• Home  / 
  • DELIBERATION 2009-465

DELIBERATION 2009-465

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l’informatique et des libertés,
Saisie le 26 juin 2009 pour avis par le Ministère de l’économie, des finances et de l’emploi, d’une part d’un projet de décret en Conseil d’Etat définissant les modalités d’application des obligations de vigilance et de déclaration relatives à la lutte contre le blanchiment de capitaux et le financement du terrorisme, d’autre part d’un projet d’arrêté pris en application de l’article R. 561-5 du code monétaire et financier et définissant des éléments d’information liés à la connaissance du client et de la relation d’affaires aux fins d’évaluation des risques de blanchiment de capitaux et de financement du terrorisme ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé de données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme ;
Vu la directive 2006/70/CE de la Commission du 1er août 2006 portant mesures de mise en œuvre de la directive 2005/60/CE du Parlement européen et du Conseil pour ce qui concerne la définition des « personnes politiquement exposées » et les conditions techniques de l’application d’obligations simplifiées de vigilance à l’égard de la clientèle ainsi que de l’exemption au motif d’une activité financière exercée à titre occasionnel ou à une échelle très limitée ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, et notamment son article 11-4° a ;
Vu l’ordonnance n° 2009-104 du 30 janvier 2009 relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et du financement du terrorisme ;
Vu l’article 140 de la loi n° 2009-526 du 12 mai 2009 de simplification et de clarification du droit et d’allègement des procédures, relatif à la ratification de l’ordonnance susvisée du 30 janvier 2009 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-401 du 25 mars 2007 ;
Vu la délibération n° 2008-581 du 18 décembre 2008 portant avis sur un projet d’ordonnance relative à la lutte contre le blanchiment de capitaux et le financement des activités terroristes ;
Après avoir entendu M. Jean-Paul AMOUDRY, en son rapport, et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ;
Emet l’avis suivant :
La Commission a été saisie pour avis par le Ministère de l’économie, des finances et de l’emploi de deux projets de textes réglementaires pris en application de l’ordonnance susvisée du 30 janvier 2009 qui a été ratifiée par la loi n° 2009-526 du 12 mai 2009.
Le projet de décret en Conseil d’Etat transmis à la CNIL définit les modalités d’application, par les personnes visées à l’article L. 561-2 du code monétaire et financier (CMF), de leurs obligations de vigilance à l’égard de la clientèle et de leur obligation de déclaration auprès de la cellule de renseignement financier nationale dénommée service à compétence nationale TRACFIN.
En ce qui concerne les articles R. 561-1 à R. 561-4
Les articles R. 561-1 et R. 561-2 apportent diverses précisions sur le champ d’application de ces obligations : les critères de définition des personnes physiques qui doivent être considérées comme les bénéficiaires effectifs d’une relation d’affaires et à l’égard desquelles l’obligation de vérification d’identité doit être mise en œuvre ; les conditions dans lesquelles les activités d’intermédiation en assurance constituent des activités financières accessoires dont l’exercice est, en application de l’article L. 561-4 du CMF, exempté de l’ensemble des obligations de lutte contre le blanchiment.
L’article R. 561-3 explicite les modalités d’identification et de vérification de l’identité des personnes physiques que doivent appliquer les personnes assujetties aux obligations de lutte contre le blanchiment de capitaux. Ces obligations concernent tant leurs clients, notamment occasionnels, que les personnes qui agissent pour le compte de ces derniers et les bénéficiaires effectifs des relations d’affaires. Cet article dresse la liste, exhaustive, des informations qui doivent, à ce titre, être collectées puis conservées ; il précise le moment où cette vérification peut intervenir et prévoit le recueil de tout document ou justificatif adapté en fonction du risque identifié ; il décrit enfin les circonstances dans lesquelles il n’y a pas lieu de procéder à l’identification du bénéficiaire effectif de la relation d’affaires et celles dans lesquelles il conviendra de procéder à une nouvelle identification du client.
Ces dispositions n’appellent pas d’observation particulière de la part de la Commission.
Il en va de même pour les dispositions, réunies à l’article R. 561-4, qui définissent la notion de client occasionnel, puis les opérations réalisées par les clients occasionnels qui doivent donner lieu à vérification de l’identité de leur auteur et, s’il y a lieu, de leur bénéficiaire effectif.
En ce qui concerne l’article R. 561-5 et le projet d’arrêté
L’ordonnance du 30 janvier 2009 précitée instaure, pour chaque personne visée à l’article L. 561-2 du CMF, une obligation de vigilance constante à l’égard de ses clients, qu’il lui appartient de moduler en fonction de l’évaluation du risque de blanchiment de capitaux et de financement du terrorisme qu’il associe à chaque client. Il en résulte que ces professionnels doivent définir le niveau et la nature des diligences à mettre en œuvre à l’égard de chaque relation d’affaires, en fonction de la connaissance qu’ils en ont, ce qui nécessite qu’ils recueillent et analysent les éléments d’information nécessaires à la connaissance, d’une part de leurs clients, personnes physiques ou morales, d’autre part de l’objet et de la nature de leurs relations d’affaires.
L’article R. 561-5 renvoie à un arrêté le soin d’établir la liste des éléments d’information susceptibles d’être recueillis par les personnes visées à l’article L. 561-2. Le ministère justifie ce choix par le souhait de faciliter l’adaptation éventuelle de ces dispositions qui constituent un dispositif sans précédent, à l’égard duquel aucun retour d’expérience n’existe à ce jour.
La Commission considère que cette solution peut être retenue, dans la mesure où :

  • elle est parallèlement saisie pour avis du projet d’arrêté,
  • le ministère reconnaît que toute modification apportée à cet arrêté devra donner lieu à une nouvelle saisine de la CNIL,
  • la liste établie par le projet d’arrêté ne comporte pas de catégories de données dont la collecte et le traitement seraient soumis à un régime juridique spécial du fait de leur caractère particulièrement sensible, telles que les informations se rapportant aux origines raciales ou ethniques, aux opinions politiques, aux appartenances religieuses, aux infractions et aux condamnations.

Les renseignements susceptibles d’être collectés au sujet de la relation d’affaires portent sur le montant et la nature des opérations envisagées, la provenance et la destination des fonds, ainsi que la justification économique déclarée par le client ou le fonctionnement envisagé du compte.
Les informations relatives aux personnes physiques, notamment les clients, concernent la situation au jour de leur collecte :
1° la justification de l’adresse du domicile,
2° les activités professionnelles exercées,
3° les revenus et autres éléments permettant une estimation des autres ressources,
4° tout élément permettant d’apprécier le patrimoine détenu,
5° les fonctions exercées actuellement ou depuis moins d’un an par les non résidents qui correspondent à la définition des personnes politiquement exposées,
6° la nature des liens familiaux ou des liens d’affaires étroits existant avec les personnes politiquement exposées précitées.
Il résulte de l’article 6 de la loi du 6 janvier 1978 que des données personnelles ne peuvent faire l’objet d’un traitement qu’à la condition, notamment, qu’elles soient collectées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes, qu’elles soient adéquates, pertinentes et « non excessives » au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
La Commission observe, en premier lieu, que le projet d’arrêté établit une liste non limitative des renseignements relatifs à la relation d’affaires et à la situation professionnelle, économique et financière du client et du bénéficiaire effectif qui pourront être recueillis par les personnes visées à l’article L. 561-2 aux fins d’évaluation des risques de blanchiment de capitaux et de financement du terrorisme.
La CNIL exprime le souhait que cette liste ait un caractère exhaustif. A tout le moins, en application de l’article 6 de la loi, elle s’assurera de la proportionnalité des catégories de données dont le traitement sera envisagé. Elle exercera son contrôle à l’occasion tant de l’examen des demandes d’autorisation qui lui seront adressées que de l’adoption d’autorisations uniques portant sur les traitements automatisés mis en œuvre à des fins de lutte contre le blanchiment de capitaux ou le financement du terrorisme.
La Commission demande, en deuxième lieu, que le 1° de l’article R. 561-5 soit complété afin d’indiquer que les informations ne pourront être collectées et conservées que sous réserve de leur adéquation, de leur pertinence et de leur caractère non excessif au regard de l’objectif d’évaluation du risque de blanchiment de capitaux et de financement du terrorisme attaché au client, en fonction de la nature et du volume des opérations qu’il réalise. Il convient, en particulier, d’exclure toute collecte systématique et à toutes fins utiles, lors de l’entrée en relation d’affaires, de l’ensemble de ces renseignements auprès de l’ensemble des clients des personnes assujetties à l’obligation de vigilance.
La Commission demande, en troisième lieu, s’agissant des 5° et 6° susmentionnés, relatifs aux personnes politiquement exposées et à leurs proches, que le projet d’arrêté précise que seuls les fonctions politiques, juridictionnelles ou administratives, les liens de parenté et les liens d’affaires pris en compte à l’article R. 561-9 ont vocation à être conservés et pour les seules personnes physiques visées à l’article L. 561-10 du CMF.
Il convient, en quatrième lieu, que les personnes auprès desquelles les données sont recueillies soient informées, conformément au I de l’article 32 de la loi du 6 janvier 1978, de la finalité légale de la collecte, du caractère obligatoire des réponses demandées, et, s’il y a lieu, des autres utilisations dont ces renseignements pourront éventuellement faire l’objet, sous réserve de l’exercice du droit d’opposition.
Les mêmes informations pourront être recueillies et mises à jour à tout moment au cours de la relation d’affaires sur la base des mêmes règles.
La Commission observe, par ailleurs, que l’obligation de mise en place d’une surveillance adaptée au risque de blanchiment de capitaux et de financement du terrorisme pendant toute la durée de la relation d’affaires, également prévue à l’article R. 561-5, pourra se traduire, en particulier dans les établissements exerçant une activité financière, par la mise en œuvre de traitements automatisés internes proposant une analyse comportementale des clients au vu des opérations qu’ils réalisent, la mise sous surveillance de certains comptes, la constitution de profils de référence pour chaque client, la détection d’opérations correspondant à des critères prédéfinis et l’émission d’alertes, ou encore par la consultation de listes officielles étrangères de personnes qui font l’objet à l’étranger de mesures d’interdiction dans le domaine financier.
La Commission rappelle que ces traitements entrent dans le champ du 4° du I de l’article 25 de la loi du 6 janvier 1978. Le projet de décret devrait comporter un rappel en ce sens.
En ce qui concerne l’article R. 561-6
Cet article définit les conditions dans lesquelles, conformément à l’article L. 561-7 du CMF, les organismes financiers mentionnés aux 1° à 6° de l’article L. 561-2 peuvent, lorsqu’ils ont mandaté d’autres organismes financiers, des experts comptables ou des membres des professions juridiques (les tiers) pour accomplir les obligations de vigilance à leur place et sous leur responsabilité, accéder aux données utilisées à cette fin. Le décret précise que les informations utilisées et donc communicables par les tiers ne peuvent se rapporter qu’à l’identité de leurs clients et des bénéficiaires effectifs des relations d’affaires, ainsi qu’à l’objet et à la nature des relations d’affaires.
La Commission rappelle à cet égard :
- que les clients concernés par ces échanges de données personnelles devront, en toute hypothèse, être informés de leur existence, de leur finalité et de l’identité des autres organismes parties prenantes ;
- que le tiers ne peut transmettre à son mandant que des données à caractère personnel nécessaires à la réalisation des vigilances que ce dernier lui a demandé d’accomplir pour son compte en application de l’article R. 561-6 ;
- que l’utilisation des informations ainsi collectées ne peut être envisagée que sous réserve des dispositions de l’article 10 (interdiction de prendre une décision défavorable sur le seul fondement d’un traitement automatisé définissant un profil de l’intéressé) ;
- que les traitements automatisés mis en œuvre à cette occasion par le mandant entrent dans le champ du 4° du I de l’article 25 de la loi du 6 janvier 1978.
En ce qui concerne les articles R. 561-9 et R. 561-10
L’article R. 561-9 énumère les catégories de personnes politiquement exposées, de membres directs de leur famille et de « personnes connues pour leur être étroitement associées », qui doivent toutes faire l’objet de mesures de vigilance complémentaires.
Après avoir fixé la liste des mesures de vigilance complémentaires prévues à l’article L. 56110, l’article R. 561-10 précise les mesures qui doivent être prises par les personnes assujetties aux obligations de lutte contre le blanchiment pour identifier les personnes politiquement exposées, décider d’engager une relation d’affaires avec de tels clients et s’informer sur l’origine de leur patrimoine et des fonds impliqués dans la relation d’affaires ou la transaction.
Il en ressort que les établissements ne peuvent se satisfaire d’un dispositif exclusivement déclaratif pour identifier les personnes susmentionnées et qu’ils doivent disposer à cette fin de procédures adéquates pour rechercher si une personne n’entre pas dans l’une de ces catégories, notamment au cours de la relation d’affaires.
Ils devront ainsi pouvoir recueillir les informations prévues à l’article R. 561-9 auprès d’autres personnes que l’intéressé, en particulier auprès d’éditeurs de bases documentaires sur les personnes politiquement exposées qui sont constituées en vue de leur diffusion au niveau international.
La Commission estime que les bases consultables sur le territoire national ne devront pas comporter d’autres informations que celles prévues dans le projet d’arrêté susmentionné. Elle rappelle que l’enregistrement ou la prise en compte des informations provenant de ces fichiers ne peut être envisagée que sous réserve des dispositions du III de l’article 32 de la loi du 6 janvier 1978 qui organise une information des personnes physiques en cas de collecte indirecte de données les concernant, notamment pour les mettre en mesure d’exercer leur droit d’accès et de rectification.
En ce qui concerne les autres dispositions du projet de décret
Celles-ci n’appellent pas d’observations particulières de la part de la Commission.
La CNIL demande cependant à être consultée sur le projet d’arrêté prévu à l’article R. 561-21 - et sur les éventuels documents annexes pris pour son application - au sujet des procédures et contrôles internes à mettre en place par les personnes assujetties aux obligations de lutte contre le blanchiment, notamment en ce qui concerne la détermination de profils de fonctionnement des relations d’affaires avec leur client, l’élaboration de procédures de surveillance des risques de blanchiment de capitaux et de financement du terrorisme, les procédures de mise en œuvre des mesures de vigilance relatives à la clientèle, à la conservation des pièces, à la détection des transactions inhabituelles ou suspectes et à la mise en œuvre de procédures appropriées lors de l’embauche des employés, de façon à s’assurer qu’elle s’effectue selon des critères d’honorabilité.

Le Président,


Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: