Délibération 2017-200 du 6 juillet 2017

Commission Nationale de l'Informatique et des Libertés
Délibération n°2017-200 du 6 juillet 2017
Délibération n° 2017-200 du 6 juillet 2017 dispensant de déclaration les traitements automatisés ayant pour finalité la tenue, l'utilisation et la communication des listes d'initiés (DI-009)
NOR: CNIL1721436X
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) n° 596/2014 du Parlement européen et du Conseil du 16 avril 2014 sur les abus de marché (règlement relatif aux abus de marché) ;
Vu le règlement d'exécution (UE) 2016/347 de la Commission du 10 mars 2016 définissant des normes techniques d'exécution précisant le format des listes d'initiés et les modalités de la mise à jour de ces listes
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code monétaire et financier ;
Vu le code du travail, notamment l'article L. 432-2-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 24 II ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;


Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Parmi les mesures destinées à assurer la transparence et l'intégrité des marchés financiers, le règlement européen n° 596/2014 du 16 avril 2014 sur les abus de marché impose l'établissement et la mise à jour de listes d'initiés par toute entité juridique de droit public ou privé qui émet ou propose d'émettre des instruments financiers, ci-après émetteur .
Aux termes de l'article 18 du règlement sur les abus de marché, les émetteurs ou toute personne agissant en leur nom ou pour leur compte :
a) Etablissent une liste de toutes les personnes qui ont accès aux informations privilégiées, et qui travaillent pour eux en vertu d'un contrat de travail ou exécutent d'une autre manière des tâches leur donnant accès à des informations privilégiées, comme les conseillers, les comptables ou les agences de notation de crédit (ci-après dénommée liste d'initiés ) ;
b) Mettent cette liste d'initiés à jour rapidement conformément au paragraphe 4 ;
c) Communiquent la liste d'initiés à l'autorité compétente dès que possible à la demande de celle-ci .
Ces listes d'initiés constituent une mesure utile à la protection de l'intégrité du marché : elles peuvent être utilisées par les émetteurs pour mieux maîtriser le flux des informations privilégiées et mieux gérer leurs obligations de confidentialité ; elles permettent de sensibiliser les initiés à leurs propres obligations ; enfin, elles sont destinées à faciliter aux autorités compétentes l'identification des initiés et de déterminer la date à laquelle ils ont eu accès aux informations privilégiées, en vue de réprimer d'éventuels manquements à la réglementation.
Une section de la liste d'initiés devant être ouverte pour chaque nouvelle information privilégiée, les traitements automatisés mis en œuvre à cette fin ont vocation à se multiplier. Leur contenu et les modalités de conservation, d'utilisation et de communication des données y figurant sont définis par la réglementation européenne. Les personnes inscrites sur ces listes doivent en être informées. En outre, ces traitements ne sont pas susceptibles, sous réserve du respect des conditions prescrites par la présente délibération, de porter atteinte à la vie privée ou aux libertés des personnes physiques concernées.
La commission estime en conséquence, qu'en application du premier alinéa du II de l'article 24 de la loi du 6 janvier 1978, il y a lieu de dispenser de toute formalité déclarative préalable les traitements automatisés qui ont pour finalité la tenue des listes d'initiés lorsqu'ils sont conformes aux dispositions qui suivent.
Décide :

Article 1


Champ d'application.
Sont dispensés de déclaration les traitements automatisés de données à caractère personnel qui satisfont aux conditions posées par la présente délibération, lorsque leur responsable exerce en France une activité dans le cadre d'une installation stable, quelle qu'en soit la forme juridique (y compris s'il s'agit d'une simple succursale), et recourt à cette fin à des moyens informatiques situés sur le territoire national ou utilisés depuis celui-ci, ne serait-ce que pour collecter, enregistrer ou consulter des données personnelles.
Lorsque tout ou partie des moyens informatiques utilisés pour le traitement des données est établi hors du territoire national, la dispense ne s'applique que s'ils sont mis en œuvre dans un autre Etat membre de l'Union européenne ou partie à l'accord sur l'Espace économique européen ou dans un autre Etat disposant d'une législation adéquate en matière de protection des données à caractère personnel.

Article 2


Finalités du traitement.
Les traitements automatisés doivent avoir pour finalité l'établissement, la mise à jour, l'utilisation et la communication des listes d'initiés dans les conditions fixées à l'article 18 du règlement (UE) n° 596/2014 du 16 avril 2014 relatif aux abus de marché.
Par ailleurs, aux termes de l'article 2-1 du Règlement d'exécution n° 2016-347, les émetteurs peuvent ajouter dans la liste d'initiés une section consacrée aux initiés permanents, c'est-à-dire aux personnes ayant accès en permanence à l'ensemble des informations privilégiées. Cette section sera par nature différente des autres sections de la liste, dans la mesure où elle sera créée en fonction de la personne ayant accès à l'information privilégiée et non pas par rapport à l'information privilégiée elle-même.
Enfin, le traitement pourra également avoir pour finalité d'établir une liste des personnes soumises à l'interdiction d'effectuer des transactions pour leur propre compte ou celui d'un tiers pendant une période dite période d'arrêt , conformément à l'article 19-11 du Règlement n° 596/2014 relatif aux abus de marché.
Sous réserve des dispositions de la dernière phrase de l'article 3 de la loi du 6 janvier 1978 relatives aux autorités habilitées à accéder aux informations en qualité de tiers autorisés , les informations traitées ne peuvent pas être utilisées, consultées ou transmises à d'autres fins que l'application de la législation sur la prévention des délits d'initiés.
Les informations portées sur les listes d'initiés se rapportent exclusivement à des personnes physiques ou morales, françaises ou étrangères, que le responsable du traitement considère comme étant initiées en tant qu'elles ont accès à des informations privilégiées au sens de l'article 7 du règlement n° 596/2014 relatif aux abus de marché.

Article 3


Informations collectées et traitées.
Les données à caractère personnel collectées pour la tenue des listes d'initiés sont énumérées à l'annexe du règlement d'exécution n° 2016/347 du 10 mars 2016 définissant des normes techniques d'exécution précisant le format des listes d'initiés et les modalités de la mise à jour de ces listes conformément au règlement n° 596/2014.
Les données à caractère personnel collectées pour la tenue des listes d'initiés et des listes des personnes soumises à l'interdiction d'effectuer des transactions pour leur propre compte ou celui d'un tiers pendant une période dite période d'arrêt sont les suivantes :
Données d'identification : nom, nom marital si différent, prénoms, date de naissance, adresse professionnelle, société de rattachement, numéros de téléphone professionnels et privés (fixe et mobile), adresse privée complète (numéro, rue, ville, code postal, pays), numéro d'identification national le cas échéant (à l'exclusion du NIR), date de fin des fonctions.
Motifs d'inscription : la fonction et la raison pour laquelle la personne a le statut d'initié (nature du mandat social, des fonctions professionnelles exercées, de la mission justifiant l'inscription sur la liste, etc.).
Les dates d'inscription et de radiation des informations sur la liste d'initiés.
La date et l'heure auxquelles la personne a obtenue l'accès aux informations privilégiées et la date et l'heure auxquelles la personne a cessé d'avoir accès aux informations privilégiées.
Dans le cas de l'établissement d'une section des initiés permanents , celle-ci doit comprendre les données suivantes :
Date et heure de la création de la section ;
Date et heure de la dernière mise à jour de la section ;
Date de transmission à l'autorité compétente ;
Informations relatives à l'initié :


- noms, prénoms, numéros de téléphone privés et adresse privée ;
- nom et adresse de l'entreprise, numéros de téléphone professionnel ;
- fonction et raison pour laquelle la personne a le statut d'initié ;
- date et heure auxquels l'initié a été inclus dans la section des initiés permanents.


Aux termes de l'article 2 du Règlement n° 2016/347, les coordonnées des initiés permanents figurant dans cette section supplémentaire ne sont pas incluses dans les autres sections de la liste d'initiés.

Article 4


Destinataires des informations.
Seuls peuvent avoir communication de tout ou partie des données enregistrées :
a) Les agents spécialement habilités des services juridiques, financiers, des ressources humaines, d'audit interne ou de la conformité pour participer à la tenue des listes d'initiés, y compris le cas échéant les dirigeants ou toute personne agissant en leur nom ou pour leur compte, qui ont besoin de cet accès de par la nature de leur fonction ou leur position ;
b) L'Autorité des marchés financiers et les autorités administratives compétentes, homologues de l'AMF, des autres Etats membres de la Communauté européenne, des autres Etats parties à l'accord sur l'Espace économique européen et des autres Etats disposant d'une législation adéquate en matière de protection des données à caractère personnel, pour les seules informations entrant dans leur champ de compétence respectif.
Les destinataires prévus au b ne peuvent avoir communication des données que dans le cadre d'une demande préalable formulée par écrit, notamment par voie électronique.

Article 5


Mise à jour et durée de conservation.
Aux termes de l'article 18.4 du règlement n° 596/2014 relatif aux abus de marché, la liste d'initiés doit être mise à jour rapidement, y compris la date de mise à jour, en cas de changement du motif pour lequel une personne a été inscrite, lorsqu'une nouvelle personne a accès aux informations privilégiées et lorsqu'une personne cesse d'avoir accès aux informations privilégiées.
Il doit être procédé à cette mise à jour selon les modalités prévues à l'article 2 du règlement d'exécution n° 2016/347 du 10 mars 2016 définissant des normes techniques d'exécution précisant le format des listes d'initiés et les modalités de la mise à jour de ces listes conformément au règlement n° 596/ 2014. La mise à jour doit indiquer les données prévues en annexe de ce règlement d'exécution.
L'article 18.5 du règlement n° 596/2014 relatif aux abus de marché impose la conservation de la liste d'initiés pendant une période minimale de cinq ans après son établissement ou sa mise à jour. Les informations enregistrées devenues caduques sont effacées au terme de la cinquième année suivant la cessation de l'accès à toute information privilégiée ou le changement de motif d'inscription.
En tout état de cause, aux termes de l'article 28 du Règlement n° 596/2014, les données à caractère personnel sont conservées pendant une durée maximale de cinq ans.
Par exception, lorsque les informations se rapportent à un émetteur qui est soumis au contrôle d'une autorité étrangère compétente, homologue de l'Autorité des marchés financiers, à l'égard de laquelle s'applique un délai de conservation des données plus contraignant, elles ne sont effacées dans les mêmes conditions qu'à l'expiration de ce délai.

Article 6


Information et droit d'accès.
En plus des informations prévues par l'article 18.2 du règlement n° 596/2014 relatif aux abus de marché, le responsable du traitement informe les personnes inscrites sur la liste d'initiés de la finalité du traitement, des destinataires des informations et des modalités d'exercice des droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée.
Cette information est délivrée par la remise d'un document écrit ou par voie électronique.
Une lettre d'information peut également, dans la mesure du possible, être adressée à la personne concernée au moment de sa radiation de la liste.
Les droits des personnes s'exercent dans les conditions prévues par les articles 32 à 40 de la loi du 6 janvier 1978 modifiée.
La commission prend acte que le responsable de traitement respecte ses obligations vis-à-vis des instances représentatives du personnel, conformément au code du travail.

Article 7


Politique de confidentialité et de sécurités.
Les listes d'initiés doivent être établies dans un format électronique qui respecte les conditions posées par le règlement d'exécution n° 2016/347.
Le responsable de traitement prend, en conséquence, toutes précautions utiles pour préserver l'intégrité, la sécurité et la confidentialité des données saisies, par exemple en mettant en place un système de journalisation et d'horodatage des mises à jour et consultations de la liste pour leur attribuer une date certaine ou, lorsque les motifs d'inscription constituent des informations privilégiées, en utilisant des noms de code ou en conservant les données sous une forme chiffrée.
La liste est soumise par le moyen électronique précisé par l'autorité compétente. Les autorités compétentes publient sur leur site web les moyens électroniques à utiliser. Ces moyens électroniques garantissent que l'exhaustivité, l'intégrité et la confidentialité des informations sont préservées pendant la transmission.

Article 8


Recours à un prestataire.
Dans le respect de la réglementation applicable, le responsable du traitement peut avoir recours à un prestataire externe pour l'archivage des listes d'initiés.
La convention signée avec le prestataire décrit les opérations que celui-ci est habilité à effectuer à partir des données à caractère personnel, ainsi que les engagements qu'il prend pour garantir leur sécurité et leur confidentialité, en particulier l'interdiction d'utiliser les données à d'autres fins que celles indiquées par la convention et de les mettre en relation avec d'autres sources de données à caractère personnel, ainsi que l'engagement de procéder à la destruction des fichiers manuels ou informatisés stockant les données personnelles dès l'achèvement du contrat.
Le responsable de traitement doit s'assurer du caractère suffisant des mesures prises en vue d'assurer la sécurité et la confidentialité des données.

Article 9


Interconnexion ou mise en relation avec d'autres traitements.
Les listes d'initiés peuvent être constituées pour partie sur la base d'informations issues d'un dispositif automatisé de gestion des missions ou de traçabilité des accès aux applications de gestion de documents, notamment ceux comportant des informations privilégiées ou des bases d'information issues des traitements RH pour les seules données nécessaires à l'établissement des listes d'initiés.

Article 10


Effets de la dispense.
Les traitements répondant aux conditions visées aux articles 1 à 9 peuvent être mis en œuvre sans délai et sans déclaration préalable auprès de la CNIL.
La dispense de déclaration préalable auprès de la CNIL n'exonère le responsable de tels traitements d'aucune de ses autres obligations prévues par les textes applicables à la protection des données à caractère personnel. En particulier, la commission rappelle qu'elle se réserve le droit de contrôler le respect des dispositions de la présente délibération.
Ne peuvent prétendre au bénéfice de la dispense de déclaration les traitements automatisés qui sortent du cadre défini par la présente délibération, tels que ceux ayant également pour finalité la recherche des opérations suspectes définies par l'article 16 du règlement (UE) n° 596/2014 relatif aux abus de marché. Ces traitements doivent faire l'objet de formalités déclaratives préalables auprès de la CNIL dans les conditions prévues par la loi du 6 janvier 1978 modifiée.

Article 11


Publication.
La présente délibération abroge la délibération n° 2006-186 du 6 juillet 2006 décidant la dispense de déclaration de certains traitements automatisés de données personnelles ayant pour finalité la tenue, l'utilisation et la communication des listes d'initiés.
La présente délibération sera publiée au Journal officiel de la République française.


La présidente,

I. Falque-Pierrotin




Nature de la délibération: DISPENSE
Date de la publication sur legifrance: 31 août 2017