• Home  / 
  • DELIBERATION 2010-111

DELIBERATION 2010-111

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l’informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, notamment ses articles 9 et 25-I-3° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n°2007-451 du 25 mars 2007 ;
Vu le code monétaire et financier et notamment ses articles L 612-1 et suivants ;
Vu le code des assurances et notamment ses articles L 328-1 et suivants ;
Vu le code de la mutualité et notamment ses articles L 114-47 et suivants ;
Vu le code de la sécurité sociale et notamment ses articles L 931-25 et suivants ;
Vu le code pénal, notamment son article 132-22 ;
Vu le code de procédure pénale, notamment son article 40 ;
Sur le rapport de Monsieur Jean Paul AMOUDRY, commissaire, et les observations de Madame Elisabeth ROLIN, commissaire du Gouvernement ;
Formule les observations suivantes :
L’Autorité de Contrôle Prudentiel (ACP) est chargée d'exercer une surveillance permanente de la situation financière et des conditions d'exploitation des personnes et organismes intervenant dans les secteurs de la banque, des services de paiement, des services d’investissement et de l’assurance, notamment vis-à-vis des règles de solvabilité, et de veiller au respect des règles destinées à assurer la protection de leur clientèle, qu’elles résultent de dispositions légales ou des règles de bonne pratique de leur profession.
L’ACP souhaite mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Base orange » qui lui permettra d’une part, d’assurer le suivi des procédures pénales engagées en cas de manquements à la législation relevant de sa compétence ; d’autre part, de recenser les informations qu’elle transmet aux autorités judiciaires et enfin de disposer d’une documentation juridique sur les procédures clôturées.
A cette fin, l’ACP a saisi la CNIL d’une demande d’autorisation concernant la création d’une base de données regroupant l’ensemble des informations qu’elle communique ou a communiquées aux autorités judiciaires et lui permettant de connaître les suites qui leur ont été apportées.
Sur la procédure suivie auprès de la Commission
Le traitement a vocation à comporter des informations relatives aux manquements aux dispositions pénales du code monétaire et financier, du code des assurances, de la mutualité et de la sécurité sociale qui relèvent de la compétence de l’ACP.
L’article 9 de la loi du 6 janvier 1978 modifiée autorise les autorités publiques lorsqu’elles agissent dans le cadre de leurs attributions légales à mettre en œuvre des traitements comportant de telles données. L’ACP en tant qu’autorité administrative indépendante entre dans le champ de cette disposition.
Dans ces conditions, il y a lieu de faire application des dispositions de l'article 25-I-3° de la loi susvisée qui soumet à autorisation de la CNIL les traitements qui portent notamment sur des données relatives aux infractions, condamnations ou mesures de sûreté et qui sont mis en œuvre par des juridictions des autorités publiques et des personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales.
Sur les finalités du traitement
Le traitement a pour finalités :

  • le suivi des transmissions d’informations aux autorités judicaires réalisées par l’ACP,
  • le suivi des procédures pénales impliquant des personnes physiques ou morales assujetties au contrôle de l’ACP,
  • le suivi des constitutions de partie civile réalisées par l’ACP sur le fondement de l’article L 612-16 du code monétaire et financier (CMF),
  • la constitution d’une documentation juridique sur les procédures clôturées qui entrent dans son champ de compétence.

La Commission observe en effet, qu’en vertu de l’article L 571-2 du CMF, les autorités judiciaires saisies de poursuites relatives aux infractions prévues aux articles L 571-3 à L571-9 et L 571-14 à L 571-16 du CMF peuvent demander à l’ACP tout avis ou information utile. En outre, l’ACP peut, en application des dispositions de l’article L 612-16-II du CMF, se constituer partie civile à tous les stades de la procédure pénale pour l’application des chapitres Ier à III du titre VII du livre V du CMF et de certaines dispositions pénales du code des assurances, du code de la mutualité et du code de la sécurité sociale.
Par ailleurs, l’article 40 du code de procédure pénale fait obligation à toute autorité publique qui, dans l’exercice de ses fonctions, a connaissance d’un crime ou d’un délit, d’en donner avis sans délai au Procureur de la République et de transmettre à ce magistrat tous les renseignements, procès verbaux et actes qui s’y rapportent. L’article L 612-28 du CMF prévoit que le Président de l’ACP informe le Procureur de la République lorsque sont relevés des faits susceptibles de justifier des poursuites pénales, sans préjudice des sanctions que l’ACP peut prononcer. Elle informe également le Procureur de la République, en application de l’article L561-36 III, lorsqu’ elle engage une procédure, sur le fondement des règlements professionnels ou administratifs, à l’encontre d’une personne mentionnée au 1° à 7° et 11° à 14° de l’article L 561-2 du CMF qui, par suite soit d’un grave défaut de vigilance, soit d’une carence dans l’organisation de ses procédures internes de contrôle, a omis de respecter les obligation découlant du titre VI du livre V du CMF.
En outre, l’ACP peut, en application des dispositions de l’article L 612-16-II du CMF, se constituer partie civile à tous les stades de la procédure pénale pour l’application des chapitres Ier à III du titre VII du livre V du CMF et de certaines dispositions pénales du code des assurances, du code de la mutualité et du code de la sécurité sociale.
Afin de permettre à l’ACP d’engager des actions adéquates dans les délais impartis, le traitement génère des alertes en fonction de dates enregistrées.
La Commission souligne que ce traitement a pour finalité le suivi des affaires et non celui des personnes physiques ou morales qui ont fait l’objet de procédures judiciaires ou de condamnations pénales pour des infractions relevant du champ de compétence de l’ACP.
Sur les données traitées et la durée de conservation :
Les catégories de données traitées concernent :

  • l’identification des personnes physiques ou morales concernées par une procédure,
  • leur activité professionnelle,
  • les infractions poursuivies et leur qualification retenue par les juridictions compétentes,
  • les procédures engagées (recours, appel, cassation), leur état (ouvert ou clos), la date de clôture, la date de constitution de partie civile de l’ACP, l’identité des avocats, des juges et procureurs, les fondements juridiques ayant motivés la transmission du dossier, les dates d’audience fixées et les observations du service des affaires juridiques,
  • les condamnations prononcées lors de chaque instance.

Ce traitement comporte un champ « personnes concernées » qui peut mentionner des informations relatives à des personnes physiques ou à des personnes morales. Ces données font l’objet d’une simple consultation et ne sont pas indexées.
Ces données proviennent des réquisitions judiciaires dont l’ACP est saisie et des documents relatifs aux procédures pénales dans lesquelles l’ACP s’est constituée partie civile ou a fourni des informations aux autorités judiciaires.
Chaque affaire, quelles que soient les suites qui lui ont été apportées, fait l’objet d’une fiche qui mentionne des informations relatives aux personnes, physiques et morales concernées, aux faits incriminés et à la procédure judiciaire.
Ces données sont adéquates, pertinentes et non excessives au regard des finalités du traitement et n’appellent pas d’observations particulières au regard de la loi n°78-17 du 6 janvier 1978.
Ces informations seront conservées dans l’application pendant une durée de cinq ans à compter de la décision de justice devenue définitive, y compris pour les décisions de classement sans suite. Au-delà de ce délai, l’ACP effacera la totalité des données d’identification des personnes physiques.
Ces modalités de conservation des données répondent aux besoins de la finalité de recherche documentaire.
Sur les destinataires du traitement
Les données ne peuvent être communiquées qu’aux agents habilités du Service des affaires institutionnelles et de droit public de la Direction des affaires juridiques de l’ACP ainsi qu’aux services du contrôle interne, l’ensemble de ces personnels étant soumis au secret professionnel.
Sur les modalités d’information et d’exercice des droits des personnes physiques
La mise en œuvre de ce traitement fait l’objet d’une mention sur les sites internet de la Banque de France et de l’ACP.
Conformément aux dispositions de l’article 39 de la loi du 6 janvier 1978, le droit d’accès s’exerce directement auprès de l’ACP.
Dans ces conditions, la Commission autorise l’Autorité de contrôle prudentiel à mettre en œuvre un traitement automatisé destiné au suivi des procédures pénales relevant de sa compétence et à la tenue d’une documentation juridique.

Le Président

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: