La CNIL a apporté, par délibération du 11 juillet 2011, des modifications à son autorisation unique AU 003 concernant les traitements mis en oeuvre par les organismes financiers dans le cadre de la lutte anti-blanchiment. Elle prend ainsi en considération la transposition en droit français de la directive 2005/60/CE du 26 octobre 2005 relative à la lutte contre le blanchiment de capitaux et le financement du terrorisme.
Les responsables de traitements concernés par l'autorisation unique sont l'ensemble des organismes mentionnés du 1° au 7° de l'article L. 561-2 du Code monétaire et financier (CMF), à savoir notamment les organismes financiers, les sociétés d'assurance, les mutuelles, les entreprises d'investissement et les changeurs manuels.
Les traitements concernés par l'autorisation unique visent à mettre en oeuvre, pour répondre aux obligations légales et réglementaires, des mesures de surveillance des risques présentés par les clients en fonction du profil de la relation avec le client et, le cas échéant, avec le bénéficiaire effectif de cette relation. La classification retenue facilite ainsi la mise en place de mesures de vigilance adaptées au niveau de risque identifié.
Dans sa nouvelle version, l'autorisation unique permet une mise en relation des fichiers des relations d'affaires avec une base documentaire, en vue d'identifier les personnes politiquement exposées (PEE) ou des personnes susceptibles de faire l'objet de mesures de vigilance renforcée. En outre, les dispositifs autorisent le déclenchement d'alertes et de déclarations de soupçons, la mise sous surveillance de comptes, contrats ou clients, ainsi que l'identification des clients et bénéficiaires effectifs qui figurent sur les listes de mesures de gel des avoirs en France ou à l'étranger...
En application de l'article L. 561-45 du CMF, les traitements mis en oeuvre au titre des obligations de vigilance à l'égard de la clientèle et de déclaration de soupçon sont soumis à une procédure de droit d'accès indirect, ce droit s'exerçant auprès de la CNIL et non directement auprès du responsable du traitement.
Certains transferts peuvent être réalisés vers des Etats n'assurant pas un niveau adéquat de protection, au sens de la Commission européenne, sans qu'une autorisation spécifique doive être obtenue de la CNIL, à condition que le destinataire des données s'engage à traiter celles-cide manière adéquate, en concluant par exemple un accord conforme aux clauses types de la Commission ou des Binding Corporate Rules.
Les responsables de traitement devront adresser à la CNIL un engagement de conformité à la nouvelle norme au plus tard le 7 juillet 2012. Tout projet de traitement automatisé dont les finalités ou les catégories de données ou de destinataires excéderaient le cadre défini par la nouvelle autorisation unique ou ne respecteraient pas les exigences posées par celle-ci devra faire l'objet d'une demande d'autorisation spécifique présentant et expliquant les différences entre le traitement envisagé et l'autorisation unique.
Anne-Laure Villedieu, Avocat, CMS Bureau Francis Lefebvre
Analyse juridique parue dans la revue Option Finance le 12 septembre 2011
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.