01 53 73 22 22
Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles

Contenu

Délibération

imprimer Agrandir la police (CTRL+) Diminuer la police (CTRL-) accessibilité

Autorisation unique n° AU-025 - Délibération n° 2009-641 du 26 novembre 2009 portant autorisation unique des traitements automatisés de détection des opérations susceptibles de constituer des opérations d'initiés mis en œuvre par les établissements du groupe Crédit agricole (demande d'autorisation n° 1286261)

26 Novembre 2009 - Thème(s) : Banque - Finance

NOR: CNIA0900024X

JORF n°0003 du 5 janvier 2010 page
texte n° 69

La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la directive n° 2003/6/CE du 28 janvier 2003 sur les abus de marché ;
Vu le code monétaire et financier, notamment ses articles L. 621-15 et L. 621-17-2 à L. 621-17-7 ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 25 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 précitée ;
Vu le règlement général de l'Autorité des marchés financiers (AMF), notamment ses articles 315-42 à 315-44 et 621-1 à 622-2 ;
Vu l'instruction AMF n° 2008-05 du 29 juillet 2008 relative à la déclaration d'opérations suspectes prise en application de l'article 315-42 du règlement général de l'AMF ;
Vu la demande d'autorisation déposée par Crédit agricole SA pour le compte des établissements du groupe Crédit agricole et relative à un traitement automatisé de données personnelles ayant pour finalité l'identification des opérations susceptibles de constituer des opérations d'initiés au sens de l'article L. 621-17-2 du code monétaire et financier ;
Après avoir entendu M. Jean-Paul Amoudry, commissaire, en son rapport, et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes : Crédit agricole SA a saisi la CNIL d'une demande d'autorisation unique qui porte sur la mise en place d'un traitement automatisé de données à caractère personnel dont la finalité est de détecter, parmi les transactions sur instruments financiers passées par Crédit agricole titres pour le compte des clients du groupe Crédit agricole, celles qui sont susceptibles de constituer des opérations d'initiés et doivent, à ce titre, donner lieu, après réalisation d'une analyse manuelle complémentaire, à l'envoi d'une déclaration de soupçon à l'Autorité des marchés financiers (AMF).

Le traitement est mis en œuvre pour le compte non seulement de Crédit agricole SA, mais aussi des caisses régionales de Crédit agricole mutuel, de LCL et d'autres établissements du groupe Crédit agricole.

Sur la procédure applicable

L'identification d'opérations d'initiés, sur la base de critères intégrés dans le traitement automatisé, peut conduire à souhaiter, pour des raisons de prudence, rompre toute relation contractuelle avec leurs auteurs. Le traitement peut ainsi, du fait de sa portée, conduire à l'exclusion de personnes du bénéfice d'un contrat en l'absence de toute disposition légale prévoyant la mise en œuvre d'une telle exclusion.

Dès lors, ce traitement relève du 4° du I de l'article 25 de la loi du 6 janvier 1978 modifiée et doit être autorisé par la CNIL.

La demande d'autorisation est présentée par Crédit agricole SA pour le compte des établissements du groupe Crédit agricole qui mettront en œuvre le traitement pour leur compte et sous leur responsabilité.

En vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, la Commission peut autoriser par une décision unique une catégorie de traitements répondant aux mêmes finalités, portant sur des catégories de données identiques et ayant les mêmes catégories de destinataires. Il en résulte que chaque établissement du groupe Crédit agricole qui mettra en œuvre un traitement conforme à cette décision unique d'autorisation pourra déclarer ce traitement en adressant à la Commission un engagement de conformité par lequel il s'engage à respecter les termes de la décision de la CNIL.

Sur les finalités du traitement

Le traitement automatisé a pour objet de détecter plusieurs signaux potentiellement constitutifs d'opérations d'initiés. Leur détection s'effectue a posteriori par comparaison, pour un compte-titres donné, entre des indicateurs relatifs au nombre ou au montant des transactions réalisées en bourse pendant un mois et la valeur moyenne de ces indicateurs pour les douze derniers mois. Des alertes sont ainsi produites en présence : 

  • de comptes restés inactifs durant plusieurs mois qui présentent subitement des volumes importants de transactions ;
  • de comptes qui enregistrent des opérations inhabituelles au regard des pratiques antérieures ;
  • de comptes connaissant des variations d'activité fortes et soudaines ;
  • de transactions importantes effectuées à la vente ou à l'achat, simultanément ou préalablement à d'importantes variations de cours ou de volume constatées pour une action ou une obligation donnée.

Les signalements d'opérations d'initiés potentielles sont transmis pour analyse au responsable conformité de l'établissement responsable du traitement, qui peut lancer des requêtes spécifiques pour disposer d'informations statistiques synthétisant l'activité constatée sur un compte-titres.

Les données enregistrées peuvent également faire l'objet d'une exploitation statistique pour mettre à jour le paramétrage du système d'émission automatique d'alertes.

Sur les catégories de données traitées

Les listes d'opérations à analyser ainsi obtenues comportent les catégories de données suivantes :

  • les nom, prénom ou la raison sociale du détenteur du compte ; 
  • le type de détenteur ; 
  • le numéro du compte-titres ;
  • la date d'ouverture et la catégorie du compte ;
  • les dates et motif des alertes ; 
  • le montant des transactions ayant généré l'alerte ; 
  • le nombre de titres faisant l'objet des transactions en cause ; 
  • le détail des mouvements (valeurs concernées, caractéristiques de l'ordre donné et de l'ordre exécuté).

Sont également enregistrés :

  • les nom, prénom et titre des destinataires des signalements et des personnes habilitées à consulter le système ;
  • les dates de début et de fin de leur habilitation ;
  • les données de connexion au système informatique.

Les informations sont conservées cinq ans à compter de la réalisation de l'opération.

Sur les destinataires des informations

Les destinataires de tout ou partie des données sont :

  • le responsable conformité de l'établissement responsable du traitement, pour les seules données relatives aux opérations effectuées par les clients de cet établissement ;
  • les responsables de la gestion des titres de l'établissement ;
  • le responsable conformité de Crédit agricole titres, société chargée de la passation des ordres en bourse pour le compte du groupe ; 
  • le responsable conformité de Crédit agricole SA, organe central du groupe chargé de l'administration et du paramétrage du système informatique ;
  • en cas d'envoi d'une déclaration de soupçon à l'AMF, les agents habilités de cette autorité ainsi que ceux de la direction générale de l'établissement concerné.

Sur le régime de droit d'accès

Le droit d'accès s'exerce auprès du responsable conformité de l'établissement teneur du compte du requérant.

Une clause de la convention de comptes de titres informe les clients de la finalité du traitement ainsi que des modalités d'exercice du droit d'accès.

L'ensemble de ces dispositions est adéquat, pertinent et non excessif au regard des finalités déclarées et n'appellent pas d'observation particulière.

Autorise, dans ces conditions, les établissements du groupe Crédit agricole à mettre en œuvre le traitement automatisé de détection des alertes d'opérations d'initiés potentielles, sous réserve qu'ils adressent à la CNIL, conformément aux dispositions de l'article 25-II de la loi du 6 janvier 1978, un engagement de conformité valant engagement de respecter les termes de la présente autorisation de la CNIL.

Pour le président : Le vice-président délégué, E. de Givry

Copyright © 2004 - 2012 CNIL République Française