[...] transposition de la directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme [...]
(Demande d’autorisation n° 1617103)
La Commission nationale de l'informatique et des libertés,
Saisie par la société Bristish Petroleum France d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre des mesures de prévention dans les domaines de la corruption et du blanchiment de capitaux ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 7-5° et 25-I-4° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Après avoir entendu Mme Marie-Hélène MITJAVILE, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Sur la finalité du traitement :
La société British Petroleum (BP) France est la filiale française du groupe BP, acteur mondial du secteur de la distribution de produits pétroliers, immatriculé en Angleterre et coté à la bourse de Londres et de New York.
Le groupe exerce une activité de négoce et de distribution d’hydrocarbures impliquant l’achat et la vente de produits et services faisant intervenir de multiples tiers (clients, fournisseurs, mandataires) tant en France qu’à l’étranger.
Sur le fondement de l’article 25-I-4 de la loi du 6 janvier 1978 modifiée qui prévoit que sont soumis à autorisation préalable les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire, la Commission a été saisie par la société BP France d’une demande d’autorisation relative à un traitement ayant pour finalité la prévention de la corruption et le blanchiment de capitaux et consistant à mettre en œuvre une procédure de vérifications portant sur les personnes avec lesquelles elle est en relation commerciale
La Commission considère qu’il y a lieu d’analyser le traitement au regard de l’article 7-5° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements de données personnelles peuvent être mis en œuvre notamment dans l'intérêt légitime du responsable de traitement, dès lors que celui-ci est établi, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux des personnes concernées.
La société BP se prévaut à l’appui de sa demande d’autorisation des dispositions de deux lois britanniques, le « UK Bribery Act » du 8 avril 2010 et le « Proceeds of Crime Act » de 2002 dite « POCA » du 1er juillet 2011, et fait également valoir les spécificités liées au secteur d’activité dans lequel elle intervient.
Le renforcement des législations européenne et internationale en matière de lutte contre la corruption, en particulier dans le cadre des relations avec des agents publics, conduisent des sociétés telles que BP France à mettre en place un système de détection et de prévention de la corruption. En particulier, la loi britannique « UK Bribery Act » (UKBA) du 8 avril 2010 impose la mise en œuvre de procédures de contrôles préalables (« due diligence ») dans les entreprises multinationales dans le domaine de la lutte contre la corruption.
La société mère BP est soumise au UK Bribery Act non seulement en ce qui concerne ses propres activités, mais aussi au titre des sociétés non britanniques avec lesquelles elle est affiliée. Les sociétés françaises sont soumises à cette législation dès lors qu'elles ont une activité, même partielle, sur le territoire du Royaume-Uni, ou qu'elles sont partenaires de sociétés soumises au UK Bribery Act.
En matière de lutte contre le blanchiment d’argent, la société BP France indique être soumise aux dispositions de la loi britannique « Proceeds of Crime Act » (« POCA ») de 2002 qui incrimine le fait de s’engager dans une relation d’affaires en sachant ou suspectant qu’elle facilitera l’acquisition, la conservation, l’utilisation ou le contrôle de biens d’origine criminelle (article 328). La même loi sanctionne le fait d'acquérir, d'utiliser ou détenir les produits d'un crime (article 329).
La société BP France précise en outre que la loi POCA complète la règlementation anglaise de lutte contre le blanchiment du 15 décembre 2007 « The Money Laundering Regulations » (prise pour la transposition de la directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme).
La Commission relève que si la Directive 2005/60/CE et la loi britannique de transposition britannique « The Money Laundering Regulations » ne visent que certains secteurs réglementés tels que les institutions financières, le secteur des assurances, les sociétés immobilières ou encore les sociétés d'investissements, les dispositions de la loi POCA sont en revanche d’application très large. Compte tenu des observations qui précédent, la Commission relève que la société BP France est tenue en application de la loi britannique « UK Bribery Act » de mettre en place des procédures de contrôles préalables dans le domaine de la lutte contre la corruption. Elle estime qu’il lui incombe également, en application de la loi britannique «britannique « Proceeds of Crime Act », et sous réserve de l’interprétation que donneront de cette loi les tribunaux compétents auxquels il appartiendra de préciser la portée extraterritoriale de ses dispositions, de prendre des mesures de prévention en matière de lutte contre le blanchiment d’argent.
La Commission prend acte enfin que le domaine d’activité de la société BP France implique l’achat et la vente de produits et services faisant intervenir de multiples tiers (clients, fournisseurs, mandataires) tant en France qu’à l’étranger et notamment dans des pays particulièrement exposés au risque de corruption et de blanchiment. Ce marché international caractérisé par une grande diversité d’intermédiaires suscite des flux financiers très importants.
Le traitement envisagé par la société BP France vise à identifier les transactions présentant un risque de corruption ou de blanchiment, par le biais d’un système reposant sur une évaluation progressive adaptée au risque encouru. La société BP France souhaite vérifier l’intégrité des clients et fournisseurs potentiels ainsi que des entités exerçant comme intermédiaires (agents commerciaux, mandataires, etc.). Le traitement porte essentiellement sur des entités personnes morales et de manière ponctuelle sur une catégorie limitée de personnes physiques tels que les dirigeants et les associés.
Dans un premier temps, les commerciaux de la société BP France identifient le risque au regard de différentes informations recueillies (taille, volume, fréquence ou nature de la transaction, caractère occasionnel de la transaction, montant, structure de l’actionnariat, présence d’intermédiaires, etc.). En fonction de ces informations, les commerciaux de la société BP France peuvent estimer qu’il existe un risque qu’il convient d’évaluer. Dans le cas contraire, le partenaire ne donnera pas lieu à une vérification complémentaire.
Lorsque les informations recueillies à l’issue de ce premier niveau de vérification ont révélé un risque, la société BP France envoie les données à la filiale du groupe BP, située en Europe, chargée du second niveau d’analyse, lequel se base sur un outil développé par un prestataire externe.
Les éléments d’information utilisés par ce prestataire procèdent de sources officielles nationales et internationales, des informations issues de la presse, des décisions de justice ou d’autorités publiques.
L’outil fourni par le prestataire de service est configuré de telle sorte que la société BP France ne puisse disposer que des informations spécifiques aux domaines de lutte contre la corruption et le blanchiment d’argent.
Les informations détectées lors de ces opérations de vérification peuvent conduire la société BP France à suspendre la transaction engagée avec les personnes concernées, après consultation de listes des personnes faisant l’objet de sanctions financières ou de mesures de restriction.
La Commission considère que les vérifications portant sur ces listes doivent procéder d’une obligation légale et ne doivent porter que sur une catégorie de personnes déterminée au regard du risque encouru conformément au principe de proportionnalité. Elle rappelle qu’aucune décision de refus d’entrée en relation ne peut être prise sur la base des seuls éléments d’information recueillis par le biais de l’outil utilisé, qui devront faire l’objet d’un examen individuel, permettant de lever les cas d’homonymies, après collecte, le cas échéant, d’informations complémentaires.
La Commission considère que sont légitimes, les vérifications portant sur les listes appliquées en France et dans le pays d’établissement de la maison mère et émises par une autorité publique dès lors que BP France est tenue de les appliquer.
Dans ces conditions, la Commission estime que le traitement répond à l’intérêt légitime du responsable du traitement conformément à l’article 7-5° de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
Dans le cadre de la phase initiale de la procédure de vérification préalable d’intégrité du partenaire commercial, la société BP France collecte les données suivantes :
Dans le cadre de la seconde phase de vérification, les informations consultées par le biais de l’outil d’investigation sont les suivantes :
Les vérifications porteront uniquement sur les dirigeants et les actionnaires directs ou indirects (bénéficiaires effectifs) des partenaires commerciaux, tels que ceux-ci apparaissent sur le site web du partenaire commercial ainsi que sur les bases de données publiques.
La Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.
Sur la durée de conservation des données :
Lorsqu’un contrat est conclu, les rapports traités et composés par la société BP France sur la base des informations recueillies et sélectionnées, lors des différentes étapes de vérification, sont conservés en base active pendant 90 jours à compter de l’évaluation, quel que soit le niveau du risque identifié. Les données sont ensuite archivées pendant dix ans pour pouvoir justifier, le cas échéant, des diligences auprès des autorités compétentes.
Sur les destinataires des données :
Les opérations de vérification réalisées en France seront supervisées par les personnes habilitées des départements juridique, financier et « ethic & compliance » de la société BP France.
Le centre de service partagé de BP (filiale européenne du Groupe BP effectuant des recherches) procède à l’interrogation de l’outil sur demande de la société BP France.
La Commission considère que ces destinataires ont un intérêt légitime à accéder aux données traitées.
Sur l'information des personnes :
La politique menée par BP en matière de lutte contre la corruption et de blanchiment sera mise en ligne sur le site internet de la société BP France afin de permettre aux partenaires commerciaux de prendre connaissance de la politique en vigueur en sein du groupe. Cette politique inclura une mention spécifique d’information des personnes concernées sur les conditions dans lesquelles leurs données seront traitées.
Les contrats commerciaux, les conditions générales de vente ainsi que les conditions générales d’achat comportent des clauses mentionnant l’existence du programme de lutte contre les risques de corruption et de blanchiment d’argent.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Les personnes concernées pourront exercer leurs droits d’accès, de rectification et d’opposition à l’adresse suivante : Correspondant Informatique et Liberté de la société BP France, 12 avenue des Béguines, 95866 Cergy Pontoise.
Sur les transferts de données hors Union européenne
Le processus de vérification fait intervenir un prestataire extérieur situé hors Union européenne. Les transferts des données sont encadrés par la signature de clauses contractuelles types élaborées par la Commission européenne (responsable de traitement à sous-traitant).
Sur la sécurité des données et la traçabilité des actions :
Des mesures sont prises afin de préserver la sécurité et la confidentialité des données et, notamment, empêcher que des tiers non autorisés y aient accès. Les accès au système d’information et les opérations effectuées sur les supports d’enregistrement des données sont traçés.
Les mesures de sécurité envisagées n’appellent pas d’observations particulières ; la Commission rappelle cependant la nécessité d’une mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Dans ces conditions, la Commission autorise la société British Petroleum France à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la mise en œuvre de procédures de vérification d’intégrité vis-à-vis des partenaires commerciaux afin de prévenir et de détecter les risques de corruption et de blanchiment d’argent.
La Présidente
Isabelle FALQUE-PIERROTIN
