Arrêté du 23 mai 2018 portant création d'un traitement automatisé de données à caractère personnel dénommé « plate-forme électronique de recueil des coordonnées bancaires et de leurs conditions d'emploi rapportées par les victimes d'achats frauduleux en ligne » (PERCEVAL)

Dernière mise à jour des données de ce texte : 01 janvier 2020

NOR : INTD1729018A

JORF n°0118 du 25 mai 2018

Version en vigueur au 28 mai 2024


Le ministre d'Etat, ministre de l'intérieur, et la garde des sceaux, ministre de la justice,
Vu le code pénal ;
Vu le code de procédure pénale ;
Vu le code monétaire et financier, notamment son article L. 163-3 ;
Vu le code de la sécurité intérieure, notamment son article L. 235-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26 et 27 ;
Vu l'arrêté du 24 juillet 2015 modifié portant création d'un traitement de données à caractère personnel par la direction interministérielle des systèmes d'information et de communication d'un téléservice dénommé « FranceConnect » ;
Vu l'arrêté du 24 février 2016 portant intégration au site Internet « service public.fr » d'un téléservice permettant à l'usager d'accomplir des démarches administratives en tout ou partie dématérialisées et d'avoir accès à des services d'informations personnalisés ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 3 mai 2018,
Arrêtent :


  • Le ministre de l'intérieur (direction générale de la gendarmerie nationale) est autorisé à mettre en œuvre un traitement de données à caractère personnel dénommé « plate-forme électronique de recueil des coordonnées bancaires et de leurs conditions d'emploi rapportées par les victimes d'achats frauduleux en ligne » (PERCEVAL) ayant pour finalités :
    I. - De permettre à une victime d'effectuer un signalement depuis un téléservice mis à sa disposition sur le site « service-public.fr », contre un auteur inconnu, pour des faits constitutifs des infractions suivantes :
    1° Contrefaçon ou falsification d'un instrument de paiement ayant un dispositif de sécurité personnalisé ;
    2° Usage ou tentative d'usage, en connaissance de cause, d'un instrument de paiement ayant un dispositif de sécurité personnalisé contrefait ou falsifié ;
    3° Acceptation, en connaissance de cause, de recevoir un paiement au moyen d'un instrument de paiement ayant un dispositif de sécurité personnalisé contrefait ou falsifié.
    II. - D'exploiter les signalements mentionnés au I afin d'effectuer des rapprochements.
    Ce traitement permet également de faciliter et d'uniformiser les démarches administratives des victimes auprès de leurs établissements bancaires.


  • Les catégories de données à caractère personnel et les informations enregistrées dans le traitement mentionné à l'article 1er sont énumérées en annexe du présent arrêté.


  • Les données à caractère personnel et les informations mentionnées en annexe du présent arrêté sont conservées pendant deux ans à compter de leur enregistrement.


  • I.-Ont accès aux données et aux informations mentionnées en annexe du présent arrêté, à raison de leurs attributions et dans la limite du besoin d'en connaître :
    1° Les agents du service central de renseignement criminel, individuellement désignés et habilités par le directeur général de la gendarmerie nationale ou par un agent ayant reçu délégation à cet effet ;
    2° Les magistrats du ministère public compétents pour les recherches relatives aux signalements des infractions mentionnées au I de l'article 1er, et les agents des services judiciaires agissant sous leur autorité, individuellement désignés et habilités par le Procureur de la République du tribunal judiciaire dont ils relèvent ;
    II.-Peuvent être destinataires des données et des informations mentionnées en annexe du présent arrêté, à raison de leurs attributions et dans la limite du besoin d'en connaître :
    1° Les agents des services de la police nationale et les militaires de la gendarmerie nationale exerçant des missions de police judiciaire et pour les seuls besoins d'une enquête judiciaire ;
    2° Les magistrats du ministère public et de l'instruction pour les recherches relatives aux infractions et procédures dont ils sont saisis ;
    3° Les organismes de coopération internationale en matière de police judiciaire et les services de police étrangers, dans les conditions énoncées à l'article L. 235-1 du code de la sécurité intérieure ;
    4° Les établissements bancaires pour les seules données à caractère personnel mentionnées aux 2°, 3° et 8° du I de l'annexe du présent arrêté.


    Conformément à l’article 9 du décret n° 2019-966 du 18 septembre 2019, les présentes dispositions entrent en vigueur le 1er janvier 2020.


  • Les opérations de créations consultation, mise à jour et suppression des données et informations du traitement mentionné à l'article 1er font l'objet d'un enregistrement comprenant l'identifiant de l'auteur, la date, l'heure et l'objet de l'opération. Les informations relatives à ces opérations sont conservées pendant trois ans.


  • Le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 susvisée ne s'applique pas au présent traitement.
    Conformément aux dispositions des articles 39 et 40 de la loi du 6 janvier 1978 susvisée, le droit d'accès aux données s'exerce de manière directe auprès du service central de renseignement criminel de la gendarmerie nationale. Les modalités d'exercice du droit d'accès figurent sur le formulaire mis en ligne à cet effet.


  • Le directeur général de la gendarmerie nationale et le directeur des affaires criminelles et des grâces sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.

    • DONNÉES À CARACTÈRE PERSONNEL ET INFOMATIONS ENREGISTRÉES DANS LE TRAITEMENT

      I. - Données à caractère personnel et informations relatives aux victimes :
      1° Sexe ;
      2° Nom de naissance et/ou d'usage ;
      3° Prénom(s) ;
      4° Date et le lieu de naissance ;
      5° Adresse et commune de résidence ;
      6° Numéros de téléphone (fixe et portable) ;
      7° Adresse électronique ;
      8° Numéro de dossier PERCEVAL.
      II. - Données à caractère personnel et information relatives aux cartes de paiement des victimes :
      1° Numéro de la carte de paiement ;
      2° Nom de la banque émettrice ;
      3° Existence d'une déclaration d'opposition et, le cas échéant, numéro du dossier d'opposition auprès de la banque émettrice.
      III. - Données à caractère personnel et informations relatives aux transactions frauduleuses réalisées avec l'instrument de paiement des victimes :
      1° Date de la transaction ;
      2° Montant de la transaction en euros et, le cas échéant, dans la devise d'origine ;
      3° Libellé de la dépense frauduleuse ;
      4° Nom du site internet sur lequel l'achat frauduleux a été réalisé ;
      5° Nature de l'achat frauduleux ;
      6° Identité déclarée pour la livraison de l'achat frauduleux ;
      7° Identité déclarée pour la facturation de l'achat frauduleux ;
      8° Adresse postale ou électronique déclarée pour la livraison de l'achat frauduleux ;
      9° Adresse postale ou électronique déclarée pour la facturation de l'achat frauduleux.
      IV. - Données à caractère personnel et informations susceptibles d'identifier l'origine des infractions mentionnées au I de l'article 1er :
      1° Eléments relatifs à un site internet suspect visité par la victime : nom ou nom de domaine du site internet, date de visite et tout autre élément transmis par la victime ;
      2° Eléments relatifs à un courrier électronique suspect reçu par la victime : courrier électronique au format informatique, date de réception, adresse électronique de l'expéditeur et tout autre élément transmis par la victime ;
      3° Eléments relatifs à une transaction réalisée sur internet par la victime via une connexion non sécurisée : nature de l'établissement à partir duquel a été réalisée la transaction et adresse de cet établissement ;
      4° Eléments relatifs à un paiement suspect réalisé physiquement par la victime avec sa carte de paiement : date de la transaction, nom et adresse du commerçant ou de l'établissement bancaire où s'est réalisée la transaction et tout autre élément transmis par la victime ;
      5° Eléments relatifs à un appel téléphonique suspect reçu par la victime : date de l'appel, qualité donnée par l'appelant à la victime, numéro de téléphone de l'appelant et tout autre élément transmis par la victime ;
      6° Eléments relatifs à la perturbation de la ligne téléphonique associée à la sécurisation des transactions à distance effectuées avec la carte de paiement de la victime : date de la perturbation, nom de l'opérateur de téléphonie ;
      7° Eléments relatifs à toute autre situation suspecte rencontrée par la victime.
      V. - Données à caractère personnel et informations relatives au contrôle de la véracité de la déclaration de signalement effectuée par la victime :
      1° Eléments relatifs à l'adresse internet de connexion de la victime : numéro protocole internet (IP) et numéro du port source ;
      2° Eléments relatifs à la connexion de la victime au téléservice mentionné à l'article 1er : date, heure, fuseau horaire.


Fait le 23 mai 2018.


Le ministre d'Etat, ministre de l'intérieur,
Gérard Collomb


La garde des sceaux, ministre de la justice,
Nicole Belloubet

Retourner en haut de la page