• Home  / 
  • DELIBERATION 2009-575

DELIBERATION 2009-575

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l’informatique et des libertés,
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme ;
Vu la directive 2006/70/CE de la Commission du 1er août 2006 portant mesures de mise en œuvre de la directive 2005/60/CE du Parlement européen et du Conseil pour ce qui concerne la définition des « personnes politiquement exposées » et les conditions techniques de l’application d’obligations simplifiées de vigilance à l’égard de la clientèle ainsi que de l’exemption au motif d’une activité financière exercée à titre occasionnel ou à une échelle très limitée ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, notamment son article 25-I-4° ;
Vu l’ordonnance n° 2009-104 du 30 janvier 2009 relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme, ratifiée par la loi n° 2009-526 du 12 mai 2009 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978 modifiée par la loi n° 2004-810 du 6 août 2004 ;
Vu le décret n° 2009-1087 du 2 septembre 2009 relatif aux obligations de vigilance et de déclaration pour la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme ;
Vu l’arrêté du 2 septembre 2009 pris en application de l’article R. 561-12 du code monétaire et financier et définissant des éléments d’information liés à la connaissance du client et de la relation d’affaire aux fins d’évaluation des risques de blanchiment de capitaux et de financement du terrorisme ;
Vu la délibération n° 2005-297 du 1er décembre 2005 portant autorisation unique de certains traitements de données à caractère personnel mis en œuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme, modifiée par la délibération n° 2007-060 du 25 avril 2007 ;
Vu la demande d’autorisation déposée par La Banque Postale, relative à un traitement automatisé de données à caractère personnel ayant pour finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme ;
Sur le rapport de M. Jean-Paul AMOUDRY, commissaire, et les observations de Mme Elisabeth ROLIN, commissaire du gouvernement ;
Formule les observations suivantes :
La Banque Postale a saisi la CNIL d’une demande d’autorisation relative aux traitements automatisés de données à caractère personnel qu’elle met en œuvre pour répondre à ses obligations légales en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme, ainsi que de gel des avoirs.
Sur la procédure suivie
Les traitements automatisés utilisés par les établissements du secteur bancaire dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme visent notamment à détecter les transactions financières, réalisées par leurs clients, qui sont susceptibles d’être qualifiées d’infraction de blanchiment ou de financement du terrorisme par les autorités compétentes et qui, de ce fait, doivent, le cas échéant après collecte de renseignements complémentaires et analyse manuelle des éléments du dossier, donner lieu à l’envoi d’une déclaration à la cellule de renseignement financier nationale TRACFIN.
L’identification de telles opérations, pour une large part sur la base de critères intégrés dans les traitements automatisés des établissements concernés, peut conduire ces derniers à souhaiter, pour des raisons de prudence, rompre toute relation contractuelle avec certains des clients qui en font l’objet. Ces traitements, peuvent ainsi, du fait de leur portée, conduire à l’exclusion de personnes du bénéfice d’un contrat en l’absence de toute disposition légale prévoyant la mise en œuvre d’une telle exclusion.
Dès lors, ces traitements relèvent du 4° du I de l’article 25 de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL.
Par sa délibération n° 2005-297 du 1er décembre 2005 susvisée, la Commission a autorisé « certains traitements de données à caractère personnel qui sont mis en œuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme », sous réserve que les finalités de ces traitements, les catégories de données utilisées et leurs destinataires n’excèdent pas le cadre fixé par l’autorisation unique AU-003, que ces traitements remplissent également les conditions définies dans ce texte et que la CNIL ait reçu un engagement de conformité à l’AU003.
Tout projet de traitement automatisé dont les finalités ou les catégories de données ou de destinataires excèdent le cadre de cette autorisation unique ou qui ne respecterait pas les exigences qui y sont définies, doit, en revanche, faire l’objet d’une demande d’autorisation spécifique présentant et expliquant les différences entre le traitement envisagé et l’autorisation unique.
L’analyse des caractéristiques des traitements automatisés visés par la présente demande d’autorisation fait apparaître des différences tant sur les fonctionnalités que sur les destinataires par rapport à l’autorisation unique AU003 qui, de ce fait, sont soumises à l’examen de la CNIL.
Ces différences résultent de la prise en compte des modifications apportées aux articles L. 561-2 et suivants et R. 561-1 et suivants du code monétaire et financier (CMF) en application des directives 2005/60/CE et 2006/70/CE susvisées.
Sur les fonctionnalités des traitements automatisés
Ces traitements automatisés ont pour objet d’adapter le niveau de vigilance mis en place en fonction des catégories de clients et de produits détenus.
Ils intègrent, en premier lieu, l’ensemble des signalements concernant des opérations jugées complexes, atypiques ou sans justification économique ou objet licite, qui proviennent des directeurs d’établissements et des services des centres financiers et ont vocation à faire l’objet d’une analyse complémentaire.
Ils génèrent, en deuxième lieu, des alertes en présence :
- d’un compte de client dont le fonctionnement (au vu du nombre et du montant d’une catégorie d’opérations) durant le dernier mois laisse apparaître un écart significatif, évalué sous la forme d’un score, au regard :
. de son fonctionnement mensuel moyen pour les douze derniers mois,
. ou de l’historique-type de fonctionnement qui a été établi pour la famille de comptes à laquelle ce compte est rattaché de façon empirique, au vu de critères objectifs ;
- d’une opération ou d’un ensemble d’opérations se rapprochant d’un scénario pré-établi qui correspond à des techniques de blanchiment identifiées après analyse des précédents signalements.
La Commission constate que les traitements automatisés sont, à ce titre, conformes aux articles L. 561-6 et suivants du CMF, dans leur rédaction issue de l’ordonnance n° 2009-104 du 30 janvier 2009 susvisée, qui prévoit, d’une part, un examen attentif par les professionnels des opérations effectuées par chaque client afin de s’assurer de leur cohérence au regard de la connaissance actualisée qu’ils ont de ce client, et d’autre part, une modulation de l’obligation de vigilance des professionnels à l’égard de leurs clients en fonction de leur évaluation du risque qu’ils représentent.
Les alertes font toutes l’objet de traitements manuels et d’une décision motivée. L’historique des alertes et des informations relatives à leur traitement, notamment aux échanges avec TRACFIN et les juridictions, est conservé par La Banque Postale durant cinq ans.
Les traitements automatisés permettent, en troisième lieu, de placer sous une vigilance renforcée tout ou partie des flux vers ou en provenance de pays à haut risque ou sous embargo, ainsi que les opérations réalisées par des personnes politiquement exposées (PPE) - à savoir les personnes résidant dans un autre Etat membre de l'Union européenne ou un pays tiers et qui sont exposées à des risques particuliers en raison de leurs fonctions politiques, juridictionnelles ou administratives qu'elles exercent ou ont exercées pour le compte d'un autre Etat - ou par des personnes qui leur sont assimilées (membres directs de leur famille, personnes connues pour leur être étroitement associées) en application des articles L. 561-10 et R. 561-18 du CMF. Ils permettent, enfin, de vérifier si les emprunteurs, leurs cautions et mandataires figurent sur les listes de mesures de gel des avoirs applicables en France.
La Commission note que les vérifications relatives à la situation de PPE ou assimilée nécessitent au préalable de sélectionner :
- dans la base « clients » du groupe La Banque Postale, y compris des clients de ses filiales : la liste des clients déclarés non-résidents ou ne disposant d’aucune adresse en France, complétée par la liste des clients domiciliés dans les ambassades ou consulats situés sur le territoire national,
- dans le fichier documentaire international qui sert de base de référence : la liste des personnes qualifiées de PPE ou assimilées, quelle que soit leur nationalité.
Un fichier de travail est ainsi constitué à partir de l’interconnexion de ces extractions. Il ne comporte, en conséquence, que des informations relatives aux clients du groupe La Banque Postale qui sont susceptibles d’être à la fois PPE (ou assimilés) et non résidents. Il est complété par le résultat des vérifications engagées, si nécessaire auprès du client, pour supprimer les cas d’homonymie et identifier formellement les personnes qui feront l’objet d’une vigilance renforcée en tant que PPE ou assimilées, sur la base de règles spécifiques. Seul le fichier de travail est traité et consulté par le responsable du traitement.
La Commission rappelle que toute précaution doit être prise, notamment au plan technique, par La Banque Postale et, à sa demande, par son prestataire, la société éditrice de la liste des PPE et assimilées utilisée, pour exclure toute possibilité de consultation d’informations autres que celles qui, d’une part, concernent les personnes relevant de l’une des catégories mentionnées à l’article R. 561-18 du CMF, d’autre part, sont susceptibles d’être collectées en application de l’arrêté du 2 septembre 2009 pris pour l’application de l’article R. 56112 du même code.
La Commission prend acte des engagements de La Banque Postale en ce sens.
En ce qui concerne les transactions qui sont suspendues après prise en compte des listes de mesures de gel des avoirs, celles-ci sont soumises à un examen manuel, le plus souvent après collecte d’informations complémentaires auprès du client, en vue d’une levée de la mesure ou d’un rejet définitif de l’ordre par le responsable anti-blanchiment.
La Commission prend acte que le contrôle renforcé mis à la charge de l’établissement en cas de concordance entre l’identité d’un client et un signalement de l’une des listes d’embargo garantit que les opérations de transfert ne seront définitivement bloquées qu’en présence d’indices sérieux et concordants et que les vérifications, après suspension de l’ordre de transfert, sont effectuées très rapidement, au plus tard dans les 24 à 48 heures.
Elle relève que les personnes ayant déjà fait l’objet d’une suspension d’ordre de virement pour cause d’homonymie feront l’objet d’un signalement informatique spécifique, accessible aux seuls agents chargés de la lutte anti-blanchiment, qui permettra d’empêcher tout nouveau blocage de leurs opérations.
Dès lors, le traitement mis en place est conforme à l’intérêt légitime du responsable du traitement sans méconnaître pour autant l’intérêt des clients concernés.
Sur les catégories de données traitées
Certaines des données traitées se rapportent à l’identité des clients du groupe de La Banque Postale, à l’ensemble de leurs opérations sur compte et hors comptes au cours des 12 derniers mois, aux événements non financiers relatifs à la vie de leurs comptes et aux alertes – en cours de traitement ou anciennes - dont ils ont fait l’objet. Elles relèvent des catégories de données énumérées dans l’AU-003.
Sont également traitées les catégories d’informations suivantes, relatives aux personnes politiquement exposées, aux membres directs de leur famille et aux personnes connues pour leur être étroitement associées : identité et motif justifiant, au regard des articles L. 561-10 et R. 561-18 du CMF, l’application des mesures de vigilance complémentaires.
Sur les destinataires des données
Les destinataires des données personnelles qui sont relatives aux PPE et assimilées ou qui figurent dans les alertes ou les dossiers d’investigation qui en résultent sont :

  • les techniciens des cellules de sécurité des opérations financières de La Banque Postale, qui procèdent à une analyse des alertes de premier niveau au sein des centres financiers,
  • les correspondants TRACFIN de La Banque Postale, au niveau régional ou national, pour l’analyse approfondie des alertes remontées par les centres financiers,
  • les correspondants TRACFIN des filiales financières du groupe La Banque Postale, lorsque les données se rapportent également à un client de leur société,
  • le bureau compétent de la Direction générale du trésor et de la politique économique, pour les alertes résultant de la prise en compte des mesures de gel des avoirs prises dans le cadre de la lutte contre le financement du terrorisme ou des sanctions financières internationales.

Les données relatives aux déclarations de soupçon ne sont, sans préjudice des dispositions de l’article L. 561-21 du CMF, accessibles ou transmises qu’aux correspondants TRACFIN nommément désignés du groupe La Banque Postale et à la cellule de renseignement financier nationale TRACFIN.
Sur le droit d’information et d’accès
Les clients et autres personnes concernées sont informés que, pour répondre à ses obligations légales, le responsable du traitement met en œuvre un traitement de surveillance ayant pour finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme et que le régime de droit d’accès appliqué aux données traitées est conforme à l’article L. 561-45 du CMF.
Les autres aspects des traitements automatisés sont conformes à l’autorisation unique précitée et n’appellent pas d’autres observations de la part de la Commission.
Autorise, dans ces conditions, La Banque Postale à mettre en œuvre ces traitements automatisés ayant pour objet la lutte contre le blanchiment de capitaux et le financement du terrorisme.

Le Président


Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: