Autorisation unique N° AU-003 : Délibération n° 2011-180 du 16 juin 2011 portant autorisation unique de traitements de données à caractère personnel mis en œuvre par des organismes financiers relatifs à la lutte contre le blanchiment de capitaux et le financement du terrorisme ainsi qu’à l’application des sanctions financières Le formulaire d'autorisation unique
La CNIL a modifié son autorisation unique AU 003 concernant les traitements mis en œuvre par des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme. Les responsables de traitements concernés disposent d’un délai d’un an à compter du 7 juillet 2011 pour procéder à un engagement de conformité au nouveau texte
La transposition en droit français de la 3ème directive relative à la lutte contre le blanchiment de capitaux et le financement du terrorisme, par une ordonnance et plusieurs textes réglementaires imposait la mise à jour l’autorisation unique AU 003 de la CNIL. C'est à l’issue d’une concertation menée avec l’ensemble des professionnels concernés (Autorité de contrôle prudentiel, Direction générale du Trésor, TRACFIN, organisations professionnelles, etc.) que la Commission a modifié son autorisation unique AU 003.
Les principales modifications de l’autorisation unique portent sur :
Un élargissement des catégories de responsables de traitement susceptibles se conformer à l'autorisation unique :
Il s'agit des entreprises d’assurances, les mutuelles, les établissements de paiement, les changeurs manuels et de l’ensemble des autres organismes mentionnés du 1° au 7° de l’article L561-2 du code monétaire et financier (CMF).
La nouvelle AU 003 permet de mettre en œuvre des traitements visant à adapter les mesures de surveillances aux risques présentés par les clients. Ainsi, les traitements entrant dans le champ de l'autorisation unique permettent de définir le niveau de risque lié à la relation d’affaire entretenue avec le client, en fonction des produits auxquels il souscrit, des opérations qu'il effectue et de ses caractéristiques.
La nouvelle autorisation unique permet également la mise en relation du fichier des relations d’affaire avec une base documentaire, afin d’identifier les personnes politiquement exposées (PPE), ou les personnes susceptibles de faire l’objet de mesures de vigilance renforcée. La base documentaire utilisée ne peut contenir que les informations mentionnées dans l’arrêté du 2 septembre 2009 pris pour application de l’article R 561-12 du CMF.
Enfin, les dispositifs permettant de vérifier que les clients ne font pas l'objet de mesures de sanctions financières nationales et internationales sont désormais inclus dans le périmètre de l’AU 003.
La CNIL rappelle que le principe de proportionnalité doit guider toute collecte de données à caractère personnel. Ainsi, toutes les données mentionnées dans l'autorisation unique AU-003 ne peuvent être collectées de manière systématique et indifférenciée pour l’ensemble des personnes concernées. Elles doivent être nécessaires pour évaluer les risques présentés par le client, l’opération demandée ou le contrat souscrit.
En application de l'article L561-45 du CMF, les traitements mis en œuvre aux titres des obligations de vigilance à l’égard de la clientèle et de déclaration de soupçon sont soumis à une procédure de droit d’accès indirect.
Les demandes d’accès à ces fichiers doivent donc être adressées à la CNIL. La Commission se rapprochera prochainement du service TRACFIN afin de fixer avec lui les modalités de mise en œuvre de ce droit.
L'autorisation unique encadre le transfert de données en dehors de l'union européenne. Ces transferts sont limités à la déclaration de soupçon et aux informations nécessaires à la lutte anti-blanchiment, conformément aux articles L561-20, L561-21 et L511-34.
Les responsables de traitement concernés n'ont plus besoin de demander une autorisation spécifique pour ces transferts. Toutefois, Ils doivent garantir un niveau de protection suffisant des données transférées en procédant à l'élaboration de clauses contractuelles types ou en adoptant des règles internes d’entreprise (BCR)
Les nouvelles dispositions du code monétaire et financier instaurent une procédure de droit d’accès indirect pour ces traitements. Il s’agit d’une modification substantielle des traitements mis en œuvre. Dès lors, les responsables de traitements doivent adresser à la CNIL un nouvel engagement de conformité.
Les traitements non-conformes à la nouvelle AU 003 doivent faire l’objet d’une demande d’autorisation présentant et expliquant les différences entre le traitement envisagé et l’autorisation unique. La Commission examinera ces dossiers au cas par cas.
