Délibération 2017-246 du 14 septembre 2017

Commission Nationale de l'Informatique et des Libertés
Délibération n°2017-246 du 14 septembre 2017
Délibération n° 2017-246 du 14 septembre 2017 modifiant la délibération n° 2010-207 du 1er juillet 2010 portant autorisation unique des traitements automatisés des alertes d'abus de marché mise en œuvre par les organismes du groupe Caisses d'épargne devenu le groupe BPCE (demande d'autorisation n° 1232905v2)
NOR: CNIL1727968
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,
Saisie par le groupe BPCE d'une demande d'autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité l'extension du traitement autorisé par la délibération n° 2010-207 aux organismes des banques populaires, à la Banque palatine, au Crédit foncier, à la Banque de Tahiti et à la Banque de Nouvelle-Calédonie ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code monétaire et financier ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son articles 25-I (4°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la demande de modification de la délibération n° 2010-207 du 1er juillet 2010 modifiant la délibération n° 2009-359 du 18 juin 2009 portant autorisation unique des traitements automatisés des alertes d'abus de marché mise en œuvre par les organismes du groupe Caisses d'épargne ;
Vu le dossier et ses compléments ;


Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Formule les observations suivantes :


Responsable du traitement

Le groupe BPCE

Sur la finalité

Le groupe BPCE a saisi la commission d'une demande d'autorisation portant sur la mise en place dans les établissements du groupe d'un traitement automatisé de données à caractère personnel visant à la détection des alertes potentielles d'abus de marché.
Par une délibération n° 2010-270 du 1er juillet 2010, la commission a adopté une autorisation unique des traitements automatisés de détection des alertes d'abus de marché mis en œuvre par les organismes du groupe Caisses d'épargne.
Le groupe BPCE saisit aujourd'hui la commission d'une demande de modification de l'autorisation unique qui bénéficie aux Caisses d'épargne, consistant à l'étendre à de nouvelles entités rattachées au groupe BPCE.
La délibération n° 2010-270 est modifiée sur les points suivants : les organismes susceptibles de réaliser un engagement de conformité à la présente autorisation unique sont les organismes des Caisses d'épargne, les organismes des Banques populaires, la Banque palatine, le Crédit foncier, la Banque de Tahiti et la Banque de Nouvelle-Calédonie, qui mettent en œuvre un traitement automatisé de données à caractère personnel de détection des alertes potentielles d'abus de marché, pour autant que ces traitements soient conformes à la présente autorisation unique.

Sur les données traitées

Les listes d'opérations à analyser ainsi obtenues comportent les catégories de données suivantes :
- les nom, prénom, date de naissance ou la raison sociale du détenteur du compte ;
- le n° SIREN ;
- l'adresse ;
- la date de détection ;
- la date et la nature de la détection ;
- le nombre de détections sur une période glissante et la date de la dernière détection ;
- la volumétrie des opérations ;
- l'établissement du groupe concerné, le numéro de l'agence ;
- le numéro du compte titre et du compte numéraire associé ;
- le type de compte (joint ou non) ;
- les caractéristiques de la valeur (code ISIN, libellé, marché, place et mode de cotation, admissible ou non au système de règlement différé) ;
- les caractéristiques de l'ordre détecté (achat ou vente, type d'ordre, prix, quantité, origine, date, etc.) ;
- les caractéristiques de l'ordre exécuté (achat ou vente, type d'ordre, prix, quantité, origine, date, etc.).
Les listes ainsi constituées sont mises en ligne sur l'intranet du groupe. Elles sont consultables pendant 45 jours, avant d'être archivées pendant trois ans par le contrôle interne de l'établissement concerné.
Ces dispositions sont adéquates, pertinentes et non excessives au regard des finalités déclarées et n'appellent pas d'observation particulière.

Sur les destinataires

Chaque responsable de la conformité pour les services d'investissement (RCSI) ne peut accéder qu'aux données qui se rapportent à son établissement. Il peut interroger la base des anomalies détectées pour une période donnée, pour un type d'anomalies, par instrument financier ou par numéro de compte. Il peut également procéder à des extractions de données sous tableur pour constituer des fichiers de travail. Les données ne peuvent pas y être conservées plus de 45 jours avant leur éventuel archivage.
Les destinataires de tout ou partie des données sont :
- les responsables de la conformité des services d'investissement du groupe BPCE et les agents habilités placés sous leur responsabilité, pour les seules données relatives à des opérations effectuées par les clients de leur établissement ;
- les chargés de clientèle et les agents habilités du back office-titres de l'établissement concerné, lorsqu'il leur est demandé de répondre à une demande d'information du client ;
- en cas d'envoi d'une déclaration de soupçon à l'AMF, les agents habilités de cette autorité ainsi que ceux de la direction générale de l'établissement concerné.
Ces règles n'appellent pas d'observations particulières dès lors que la liste des personnes habilitées à consulter et analyser ces résultats, ainsi qu'à exporter les données au format tableur est arrêtée par les responsables du contrôle des services d'investissement de l'établissement.

Sur l'information et le droit d'accès

Le droit d'accès s'exerce auprès du responsable de la conformité pour les services d'investissement de l'établissement teneur du compte du requérant.
Une clause de la convention d'instruments financiers informe les clients de la finalité du traitement ainsi que des modalités d'exercice du droit d'accès.


Autorise, conformément à la présente délibération, le groupe BPCE à mettre en œuvre le traitement susmentionné, sous réserve que les responsables de chaque traitement visés par la présente délibération adressent à la CNIL, conformément aux dispositions de l'article 25-II de la loi du 6 janvier 1978, un engagement de conformité valant engagement de respecter les termes de la présente autorisation de la CNIL.


Pour la présidente :

Le vice-président délégué,

M.-F. Mazars




Nature de la délibération: AUTORISATION UNIQUE
Date de la publication sur legifrance: 10 octobre 2017