer la véracité des informations déclarées, en ce qui concerne les informations d’ordre économique et financier : le relevé d’identité bancaire, le nom du ou des titulaires du compte et de l’établissement financier teneur de compte, la date de souscription du contrat ou de l’entrée en relation, l’origine, l’évaluation et la composition du patrimoine et des fonds impliqués dans la transaction, le montant et la nature des opérations prévues et effectuées, la provenance et la destination des fonds (origine géographique, organisme financier intervenant en tant qu’intermédiaire, numéro des comptes crédités ou débités), identité de la personne bénéficiaire de la transaction ou du contrat, justification économique déclarée de l’opération, l’identité du donneur d’ordre réel, la justification économique déclarée par le client, l’identification de l’assurance et des partenaires ; en ce qui concerne le patrimoine : tout élément permettant d’apprécier le patrimoine ; en ce qui concerne la vie personnelle : les caractéristiques du logement ou des locaux d’un mandant (adresse, code immeuble, numéro de bâtiment, étage, surface, numéro de lot, type d’habitation et usage prévu en ce qui concerne les déclarations de soupçon : l’existence et contenu. A l’exception des données relatives à l’identification et au justificatif de domicile, la collecte des informations précitées avant l’entrée en relation ou au cours de celle-ci ne peut être systématique et indifférenciée pour l’ensemble des personnes concernées. La collecte doit s’avérer nécessaire à l’évaluation du risque présenté par le client, l’opération demandée ou le contrat souscrit et être proportionnée à la classification des risques de l’établissement financier élaborée ab initio par grandes catégories de client, de produit et de contrat. Des données et pièces justificatives complémentaires peuvent également être collectées directement auprès de la personne concernée en cas de risque élevé ou d’opérations complexes, d’un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d’objet licite. Les données non pertinentes que les documents collectés sont susceptibles de comporter, comme le numéro de sécurité sociale et le numéro fiscal, ne doivent faire l’objet d’aucun traitement, sauf dans l’hypothèse où ces éléments figurent sur les listes de gel des avoirs ou de sanctions financières. La Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie. |
|
Sur les destinataires |
Sont destinataires de ce traitement - les personnes en relation avec la clientèle pour les clients dont ils ont la charge, à l’exception des informations relatives aux déclarations de soupçon, - les personnels habilités en charge de la Conformité et de la Sécurité financière au sein de l’unité Risques, Contrôles Permanents, Conformité et de la Direction juridique, - le responsable de l’audit interne ou son délégué - le correspondant TRACFIN, - la cellule de renseignements financiers Tracfin du ministère de l’économie, des finances et de l’industrie, Ces destinataires n’appellent pas d’observations de la part de la Commission. |
|
Sur l’information et le droit d’accès |
Les personnes sont informées conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée par une mention figurant dans le contrat. Conformément aux dispositions de l’article L. 561-45 du CMF, le droit d’accès aux traitements mis en œuvre aux seules fins de l’application des dispositions relatives à la lutte contre le blanchiment de capitaux et le financement du terrorisme s’exerce auprès de la Commission nationale de l’informatique et des libertés via une procédure de droit d’accès indirect. Dans les autres cas, le droit d’accès, de rectification et d’opposition s’exerce auprès de Crédit Agricole immobilier, 15 Place des Etats-Unis, 92 545 MONTROUGE cedex. La Commission considère que ces modalités d’exercice des droits sont suffisantes au regard des dispositions de la loi du 6 janvier 1978 modifiée. |
|
Sur les mesures de sécurité |
L’ensemble des actions effectuées par les destinataires des données sont tracées afin de permettre de détecter et d’analyser tous accès, modifications et suppressions de données non autorisés. Les autres mesures de sécurité n’appellent pas d’observations de la part de la Commission. |
|
Sur les autres caractéristiques du traitement |
Sont concernés par ce traitement
Les données et documents d’identité relatifs à l’identité des clients habituels ou occasionnels et, le cas échéant, des bénéficiaires effectifs sont conservés pendant une durée de cinq ans à compter de la clôture du compte ou de la cessation de la relation. |
Autorise, conformément à la présente délibération, le Crédit Agricole immobilier à mettre en œuvre le traitement susmentionné.
La Présidente
Isabelle FALQUE-PIERROTIN
