partie 1 : présentation du cas pratique
Transcription
partie 1 : présentation du cas pratique
PARTIE 1 : PRÉSENTATION DU CAS PRATIQUE Cas pratique - Section C « Protection des données et services financiers » Lutte contre la fraude et le blanchiment d’argent et respect de la protection des données dans le secteur bancaire I. ENONCÉ I. Les progrès technologiques et la mondialisation ont modifié en profondeur les modes de collecte, de consultation et d’utilisation des données. Le projet d’une réforme globale des règles adoptées par l’Union Européenne en 1995 en matière de protection des données1 afin de renforcer les droits en matière de respect de la vie privée dans l’environnement en ligne est actuellement en discussion au sein de la Commission Européenne. Vous recevez dans votre cabinet Monsieur Blanchard, directeur général d’une banque française qui est très concerné par le projet de révision de la Commission Européenne sur la protection des données à caractère personnel. Il vous explique que la profession bancaire est particulièrement sensibilisée aux problématiques de protection des données personnelles dont la collecte et l’utilisation constitue l’une des bases des activités de banquier. En effet, le banquier a le devoir de connaître chaque client pour offrir des services adaptés à ces besoins (dans le cadre d’un crédit hypothécaire par exemple ou la prévention du surendettement). Par ailleurs, il collecte des données sur ses clients mais également sur des tiers dans le cadre de la lutte contre la fraude, la prévention du blanchiment d’argent et du financement du terrorisme, ou encore en application de certaines dispositions légales, notamment relatives aux opérations d’initiés et aux manipulations de marché. Ainsi, l'existence même de l’ensemble de ces fichiers et informations répertoriées par les établissements de crédit, indispensables à leur bon fonctionnement, ne doit pas être mise en péril par les règles relatives à la protection des données. 1 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; JO CE du 23 Novembre 1995, L281/31. 1/2 Ce sont, notamment, ces points qui ont été développés par Monsieur Blanchard dans sa réponse à la procédure de consultation publique de la Commission Européenne sur la révision de la directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. II. La Commission Européenne décide finalement de publier une proposition de règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données). Arguments : Prévention de la fraude, de la corruption et du blanchiment d’argent Dans le cadre de la lutte contre le blanchiment d’argent, dès lors qu'il existe un soupçon de blanchiment ou que le montant de la transaction dépasse 15.000 euros, les banques sont tenues d'identifier leurs clients mais également les personnes avec lesquelles elles effectuent des transactions à titre occasionnel. Les banques sont en effet dans l’obligation légale de conserver les données relatives à ces personnes pendant une durée de cinq années à compter de l'exécution de la transaction. Il est important de noter que même dans le cas où aucune transaction n’a été réalisée, les banques sont dans l’obligation de conserver les données de ces personnes sans que celles-ci soient obligatoirement informées du traitement dont elles font l'objet (notamment pour éviter d’entrer à nouveau en contact avec elles). En matière de lutte contre la corruption et le blanchiment d’argent liés à des actes de corruption, les banques doivent également répondre à des obligations légales qui consistent à mettre en place « des procédures adéquates adaptées au risque afin de déterminer si le client est une personne politiquement exposée2 ». Ces dernières doivent identifier « les personnes physiques qui occupent ou se sont vu confier une fonction publique importante ainsi que les membres directs de leur famille ou des personnes connues pour leur être étroitement associées ». Dans cette perspective, il apparait légitime, sinon légalement requis, que les banques disposent de fichiers comportant les données de ces personnes considérées comme « à risque ». Ces fichiers peuvent aussi bien contenir les noms de personnes avec lesquelles la banque a pu être en contact que ceux de personnes avec lesquelles elle ne souhaite pas ou n'est pas en droit d'établir de contacts. Il peut également s'agir des personnes à l'encontre desquelles il existe des mesures restrictives, ou d'autres personnes faisant l'objet de sanctions au titre de la politique étrangère et de sécurité commune de l'Union européenne. Concernant les fraudes ou tentatives de fraude, les banques utilisent des données qui ont pour objet, notamment la protection des consommateurs et de toute personne utilisant les services de paiement. L’article 79 de la directive sur les services de paiement prévoit ainsi que « les États membres autorisent le traitement des données à caractère personnel par les systèmes de paiement et les prestataires de services de paiement lorsque cela est nécessaire pour garantir la prévention, la recherche et la détection des fraudes en matière de paiements ». 2 Article 11.4 de la directive 2005/60/CE du Parlement Européen et du Conseil du 26 octobre 2005 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme ; JO UE du 25 Novembre 2005, L309/15. 2/2 S’il est compréhensible que ces traitements de données doivent être réalisés en conformité avec la directive 95/46/CE comme l’indique l’article 79 de la directive 2007/64/CE, il convient néanmoins de prévoir des exceptions aux règles relatives au consentement et à l’information des personnes concernées. En effet, il apparait totalement illogique que soit imposé aux banques de recueillir le consentement des fraudeurs pour que les données les concernant soient répertoriées. En matière de prévention des fraudes comme en matière criminelle en général, il est interdit d’informer une personne lorsqu’elle est visée par une enquête ou une procédure judiciaire, et cela afin de préserver l’efficacité des enquêtes en ces domaines. Ainsi, l'existence même de l’ensemble de ces fichiers et informations répertoriées par les établissements de crédit, indispensables à leur bon fonctionnement, ne doit pas être mise en péril par les règles relatives à la protection des données. La Commission Européenne et les institutions européennes impliquées dans le processus législatif doivent pouvoir fournir des solutions concernant le conflit juridique existant entre, d’une part une législation européenne générale qui sera imposée à l’ensemble des secteurs et d’autre par des dispositions nationales (ordonnances, recommandations) et européennes sectorielles, imposant des obligations plus contraignantes au secteur bancaire, auxquelles les banques sont tenues de se conformer. II. QUESTIONS POSÉES Au regard des arguments et des faits énoncés ci-dessus, Monsieur Blanchard vous consulte afin de savoir quelle stratégie institutionnelle peut-être mise en place au niveau communautaire pour que les intérêts du secteur bancaire soient représentés. Sur la base des arguments avancés par votre client, en particulier la prévention de la fraude et la lutte contre le blanchiment d’argent il vous sera demandé de détailler les programmes de contact et actions de lobbying qui pourront être envisagés tout au long du processus institutionnel : I. Avant la publication d’une proposition législative par la Commission Européenne (après réponse à la consultation publique de la Commission Européenne). II. Après la publication de proposition législative par la Commission Européenne (Première lecture). Pour la deuxième partie du cas pratique, toujours sur la base des arguments avancés par votre client, vous serez amenés à identifier les articles qui sont problématiques dans la proposition de règlement de la Commission Européenne et à formuler des amendements. Une attention particulière devra être portée aux dispositions concernant le consentement, le traitement de données à caractère personnel (principes, licéité etc.) et les mesures fondées sur le profilage. 3/2