CNIL, Délibération du 12 décembre 2019, n° 2019-154

La Commission nationale de l’informatique et des libertés,

Saisie par le ministère de l’économie et des finances d’une demande d’avis concernant un projet d’ordonnance transposant la directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme modifiée par la directive (UE) 2018/843 du Parlement européen et du Conseil du 30 mai 2018;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la charte des droits fondamentaux de l’Union européenne ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;

Vu la directive (UE) 2018/843 du Parlement européen et du Conseil du 30 mai 2018 modifiant la directive (UE) 2015/849 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme ainsi que les directives 2009/138/CE et 2013/36/UE (Texte présentant de l’intérêt pour l’EEE) ;

Vu le code monétaire et financier,

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment son article 9 ;

Après avoir entendu M. Philippe-Pierre Cabourdin, commissaire en son rapport, et M^me Nacima BELKACEM, commissaire du Gouvernement, en ses observations.

Emet l’avis suivant :

La Commission a été saisie en application de l’article 9 du décret n° 2019-536 du 29 mai 2019 susvisé d’une demande d’avis par le ministère de l’économie et des finances portant sur un projet d’ordonnance transposant la directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiée par la directive (UE) 2018/843 du Parlement européen et du Conseil du 30 mai 2018.

La Commission observe que le projet d’ordonnance entraîne des conséquences sur des traitements de données effectués par les assujettis, ainsi que sur les traitements de données effectués par les pouvoirs publics, tels la cellule de renseignement TRACFIN, d’autres services de renseignements français ou l’INSEE.

Elle rappelle que les traitements mis en œuvre en application du dispositif de lutte contre le blanchiment d’argent et le financement du terrorisme sont susceptibles de relever de plusieurs champs juridiques, à savoir du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après RGPD ), et de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment en son titre III transposant la directive du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données , ainsi qu’en son titre IV relatif aux traitements intéressant la sûreté de l’Etat et la défense.

1- Sur l’extension des activités assujetties (article 2 du projet d’ordonnance)

L’article 561-3-I-3° du Code monétaire et financier (ci-après nommé CMF ) tel que modifié par l’article 2 du projet d’ordonnance prévoit l’assujettissement des activités de conseil fiscal réalisées par les avocats, les notaires, les commissaires de justice, les administrateurs judiciaires et les mandataires judiciaires, aux obligations posées par le CMF en matière de lutte contre le blanchiment d’argent et le financement du terrorisme (ci-après nommé LCB-FT ), y compris aux déclarations de soupçons et d’information à la cellule de renseignement de TRACFIN.

Cette disposition emporte une obligation légale de mise en œuvre d’un traitement de données à caractère personnel aux fins de lutte contre le blanchiment susceptible d’avoir des impacts importants pour les droits et libertés des personnes concernées. Il importe donc que le cadre et les conditions appelant la réalisation d’un tel traitement soient clairement déterminés afin de ne collecter que des données pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées , conformément à l’article 5 du RGPD.

2- Sur les plus grandes possibilités données aux entités assujetties de partager les informations relatives aux déclarations de soupçon au sein d’un groupe (art. 4 du projet d’ordonnance)

L’article L. 561-20 du CMF, tel que modifié par l’article 4 du projet d’ordonnance, prévoit, sous certaines conditions, l’obligation, pour les sociétés de groupes y compris les filiales et succursales, de s’informer mutuellement de l’existence et du contenu des déclarations de soupçon et d’information effectuées en application de l’article L.561-15 du CMF auprès de TRACFIN.

Ce même article précise que le traitement des informations réalisé doit garantir un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes conformément aux articles (68 et 69) [122 et 123] de la loi n° 78-17 du 6 janvier 1978 .

La Commission s’interroge tout d’abord sur la référence faite aux articles 122 et 123 de la loi informatique et libertés, lesquels ne s’appliquent qu’aux traitements intéressant la sûreté de l’Etat et la défense effectués pour le compte de l’Etat (art. 115 de la loi informatique et libertés). L’application de ces dispositions supposerait en effet de considérer que le partage des informations contenues dans les déclarations de soupçon au sein d’un groupe est réalisé pour le compte de l’Etat . Or, de manière générale, les obligations prévues par le dispositif de lutte contre le blanchiment semble, non pas demander aux entreprises d’agir pour le compte de l’Etat , mais à les responsabiliser, en leur imposant la mise en place de procédures visant à détecter les éventuelles infractions dont elles seraient les vecteurs , et à porter à la connaissance de TRACFIN les doutes nés dans ce cadre.

Le partage des informations contenues dans les déclarations de soupçon, au sein d’un groupe constitue donc un traitement relevant, non pas des dispositions relatives aux transferts et à la sous-traitance prévues par les articles 122 et 123 de la loi Informatique et Libertés, mais aux dispositions du chapitre V du RGPD (intitulé Transferts de données vers des pays tiers ), dont il convient d’inclure la référence dans l’article L. 561-20 du CMF tel que modifié par l’ordonnance.

En tout état de cause, compte tenu de l’impact que la diffusion de telles informations au sein d’un groupe est susceptible d’entraîner pour la personne concernée, la Commission observe que des garanties doivent être mises en place. Celles-ci devront notamment assurer la sécurité et la confidentialité de ces données, et encadrer leurs transferts, en particulier vers des Etats n’appartenant pas à l’Union européenne ou vers des destinataires établis dans des Etats n’appartenant pas à l’Union européenne. Ces garanties devront être définies par le responsable de traitement, conformément au principe de responsabilisation posé par le RGPD.

3- Sur l’accroissement de la transparence des informations relatives aux bénéficiaires effectifs (art.8 du projet d’ordonnance)

L’article 8 du projet d’ordonnance ouvre au public l’accès à des informations relatives aux bénéficiaires effectifs des sociétés mentionnées à l’article L. 561-45-1 du CMF (notamment les sociétés commerciales, les groupements d’intérêt économique, dans les conditions prévues par l’article L123-1 du code de commerce) :

Les informations relatives au bénéficiaire effectif portant sur le nom, le nom d’usage, le pseudonyme, les prénoms, le mois, l’année de naissance, le pays de résidence et la nationalité du bénéficiaire effectif, ainsi que la nature et l’étendue des intérêts effectifs détenus sont portées à la connaissance du public. (art. L.561-46 CMF).

Cette obligation est également prévue par la 5ème Directive 2018/843 du 30 mai 2018, en son article 30 au motif que : L’accès du public aux informations sur les bénéficiaires effectifs permet un contrôle accru des informations par la société civile, notamment la presse ou les organisations de la société civile, et contribue à préserver la confiance dans l’intégrité des transactions commerciales et du système financier. (Cons.30 5ème Directive relative à la LCB-FT).

Il apparaît que la publicité de la liste des bénéficiaires effectifs vise à dissuader ces personnes d’avoir recours à des montages juridiques susceptibles d’être utilisés à des fins de lutte contre le blanchiment d’argent et de financement du terrorisme, en liant publiquement ces montages à leur identité.

Toutefois, en l’absence de précision dans le texte sur les modalités de consultation et sur les conditions et garanties susceptibles de protéger les droits et libertés des personnes concernées, la Commission considère que la publicité et l’accessibilité d’une telle liste au public doivent être évaluées à la lumière du droit au respect de la vie privée et familiale posé par l’article 7 de la Charte des droits fondamentaux de l’Union européenne prévoyant que : Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications .

La Commission rappelle au demeurant les exigences constitutionnelles applicables en la matière (mentionnées notamment dans la décision du Conseil constitutionnel n°2016-591 QPC du 21 octobre 2016) :

La Commission estime qu’il importe donc dans le cas présent que l’accès aux données, révélant notamment l’année de naissance, le lieu de résidence, la nature et l’étendue des intérêts effectifs détenus par les bénéficiaires effectifs, soit strictement encadré en tenant compte de la jurisprudence du Conseil constitutionnel, afin de ne pas entraîner une atteinte disproportionnée à la vie privée par rapport à la finalité poursuivie. L’accès au registre des bénéficiaires effectifs doit ainsi être assorti de garanties visant à protéger le droit au respect de la vie privée des personnes concernées, en assurant un exercice effectif des droits des personnes concernées, notamment a minima en termes de rectification et de droit à l’information.

L’article 8 du projet d’ordonnance prévoit enfin de donner un accès intégral au registre des bénéficiaires effectifs à l’Institut national de la statistique des études économiques (INSEE) . La Commission prend acte de l’engagement du Gouvernement de supprimer la disposition correspondante à l’accès intégral de l’INSEE au registre des bénéficiaires effectifs.

4- Sur la transmission et la réception d’informations par TRACFIN

L’article 5 du projet d’ordonnance modifie la section du CMF relative à la cellule de renseignement financier nationale, le service à compétence nationale dénommé TRACFIN (traitement du renseignement et action contre les circuits financiers clandestins). Les modifications apportées visent à renforcer la confidentialité du droit d’opposition de TRACFIN, à renforcer les capacités de TRACFIN à échanger avec ses homologues étrangers ainsi qu’à lui permettre d’échanger des informations avec les autres services de renseignement nationaux.

La Commission observe que la liste des services pouvant rendre destinataire TRACFIN d’informations et inversement, la liste des destinataires éventuels des informations de TRACFIN, est élargie aux services de renseignement mentionnés à l’article L. 811-4 du code de la sécurité intérieure (CSI) en plus des services spécialisés de renseignement prévus par l’article L. 811-2 du même code, respectivement listés aux articles R. 811-1 et R. 811-2 du même code. De telles transmissions ne sont possible que pour les informations relatives à des faits qui concernent les finalités mentionnées à l’article

L. 811-3 du CSI propres à chaque service visé pour chaque transmission, (renseignements relatifs à la défense et à la promotion des intérêts fondamentaux de la Nation tels les intérêts économiques, industriels et scientifiques majeurs de la France ; la prévention du terrorisme, la prévention de la criminalité et de la délinquance organisée etc.). Ces finalités peuvent potentiellement relever des titres II, III et IV de la loi du 6 janvier 1978.

L’extension projetée concerne les articles L. 561-27 et L. 561-31 du CMF. Il est ainsi envisagé qu’en sus de l’autorité judiciaire, des juridictions financières et des officiers de police judiciaire, l’ensemble des services de renseignement susmentionnés puissent rendre TRACFIN destinataire de toute information nécessaire à l’accomplissement de sa mission (article L. 561-27 du CMF). Il est envisagé que TRACFIN puisse transmettre à l’ensemble des services de renseignement susmentionnés des informations relatives à des faits concernant les finalités poursuivies par l’article L. 811-3 du code de la sécurité intérieure. Actuellement, ces transmissions sont limitées aux services de renseignement spécialisés. Les autres destinataires des transmissions prévues par l’article L. 561-31 (à titre d’exemple, la Haute autorité pour la transparence de la vie publique, les autorités judiciaires ou l’administration des douanes) sont inchangés.

La Commission estime que les modifications projetées constituent un élargissement significatif des destinataires et des émetteurs compte tenu notamment du périmètre des services listés à l’article R. 811-2 du CSI.

La Commission appelle particulièrement l’attention des responsables de traitement sur la mobilisation de ces fondements, et notamment, de la finalité prévue au c) du 5° de l’article L. 811-3 du CSI.

Si la Commission considère comme légitime la transmission par le service TRACFIN à d’autres autorités et services, des informations dans le cadre de ses missions de renseignement, elle estime que ces transmissions soulèvent des risques importants d’atteintes au droit au respect de la vie privée des intéressés, d’autant que les informations communiquées par TRACFIN et à l’origine de cette surveillance, peuvent ne pas découler de faits avérés mais de l’existence d’une simple suspicion.

La Commission rappelle donc que le principe de proportionnalité exclut que des informations collectées par TRACFIN puissent être transmises à d’autres autorités ou services sans qu’une telle transmission soit strictement justifiée par les missions propres de la structure destinataire.

Il est, en outre, envisagé que les transmissions prévues à l’article L.561-31 du CMF ne comportent pas de mention sur l’origine des informations. La Commission s’interroge sur le périmètre exact des transmissions visées par les douze alinéas du paragraphe concerné. La Commission demande à ce que TRACFIN précise le statut (jugement, information vérifiée, soupçon etc.) des informations qu’il diffusera.

Il appartiendra au responsable du traitement de s’assurer de sa conformité à la réglementation applicable en particulier avec les principes de transparence et l’obligation d’exactitude et mise à jour des données, conformément aux 1° et 4° de de l’article 4 de la loi n° 78-17 du 6 janvier 1978.

La Commission rappelle que les dérogations permises par la réglementation, notamment quant aux droits des personnes, devront être analysées par le responsable du traitement selon les spécificités de chaque champ juridique applicable au traitement projeté.

La Commission rappelle qu’il appartiendra en outre aux responsables des traitements de s’assurer que les conditions de mise en œuvre effective des traitements respectent la réglementation en matière de protection des données propre à chaque régime juridique applicable.

Plus particulièrement, la Commission rappelle que conformément à l’article 35 de la loi n° 78-17 du 6 janvier 1978, les actes de création des traitements concernés par cet élargissement des destinataires des données devront être modifiés en conséquence.

La Commission observe enfin que le projet d’ordonnance transpose les dispositions des 35) et 36) de l’article 1^er de la cinquième directive en prévoyant une coopération entre TRACFIN et les cellules de renseignement financier étrangères en vue d’assurer la transmission d’information aux autorités compétentes.

La Commission rappelle à cet égard que les titres III et IV de la loi n°78-17 du 6 janvier 1978 encadrent strictement les transferts internationaux hors de l’Union européenne, sans préjudice de la mise en œuvre effective des traitements projetés.

La Présidente

Marie-Laure DENIS