• Home  / 
  • DELIBERATION 2006-186

DELIBERATION 2006-186

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de L'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la directive 2003/6/CE du Parlement européen et du Conseil du 28 janvier 2003 sur les opérations d'initiés et les manipulations de marché (abus de marché), notamment le paragraphe 3 de l'article 6 ;

Vu la directive 2004/72/CE de la Commission du 29 avril 2004 portant modalités d'application de la directive 2003/6/CE du Parlement européen et du Conseil en ce qui concerne les pratiques de marché admises, la définition de l'information privilégiée pour les instruments dérivés sur produits de base, l'établissement de listes d'initiés, la déclaration des opérations effectuées par les personnes exerçant des responsabilités dirigeantes et la notification des opérations suspectes, notamment l'article 5 ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment le premier alinéa du II de l'article 24 ;

Vu le code monétaire et financier (CMF), modifié par la loi n° 2005-811 du 20 juillet 2005 portant diverses dispositions d'adaptation au droit communautaire dans le domaine des marchés financiers, notamment l'article L. 621-18-4 ;

Vu le code du travail, notamment l'article L. 432-2-1 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 précitée ;

Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu le règlement général de l'Autorité des marchés financiers, notamment les articles 222-16 à 222-20 ;

Vu la position de l'AMF, en date du 18 janvier 2006, relative à l'établissement des listes d'initiés ;

Après avoir entendu M. Philippe Nogrix, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

Parmi les mesures destinées à assurer la transparence et l'intégrité des marchés financiers, la loi n° 2005-811 du 20 juillet 2005 impose aux sociétés émettrices d'instruments financiers admis aux négociations sur un marché réglementé - ou en cours d'admission - d'établir la liste des personnes physiques ou morales qui, travaillant pour ces sociétés dans le cadre d'un contrat de travail ou dans un autre cadre juridique, ont accès de manière régulière ou occasionnelle à des infonnations privilégiées se rapportant directement ou indirectement à ces sociétés.

Les tiers, personnes physiques ou morales, qui ont accès aux mêmes informations à l'occasion des relations professionnelles qu'ils entretiennent avec les sociétés émettrices et qui figurent à ce titre sur les listes susmentionnées sont assujettis, dans les mêmes conditions, à la même obligation.

Ces listes, dites d'initiés, sont destinées à faciliter l'identification, au cours des enquêtes de l'Autorité des marchés financiers (AMF), des personnes susceptibles d'avoir commis un délit d'initié et à sensibiliser ces personnes aux obligations liées à la détention d'informations privilégiées.

Les traitements automatisés mis en oeuvre à cette fin ont vocation à se multiplier. Leur contenu et les modalités de conservation, d'utilisation et de communication des données y figurant sont dans une large mesure définis par la réglementation en vigueur. Les personnes inscrites sur ces listes doivent en être informées. En outre, ces traitements ne sont pas susceptibles, sous réserve du respect des conditions prescrites par la présente délibération, de porter atteinte à la vie privée ou aux libertés des personnes physiques concernées.

La Commission estime en conséquence qu'en application du premier alinéa du II de l'article 24 de la loi du 6 janvier 1978 susvisée, il y a lieu de dispenser de toute formalité déclarative préalable les traitements automatisés qui ont pour finalité la tenue des listes d'initiés lorsqu'ils sont conformes aux dispositions qui suivent.

Décide :

Article 1er : Champ d'application de la dispense.

Sont dispensés de déclaration les traitements automatisés de données à caractère personnel qui satisfont aux conditions posées par la présente délibération, lorsque leur responsable exerce en France une activité dans le cadre d'une installation stable, quelle qu'en soit la forme juridique (y compris s'il s'agit d'une simple succursale), et recourt à cette fin à des moyens informatiques situés sur le territoire national ou utilisés depuis celui-ci, ne serait-ce que pour collecter, enregistrer ou consulter des données personnelles.

Lorsque tout ou partie des moyens informatiques utilisés pour le traitement des données est établi hors du territoire national, la dispense ne s'applique que s'ils sont mis en oeuvre dans un autre Etat membre de la Communauté européenne ou partie à l'accord sur l'Espace économique européen ou dans un autre Etat disposant d'une législation adéquate en matière de protection des données à caractère personnel.

Article 2 : Finalité des traitements et personnes concernées.

Les traitements automatisés doivent avoir pour finalité l'établissement, la mise à jour, l'utilisation et la communication des listes d'initiés dans les conditions fixées à l'article L. 621-18-4 du CMF.

Sous réserve des dispositions de la dernière phrase de l'article 3 de la loi du 6 janvier 1978 susvisée relatives aux autorités habilitées à accéder aux informations en qualité de "tiers autorisés", les informations traitées ne peuvent pas être utilisées, consultées ou transmises à d'autres fins que l'application de la législation sur la prévention des délits d'initiés.

Les informations portées sur les listes d'initiés se rapportent exclusivement à des personnes physiques ou morales, françaises ou étrangères, que le responsable du traitement considère comme étant initiées en tant qu'elles ont accès à des informations privilégiées, c'est-à-dire à des informations précises qui concernent directement ou indirectement un ou plusieurs émetteurs d'instruments financiers ou un ou plusieurs instruments financiers, qui n'ont pas été rendues publiques et qui seraient susceptibles, si elles étaient rendues publiques, d'avoir une influence sensible sur le cours des instruments financiers concernés ou le cours d'instruments financiers qui leur sont liés.

1) Pour les listes tenues par les émetteurs, quelle que soit leur nationalité, dont les instruments financiers sont admis aux négociations sur un marché réglementé ou pour lesquels une demande d'admission aux négociations sur un tel marché a été présentée :

- Les initiés permanents sont les personnes qui bénéficient, en raison de leur fonction, d'un accès régulier à des informations privilégiées sur l'émetteur, telles que les membres des organes d'administration, de direction ou de surveillance, certains salariés ou préposés de l'émetteur (directeur général, gérant, membres des comités de direction, responsable de l'information financière, gestionnaires d'une liste d'initiés), les commissaires aux comptes, certains conseils habituels de l'émetteur ou certaines sociétés assurant des fonctions externalisées par l'émetteur.

- Les initiés occasionnels sont les mêmes catégories de personnes que ci-dessus, lorsqu'elles ont accès à des informations privilégiées sur l'émetteur de manière ponctuelle, notamment au titre de leur intervention dans la préparation d'une opération financière particulière (partenaires dans la transaction envisagée, personnels des directions juridiques ou financières, secrétaires, sociétés prestataires de services...).

2) Pour les listes tenues par les tiers qui entretiennent des relations professionnelles avec des émetteurs (banques de financement et d'investissement, avocats, cabinets de commissaires aux comptes, cabinets de conseils, entreprises de traduction, agences de communication ...) :

- Les initiés permanents sont les personnes qui, au sein du tiers responsable de la liste, ont régulièrement accès à des informations privilégiées sur des émetteurs, ainsi que les autres tiers (sous-traitants ...) ayant un accès régulier aux mêmes informations dans le cadre de leurs relations professionnelles avec le tiers responsable de la liste.

- Les initiés occasionnels sont les mêmes catégories de personnes que ci-dessus, lorsqu'elles n'ont que ponctuellement accès à des informations privilégiées sur des émetteurs (traducteurs, documentalistes, secrétaires ...), notamment à l'occasion d'une mission particulière (rédaction d'un rapport ...).

Un organisme peut mettre en oeuvre un ou plusieurs traitements automatisés, selon qu'il aura ou non décidé de confier la gestion centralisée de la liste d'initiés à un seul service, de recenser dans des listes séparées les initiés permanents et les initiés occasionnels ou de tenir plusieurs listes d'initiés occasionnels en fonction du motif d'inscription.

Article 3 : Données susceptibles d'être traitées.

- Pour les personnes physiques : nom, prénoms, adresse professionnelle, site, société de rattachement, numéros de téléphone, de télécopie et adresse électronique professionnels, date de fin des fonctions ;

- Pour les tiers personnes morales : raison sociale, forme juridique, numéro SIREN, activité, adresse professionnelle, personne ou service à contacter, numéro de téléphone, adresse électronique ;

- Le motif d'inscription sur la liste (nature du mandat social, des fonctions professionnelles exercées, de la mission justifiant l'inscription sur la liste...) ;

- Les dates d'inscription et de radiation des informations sur la liste d'initiés.

Article 4 : Modalités de mise à jour et durée de conservation des données.

Les listes d'initiés sont rapidement mises à jour lorsque le service ou la personne responsable de sa tenue est informé de l'accès d'une nouvelle personne à des informations privilégiées, de la cessation pour une personne de l'accès à toute information privilégiée ou du changement de motif d'une inscription.

Les informations enregistrées devenues caduques sont effacées au terme de la cinquième année suivant la cessation de l'accès à toute information privilégiée ou le changement de motif d'inscription.

Par exception, lorsque les informations se rapportent à un émetteur qui est soumis au contrôle d'une autorité étrangère compétente, homologue de l'Autorité des marchés financiers, à l'égard de laquelle s'applique un délai de conservation des données plus contraignant, elles ne sont effacées dans les mêmes conditions qu'à l'expiration de ce délai.

Toute mise à jour d'une liste d'initiés se traduit soit par la saisie dans le traitement de la date de la modification ou de caducité de l'information concernée, soit par la création d'une nouvelle version de la liste entière et la conservation pendant cinq ans de la précédente version.

Article 5 : Destinataires des données.

Seuls peuvent avoir communication de tout ou partie des données enregistrées :

a) les agents spécialement habilités des services juridiques, financiers, des ressources humaines, d'audit interne ou de la conformité pour participer à la tenue des listes d'initiés, y compris le cas échéant les dirigeants ;

b) l'Autorité des marchés financiers et les autorités administratives compétentes, homologues de l'AMF, des autres Etats membres de la Communauté européenne, des autres Etats parties à l'accord sur l'Espace économique européen et des autres Etats disposant d'une législation adéquate en matière de protection des données à caractère personnel, pour les seules informations entrant dans leur champ de compétence respectif.

Les destinataires prévus au b ne peuvent avoir communication des données que sur demande préalable formulée par écrit, notamment par voie postale ou électronique.

Article 6 : Mesures de sécurité.

Les listes d'initiés doivent être garanties contre toute falsification de leur contenu. Leur accès doit être rigoureusement encadré, tout particulièrement lorsque le motif d'inscription constitue en lui-même une information privilégiée.

Le responsable du traitement prend, en conséquence, toutes précautions utiles pour préserver l'intégrité, la sécurité et la confidentialité des données saisies, par exemple en mettant en place un système de joumalisation et d'horodatage des mises à jour et consultations de la liste pour leur attribuer une date certaine ou, lorsque les motifs d'inscription constituent des informations privilégiées, en utilisant des noms de code ou en conservant les données sous une forme chiffrée.

Des précautions spécifiques doivent également être prises en cas d'édition et de conservation des listes sur support papier et de leur transmission à l'AMF ou à une autorité administrative étrangère, homologue de l'AMF.

En cas d'archivage des versions successives de la liste d'initiés, cette opération s'effectue sur des cédéroms non réinscriptibles ou tout autre support de même qualité.

Article 7 : Recours à un prestataire.

Le responsable du traitement peut avoir recours à un prestataire externe pour l'archivage des listes d'initiés.

La convention signée avec le prestataire décrit les opérations que celui-ci est habilité à effectuer à partir des données à caractère personnel, ainsi que les engagements qu'il prend pour garantir leur sécurité et leur confidentialité, en particulier l'interdiction d'utiliser les données à d'autres fins que celles indiquées par la convention et de les mettre en relation avec d'autres sources de données à caractère personnel, ainsi que l'engagement de procéder à la destruction des fichiers manuels ou informatisés stockant les données personnelles dès l'achèvement du contrat.

Le responsable de traitement doit s'assurer du caractère suffisant des mesures prises en vue d'assurer la sécurité et la confidentialité des données.

Article 8 : Information et droits des personnes concernées.

Le responsable du traitement informe, conformément à l'article L. 432-2-1 du code du travail, les instances représentatives du personnel de sa mise en oeuvre.

Il informe les personnes de chaque inscription sur la liste les concernant, des motifs de l'inscription, des interdictions liées à la détention d'informations privilégiées, ainsi que de la finalité du traitement, des destinataires des informations et des modalités d'exercice des droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée. Cette information est délivrée par la remise d'un document écrit ou par voie électronique et peut prévoir l'envoi d'un accusé de réception ou d'une copie de lettre à retourner signée.

Une lettre d'information peut également, dans la mesure du possible, être adressée à la personne concernée au moment de sa radiation de la liste.

Pour l'exercice du droit d'opposition pour motif légitime ou du droit de mise à jour, les contestations relatives à la qualité d'initié sont portées devant la juridiction compétente (ex. : le conseil des prud'hommes pour un salarié du secteur privé).

Article 9 : Interconnexion ou mise en relation avec d'autres traitements.

Les listes d'initiés peuvent être constituées pour partie sur la base d'informations issues d'un dispositif automatisé de gestion des missions ou de traçabilité des accès aux applications de gestion de documents, notamment ceux comportant des informations privilégiées.

Article 10 : Limitations de la portée de la dispense.

Les traitements dispensés de déclaration restent soumis aux autres dispositions de la loi du 6 janvier 1978 modifiée, en particulier à ses articles 32 à 40.

Ne peuvent prétendre au bénéfice de la dispense de déclaration les traitements automatisés qui sortent du cadre défini par la présente délibération, tels que ceux ayant également pour finalité la recherche des opérations suspectes définies à l'article L. 621-17-2 du CMF, le recours à des moyens informatiques situés dans des pays ne disposant d'aucune législation adéquate de protection des données à caractère personnel, par exemple à des fins d'archivage des listes d'initiés, ou encore la transmission de données personnelles vers ces mêmes pays.

Ces traitements doivent faire l'objet de formalités déclaratives préalables auprès de la CNIL dans les conditions prévues par la loi du 6 janvier 1978 modifiée.

Article 11 : La présente délibération sera publiée au Journal officiel de la République française.

Le président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: