La Commission nationale de l'informatique et des libertés,
Saisie par la société Groupama d'une demande d'autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme ;
Vu la directive 2006/70/CE de la Commission du 1er août 2006 portant mesures de mise en œuvre de la directive 2005/60/CE du Parlement européen et du conseil pour ce qui concerne la définition des « personnes politiquement exposées » et les conditions techniques de l'application d'obligations simplifiées de vigilance à l'égard de la clientèle ainsi que de l'exemption au motif d'une activité financière exercée à titre occasionnel ou à une échelle très limitée ;
Vu le code monétaire et financier (CMF), notamment ses articles L. 561-1 à L. 562-11, L. 574-1, L. 574-2, R. 562-1, R. 562-2, R. 563-1 à R. 563-3 et R. 564-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, notamment le 4° du I et le II de l'article 25 ;
Vu l'ordonnance n° 2009-104 du 30 janvier 2009 relative à la prévention de l'utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme, ratifiée par la loi n° 2009-526 du 12 mai 2009 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;
Vu le décret n° 2009-1087 du 2 septembre 2009 relatif aux obligations de vigilance et de déclaration pour la prévention de l'utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme ;
Vu le décret n° 2012-1125 du 3 octobre 2012 relatif aux obligations de vigilance et de déclaration pour la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme portant modification des articles R. 561-12, R. 561-16 et R. 561-20 du code monétaire et financier ;
Vu l'arrêté du 2 septembre 2009 pris en application de l'article R. 561-12 du code monétaire et financier et définissant des éléments d'information liés à la connaissance du client et de la relation d'affaire aux fins d'évaluation des risques de blanchiment de capitaux et de financement du terrorisme ;
Vu la délibération n° 2005-297 du 1er décembre 2005 portant autorisation unique de certains traitements de données à caractère personnel mis en œuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme, modifiée par la délibération n° 2007-060 du 25 avril 2007 et la délibération n° 2011-180 du 16 juin 2011 ;
Vu la demande d'autorisation déposée par la société Groupama pour le compte des sociétés du Groupe Groupama, relative à un traitement automatisé de données à caractère personnel ayant pour finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme ;
Sur la proposition de M. Jean-Paul AMOUDRY, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
Sur le responsable du traitement :
La société Groupama.
Sur la finalité :
La société Groupama a saisi la commission d'une demande d'autorisation relative aux traitements automatisés de données à caractère personnel mis en œuvre par les différentes entités du Groupe Groupama pour répondre aux obligations légales en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme ainsi que de gel des avoirs.
Les traitements automatisés utilisés par les établissements du secteur bancaire dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme visent notamment à détecter les transactions financières, réalisées par leurs clients, qui sont susceptibles d'être qualifiées d'infraction de blanchiment ou de financement du terrorisme par les autorités compétentes et qui, de ce fait, doivent, le cas échéant après collecte de renseignements complémentaires et analyse manuelle des éléments du dossier, donner lieu à l'envoi d'une déclaration à la cellule de renseignement financier nationale TRACFIN.
L'identification de telles opérations, pour une large part sur la base de critères intégrés dans les traitements automatisés des établissements concernés peut conduire ces derniers à souhaiter, pour des raisons de prudence, rompre toute relation contractuelle avec certains des clients qui en font l'objet. Ces traitements, peuvent ainsi, du fait de leur portée, conduire à l'exclusion de personnes du bénéfice d'un contrat en l'absence de toute disposition légale prévoyant la mise en œuvre d'une telle exclusion.
Ce traitement peut ainsi, du fait de sa nature et de sa finalité, conduire à l'exclusion de personnes du bénéfice d'un droit ou d'un contrat en l'absence de toutes dispositions légales ou réglementaires prévoyant une telle exclusion. Dès lors, il relève du 4° du I de l'article 25 de la loi du 6 janvier 1978 modifiée en 2004 et doit, à ce titre, faire l'objet d'une autorisation de la CNIL.
Par sa délibération modificative n° 2005-297 du 1er décembre 2005 susvisée, la commission a autorisé « certains traitements de données à caractère personnel qui sont mis en œuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme », sous réserve que les finalités de ces traitements, les catégories de données utilisées et leurs destinataires n'excèdent pas le cadre fixé par l'autorisation unique AU-003, que ces traitements remplissent également les conditions définies dans ce texte et que la CNIL ait reçu un engagement de conformité à l'AU-003.
Tout projet de traitement automatisé dont les finalités ou les catégories de données ou de destinataires excèdent le cadre de cette autorisation unique ou qui ne respecterait pas les exigences qui y sont définies doit, en revanche, faire l'objet d'une demande d'autorisation spécifique présentant et expliquant les différences entre le traitement envisagé et l'autorisation unique.
L'analyse des caractéristiques des traitements automatisés visés par la présente demande d'autorisation permet de conclure à la conformité de la demande de traitement au regard de l'AU 003, à l'exception des différences sur les données qui, de ce fait, sont soumises à l'examen de la CNIL.
Sur les données traitées :
Les données qui viennent s'ajouter à la liste déjà prévue par l'AU 003 sont les suivantes :
― la date de la fin de la relation d'affaires ou de fermeture du compte ;
― le rôle de la personne ;
― la date de décès ;
― le sexe ;
― le numéro de la pièce d'identité.
La commission considère, compte tenu de la finalité poursuivie, que la collecte de ces données est pertinente, adéquate et non excessive au sens du 3° de l'article 6 de la loi du 6 janvier 1978 modifiée.