• Home  / 
  • DELIBERATION 2008-367

DELIBERATION 2008-367

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l’informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, notamment son article 25-I-4° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n°2007-451 du 25 mars 2007, et notamment son article 103 ;
Sur le rapport de M. Bernard Peyrat et les observations de Mme Pascale Compagnie, commissaire du Gouvernement ;
Etant donné que le traitement automatisé intègre un dispositif de lutte contre le blanchiment d’argent et le financement du terrorisme qui vise à détecter les opérations qui sont susceptibles, après consultation de listes officielles de personnes devant faire l’objet d’une surveillance particulière ou de sanctions financières, d’être qualifiées d’infraction de blanchiment par les autorités compétentes ; que la détection de ces opérations avant leur réalisation peut conduire MPSI à suspendre la transaction engagée par le client sur la base de contrôles intégralement automatisés, notamment après consultation de liste des personnes faisant l’objet de sanctions financières dont certaines n’ont pas force de loi sur le territoire national ; que ce traitement peut ainsi conduire à exclure des personnes du bénéfice d’une prestation en l’absence de toute disposition légale applicable en France prévoyant la mise en œuvre d’une telle exclusion ; qu’il relève, dès lors, du 4° du I de l’article 25 de la loi du 6 janvier 1978 modifiée et doit être autorisé par la CNIL ;
Autorise MPSI, dans les conditions figurant dans le tableau ci-dessous, à mettre en œuvre le traitement de données à caractère personnel dénommé DELTAWORKS qui a notamment pour finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme.

Responsable du traitement MoneyGram Payments System Inc (MPSI), société de droit américain.
Finalités du traitement Gestion des opérations de transfert d’argent et des opérations de marketing, établissement de statistiques internes, lutte contre le blanchiment d’argent et le financement du terrorisme :
Des filtres informatisés sont mis en place, qui suspendent automatiquement le traitement des demandes d’opérations lorsque l’identité d’un expéditeur ou d’un destinataire est susceptible de figurer sur des listes officielles de personnes faisant l’objet d’une surveillance ou d’une sanction financière internationale.
Les listes officielles prises en considération avant un transfert d’argent particulier sont :
- les listes applicables en France, qu’elles soient établies au niveau national, au niveau européen ou par l’ONU,
- la liste de l’OFAC (office of Foreign Assets Control, administration relevant du département du Trésor américain) que le groupe MoneyGram est tenu d’appliquer,
- la liste officielle établie dans le pays de destination du transfert d’argent.
Les opérations ainsi suspendues sont soumises à un réexamen, le plus souvent après collecte d’informations complémentaires auprès du client sur le motif du transfert, l’origine des fonds transférés, son activité professionnelle et son employeur, en vue d’une levée de la mesure ou d’un rejet définitif de l’ordre par le responsable anti-blanchiment.
Les contrôles de la lutte anti-blanchiment prévus par la législation française sont effectués avant toute saisie des données dans le traitement de MPSI, par l’agent de MPSI établi en France qui assure la transaction, au moyen d’une application informatique interne que ce dernier met en œuvre sous sa responsabilité.
Données traitées - nom, prénoms, civilité, date de naissance, nationalité, profession, adresse et numéro de téléphone du client (expéditeur ou destinataire),
- nom, prénoms et civilité de l’autre partie à la transaction,
- type, pays d’émission, numéro, date et lieu d’émission et date d’expiration du document d’identité présenté,
- date, numéro de référence et montant de la transaction, devise fournie et devise de reversement, pays de destination du transfert d’argent et adresse de réception,
- question test et réponse devant être fournie par le bénéficiaire pour sécuriser la transaction (facultatifs),
- statut de la transaction (en attente, envoyée),
- indication que le client s’oppose à l’utilisation de ses données à des fins de prospection commerciale.
Pour les clients réguliers, le système informatique permet de récupérer les renseignements déjà enregistrés, notamment les conditions à réunir en cas de nouvelle transaction.
Destinataires * Pour l’ensemble des données traitées :
- Les prestataires agissant en qualité d’agents de MPSI qui interviennent dans la transaction entre le client et MPSI, en France et dans le pays de destination du transfert ;
* Pour les seules données enregistrées dans le traitement de MPSI :
- Les personnels habilités de MPSI chargés, sur le territoire des Etats-Unis d’Amérique :
. de la gestion du transfert d’argent dans le cadre d’un traitement automatisé qui assure le routage des ordres de transfert d’argent vers les pays de destination et leur stockage,
. de la lutte contre le blanchiment et le financement du terrorisme ;
- Les personnels habilités de MoneyGram International Ltd et de MoneyGram Overseas Limited, sociétés situées au Royaume-Uni chargés de la gestion des réclamations et de l’identification des transactions suspectes,
- Les personnels habilités du prestataire gérant le centre d’appel situé en Bulgarie,
* Pour les données concernant des personnes figurant dans les listes officielles précitées :
- les autorités publiques françaises (Tracfin, DGTPE) et américaine (OFAC) qui interviennent dans la lutte contre le blanchiment et le financement du terrorisme
Service auprès duquel s’exerce le droit d’accès - Le service de l’agent de MPSI qui recueille la demande de transaction,
- Le Customer Service Department de MoneyGram International Ltd, situé au Royaume-Uni.
Observations particulières - Adhésion de MPSI aux principes du Safe Harbor.

- Les données enregistrées dans le traitement de MPSI sont conservées pendant sept ans.
- Le contrôle renforcé mis à la charge de l’établissement en cas de concordance entre l’identité d’un client et un signalement sur l’une des listes utilisées garantit que les opérations de transfert d’argent ne seront définitivement bloquées qu’en présence d’indices sérieux et concordants.
- En cas de suspension d’opérations de transfert d’argent à la suite des contrôles anti-blanchiment, celles-ci font l’objet de vérifications manuelles, effectuées en général dans les 24 heures en vue d’une levée de la mesure ou d’un rejet définitif.

- Les personnes ayant déjà fait l’objet d’une suspension d’ordre de transfert pour cause d’homonymie feront l’objet d’un signalement informatique spécifique, accessible aux seuls agents chargés de la lutte anti-blanchiment aux Etats-Unis, qui permettra de régler plus rapidement tout nouveau blocage de leurs opérations.

Le Président

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: