Délibération n° 2017-217 du 13 juillet 2017 portant autorisation unique de traitements de données à caractère personnel aux fins de la lutte contre la fraude externe dans le secteur bancaire et financier (AU-054)
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°0172 du 25 juillet 2017 |
| Enactment Date | 13 juillet 2017 |
| Record Number | JORFTEXT000035268554 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Date de publication | 25 juillet 2017 |
La Commission nationale de l'informatique et des libertés,
Vu le code monétaire et financier ;
Vu le code civil ;
Vu le code général des impôts ;
Vu le code pénal ;
Vu le code de la consommation ;
Vu le code de commerce ;
Vu le code des postes et des communications électroniques ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) n° 575/2013 du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d'investissement et modifiant le règlement n° 648/2012 ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 25-I (4° et 5°) et 25-II ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 20 février 2007 relatif aux exigences de fonds propres applicables aux établissements de crédit et aux entreprises d'investissement ;
Vu l'arrêté du 23 décembre 2013 relatif au régime prudentiel des sociétés de financement ;
Vu l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution ;
Vu le règlement général de l'Autorité des marchés financiers ;
Vu la délibération n° 2016-005 du 14 janvier 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre par les organismes publics et privés pour la préparation, l'exercice et le suivi de leurs contentieux ainsi que l'exécution des décisions rendues (AU-046) ;
Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La lutte contre la fraude constitue, pour les organismes bancaires et financiers, intermédiaires et groupes, une priorité avec les principaux objectifs qui la sous-tendent en termes de protection des clients, de dissuasion et de maîtrise des risques.
La présente autorisation unique vise à couvrir les seuls traitements mis en œuvre par les organismes relevant du secteur bancaire et financier à des fins de détection et de qualification des anomalies et de gestion des opérations qualifiées de fraude externe au sens de l'article 324 du règlement (UE) n° 575/2013 du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d'investissement. L'accès aux traitements de lutte contre la fraude est limité aux seules personnes spécifiquement habilitées et soumises à des obligations de déontologie et de confidentialité appropriées prenant part au processus du contrôle interne ou en charge de la gestion de la fraude.
Aux termes de l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution (ACPR), les établissements de crédit, les sociétés de financement, les entreprises d'investissement (autres que les sociétés de gestion de portefeuille), les établissements de paiement et les établissements de monnaie électronique ont l'obligation de se doter d'un dispositif de gouvernance solide, comprenant notamment un dispositif adéquat de contrôle interne.
Le contrôle interne comprend notamment des systèmes de surveillance et de maîtrise des risques. Le risque opérationnel en fait partie. Il s'agit des risques de pertes découlant d'une inadéquation ou d'une défaillance des processus, du personnel et des systèmes internes ou d'événements extérieurs, y compris le risque juridique. Le risque opérationnel inclut notamment les risques liés à des événements de faible probabilité d'occurrence mais à fort impact, les risques de fraude externe définis à l'article 324 du règlement (UE) n° 575/2013 susvisé, et les risques liés au modèle.
Outre l'obligation prévue à l'article L. 511-41-1-B du code monétaire et financier (CMF) pour les établissements de crédit et les sociétés de financement, les entités doivent mettre en place, au titre de l'article L. 511-41-1-B du CMF et de l'article 4 de l'arrêté du 3 novembre 2014, des dispositifs, stratégies et procédures, permettant de détecter, de mesurer et de gérer leurs risques opérationnels sur une base consolidée. Les dispositifs de lutte contre la fraude doivent être adaptés en fonction de leurs activités, de la nature, de l'échelle, de la complexité des risques inhérents à leur modèle d'entreprise et à leur organisation.
L'article 10, j, de l'arrêté du 3 novembre 2014 définit la fraude externe par renvoi à l'article 324 du règlement (UE) n° 575/2013 du 26 juin 2013. La fraude externe est définie comme un événement causant des « pertes qui sont liées à des actes de tiers visant à commettre une fraude ou un détournement d'actif ou à enfreindre/contourner la loi ».
La notion de « groupe » dans la présente autorisation unique s'entend au sens des groupes soumis au contrôle de l'ACPR conformément à l'article L. 511-20-III du CMF et à l'arrêté du 3 novembre 2014. Les organismes d'assurance, de capitalisation, de réassurance, d'assistance et les intermédiaires d'assurance ne peuvent procéder à un engagement de conformité à la présente autorisation unique, mais doivent, le cas échéant, se référer à l'AU-039 relative au secteur de l'assurance (délibération n° 2014-312 du 17 juillet 2014).
Les entreprises assujetties relevant de la surveillance de l'ACPR sur une base consolidée, c'est-à-dire à l'échelle du groupe ou, le cas échéant, sous-consolidée, c'est-à-dire d'une entité mère au sens du 49 de l'article 4 du règlement (UE) n° 575/2013 du 26 juin 2013, veillent à s'assurer que les systèmes mis en place, au sein de ces entreprises, sont cohérents entre eux afin de permettre une mesure, une surveillance et une maîtrise des risques encourus au niveau consolidé ou, le cas échéant, sous-consolidé.
A cette fin, elles mettent en œuvre des traitements automatisés de données à caractère personnel objets de la présente autorisation unique, qui peuvent conduire à refuser ou à rompre toute relation précontractuelle ou contractuelle avec les personnes concernées et donner lieu à des rapprochements de traitements ayant des finalités différentes.
Par conséquent, ces traitements relèvent des dispositions des articles 25-I (3° et 4°) de la loi n° 78-17 du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL.
En vertu du II de l'article 25, la commission peut autoriser par une décision unique une catégorie de traitements répondant aux mêmes finalités, portant sur des catégories de données identiques et ayant les mêmes catégories de destinataires,
Décide :
- d'adopter une autorisation unique pour les traitements automatisés ou non de données à caractère personnel relevant des articles 25-I (4° et 5°) de la loi n° 78-17 du 6 janvier 1978 modifiée ;
- que les organismes mentionnés ci-dessous qui souhaiteront se référer à la présente autorisation unique adresseront à cette fin à la commission un engagement de conformité pour leurs traitements qui répondent strictement aux conditions définies dans la présente décision unique et seront autorisés à mettre en œuvre ces traitements.
Tout projet de traitement automatisé ou non de données relevant des articles 25-I (4° et 5°) de la loi du 6 janvier 1978 modifiée, dont les finalités ou les catégories de données ou de destinataires excéderaient le cadre défini par la présente autorisation unique ou qui ne respecteraient pas les exigences qui y sont définies, devra faire l'objet d'une demande d'autorisation spécifique présentant et expliquant les différences entre le traitement envisagé et l'autorisation unique.
Sur le responsable de traitement :
Seules peuvent adresser un engagement de conformité à la présente autorisation unique les entités agissant en tant que responsable de traitement pour leur propre compte et répondant aux critères cumulatifs suivants :
- être visées au livre V du CMF ;
- être régulées par l'ACPR, c'est-à-dire relever de la compétence de l'ACPR au regard de l'article L. 612-2-I, A, du CMF ou pouvant être soumis à son contrôle (article L. 612-2-II) ; et
- être soumises aux dispositions de l'arrêté du 3 novembre 2014 relatif au contrôle interne.
Les entités pouvant adresser un engagement de conformité sont donc les suivantes :
- les établissements de crédit ;
- les intermédiaires en opérations de banque et services de paiement ;
- les prestataires de services de paiement ;
- les prestataires de services d'investissement ;
- les personnes qui fournissent des services d'investissement ;
- les conseillers en investissement ;
-...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI