• Home  / 
  • DELIBERATION 2006-159

DELIBERATION 2006-159

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 91/308/CE du Conseil du 10 juin 1991 modifiée relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment ses articles 25-1-4° et 69 ;

Vu le code monétaire et financier (CMF), notamment ses articles L. 511-34, L. 561-1 à L. 563-5, L. 574-1, L. 574-2, L. 613-13, R. 562-1, R. 562-2, R. 563-1 à R. 563-3 et R. 564-1 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 précitée ;

Vu le décret royal espagnol 925/1995 du 9 juin 1995 portant approbation du règlement d'application de la loi 19/1993 du 28 décembre 1993 sur diverses mesures de prévention du blanchiment de capitaux, notamment l'article 6 ;

Vu la décision de la Commission n° 2002/16/CE du 27 décembre 2001 relative aux clauses contractuelles types pour le transfert des données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE ;

Vu la délibération n° 2005-297 du 1er décembre 2005 portant autorisation unique de certains traitements automatisés de données à caractère personnel mis en oeuvre dans les organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme (décision d'autorisation unique n° AU-003) ;

Vu le dossier déposé par la Banque BBVA relatif à un traitement automatisé de données à caractère personnel ayant pour finalité la mise en oeuvre de l'obligation de contrôle imposée aux établissements bancaires par la législation sur la lutte contre le blanchiment de capitaux et le financement du terrorisme ;

Après avoir entendu M. Philippe Nogrix, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

La banque Banco Bilbao Vizcaya Argentaria S.A. BBVA a saisi la Commission nationale de l'informatique et des libertés le 3 mars 2006 d'un dossier relatif à la mise en oeuvre d'un traitement de données à caractère personnel dont la finalité est d'assurer le respect de la législation relative à la participation des organismes financiers à la lutte contre le blanchiment de capitaux qui lui est applicable ;

Ce traitement vise à détecter les opérations qui sont susceptibles, du fait des anomalies qu'elles comportent, d'être qualifiées d'infraction de blanchiment par les autorités compétentes et qui, de ce fait, doivent, le cas échéant après la collecte de renseignements complémentaires ou un travail d'analyse non automatisé, donner lieu à l'envoi d'une déclaration à la cellule Tracfin du ministère de l'économie, des finances et de l'industrie.

L'identification de ces opérations peut conduire la banque à souhaiter, pour des raisons de prudence, rompre toute relation contractuelle avec les clients concernés. Un tel traitement, peut ainsi, du fait de sa portée, conduire à l'exclusion de personnes du bénéfice d'un contrat en l'absence de toute disposition légale prévoyant la mise en oeuvre d'une telle exclusion.

Dès lors, il relève du 4° du I de l'article 25 de la loi du 6 janvier 1978 modifiée et doit, à ce titre, être autorisé par la CNIL.

Le traitement vise à surveiller les mouvements financiers opérés par les clients de la banque, à détecter celles qui présentent des anomalies, à les déclarer à la cellule de renseignement financier Tracfin, ainsi qu'à détecter les personnes inscrites sur les listes à caractère réglementaire émanant d'autorités nationales ou européennes en vue de geler leurs avoirs financiers et de n'effectuer aucune opération financière à leur destination.

L'organisme déclarant s'engage à assurer la conformité de ce traitement aux termes de la décision d'autorisation unique n° AU-003 susvisée pour l'ensemble de ses caractéristiques (finalité, données traitées, destinataires, mesures de sécurité, information des personnes), à l'exception de trois d'entre elles.

En premier lieu, le responsable du traitement étant la succursale française d'une banque de droit espagnol, le siège de celle-ci doit être en mesure de vérifier l'organisation de la lutte contre le blanchiment de capitaux et contre le financement du terrorisme et de recevoir à cette fin, conformément à l'article L. 511-34 du CMF, des données à caractère personnel issues du présent traitement.

Or, la législation espagnole relative à la lutte anti-blanchiment impose aux établissements bancaires de conserver pendant six ans les documents et registres justifiant l'exécution des opérations faites par leurs clients. En conséquence, l'extension de cinq à six ans de la durée de conservation des données traitées est adéquate, pertinente et non excessive.

En deuxième lieu, BBVA France prévoit d'enregistrer deux catégories d'informations non prévues dans l'autorisation unique susvisée : les liens économiques ou de parenté entre les clients. L'enregistrement de ces informations est adéquat, pertinent et non excessif.

En troisième lieu, la banque envisage le transfert de données à caractère personnel vers la société BBVA Bancomer SA, filiale mexicaine du groupe bancaire BBVA, chargée d'assurer à distance, en qualité de sous-traitant, la mise à jour et la maintenance du système informatique.

La Commission observe que le Mexique ne fait pas, à ce jour, partie des Etats reconnus comme disposant d'une législation garantissant un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement des données à caractère personnel.

Conformément à l'avant-dernier alinéa de l'article 69 de la loi du 6 janvier 1978 modifiée, la Commission a compétence pour autoriser tout transfert de données à caractère personnel envisagé vers cet Etat, dès lors que le traitement effectué par le destinataire sur ces données garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des conditions contractuelles ou règles internes dont il fait l'objet.

A cet égard, la Commission constate d'abord que les transferts envisagés, au regard de leurs caractéristiques, ne sont pas contraires aux dispositions issues de la loi du 6 janvier 1978 : l'accès aux informations s'effectue dans le cadre du réseau privé du groupe BBVA qui fait l'objet des mesures de sécurité adéquates pour permettre l'accès et l'assistance à distance ; l'accès au serveur et aux données doit, en cas de défaillance technique du système, être autorisé par l'officier de conformité (déontologue) de BBVA France jusqu'à la résolution du problème ; le transfert des fichiers est rendu techniquement impossible.

La Commission note ensuite que le contrat conclu aux fins d'encadrement des transferts de données à caractère personnel entre la succursale de Paris de la société BBVA et la société BBVA Bancomer SA inclut les clauses contractuelles-types émises par la Commission européenne dans sa décision n° 2002/16/CE du 27 décembre 2001. Les conditions, posées à l'avant-dernier alinéa de l'article 69 précité, sont ainsi réunies.

Les droits d'accès et de rectification s'exercent auprès de l'officier de conformité de la banque, situé 29 avenue de l'Opéra 75001 Paris.

Autorise, dans ces conditions, la banque BBVA à mettre en oeuvre ce traitement automatisé.

Le président, Alex TURK.

Guy Rosier, Vice-Président Délégué.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: