Délibération nº 2007-060 du 25 avril 2007 modifiant l'autorisation unique nº AU-003 concernant certains traitements de données à caractère personnel mis en oeuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme.
La Commission nationale de l'informatique et des libertés,
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment les articles 11 et 25 ;
Vu le code monétaire et financier, modifié notamment par le décret nº 2006-736 du 26 juin 2006 relatif à la lutte contre le blanchiment de capitaux, notamment les articles L. 511-34, L. 562-1, L. 562-2 et R. 562-1 à R. 562-2-1 ;
Vu le décret nº 2005-1309 du 20 octobre 2005 pris pour l'application de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret nº 2007-451 du 25 mars 2007 ;
Vu la délibération nº 2005-297 du 1er décembre 2005 portant autorisation unique de certains traitements de données à caractère personnel mis en oeuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme (décision d'autorisation unique nº AU-003) ;
Après avoir entendu M. Bernard Peyrat, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La publication du décret nº 2006-736 du 26 juin 2006 relatif à la lutte contre le blanchiment de capitaux nécessite que des modifications soient apportées aux dispositions de la décision d'autorisation unique nº AU-003 relatives aux conditions dans lesquelles des informations peuvent être partagées entre les entités d'un même groupe bancaire au titre de l'organisation de la lutte anti-blanchiment et anti-terrorisme.
Ce décret précise, en effet, que les correspondants TRACFIN désignés au sein des organismes financiers peuvent, au titre de l'organisation de la lutte contre le blanchiment et le financement du terrorisme dans les organismes financiers filiales établis en France, se transmettre des données personnelles relatives à la clientèle, parmi les informations nécessaires à la vigilance dans le groupe.
Or, l'autorisation unique exclut actuellement des données personnelles pouvant être échangées entre des services de lutte contre le blanchiment des entreprises d'un même groupe les éléments relatifs aux déclarations de soupçon transmises au service TRACFIN et les suites qui leur sont réservées.
Il convient donc de prévoir que la décision d'autorisation unique nº AU-003 permet :
1° Que les informations relatives à l'existence et aux suites des déclarations de soupçon adressées au service TRACFIN par les différentes entreprises d'un même groupe (ou conglomérat) au sens de l'article L. 511-34 du code monétaire et financier soient communiquées à l'ensemble des services de lutte contre le blanchiment de ce groupe, sous réserve que ceux-ci soient installés sur le territoire national et qu'ils aient été déclarés en tant que correspondant TRACFIN ;
2° Que les autres données personnelles traitées aux fins de lutte contre le blanchiment de capitaux et le financement du terrorisme soient communiquées plus largement au sein du même groupe, c'est-à-dire à l'ensemble des services de lutte contre le blanchiment des entreprises de ce groupe, sous réserve que le siège social de ces entreprises soit situé sur le territoire d'un Etat membre de la Communauté européenne, d'un Etat partie à l'accord sur l'Espace économique européen ou d'un Etat qui est reconnu, par décision de la Commission européenne, comme assurant un niveau de protection adéquat et dont les autorités ont conclu avec la Commission bancaire une convention bilatérale en application de l'article L. 613-13 du code monétaire et financier,
Décide :
Article 1. L'avant-dernier alinéa de l'article 3 de la décision d'autorisation unique nº AU-003, consacré aux destinataires des données, est modifié comme suit :
“Les destinataires visés au e, à l'exception des personnes habilitées en France au sein d'un groupe en application des articles R. 562-2 et R. 562-2-1 du code monétaire et financier, et au f ne peuvent pas avoir communication de l'existence d'une déclaration de soupçon et de toute information sur la suite qui lui a été réservée par TRACFIN.”
Article 2. La présente délibération sera publiée au Journal officiel de la République française.
Fait à Paris, le 25 avril 2007.
Le président, A. Türk