L’essentiel :

La CNIL a été saisie des dispositions d’un projet de loi portant diverses adaptations au droit de l’Union européenne qui concernent, d’une part, l’accès aux données des bénéficiaires effectifs et, d’autre part, la mise en conformité du droit national aux exigences de la directive (UE) n°2020/1828 en prévoyant que les organismes disposant de l’agrément transfrontière peuvent exercer des actions de groupe dans le domaine de la protection des données devant le juge compétent.

Sur le premier point, le projet de loi donne une base légale au passage d’un accès public aux informations relatives aux bénéficiaires effectifs à un accès limité à la démonstration d’un intérêt légitime. La CNIL considère les évolutions projetées comme légitimes et nécessaires compte tenu de l’évolution du droit par l’adoption de la 6^ème directive anti-blanchiment, dans la lignée de la jurisprudence de la Cour de justice de l’Union européenne. Elles doivent permettre de garantir un meilleur équilibre entre l’objectif de transparence de la vie financière, poursuivi par l’accès aux informations des bénéficiaires effectifs, et la protection de la vie privée des bénéficiaires effectifs dont les informations figurent dans le registre.

Le deuxième point n’appelle pas d’observations de la CNIL.

___________________

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Sur les propositions de Philippe-Pierre Cabourdin, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. Les saisines

A. La saisine du ministère de l’économie, des finances et de la souveraineté industrielle et numérique relative, d’une part, au données des bénéficiaires effectifs et, d’autre part, aux actions représentatives visant à protéger les intérêts collectifs des consommateurs

Concernant le premier point de la saisine, l’arrêt du 22 novembre 2022 de la Cour de justice de l’Union européenne (C-37/20 et C-601/20, Sovim / WM c. Luxembourg Business Registers) a invalidé la disposition de la directive (UE) 2018/843 du Parlement européen et du Conseil (dite 5^ème directive anti-blanchiment) qui prévoyait la mise à disposition des informations sur les bénéficiaires effectifs des sociétés au grand public. La Cour estime dans son arrêt que ces informations ne doivent être accessibles qu’aux personnes pouvant justifier d’un intérêt légitime à y accéder.

Le projet de loi portant diverses dispositions d’adaptation au droit de l’Union européenne (DDADUE) modifie l’article L.561-46 du code monétaire et financier (CMF) et crée un article L.561-46-2 pour tirer les conséquences de l’arrêt de la CJUE précité.

Le projet s’appuie sur les dispositions de la 6^ème directive anti-blanchiment, qui tire les conséquences de cet arrêt, qui devrait être publiée en juin 2024. L’encadrement complet de l’accès aux données des bénéficiaires effectifs interviendra en deux temps : la priorité étant de tenir compte de l’arrêt de la CJUE, en limitant l’accès aux informations à la démonstration d’un intérêt légitime ; les conditions précises de formulation des demandes d’accès seront précisées ultérieurement par voie règlementaire et contractuelle.

La CNIL est particulièrement attentive aux modalités d’accès aux données des bénéficiaires effectifs, notamment dans un contexte où elle a été saisie d’une dizaine de plaintes de bénéficiaires effectifs s’opposant, sur le fondement de l’arrêt Sovim, à l’accès de leurs données à caractère personnel au public. Elle avait déjà rappelé, dans ses deux dernières délibérations, que les conditions d’accès et de publicité des données des bénéficiaires effectifs ne devaient pas porter atteinte au droit à la vie privée des personnes concernées (délibérations n° 2016-343 du 13 novembre 2016 et n° 2017-122 du 20 avril 2017).

Il n’existe pas, en France, de registre centralisé des données des bénéficiaires effectifs. Les données issues des procédures de formalités d’entreprises sont renseignées auprès de l’INPI par le biais du guichet unique. Les données déclarées sont ensuite remontées aux greffiers des tribunaux de commerce, autorités compétentes chargées de leur validation, avant d’être intégrées dans le registre national des entreprises (RNE). Malgré la présence de registres distincts, il s’agit de voies d’accès aux mêmes données, dont la fiabilité et l’exhaustivité sont contrôlées par les greffiers des tribunaux de commerce. La coexistence de deux teneurs de registre s’explique donc par leurs rôles complémentaires : les greffiers des tribunaux de commerce vérificateurs des données relatives aux sociétés commerciales versées au RNE et l’INPI administrant la base de données du RNE ainsi que la plateforme DATA INPI de mise à disposition de ces données.

La CNIL appelle l’attention du ministère sur le fait que les données relatives aux bénéficiaires effectifs sont intégrées dans le registre national des entreprises (RNE) tenu par l’INPI et qui a fait l’objet de ses observations régulières depuis sa création (délibérations n° 2021-098 du 2 septembre 2021, n° 2022-013 du 10 février 2022, n° 2022- 116 du 8 décembre 2022 et n°2023-091 du 21 septembre 2023).

Concernant le second point de la saisine, la directive (UE) 2020/1828 du 25 novembre 2020 relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs et abrogeant la directive 2009/22/CE, énonce des règles pour garantir un mécanisme d’action représentative permettant de protéger les intérêts collectifs des consommateurs et effectif dans tous les États membres, tout en prévoyant des garanties appropriées pour éviter les recours abusifs.

Le champ d’application de la directive est particulièrement vaste puisqu’il couvre les actions en cessation et en réparation au moyen d’actions représentatives (notamment les actions représentatives transfrontières) à l’encontre des infractions aux droits des consommateurs dans des domaines variés et notamment la protection des données à caractère personnel. Chaque État membre doit désigner une ou plusieurs entités qualifiées (organisations de consommateurs ou organismes publics) – qui devront satisfaire à des critères de désignation stricts en ce qui concerne les actions transfrontières – et établir une liste à jour des entités qui sera mise à disposition du grand public.

La mise en conformité du droit national aux exigences de la directive implique des modifications du code de la consommation, mais aussi de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle, du code de justice administrative, du code de la santé publique et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.

I. L’avis de la CNIL

A. Sur les dispositions relatives aux données des bénéficiaires effectifs

Le projet de dispositions législatives :

• complète la liste des autorités compétentes qui ont vocation à avoir accès à l’intégralité des données relatives aux bénéficiaires effectifs de manière gratuite et permanente, pour tenir compte, notamment, des évolutions apportées par la 6^ème directive anti-blanchiment sur ce point (Europol, Eurojust, l’Office européen de lutte anti-fraude, etc.) (projet d’article L. 561-46 du CMF) ;
• prévoit la possibilité pour toute personne justifiant d’un intérêt légitime, au regard de l’objet ou de la nature de son activité relative à la prévention ou à la lutte contre le blanchiment de capitaux ou le financement du terrorisme, d’accéder à certaines informations sur les bénéficiaires effectifs qui étaient jusque-là publiques. Il énumère également les catégories de personnes présumées pouvant justifier de cet intérêt légitime (projet d’article L. 561-46-2 du CMF). Ces catégories sont celles que les colégislateurs ont identifiées dans la 6^ème directive ainsi que celles pour lesquelles le ministère considère qu’il existe un intérêt en raison de leur contribution à la prévention et à la lutte contre le blanchiment et le financement du terrorisme. La 6^ème directive anti-blanchiment permet, en effet, à chaque État membre d’identifier de nouvelles catégories de personnes sous réserve de les notifier à la Commission.

Si la CNIL n’a pas d’observations sur le projet d’article L. 561-46 du CMF qui tient compte des évolutions de la règlementation européenne, le projet d’article L. 561-46-2 du CMF appelle les observations suivantes.

a) Sur l’appréciation de l’intérêt légitime par l’INPI et les greffiers des tribunaux de commerce

Le projet d’article L. 561-46-2 du CMF prévoit que les demandes d’accès aux informations énumérées en son premier alinéa (nom, nom d’usage, pseudonyme, prénoms, mois et année de naissance, pays de résidence, nationalité du bénéficiaire effectif, nature et étendue des intérêts effectifs détenus dans la société ou l’entité) soient formulées par les personnes ayant un intérêt légitime auprès de l’INPI ou des greffiers des tribunaux de commerce compétents, les deux teneurs de registres qui alimentent le RNE, qui statuent sur ces demandes.

Conformément à l’arrêt Sovim, la 6^ème directive subordonne l’accès du public aux informations sur les bénéficiaires effectifs conservées dans les registres centraux à la démonstration d’un intérêt légitime. Compte tenu des difficultés à mettre en œuvre ce concept, et afin de ne pas entraver l’objectif poursuivi, les colégislateurs ont identifiés certaines catégories de personnes qui bénéficient d’une présomption d’accès légitime. Cette présomption est sans préjudice de la possibilité pour les Etats-membres d’accorder l’accès, au cas par cas, à toute personne pouvant démontrer un intérêt légitime lié à la prévention du blanchiment de capitaux, de ses infractions sous-jacentes et du financement du terrorisme. La 6^ème directive impose ainsi aux États membres de recueillir des informations sur les cas d’intérêt légitime qui vont au-delà des catégories définies dans la directive et les notifier à la Commission européenne.

Sur les modalités d’appréciation de l’intérêt légitime

Pour apprécier l’intérêt légitime, les teneurs de registre se fonderont sur des recommandations et des lignes directrices établies au niveau national. Des échanges sont actuellement en cours pour établir une doctrine pour l’appréciation de l’intérêt légitime ; ils doivent notamment permettre d’identifier des bases communes d’interprétation entre les organismes chargés de cette analyse.

Afin d’éviter les divergences d’appréciation entre l’INPI et les greffes des tribunaux de commerce, d’une part, et entre greffes des tribunaux, d’autre part, et garantir une harmonisation dans l’analyse des demandes, le ministère a précisé que plusieurs mesures seront mises en œuvre dans l’attente des actes d’exécution :

• des formulaires uniformes seront élaborés pour la formulation des demandes d’accès et les pièces justificatives demandées identiques seront définies en amont ;
• les demandes complexes devront être remontées via une boîte fonctionnelle accessibles aux ministères compétents qui accompagnent les teneurs de registre dans la définition de la doctrine évoquée ci-dessus.
• des points réguliers seront faits entre les ministères compétents et les teneurs de registre dans les premiers mois afin d’accompagner la mise en place du système.

Ces éléments seront ensuite formalisés et encadrés, au niveau règlementaire dès que les actes d’exécution prévus par la 6^ème directive anti-blanchiment seront adoptés.

En présence de cas complexes pour l’appréciation de l’intérêt légitime, la CNIL recommande la mise en œuvre d’une procédure claire de gestion des demandes. Cette procédure devrait prendre la forme d’un point de contact unique chargé de remonter la demande aux ministères compétents et de délivrer la validation de l’intérêt légitime invoqué.

Par ailleurs, le ministère a précisé que la Commission européenne pourra émettre, dans un second temps, des lignes directrices. Les Etats membres devront ajuster leur doctrine en conséquence.

Sous cette réserve, la CNIL accueille favorablement les mesures prises par le ministère pour accompagner les teneurs de registre dans l’établissement d’une doctrine d’appréciation de l’intérêt légitime. Elle sera attentive à l’adaptation des règles nationales conformément aux recommandations et outils de droit souple établis par la Commission européenne, le cas échéant.

b) Sur l’exercice de la marge de manœuvre laissée par la 6^ème directive

Sur la présomption d’intérêt légitime accordée aux personnes physiques et morales, ainsi que les administrations de l’Etat, les collectivités locales et leurs établissements publics et sociétés d’économie mixte soumis aux obligations de l’article 17 de la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (la loi Sapin II)

Le point j) du projet d’article 561-46-2 du CMF accorde le bénéfice de la présomption d’intérêt légitime aux entités citées ci-dessus investies d’une mission de détection et de prévoyance de la corruption ou du trafic d’influence.

Compte tenu du fait que la corruption est une des infractions sous-jacentes du blanchiment de capitaux, le lien entre la lutte anticorruption et les objectifs de LCB-FT poursuivis par la consultation des données des bénéficiaires effectifs est établi. Le ministère apparaît dès lors fondé à ajouter cette nouvelle catégorie de personnes parmi celles bénéficiant de la présomption d’intérêt légitime.

Sur la présomption d’intérêt légitime accordée aux prestataires externes dans le cadre d’un contrat avec les entités assujetties à la LCB-FT, aux autorités compétentes ou aux entités investies d’une mission de lutte contre la corruption

Dans le cadre de leur devoir de vigilance, de connaissance client et d’analyse de la relation d’affaire, de nombreuses entreprises délèguent tout ou partie de leurs obligations à des prestataires externes.

Afin de permettre à ces prestataires de continuer à accéder aux informations relatives aux bénéficiaires effectifs, le projet d’article 561-42-2 leur accorde le bénéfice de la présomption d’intérêt légitime. Ces prestataires sont prévus aux :

• i) du 2° du I du projet d’article : les prestataires externes liés aux entités assujetties à la LCB-FT et aux autorités compétentes mentionnées au 2° de l’article 561-46, par un contrat, en vertu duquel ils justifient du besoin d’accéder aux données des bénéficiaires effectifs ;
• k) du 2° du I du projet d’article : les prestataires externes liés aux entités investies d’une mission de lutte contre la corruption, par un contrat portant sur au moins une des mesures de vigilance mentionnées à l’article 17 de la loi Sapin II.

Les point i) et k) du 2° du I du projet d’article 561-46-2 du CMF font principalement référence aux sociétés spécialisées en information de solvabilité et de prévention de la défaillance dans le cadre des contrats qui les lient aux entités assujetties à la LCB-FT. Le ministère a précisé que ces prestataires sont essentiels pour les entités assujetties qui leur délèguent notamment la vérification de l’identité du ou des bénéficiaires effectifs de leurs clients.

Ces entités peuvent procéder à une communication ultérieure des données des bénéficiaires effectifs dans le cadre des contrats évoqués ci-dessus, par le biais desquels les prestataires se sont vus déléguer tout ou partie des obligations de leurs clients au titre des articles L. 561-2 du CMF et 17 de la loi Sapin II. Seules les informations concernant un organisme avec lequel le client a vocation à entrer en relation d’affaire pourront être accédées et communiquées par ces prestataires.

La CNIL accueille favorablement les garanties prévues par le texte, qui conditionnent l’accès aux données des bénéficiaires effectifs, par ces prestataires, à l’existence d’un contrat établi avec au moins l’une des entités assujetties à la LCB-FT ou investies d’une mission de lutte contre la corruption. S’agissant de la communication ultérieure autorisée dans le cadre de ces mêmes contrats, elle souligne le bien-fondé d’une communication ciblée aux seules informations sur l’organisme ou la personne avec lequel leur client a vocation à entrer en relation d’affaire.

c) Sur l’encadrement contractuel des conditions d’utilisation des données par les prestataires externes

Les conditions d’utilisation des données, une fois l’accès accordé par l’une des entités chargées du registre, seront précisées par voie contractuelle.

Le ministère a indiqué que ces conventions – liant les teneurs de registre et les prestataires externes mentionnés ci-dessus qui réutiliseront les informations pour leurs clients assujettis – tiendront compte des dispositions de la 6^ème directive anti-blanchiment, éclairées par la jurisprudence de la CJUE (par exemple, la réévaluation régulière de l’accès, la vérification des informations qui ont permis à l’organisme de se prévaloir d’un intérêt légitime dans le temps, etc.). En tout état de cause, ces informations devront figurer dans le décret pris en Conseil d’Etat.

d) Sur l’encadrement de l’utilisation ultérieure des données des bénéficiaires effectifs, notamment par les journalistes et les membres de la société civile

L’article 561-46-2 du CMF encadre la communication ultérieure des données des bénéficiaires effectifs. La CNIL souligne que l’utilisation ultérieure qui sera faite de ces données est susceptible de porter atteinte aux droits des personnes concernées.

Il convient en premier lieu de rappeler que toute réutilisation de ces données constitue un traitement encadré par le RGPD.

En second lieu, il apparaît nécessaire que les personnes physiques et morales concernées par la réutilisation de leurs données (par exemple, la publication d’un article par un journaliste, qui aura pu accéder aux données du fait d’une présomption d’intérêt légitime) puissent également accéder à ces données. Ces personnes pourront accéder aux données les concernant au titre du droit d’accès garanti par le RGPD, mais cela ne suffira pas nécessairement à leur permettre d’assurer correctement leur défense. La CNIL invite le gouvernement à ce que, soit à travers le projet de loi, soit à travers la doctrine d’application de celle-ci, l’intérêt légitime de ces personnes à accéder aux informations nécessaires à leur défense soit effectivement garanti.

B. Sur les dispositions relatives aux actions représentatives visant à protéger les intérêts collectifs des consommateurs

Le projet de loi prévoit d’ajouter après le 3° du IV de l’article 37 de la loi « informatique et libertés », les organismes mentionnés à l’article 76-2 de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle (tel que modifié par le projet) au titre des entités qui peuvent exercer une action de groupe, en l’espèce des actions représentatives transfrontières, devant les juridictions compétentes. La CNIL n’a pas d’observations sur ce point.

Elle relève toutefois que l’article 37.II de la loi « informatique et libertés » prévoit que l’action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente " au vu des cas individuels présentés par le demandeur qui en informe la Commission nationale de l’informatique et des libertés".

Elle rappelle qu’il n’est nécessaire de présenter des cas individuels à l’appui de la demande en justice que pour l’action en réparation et que cela n’est pas nécessaire pour l’action en cessation (article 8.3 de la directive). La CNIL prend acte de l’engagement du ministère visant à modifier ces dispositions afin de ne plus faire référence à l’exigence de présentation de cas individuels pour les actions en cessation qui seront exercées par les organismes ajoutés après le 3° du IV de l’article 37 dans le cadre des actions prévues par la directive (UE) 2020/1828.

La présidente,

M.-L. Denis