Blanchiment : la CNIL se prononce sur les traitements à mettre en œuvre

La transposition en droit français de la 3^e Directive relative à la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB/FT) a été réalisée par l’adoption d’une ordonnance et de plusieurs textes réglementaires soumis à l’avis de la Commission nationale de l’informatique et des libertés (CNIL). Les nouvelles dispositions résultant de l’adoption de ces différents textes imposaient de mettre à jour l’AU 003 de la Commission relative aux traitements automatisés de données à caractère personnel (voir Encadré 1), ayant pour finalité la LCB/FT.

C’est chose faite, depuis le 16 juin 2011. Après une concertation de plusieurs mois avec l'ensemble des autorités [1] et des organisations professionnelles concernées [2] , la Commission a adopté une nouvelle AU abrogeant la précédente et modifiant en profondeur l’ergonomie générale du texte, notamment en intégrant l’approche par les risques.

De nouveaux responsables de traitement

L’augmentation des professions assujetties aux dispositions relatives à la lutte contre le blanchiment a conduit la Commission à délivrer des autorisations spécifiques [3] . Afin de simplifier les formalités préalables pour certains organismes assujettis, la CNIL a choisi d’intégrer dans le champ de l’AU 003 les organismes mentionnés aux points 1 à 7 de l’article L. 561-2 du Code monétaire et financier (CMF – voir Encadré 2). Elle a cependant souhaité limiter le périmètre de l’AU 003 aux organismes financiers. Ainsi, les filiales immobilières des établissements de crédit, les professionnels du droit et du chiffre et les autres organismes assujettis devront procéder à des demandes d’autorisation spécifiques présentant et expliquant les différences entre le traitement envisagé et l’AU 003.

Des finalités étendues

Le nouveau texte assure une meilleure intégration de l’approche par les risques. L’AU 003 comprend au titre des finalités les traitements permettant de « détecter le profil de la relation d’affaires avec le client et le cas échéant avec le bénéficiaire effectif de cette relation en fonction des produits souscrits, des opérations effectuées et des caractéristiques du client ». L’organisme financier est donc tenu d’élaborer une classification des risques [4] ayant pour objectif la mise en place des mesures de vigilance adaptées au niveau du risque présenté par chaque client ou relation d’affaires.

Afin de permettre l’identification des personnes politiquement exposées [5] et de celles devant faire l’objet de mesures de vigilance complémentaire, le nouveau texte prévoit la possibilité de mettre en relation un fichier des relations d’affaires avec un fichier documentaire fiabilisé. Les informations traitées ne doivent pas excéder celles mentionnées à l’arrêté du 2 septembre 2009 [6] . En outre, les alertes doivent faire l’objet d’une analyse manuelle et les cas d’homonymies doivent être pris en compte.

Enfin, les traitements permettant de détecter des fonds et ressources économiques faisant l’objet d’une mesure de sanction financière sont inclus dans le périmètre de la nouvelle AU.

Le rappel du principe de proportionnalité dans la collecte des données

Le nouveau texte précise qu’« à l’exception des données relatives à l’identification [du client] et au justificatif de domicile, la collecte des informations [mentionnées à l’article 4] ne peut être systématique et indifférenciée pour l’ensemble des clients concernés ». Les autres informations susceptibles d’être collectées dans les limites de l’arrêté mentionné ci-dessus doivent être proportionnées par rapport aux risques LCB/FT présentés par le client, par l’opération réalisée ou par le produit souscrit.

La Commission avait déjà demandé, dans son avis du 9 juillet 2009 portant sur les projets d’arrêté et de décret [7] , que le texte de l’article R. 561-12 du Code monétaire et financier (CMF) – qui détaille les éléments d'information susceptibles d'être recueillis pendant la durée de la relation d'affaires à des fins d'évaluation des risques de blanchiment de capitaux et de financement du terrorisme – soit complété, afin de mentionner ce principe. Cette rédaction n’ayant pas été retenue, la Commission a souhaité rappeler ce principe dans le texte de l’AU.

La prise en compte des transferts de données hors Union européenne

Les organismes financiers sont tenus de mettre en place une surveillance consolidée au niveau du groupe [8] . En outre, le CMF prévoit des cas [9] dans lesquels des personnes assujetties appartenant au même groupe ou intervenant pour le même client et dans une même transaction peuvent s’échanger des informations relatives à l’existence et au contenu des déclarations de soupçon.

La mise en place de ces procédures peut conduire un responsable de traitement à importer ou à exporter des données relatives à ses clients vers l’étranger, notamment vers un pays ne présentant pas un niveau adéquat ou suffisant de protection des données [10] . Dès lors, pour procéder à ce transfert, il doit obtenir une autorisation de la Commission.

Soucieuse de simplifier les formalités préalables, la Commission a décidé d’intégrer ces flux dans le périmètre de l’AU 003. Les responsables de traitement souhaitant procéder à des transferts dans le cadre de l’application des articles susmentionnés ne sont plus dans l’obligation de procéder à une demande d’autorisation spécifique auprès de la CNIL. Toutefois, cela ne signifie pas que ces transferts ne doivent pas faire l’objet d’un encadrement spécifique. Les organismes concernés restent tenus de garantir un niveau suffisant de protection des données, par la mise en place de contrats de transfert de données sur le modèle des clauses contractuelles types de l’UE ou par l’adoption de règles internes d’entreprise ( BCR [11] ).

Une procédure de droit d’accès indirect

L’ancienne version de l’AU 003 prévoyait qu’à la demande d’un organisme financier saisi d’une demande de droit d’accès, la CNIL pouvait formuler un avis sur le caractère communicable des informations enregistrées. Les traitements restaient donc soumis à une procédure de droit d’accès direct (voir Encadré 3). Toutefois, afin de ne pas porter atteinte à la finalité du traitement de lutte contre le blanchiment, la CNIL en avait aménagé les modalités.

Le nouvel article L. 561-45 du CMF soumet désormais à une procédure de droit d’accès indirect, les traitements « aux seuls fins de l’application des articles L. 561-5 à L. 561-23 » du CMF, c'est-à-dire ceux qui entrent dans les obligations de vigilance et de déclaration à Tracfin. Les données pourront éventuellement être communiquées au demandeur lorsque la Commission constate, en accord avec Tracfin et après recueil de l’avis du responsable de traitement, que cette communication n’est pas susceptible de révéler l’existence d’une déclaration de soupçon ni de mettre en cause la finalité du traitement. Il convient cependant de noter que le périmètre de ce droit d’accès est limité aux traitements mis en œuvre en application des dispositions des articles L. 561-5 à L. 561-23 du CMF, les traitements mis en œuvre au titre de l’application des mesures de gel des avoirs [12] restent donc soumis à une procédure de droit d’accès direct.

Quelles formalités accomplir ?

Les nouvelles dispositions du CMF instaurent une procédure de droit d’accès indirect. Dès lors, il s’agit d’une modification substantielle des traitements mis en œuvre. Il est alors nécessaire de procéder à un engagement de conformité à la nouvelle AU 003.

Les traitements non conformes à cette AU doivent faire l’objet d’une demande d’autorisation individuelle présentant et expliquant les différences entre le traitement envisagé et AU. La Commission examinera ces dossiers au cas par cas.

Les traitements concernant les collaborateurs des organismes assujettis, mis en œuvre sur le fondement de l’article R. 561-38 du CMF (détaillant la mise en œuvre des systèmes d’évaluation et de gestion des risques de LCB/FT) ne sont pas intégrés dans le périmètre de l’AU. La CNIL se prononcera prochainement sur cette question et évaluera l’opportunité d’adopter une mesure de simplification.

 

1 Autorité de contrôle prudentiel (ACP), Tracfin, Direction générale du Trésor du ministère de l’Économie, des Finances et de l’Industrie. 2 FBF, OCBF, FFSA, etc. 3 GMF, délibération n° 2007-318 du 25 octobre 2007. 4 Risque relatif à la lutte contre le blanchiment de capitaux et le financement du terrorisme dit risque LCB/FT. 5 En particulier des personnes qui leur sont étroitement associées et qui peuvent résider en France. 6 Arrêté pris en application de l’article R. 561-12 du CMF et définissant des éléments d’information liés à la connaissance du client et de la relation d’affaires aux fins d’évaluation des risques de blanchiment de capitaux et de financement du terrorisme. 7 À cette occasion, la Commission avait, en effet, souhaité que les dispositions de l’article R. 561-5 devenu R. 561-12 soient complétées « afin d’indiquer que les informations ne pourront être collectées et conservées que sous réserve de leur adéquation, de leur pertinence et de leur caractère non excessif au regard de l’objectif d’évaluation du risque de blanchiment de capitaux et de financement du terrorisme attaché au client, en fonction de la nature et du volume des opérations qu’il réalise. Il convient, en particulier, d’exclure toute collecte systématique et à toutes fins utiles, lors de l’entrée en relation d’affaires de l’ensemble de ces renseignements auprès de l’ensemble des clients des personnes assujetties à l’obligation de vigilance. » 8 Article L. 511-34 du CMF. 9 Articles L. 561-20 et 21 du CMF. 10 La liste de ces pays est disponible sur le site de la CNIL : http://www.cnil.fr. 11 Binding Corporate Rules. 12 Articles L. 561-1 et suivants du CMF.