01 53 73 22 22
Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles

Contenu

Délibération

imprimer Agrandir la police (CTRL+) Diminuer la police (CTRL-) accessibilité

Autorisation unique n° AU-003 : Délibération n° 2011-180 du 16 juin 2011 portant autorisation unique de traitements de données à caractère personnel mis en œuvre par des organismes financiers relatifs à la lutte contre le blanchiment de capitaux et le financement du terrorisme ainsi qu’à l’application des sanctions financières

16 Juin 2011 - Thème(s) : Banque - Finance

NOR: CNIA1100008X

JORF n°0156 du 7 juillet 2011

La Commission nationale de l’informatique et des libertés,

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
le traité sur le fonctionnement de l’Union européenne, notamment son article 215 ;
le règlement n° 2580/2001/CE du Conseil du 27 décembre 2001 concernant l’adoption de mesures restrictives spécifiques à l’encontre de certaines personnes et entités dans le cadre de la lutte contre le terrorisme ;
le règlement n° 881/2002 du Conseil du 27 mai 2002 instituant certaines mesures restrictives spécifiques à l’encontre de certaines personnes et entités liées à Oussama ben Laden, au réseau Al-Qaida et aux Taliban, et abrogeant le règlement (CE) n° 467/2001 du Conseil interdisant l’exportation de certaines marchandises et de certains services vers l’Afghanistan, renforçant l’interdiction des vols et étendant le gel des fonds et autres ressources financières décidées à l’encontre des Taliban d’Afghanistan ;
le règlement n° 1781/2006 du Parlement européen et du Conseil du 15 novembre 2006 relatif aux informations concernant le donneur d’ordre accompagnant les virements de fonds ;
les règlements du Conseil pris en application de l’article 215 du traité sur le fonctionnement de l’Union européenne ;
la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
la directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme ;
la directive 2006/70/CE de la Commission du 1er août 2005 portant mesures de mise en œuvre de la directive 2005/60/CE du Parlement européen et du Conseil pour ce qui concerne la définition des « personnes politiquement exposées » et les conditions techniques de l’application d’obligations simplifiées de vigilance à l’égard de la clientèle ainsi que de l’exemption au motif d’une activité financière exercée à titre occasionnel ou à une échelle très limitée ;
le code pénal, notamment les articles 222-38 et suivants, 324-1 et suivants et 421-1 et suivants ;
le code monétaire et financier (CMF), notamment ses articles L. 511-34, L. 561-1 à L. 562-11 et R. 561-1 à R. 562-5 ;
le code des assurances, notamment ses articles L. 322-1-3, L. 334-2 et A. 310-5 et suivants ;
le code de la mutualité, notamment son article R. 211-28 ;
le code de la sécurité sociale, notamment son article R. 931-43 ;
la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, notamment son article 25 ;
l’article 19 de l’ordonnance n° 2009-104 du 30 janvier 2009 relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme ;
le décret n° 2005-1309 du 20 octobre 2005 pris en application de la loi n° 78-17 du 6 janvier 1978 précitée ;
les décrets pris en application de l’article L. 151-2 du CMF ;
l’arrêté du 2 septembre 2009 pris en application de l’article R. 561-12 du CMF et définissant des éléments d’information liés à la connaissance du client et de la relation d’affaires aux fins d’évaluation des risques de blanchiment de capitaux et de financement du terrorisme ;
les arrêtés du ministre en charge de l’économie pris en application des articles L. 562-1 et L. 562-2 du CMF ;
le règlement du Comité de la réglementation bancaire et financière (CRBF) n° 97-02 du 21 février 1997 modifié relatif au contrôle interne des établissements de crédit et des entreprises d’investissement, le règlement n° 2002-01 du 18 avril 2002 modifié relatif aux obligations de vigilance en matière de chèques aux fins de lutte contre le blanchiment de capitaux et le financement du terrorisme et le règlement n° 2002-13 du 21 novembre 2002 modifié relatif à la monnaie électronique et aux établissements de monnaie électronique ;
le règlement général de l’Autorité des marchés financiers, notamment ses articles 315-49 à 315-58, 321-48, 321-57, 325-12, 550-4, 550-9 à 550-11, 560-4 et 560-12 à 560-14 ;

Après avoir entendu M. Jean Paul AMOUDRY, commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :.

La législation relative à la lutte contre le blanchiment de capitaux et le financement du terrorisme impose aux organismes financiers une obligation d’identification et de vigilance constante à l’égard de l’ensemble de leurs clients, qu’il s’agisse de relation d’affaires ou de clients occasionnels, qu’il leur appartient de moduler, conformément aux dispositions législatives et réglementaires, en fonction de l’évaluation du risque de blanchiment de capitaux et de financement du terrorisme propre à chaque relation d’affaires ou à chaque client occasionnel.

Les traitements de données à caractère personnel mis en œuvre par ces organismes au titre de ces obligations visent à analyser et à déterminer le niveau de risque propre à chaque client, à mettre en place une surveillance adaptée et à détecter les sommes inscrites dans leurs livres ou les opérations portant sur des sommes dont elles savent, soupçonnent ou ont de bonnes raisons de soupçonner qu’elles proviennent d’une infraction passible d’une peine privative de liberté supérieure à un an ou participent au financement du terrorisme et qui, de ce fait, doivent, le cas échéant après la collecte de renseignements complémentaires, donner lieu à l’envoi d’une déclaration de soupçon à la cellule de renseignement financier nationale (Tracfin).

Les traitements visent également à permettre l’application du dispositif de gel des avoirs dans le cadre de la lutte contre le financement du terrorisme et des mesures relatives aux sanctions financières.

L’identification de tels faits, en partie sur la base de critères intégrés dans les traitements automatisés de l’organisme, peut conduire ce dernier à rompre toute relation d’affaires avec les clients concernés.

Ces traitements peuvent ainsi, du fait de leur portée, conduire à l’exclusion de personnes du bénéfice d’un contrat ou d’une prestation.

Dès lors, ils relèvent du 4° du I de l’article 25 de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL.

En vertu de l’article 25-II de la loi du 6 janvier 1978 modifiée, la commission peut autoriser par une décision unique une catégorie de traitements répondant aux mêmes finalités, portant sur des catégories de données identiques et ayant les mêmes catégories de destinataires. Il en résulte que le responsable d’un traitement conforme à cette décision unique d’autorisation pourra déclarer son traitement en adressant à la commission un engagement de conformité par lequel il s’engage à respecter les termes de la décision de la CNIL.

En raison des nouvelles dispositions résultant de la transposition de la directive 2005/60/CE du 26 octobre 2005, il est apparu nécessaire d’adopter une nouvelle autorisation unique en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme. Celle-ci a vocation à abroger et remplacer la délibération n° 2005-297 du 1er décembre 2005, modifiée par la délibération n° 2007-060, portant autorisation unique de certains traitements de données à caractère personnel mis en œuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme.

Reprenant et confirmant la plupart des dispositions adoptées en 2005, cette nouvelle autorisation permet désormais et en particulier :.

  • d’inclure les traitements permettant de détecter les fonds et ressources économiques faisant l’objet d’une mesure de gel au titre des sanctions financières ;
  • de prendre en compte de nouvelles catégories de responsables de traitement ;
  • d’appliquer des mesures de vigilance conformément à « l’approche par les risques » ;
  • d’identifier des personnes politiquement exposées ;
  • de désigner de nouvelles catégories de destinataires des données, et.

  • de permettre l’exercice du droit d’accès via la procédure de droit d’accès indirect

Décide : .

  • que la délibération n° 2005-297 du 1er décembre 2005, modifiée par la délibération n° 2007-060 du 25 avril 2007, portant autorisation unique de certains traitements de données à caractère personnel mis en œuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme est abrogée et remplacée par la délibération n° 2011-180 du 16 juin 2011 ;
  • que les organismes financiers mentionnés ci-dessous qui souhaiteront se référer à l’autorisation unique n° AU 003 et adresseront, à cette fin, à la commission un engagement de conformité pour leurs traitements qui répondent strictement aux conditions définies dans la présente décision unique seront autorisés à mettre en œuvre ces traitements ;
  • que tout projet de traitement automatisé dont les finalités ou les catégories de données ou de destinataires excéderaient le cadre défini par la présente autorisation unique ou ne respecteraient pas les exigences qui y sont définies devra faire l’objet d’une demande d’autorisation spécifique présentant et expliquant les différences entre le traitement envisagé et l’autorisation unique. 

Article 1
Responsables de traitement

Seules peuvent réaliser un engagement de conformité à la présente autorisation unique les personnes assujetties aux obligations de lutte contre le blanchiment de capitaux et le financement du terrorisme mentionnées aux 1° à 7° de l’article L. 561-2 du CMF et désignées dans la présente autorisation unique sous l’appellation « organismes financiers ». 

Article 2
Finalités et champ d’application du traitement

Seuls peuvent faire l’objet d’un engagement de conformité, par référence à la présente décision unique, les traitements que les organismes susvisés mettent en œuvre pour répondre à leurs obligations légales et réglementaires en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme, et dont l’objet est :.

  • de mettre en place une surveillance adaptée aux risques de blanchiment de capitaux et de financement du terrorisme pendant toute la durée de la relation d’affaires ;
  • d’apporter une aide à la surveillance, à la détection et à l’examen des transactions ou opérations réalisées par les clients, portant sur des sommes qui sont susceptibles :
    • de provenir d’une infraction passible d’une peine privative de liberté supérieure à un an, ou
    • de participer au financement du terrorisme, ou
    • de détecter des fonds et ressources économiques faisant l’objet d’une mesure de gel ou d’une mesure de sanction

Ces traitements ont pour finalités :

  1. La mise en œuvre des obligations de vigilance à l’égard de la clientèle conformément à l’approche par les risques
    Il s’agit de déterminer le profil de la relation d’affaires avec le client et, le cas échéant, avec le bénéficiaire effectif de cette relation, en fonction des produits souscrits, des opérations effectuées et des caractéristiques du client
    La classification ainsi obtenue a pour objectif la mise en place des mesures de vigilance adaptées au niveau de risque identifié
    En dehors des cas prévus par les textes législatifs et réglementaires et les listes de gel des avoirs, la prise en compte de la nationalité du client ou du bénéficiaire effectif ne saurait être le seul critère justifiant une mesure de surveillance renforcée
  2. La recherche des personnes qui doivent faire l’objet de mesures de vigilance complémentaires en tant que personnes politiquement exposées (PPE) au sens de l’article R. 561-18 du CMF et des personnes susceptibles de faire l’objet de mesures de vigilance renforcée
    Le fichier des relations d’affaires peut être mis en relation avec un fichier documentaire fiabilisé utilisé comme base de référence par l’organisme financier pour identifier les personnes qualifiées de PPE et celles susceptibles de faire l’objet de mesures de vigilance renforcée.
    Ce traitement ne comporte que des informations relatives à des relations d’affaires qui sont susceptibles d’être qualifiées de PPE ou de présenter un risque justifiant des mesures de vigilance renforcée. Il est exploité pour distinguer les cas d’homonymie.
    Toutes précautions doivent être prises par l’organisme financier ou, à sa demande, par ses prestataires pour exclure toute possibilité de consultation d’informations autres que celles qui sont susceptibles d’être collectées en application des dispositions de l’arrêté du 2 septembre 2009 pris pour l’application de l’article R. 561-12 du CMF.
    La classification d’une personne dans la catégorie des PPE est levée à l’issue de la cessation des fonctions justifiant cette classification augmentée d’un an. A l’issue de ce délai, la situation de la personne concernée peut être réexaminée afin d’évaluer les risques présentés par cette relation d’affaires et de décider de maintenir ou non des mesures de vigilance renforcée conformément aux dispositions de l’article L. 561-10-2 du CMF
    3. Conformément aux dispositions de l’article 10 de la loi du 6 janvier 1978 modifiée en 2004, aucune décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données
  3. Le déclenchement des alertes et déclarations de soupçon
    Ces traitements permettent d’identifier les sommes ou opérations ou tentatives d’opérations portant sur des sommes qui sont susceptibles de provenir d’une infraction passible d’une peine privative de liberté supérieure à un an ou de participer au financement du terrorisme et qui, à ce titre, doivent faire l’objet d’une déclaration de soupçon.
    Ils génèrent des alertes soit en présence d’un compte ou d’un contrat dont le fonctionnement durant une période déterminée laisse apparaître un écart au regard de son fonctionnement habituel établi sur une période donnée et de la connaissance actualisée du client par l’organisme financier, soit au vu d’une opération ou d’un ensemble d’opérations qui se rapprochent d’un scénario préétabli, correspondant à des techniques de blanchiment identifiées, après analyse de précédents signalements. Ces alertes font l’objet d’une analyse complémentaire non automatisée dans le but éventuel de déclarer au service Tracfin les opérations qui relèvent de l’article L. 561-15
  4. La mise sous surveillance de certains comptes, contrats ou clients sur la base de la classification des risques élaborée par l’organisme financier, ou d’opérations jugées complexes, d’un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d’objet licite, ou d’une déclaration de soupçon n’ayant pas donné lieu à la clôture du compte.
  5. L’application des mesures de gel des avoirs dans le cadre de la lutte contre le financement du terrorisme et des sanctions financières.
    L’identification des clients et, le cas échéant, des bénéficiaires effectifs qui figurent sur les listes de mesures de gel des avoirs appliquées en France et dans le pays d’établissement de la maison mère pour les filiales ou les succursales d’organismes financiers étrangers : les opérations repérées au vu des listes de mesures de gel des avoirs font l’objet d’un examen manuel permettant de lever les cas d’homonymies, le plus souvent après collecte d’informations complémentaires auprès de la personne concernée et/ou de l’organisme financier contrepartie et/ou de la direction générale du Trésor, en vue de l’exécution ou non de l’opération et/ou du gel des fonds.
    Les opérations envisagées ne sont définitivement bloquées qu’en présence d’indices sérieux et concordants. Les vérifications, après suspension de l’ordre de réalisation, sont effectuées dans les plus brefs délais
    Les personnes qui ont déjà subi une suspension de leurs opérations pour cause d’homonymie font l’objet dans un traitement automatisé d’un signalement spécifique qui n’est accessible qu’aux seuls destinataires mentionnés à l’article 5, afin de prévenir le plus rapidement possible tout blocage de leurs opérations. 

Article 3
Personnes concernées

Les données à caractère personnel qui font l’objet de ces traitements peuvent concerner :.

  • des personnes ayant sollicité la conclusion d’un contrat ou la réalisation d’une opération ;
  • des clients personnes physiques, qu’ils soient habituels ou occasionnels ;
  • des tiers concernés par leurs opérations financières, des tiers hébergeant des clients ;
  • des personnes physiques représentant des personnes morales ;
  • des bénéficiaires effectifs ;
  • des personnes qui sont susceptibles d’être classées dans la catégorie des « personnes politiquement exposées » conformément aux dispositions de l’article R. 561-18 du code monétaire et financier ;
  • des personnes mentionnées sur les listes de gel des avoirs ou de sanctions financières.

L’identité, l’activité et les coordonnées professionnelles du (ou des) déclarant(s) et correspondant(s) Tracfin peuvent également être mentionnées dans le traitement. 

Article 4
Données traitées

Les catégories de données pouvant être collectées dans les traitements de lutte contre le blanchiment de capitaux et le financement du terrorisme concernant les personnes mentionnées à l’article 3, à l’exception des déclarants et correspondants Tracfin, sont :.

  • en ce qui concerne l’identification :
    • pour les personnes physiques : nom, prénom(s), code état (M., Mme, Mlle), pseudonyme(s), nationalité et date et lieu de naissance, une copie d’un ou plusieurs documents officiels en cours de validité comportant sa photographie, le relevé des mentions suivantes : nature, date et lieu de délivrance du ou des documents et les nom et qualité de l’autorité ou de la personne qui a délivré le ou les documents et, le cas échéant, l’a ou les a authentifiés ;
    • pour les personnes physiques représentant des personnes morales : mandats et pouvoirs, identité des dirigeants, associés et mandataires, copie de tout acte ou extrait de registre officiel datant de moins de trois mois constatant l’identité des associés et dirigeants sociaux mentionnés aux 1° et 2° de l’article R. 123-54 du code de commerce ou de leurs équivalents en droit étranger ;
  • en ce qui concerne les coordonnées : adresse et justificatif d’adresse du domicile à jour au moment où les éléments sont recueillis ;
  • en ce qui concerne la situation professionnelle, économique et financière : catégorie socioprofessionnelle, code NAF, profession, nom de l’employeur, nature et niveau des revenus ou du chiffre d’affaires, justificatifs d’activité économique, de ressources ou de patrimoine prenant la forme d’un engagement sur l’honneur de la personne concernée ou d’un justificatif de nature à démontrer la véracité des informations déclarées ;
  • en ce qui concerne le fonctionnement du compte, les opérations financières ou les produits souscrits : numéro de compte ou de contrat, date d’ouverture du compte, de souscription du contrat ou de l’entrée en relation, origine, évaluation et composition du patrimoine et des fonds impliqués dans la transaction, montant et nature des opérations prévues et effectuées, fonctionnement envisagé du compte, devise traitée, provenance et destination des fonds (origine géographique, organisme financier intervenant en tant qu’intermédiaire, numéro des comptes crédités ou débités), identité de la personne bénéficiaire de la transaction ou du contrat, justification économique déclarée de l’opération, identité du donneur d’ordre réel, justification économique déclarée par le client ;
  • en ce qui concerne le patrimoine : éléments permettant d’apprécier le patrimoine ;
  • en ce qui concerne les déclarations de soupçon : existence et contenu.

A l’exception des données relatives à l’identification et au justificatif de domicile, la collecte des informations précitées avant l’entrée en relation ou au cours de celle-ci ne peut être systématique et indifférenciée pour l’ensemble des personnes concernées. Elle doit s’avérer nécessaire à l’évaluation du risque présenté par le client, l’opération demandée ou le contrat souscrit et être proportionnée à la classification des risques de l’établissement financier élaborée ab initio par grandes catégories de client, de produit et de contrat.

Des données et pièces justificatives complémentaires peuvent également être collectées directement auprès de la personne concernée en cas de risque élevé ou d’opérations complexes, d’un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d’objet licite.

Ces données peuvent faire l’objet d’autres utilisations dans le cadre de la gestion de la relation bancaire sous réserve que les personnes soient informées conformément au I de l’article 32 de la loi du 6 janvier 1978 et qu’elles soient en mesure d’exercer leur droit d’opposition. En outre, les données non pertinentes que les documents collectés sont susceptibles de comporter, comme le numéro de sécurité sociale et le numéro fiscal, ne doivent faire l’objet d’aucun traitement, sauf dans l’hypothèse où ces éléments figurent sur les listes de gel des avoirs ou de sanctions financières.

Ces données peuvent être collectées par le responsable de traitement lui-même ou par un tiers conformément aux dispositions de l’article L. 561-7 du CMF. Dans ce second cas, le responsable de traitement reste tenu à l’ensemble des obligations résultant de la loi du 6 janvier 1978 modifiée au titre des traitements qui sont mis en œuvre pour son compte. 

Article 5
Destinataires des données

Dans la limite de leurs attributions respectives et pour l’exercice de la finalité précitée, seuls peuvent être habilités à avoir communication des données précitées traitées aux fins de lutte contre le blanchiment de capitaux et le financement du terrorisme, pour la mise en œuvre des mesures de sanctions financières :.

a) Parmi les responsables de traitement :

  • les personnes en relation avec la clientèle et les gestionnaires de contrat et de sinistre pour les clients dont ils ont la charge, à l’exception des informations relatives aux déclarations de soupçon ;
  • les personnes habilitées à prendre la décision de nouer ou de maintenir une relation d’affaires avec une PPE ;
  • les personnels habilités du (ou des) service(s) chargé(s) de la lutte contre le blanchiment, notamment ceux ayant la qualité de correspondant ou de déclarant Tracfin, au sein des services de contrôle, d’audit ou juridique de l’organisme responsable du traitement ;
  • lorsque l’organisme financier fait partie d’un groupe au sens de l’article L. 511-20 (III) du CMF ou de l’article L. 334-2 du code des assurances, les services de lutte contre le blanchiment des entreprises du même groupe dont le siège social est situé dans un Etat membre de la Communauté européenne, dans un Etat partie à l’accord sur l’Espace économique européen ou dans un Etat dont les autorités ont conclu avec l’Autorité de contrôle prudentiel une convention bilatérale en application des articles L. 632-7, L. 632-13 et L. 632-16 du CMF, sous réserve que cet Etat ait été reconnu par une décision de la Commission européenne comme assurant un niveau de protection adéquat.

En outre, un code particulier peut être enregistré dans les fichiers centralisés de la clientèle au nom des personnes qui font l’objet d’un enregistrement dans les traitements régis par la présente décision, afin de signifier le niveau de risque et la nécessité d’une consultation du service chargé de la lutte contre le blanchiment pour toute nouvelle opération.

Les actions effectuées par ces personnes doivent être tracées afin de permettre de détecter et d’analyser tous accès, modifications et suppressions de données non autorisés.

b) Parmi les autorités compétentes :

  • la cellule de renseignement financier Tracfin du ministère de l’économie, des finances et de l’industrie ;
  • les autorités de contrôle compétentes au sens de l’article L. 561-36 du CMF ;
  • pour les données relatives aux personnes qui font l’objet d’une mesure de gel des avoirs, la direction générale du Trésor ;
  • les autorités de contrôle compétentes des autres Etats membres de la Communauté européenne, des Etats parties à l’accord sur l’Espace économique européen et des Etats où sont applicables les accords conclus avec l’Autorité de contrôle prudentiel ou l’Autorité des marchés financiers en application des dispositions prévues aux articles L. 632-7, L. 632-13 et L. 632-16 du CMF.

c) Parmi les autres organismes financiers :

  • dans le respect des conditions posées au II de l’article L. 561-7 du CMF, les personnes visées à l’article 1er de la présente autorisation unique ;
  • dans le respect des conditions posées à l’article L. 561-20 du CMF, les personnels habilités des autres organismes au sens de l’article 1er, les compagnies financières et les compagnies financières holding mixtes, lorsqu’ils appartiennent à un même groupe tel que défini au III de l’article L. 511-20 du CMF ou à l’article L. 334-2 du code des assurances, en ce qui concerne l’existence et le contenu de la déclaration de soupçon ;
  • dans le respect des conditions posées à l’article L. 561-21 du CMF, les autres organismes au sens de l’article 1er qui interviennent pour le même client dans la même transaction, en ce qui concerne l’existence et le contenu de la déclaration de soupçon. 

Article 6
Durée de conservation

Sous réserve de dispositions plus contraignantes, les données et les documents relatifs à l’identité des clients habituels ou occasionnels et, le cas échéant, des bénéficiaires effectifs sont conservés pendant une durée de cinq ans à compter de la clôture du compte ou de la cessation de la relation.

Les données et documents relatifs aux opérations faites par ceux-ci ou non exécutées en application des mesures de gel des avoirs ou des sanctions financières et les documents consignant les caractéristiques des opérations mentionnées au II de l’article L. 561-10-2 sont conservés pendant cinq ans à compter de leur exécution, y compris en cas de clôture du compte du client ou de cessation des relations. 

Article 7
Information des personnes concernées

Les personnes sont informées que, pour répondre à ses obligations légales, le responsable du traitement met en œuvre un traitement de surveillance ayant pour finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme et l’application des sanctions financières. 

Article 8
Exercice du droit d’accès

Conformément aux dispositions de l’article L. 561-45 du CMF, le droit d’accès aux traitements mis en œuvre aux seules fins de l’application des dispositions relatives à la lutte contre le blanchiment de capitaux et le financement du terrorisme et mentionnés à l’article 2 s’exerce auprès de la Commission nationale de l’informatique et des libertés via une procédure de droit d’accès indirect, à l’exception des traitements mis en œuvre afin d’identifier les personnes faisant l’objet d’une mesure de gel des avoirs ou d’une sanction financière, ceux-ci étant soumis à la procédure visée à l’article 39 de la loi du 6 janvier 1978.

Article 9
Mesures de sécurité

Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et, notamment, pour empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance. Les accès individuels au traitement s’effectuent par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d’authentification. 

Article 10
Transferts de données vers l’étranger

Certains transferts de données à caractère personnel peuvent être réalisés vers des pays tiers à l’Union européenne, qui ne sont pas membres de l’Espace économique européen et qui n’ont pas été reconnus par une décision de la Commission européenne comme assurant un niveau de protection adéquat, dès lors que :

  • le traitement garantit un niveau suffisant de protection de la vie privée ainsi que les droits et libertés fondamentaux des personnes par la mise en œuvre des clauses contractuelles émises par la Commission européenne ou par l’adoption de règles internes d’entreprise ayant fait l’objet d’une décision favorable de la Commission nationale de l’informatique et des libertés ;
  • le responsable de traitement a clairement informé les personnes de l’existence d’un transfert de données vers des pays tiers conformément aux dispositions de l’article 32 de la loi informatique et libertés et des articles 7 et 8 de la présente délibération ;
  • le responsable de traitement s’engage, sur simple demande de la personne concernée, à apporter une information complète sur la finalité du transfert, les données transférées, les destinataires exacts des informations et les moyens mis en œuvre pour encadrer ce transfert.

Les données à caractère personnel susceptibles de faire l’objet d’un transfert vers certains pays situés en dehors de l’Union européenne dans le cadre de l’application des articles L. 561-20, L. 561-21 et L. 511-34 du code monétaire et financier sont celles collectées conformément aux dispositions de l’article 4 de la présente autorisation unique, sous réserve qu’elles soient nécessaires à l’organisation de la lutte contre le blanchiment des capitaux et le financement du terrorisme. 

Article 11
Dispositions transitoires

Les responsables de traitements de données à caractère personnel visés à l’article 2 dont la mise en œuvre est régulièrement intervenue avant la publication de la délibération n° 2011-180 du 16 juin 2011 disposent d’un délai de douze mois à compter de la publication de la présente délibération pour mettre leurs traitements en conformité, en procédant soit à un engagement de conformité à la présente autorisation unique, soit à une demande d’autorisation précisant les différences entre le traitement envisagé et la présente autorisation unique. 

Article 12

La présente délibération sera publiée au Journal officiel de la République française.

Le président, 
A. Türk 

Copyright © 2004 - 2012 CNIL République Française