[...] automatisé de données à caractère personnel ayant pour finalité l’identification des opérations de maniement de fonds pouvant caractériser un risque de fraude, de blanchiment de capitaux et de financement du terrorisme [...] La CARPA souhaite renforcer sa vigilance, qu’il lui appartient de moduler, en fonction de l’évaluation du risque de blanchiment de capitaux et de financement du terrorisme (LAB-FT) propre aux opérations [...]
(demande d’autorisation n° 1801019)
La Commission nationale de l'informatique et des libertés,
Saisie par la CARPA de Paris d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité l’identification des opérations de maniement de fonds pouvant caractériser un risque de fraude, de blanchiment de capitaux et de financement du terrorisme ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 7-5° et 25-I-4° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu l’article 241 du décret n°91-1197 du 27 novembre 1991 organisant la profession d'avocat ;
Vu l’article 8 de l’arrêté du 5 juillet 1996 modifié fixant les règles applicables aux dépôts et maniements des fonds, effets ou valeurs reçus par les avocats pour le compte de leurs clients ;
Vu le Règlement intérieur de la CARPA de Paris relatif aux maniements de fonds liés à l’activité professionnelle des avocats ;
Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Les caisses autonomes de règlements pécuniaires des avocats ci-après « CARPA », organisées en association loi 1901, relèvent de la loi n°71-1130 du 30 novembre 1971 complétée par des textes ultérieurs de nature législative et réglementaire.
Ce sont des organismes intraprofessionnels de sécurisation des opérations de maniements financiers réalisées par les avocats qui en sont membres. La profession compte 150 CARPA regroupant la totalité des 182 barreaux de France.
Les avocats exerçant en France doivent obligatoirement, et sans délai, y déposer l’argent qu’ils reçoivent pour le compte de leurs clients ou un tiers, dès lors que ces fonds sont accessoires à un acte professionnel, judiciaire ou juridique, et ce quel que soit l’instrument du paiement.
Les fonds ainsi déposés auprès des CARPA peuvent être placés auprès de la Caisse des dépôts et consignations ou de tout autre établissement bancaire et ne peuvent être retirés par l’avocat qu’après un contrôle effectué par les CARPA.
La CARPA souhaite renforcer sa vigilance, qu’il lui appartient de moduler, en fonction de l’évaluation du risque de blanchiment de capitaux et de financement du terrorisme (LAB-FT) propre aux opérations de maniements des fonds.
L’identification d’opérations résultant notamment de la fraude ou du blanchiment, sur la base de critères intégrés dans les traitements automatisés de la CARPA, peut conduire cette dernière à refuser les opérations suscitant un doute.
Ces traitements peuvent ainsi, du fait de leur portée, conduire à l’exclusion de personnes du bénéfice d’un contrat ou d’une prestation.
Dès lors, la Commission a été saisie par la CARPA de Paris, sur le fondement du 4° du I de l’article 25 de la loi du 6 janvier 1978 modifiée, d’une demande d’autorisation relative à un traitement ayant pour finalité l’identification des opérations de maniement de fonds pouvant caractériser un risque de fraude, de blanchiment de capitaux ou de financement du terrorisme au regard des réglementations applicables et des préconisations des autorités compétentes.
La Commission considère qu’il y a lieu d’analyser le traitement notamment au regard de l’article 7-5° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements de données personnelles peuvent être mis en œuvre notamment dans l'intérêt légitime du responsable de traitement, dès lors que celui-ci est établi, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux des personnes concernées.
Sur la finalité du traitement :
L’article 8 de l’arrêté du 5 juillet 1996 impose aux CARPA de contrôler les opérations réalisées par les avocats, en ce qui concerne notamment la provenance des fonds crédités, l’identité du bénéficiaire des règlements, la justification du lien entre les règlements pécuniaires des avocats et les actes juridiques ou judiciaires accomplis par ceux-ci dans le cadre de leur activité professionnelle.
La CARPA de Paris, du fait de ses missions, participe de facto, et à un premier niveau, à la prévention et à la lutte contre le blanchiment de capitaux et le financement du terrorisme sans pour autant faire partie des personnes visées par les articles L.561-2 (« personnes assujetties ») et L.561-30 du code monétaire et financier (CMF) à qui il incombe notamment de faire des déclarations de soupçon à la cellule de renseignements financiers (TRACFIN).
Le traitement de données à caractère personnel mis en œuvre par la CARPA de Paris vise à analyser et à déterminer le niveau de risque propre à chaque opération de maniement des fonds, à mettre en place une surveillance adaptée et à détecter les opérations portant sur des sommes dont elle sait, soupçonne ou a de bonnes raisons de soupçonner qu’elles proviennent d’une infraction passible d’une peine privative de liberté supérieure à un an ou participent au financement du terrorisme. Les traitements visent également à permettre l’application du dispositif de gel des avoirs dans le cadre de la lutte contre le financement du terrorisme et des mesures relatives aux sanctions financières.
En raison de la complexité des opérations de maniement de fonds et de la nécessité de mettre en place de mesures de vigilance permettant aux CARPA de s’assurer de la licéité de la provenance des fonds et de leur destination ainsi que du respect des éventuelles mesures nationales et internationales d'embargo et de gel des avoirs en vigueur, la CARPA de Paris souhaite renforcer ses moyens de détection et de contrôle.
A ce titre, la CARPA de Paris souhaite disposer d’un accès aux informations issues des bases documentaires mises à disposition par un éditeur spécialisé auquel elle aura recours et automatiser certaines opérations de vérification, notamment sur la base de requêtes ou de corrélations d’informations afin d’identifier des opérations anormales qui échapperaient à un contrôle strictement manuel en lien avec les remettants ou les bénéficiaires concernés par un maniement de fonds.
Les sources de données fournies par le prestataire de services via l’accès à la base de données portent sur :
Toutes précautions doivent être prises par la CARPA ou, à sa demande, par son prestataire pour exclure toute possibilité de consultation d’informations autres que celles strictement nécessaires à la finalité poursuivie.
Les éléments d’information utilisés par ce prestataire procèdent de sources officielles nationales et internationales, des décisions de justice ou d’autorités publiques.
La Commission considère que sont légitimes, les vérifications portant sur les seules listes appliquées en France et en Europe ou qui trouvent dans les résolutions adoptées par l’ONU en la matière, une base juridique pouvant justifier leur portée extraterritoriale dès lors que l’organisme participe à la lutte contre le blanchiment de capitaux et le financement du terrorisme. A ce titre, l’outil fourni par le prestataire de services auquel a recours la CARPA dispose d’un système de filtre permettant de limiter les informations transmises en retour à la CARPA de Paris.
Conformément à l’article 10 de la loi du 6 janvier modifiée, aucune décision de refus ne peut être prise sur la base des seuls éléments d’information recueillis par le biais de l’outil utilisé, qui devront faire l’objet d’un examen individuel, permettant notamment de lever les cas d’homonymies, après collecte, le cas échéant, d’informations complémentaires adaptées au niveau du risque identifié en fonction des opérations effectuées. Dès lors, les traitements seront réalisés selon une logique d’aide à la décision sous le contrôle des agents habilités de la CARPA.
La Commission estime que les finalités poursuivies sont déterminées, explicites et légitimes, conformément aux dispositions de l’article 6-2° de la loi du 6 janvier 1978 modifiée.
Elle recommande à la CARPA de veiller à la cohérence de son règlement intérieur tel que mentionné à l’article 238 du décret n°91-1197 du 27 novembre 1991 organisant la profession d'avocat, avec la présente délibération.
Sur la nature des données traitées :
Dans le cadre du présent traitement, la CARPA dispose de deux sources d’informations, celles issues des données déclarées par l’avocat sur le formulaire CARPA accessible via son compte individuel “maniements de fonds” et celles issues des sources documentaires du prestataire de service.
Les catégories de données traitées sont les suivantes :
Les données non pertinentes que les sources documentaires fournies sont susceptibles de comporter, ne doivent faire l’objet d’aucun traitement.
La Commission considère que ces catégories de données sont pertinentes au regard de la finalité poursuivie.
Sur la durée de conservation des données :
L’article 6-5° de la loi du 6 janvier 1978 modifiée dispose que les données permettant l’identification des personnes concernées sont conservées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
La Commission prend acte que la CARPA conserve les alertes résultant du traitement de requête et de corrélation pendant un délai maximum de 5 jours ouvrés, délai permettant à la CARPA de décider de valider ou de rejeter le maniement de fonds concerné.
Les données déclarées par les avocats dans le cadre des missions de la CARPA sont conservées le temps nécessaire à la réalisation et à la gestion de l’opération pendant une durée maximale de 2 ans.
Sur les destinataires des données :
Seuls les agents habilités de la CARPA sont destinataires des données traitées.
Sur l'information des personnes :
Le client est informé par son avocat que, pour répondre à ses obligations de validation des maniements de fonds, la CARPA met en œuvre un traitement spécifique ayant pour finalité de vérifier l’existence éventuelle de manquements aux exigences liées à la lutte contre la fraude, le blanchiment de capitaux et le financement du terrorisme.
En cas de rejet d’une opération, l’avocat est informé des raisons ayant conduit la CARPA de Paris à rejeter cette opération.
Il appartient à l’avocat, en sa qualité d’assujetti, de décider s’il y a lieu d’engager la procédure de déclaration de soupçon à la cellule TRACFIN et/ou d’informer le client des raisons du rejet, dans le respect de la réglementation et des mécanismes spécifiques qui s’appliquent à sa profession.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Les personnes physiques concernées par un maniement de fonds peuvent exercer leurs droits d’accès, de rectification et d’opposition auprès du service maniements de fonds de la CARPA de Paris, 11 Place Dauphine 75053 PARIS CEDEX 1.
Sur la sécurité des données et la traçabilité des actions :
Concernant la sécurité mise en œuvre dans le cadre du traitement LAB-FT au sein de la CARPA, la Commission retient notamment les éléments ci-après permettant d’assurer le respect de la confidentialité et de l’intégrité des données traitées.
Seuls les salariés de la CARPA dûment habilités et authentifiés auront accès à l’application.
Des procédures formalisées seront mises en place afin de garantir la mise à jour des listes de personnes dûment habilitées, en tenant compte notamment des départs, arrivées et changements de poste des utilisateurs.
Un flux chiffré sera mis en œuvre pour assurer la transmission sécurisée des données entre ses différents sites ainsi que les accès des utilisateurs à l'application.
L'accès à l'application sera réalisé uniquement depuis un poste de travail du réseau de la CARPA.
La Commission rappelle la nécessité de mettre en œuvre une traçabilité de niveau suffisant permettant d'assurer le suivi des actions réalisées au sein de l'application.
Les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée.
Cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Dans ces conditions, la Commission autorise la CARPA de Paris à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité l’identification des opérations de maniement de fonds pouvant caractériser un risque de fraude, de blanchiment de capitaux ou de financement du terrorisme.
La Présidente
I. FALQUE-PIERROTIN
