CNIL, Délibération du 18 décembre 2008, n° 2008-581

La Commission nationale de l’informatique et des libertés,

Saisie le 10 décembre 2008 pour avis par le Ministère de l’économie, des finances et de l’emploi d’un projet d’ordonnance relative à la lutte contre le blanchiment de capitaux et le financement des activités terroristes,

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé de données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme ;

Vu la directive 2006/70/CE de la Commission du 1^er août 2006 portant mesures de mise en œuvre de la directive 2005/60/CE du Parlement européen et du Conseil pour ce qui concerne la définition des personnes politiquement exposées et les conditions techniques de l’application d’obligations simplifiées de vigilance à l’égard de la clientèle ainsi que de l’exemption au motif d’une activité financière exercée à titre occasionnel ou à une échelle très limitée ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, et notamment son article 11-4° a ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-401 du 25 mars 2007 ;

Après avoir entendu M. Bernard PEYRAT, en son rapport, et M^me Pascale COMPAGNIE, commissaire du Gouvernement, en ses observations ;

Émet l’avis suivant :

1. La Commission a été saisie par le Ministère de l’économie, des finances et de l’emploi d’un projet d’ordonnance relative à la lutte contre le blanchiment de capitaux et le financement des activités terroristes, pris pour la transposition de la directive 2005/60/CE du 26 octobre 2005 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme.

Le projet transmis à la CNIL réécrit l’ensemble des dispositions du titre VI du livre V du code monétaire et financier (CMF).

Le projet d’ordonnance réforme le contenu des obligations de vigilance et de déclaration qui sont, principalement, à la charge des établissements du secteur bancaire, des entreprises d’assurance, des intermédiaires d’assurance, des institutions de prévoyance, des institutions de gestion de retraite supplémentaire, des mutuelles, des instituts d’émission, des entreprises de marché, des conseillers en investissements financiers, des changeurs manuels, des agents immobiliers, des vendeurs de matériaux précieux ou d’œuvres d’art, des casinos des notaires, des avocats – pour leurs seules activités non juridictionnelles -, des experts comptables et des commissaires aux comptes, conformément à l’article L. 561-2 nouveau du CMF.

Le projet d’ordonnance modifie également les modalités de traitement et de communication des données personnelles dont ces organismes et personnes doivent disposer au titre de leur participation à la lutte contre le blanchiment de capitaux et le financement des activités terroristes. Il instaure un régime de droit d’accès indirect pour permettre le contrôle et éventuellement la communication de ces données personnelles. Enfin, il réécrit les conditions dans lesquelles la cellule de renseignement financier TRACFIN du ministère de l’économie, des finances et de l’emploi peut communiquer des renseignements à ses homologues étrangers.

Sur les obligations de vigilance

2. Les articles L. 561-5 et L. 561-6 du CMF issus du projet d’ordonnance prévoient que les organismes financiers et les personnes mentionnés à l’article L. 561-2 nouveau du CMF ont l’obligation, avant d’entrer en relation d’affaires avec de nouveaux clients :

— de les identifier par des moyens adaptés ;

— de vérifier par tout document écrit probant les renseignements qui leur ont été communiqués à cette fin ;

— d’identifier, le cas échéant, les bénéficiaires effectifs de la relation d’affaires ;

— de recueillir des informations sur l’objet et la nature de la relation d’affaires, ainsi que d’autres éléments d’information sur le client, sous réserve que ceux-ci soient pertinents pour l’exercice d’une vigilance constante pendant toute la durée de la relation ;

— d’exercer un examen attentif des opérations effectuées, afin de s’assurer qu’elles sont cohérentes avec la connaissance actualisée qu’ils ont de leur client.

La vérification d’identité d’un client concerne également les clients occasionnels. En outre, elle peut, de façon dérogatoire, être réalisée après l’établissement de la relation d’affaires.

Lorsque ces contrôles sont à la charge d’un organisme financier mentionné à l’article L. 561-2, 1° à 6°, l’article L. 561-7 nouveau du CMF dispose que celui-ci peut, sans pour autant être exonéré de sa responsabilité, se reposer sur les contrôles de même nature effectués par un organisme tiers – principalement un autre organisme financier -, à condition que ce dernier soit situé en France ou dans un pays étranger imposant des obligations équivalentes en matière de lutte contre le blanchiment et le financement des activités terroristes.

Le projet d’ordonnance prévoit que les organismes financiers précités peuvent, à ce titre, se communiquer des données personnelles relatives à leurs clients. Si l’organisme financier destinataire des données est situé à l’étranger, le transfert est cependant soumis à une condition supplémentaire : le traitement des données doit garantir un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes, conformément aux articles 68 et 69 de la loi n° 78-17 du 6 janvier 1978.

Il en résulte qu’un transfert de données vers un pays dont la législation n’assure pas un niveau suffisant de protection des données au sens de l’article 68 précité ne pourra avoir lieu que sur autorisation de la Commission et après vérification que le traitement envisagé garantira un niveau suffisant de protection de la vie privée et des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou des règles internes qui le régiront.

3. L’article L. 561-9 nouveau du CMF précise que l’ensemble des obligations de vigilance précitées n’a pas à être réalisé ou peut être réduit par les organismes et personnes précités lorsque le risque de blanchiment de capitaux ou de financement des activités terroristes est faible au regard de critères définis par voie réglementaire, ou lorsque ce risque leur paraît faible sur la base d’autres éléments. Dans les deux cas, ces organismes et personnes devront recueillir et conserver les informations suffisantes sur leur client pour justifier la nature des mesures prises à son égard.

En revanche, en application de l’article L. 561-10 nouveau du CMF, les mêmes organismes financiers et personnes devront prendre des mesures de vigilance complémentaires ou renforcées, en sus des mesures précitées, dans certaines situations définies par l’article L. 561-10, en particulier :

— lorsque l’entrée en relation s’effectue sans contact physique ;

— lorsque le client personne physique n’a pas la qualité de résident français et qu’il est :

. soit politiquement exposé au sens de la directive du 1^er août 2006 susvisée, du fait de ses fonctions politiques ou administratives exercées pour le compte d’un autre État ,

. soit le conjoint, un ascendant ou un descendant d’une personne politiquement exposée ;

— lorsque le risque de blanchiment des capitaux et de financement des activités terroristes présenté par un client, un produit ou une transaction paraît accru au vu des résultats du système interne d’évaluation et de gestion de ces risques prévu à l’article L. 561-32 nouveau du CMF.

Il en résulte que chaque professionnel devra définir le niveau et la nature des diligences à mettre en œuvre à l’égard de chaque client, en fonction de ses caractéristiques personnelles, des opérations réalisées et des services offerts, et qu’il devra être en mesure de justifier le niveau de diligences qu’ils appliquent à tel ou tel client.

Les organismes financiers et les personnes mentionnés à l’article L. 561-2 devront, en outre, en présence d’une opération particulièrement complexe ou d’un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d’objet licite, se renseigner auprès du client sur l’origine des fonds, la destination des sommes, l’objet de l’opération et l’identité de la personne qui en bénéficie.

4. La Commission estime, au vu de la confidentialité ou de la sensibilité de certaines des données susceptibles d’être collectées ou traitées à ces différents titres, que les catégories de données concernées, ainsi que les modalités de leur collecte, de leur vérification, de leur actualisation, de leur mise à disposition et de leur utilisation au sein des organismes financiers et personnes mentionnés à l’article L. 561-2 devraient être précisées par décret pris en Conseil d’État.

Par ailleurs, les conditions que devront remplir les procédures et dispositifs internes de contrôle mis en place par les mêmes organismes et personnes en application de l’article L. 561-34 nouveau du CMF seront définies par décret en Conseil d’État et par le règlement général de l’Autorité des Marchés Financiers.

La Commission demande, en conséquence, à être saisie pour avis de ces projets de textes réglementaires, qui devraient notamment rappeler le caractère exclusif de la finalité de lutte contre le blanchiment et le financement des activités terroristes du traitement des données ainsi collectées et prévoir des modalités de traitement adaptées en conséquence, notamment lorsqu’il est indispensable de préserver le caractère confidentiel de ces données.

Sur les obligations de déclaration

5. En instaurant un nouvel article L. 561-15 dans le CMF, le projet d’ordonnance étend le champ d’application des déclarations dites de soupçon aux sommes et aux opérations portant sur des sommes dont les organismes financiers et personnes mentionnés à l’article L. 561-2 savent, soupçonnent ou ont de bonnes raisons de soupçonner qu’elles proviennent d’une infraction exposant à une peine d’emprisonnement supérieure à un an ou participent au financement des activités terroristes.

Des dispositions particulières seront prévues lorsque les sommes paraissent provenir d’une fraude fiscale ou lorsque la déclaration émane d’un avocat au Conseil d’État et à la Cour de cassation, d’un avocat ou d’un avoué près la cour d’appel.

Les projets d’articles L. 561-20 et L. 561-21 du CMF instaurent, par ailleurs, de nouvelles possibilités de partage des données personnelles entre certains organismes et personnes soumis aux obligations de déclaration : les organismes financiers appartenant à un même groupe, les notaires, autres professionnels du droit, experts-comptables et commissaires aux comptes appartenant à un même réseau ou à une même structure d’exercice professionnel seront dorénavant autorisés à s’échanger des données à caractère personnel sur l’existence et le contenu des déclarations de soupçon. Il en ira de même entre ces organismes et personnes lorsqu’ils exercent la même profession et qu’ils interviennent pour un même client et dans une même transaction.

La Commission note, à cet égard, que le projet d’ordonnance encadre les échanges de données susceptibles d’être réalisés à ce titre dans les conditions suivantes :

— Ils sont limités à l’existence et au contenu des déclarations dites de soupçon ;

— Ils ne peuvent intervenir qu’entre les personnes d’un même groupe, d’un même réseau ou d’une même structure d’exercice professionnel qui sont chargées d’établir les déclarations de soupçon ;

— Les transferts de données personnelles hors de l’Union européenne sont conditionnés à la garantie, dans le pays destinataire, d’une part d’obligations équivalentes de lutte contre le blanchiment de capitaux et le financement des activités terroristes, d’autre part d’un niveau suffisant de protection de la vie privée et des droits et libertés des personnes à l’égard du traitement de ces données, conformément aux articles 68 et 69 de la loi n° 78-17 du 6 janvier 1978.

La Commission souligne, en particulier, que le projet d’ordonnance rappelle que les données ainsi transmises ne doivent pas être utilisées à d’autres fins par les organismes destinataires.

6. Le projet d’ordonnance précise que le caractère confidentiel des déclarations dites de soupçon interdit notamment la divulgation de leur existence ou de leur contenu à la personne qui en fait l’objet.

La Commission prend acte que le caractère confidentiel de ces déclarations ne lui est pas opposable, qu’elle intervienne dans l’exercice des pouvoirs de contrôle que lui confère le chapitre VI de la loi du 6 janvier 1978 précitée ou dans le cadre de la procédure de droit d’accès indirect instaurée par l’article L. 561-48 nouveau du CMF.

Sur l’instauration d’un nouveau régime de droit d’accès indirect

7. Le projet d’ordonnance introduit dans le code monétaire et financier un article L. 561-48 qui prévoit que, pour les données à caractère personnel faisant l’objet d’un traitement aux fins exclusives de la lutte contre le blanchiment de capitaux et le financement des activités terroristes par un organisme financier ou une personne mentionnés à l’article L. 561-2, le droit d’accès s’exerce auprès de la Commission nationale de l’informatique et des libertés : la Commission désigne l’un de ses membres appartenant ou ayant appartenu au Conseil d’État, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires ; celui-ci peut se faire assister d’un agent de la commission, selon le projet d’article L. 561-48 qui devrait, sur ce point, être complété afin d’autoriser l’assistance d’un ou plusieurs agents de la commission ; il est notifié au requérant qu’il a été procédé aux vérifications.

La Commission observe que les données traitées peuvent cependant être communiquées au requérant lorsque la Commission constate, en accord avec le service TRACFIN et après avis du responsable du traitement, que leur communication n’est pas susceptible de révéler :

— l’existence ou les suites d’une déclaration dite de soupçon, ou

— l’exercice par le service TRACFIN de son droit de communication prévu à l’article L 561-26 nouveau du CMF, ou

— des informations relatives au requérant détenues par l’établissement dans le cadre de la mise en œuvre des dispositions des articles L. 561-8, L. 561-9 et L. 561-10.

La Commission considère, en premier lieu, que l’application de ce régime ne peut trouver de justification que si les données personnelles sont exclusivement utilisées aux fins de la lutte contre le blanchiment de capitaux et le financement des activités terroristes, ce que prévoit bien le projet d’ordonnance. Il en résulte que les données soumises au droit d’accès indirect devront, à tout moment, pouvoir être distinguées de celles relevant du droit commun, soit qu’elles soient enregistrées dans des traitements spécifiques, soit qu’elles fassent l’objet de modalités de consultation spécifiques, afin notamment d’éviter leur communication par inadvertance à la personne concernée.

En deuxième lieu, le champ d’application du dispositif devrait, dans un souci de cohérence, être étendu aux traitements mis en œuvre par les autorités qui interviennent dans la procédure de transmission des déclarations de soupçon au titre de l’article L. 561-16 nouveau du CMF.

En troisième lieu, la communication au requérant des données le concernant détenues par des organismes financiers ou des personnes mentionnés à l’article L. 561-2 ne devrait être empêchée que pour autant qu’elle risque de mettre en cause la finalité de lutte contre le blanchiment. Ce risque ne devrait être constaté que pour les données personnelles qui révèlent une saisine de la cellule TRACFIN et pour celles qui expliquent ou se rapportent au niveau de vigilance mis en place à l’égard du requérant, lorsque ce niveau ne résulte pas de la prise en compte de critères légaux, de nature objective, connus et d’application automatique, mais d’une appréciation interne du risque de blanchiment présenté par le requérant.

En conséquence, la Commission demande que le dernier alinéa de l’article L. 561-48 soit modifié afin de prévoir que les données peuvent être communiquées au requérant lorsque la commission constate, en accord avec le service TRACFIN et après avis du responsable du traitement, que leur communication répond aux deux conditions suivantes :

— elle ne révèle pas l’existence d’une déclaration mentionnée à l’article L. 561-15 du présent code ainsi que ses suites, ou l’exercice par le service TRACFIN mentionné à l’article L. 561-23 de son droit de communication prévu à l’article L. 561-26 ;

— elle ne met pas en cause la finalité de lutte contre le blanchiment des capitaux et le financement des activités terroristes, lorsqu’il s’agit d’informations concernant le requérant qui sont détenues au titre de la mise en œuvre des articles L. 561-8, L. 561-9 et L. 561-10 du présent code.

La Commission constate par ailleurs que le régime de droit d’accès indirect n’a pas vocation à s’appliquer à l’ensemble des données traitées en application de la présente ordonnance, notamment à l’égard des données exploitées au titre des obligations relatives au gel des avoirs.

Sur la cellule de renseignement financier TRACFIN

8. Les données traitées par le service TRACFIN ne peuvent être divulguées hors des circonstances prévues par la loi.

La Commission prend acte que deux de ces circonstances tiennent compte des dispositions de la loi sur l’informatique, les fichiers et les libertés.

La première préserve l’exercice par la CNIL de ses pouvoirs de contrôle vis à vis des traitements mis en œuvre par le service TRACFIN.

La seconde dispose que les données détenues par TRACFIN sur des sommes ou opérations paraissant avoir pour objet le blanchiment de sommes du produit d’infractions punies d’une peine privative de liberté supérieure à un an ou le financement des activités terroristes, ne peuvent être communiquées aux cellules étrangères de renseignement financier qui en sont les homologues, sur leur demande ou de manière spontanée, que sous les conditions :

— de réciprocité ;

— de respect d’obligations de confidentialité au moins équivalentes à celles prévues par la loi française ;

— de garantie, pour le traitement des données communiquées, d’un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes, conformément à la loi du 6 janvier 1978, en particulier à l’avant-dernier alinéa de l’article 69, ainsi qu’aux conventions internationales applicables.

Les autres dispositions du projet d’ordonnance n’appellent pas d’observations de la part de la CNIL.

Le Président

Alex TÜRK