CNIL : Lutte contre le blanchiment par les organismes financiers

Suite à l’entrée en application du RGPD, les autorisations uniques adoptées par la CNIL n’ont plus de valeur juridique à compter du 25 mai 2018. Dans l’attente de la production de référentiels RGPD, la CNIL a décidé de les maintenir accessibles afin de permettre aux responsables de traitement d’orienter leurs premières actions de mise en conformité.

L’autorisation unique AU-003 concerne les traitements mis en œuvre par des organismes financiers afin de leur permettre de répondre à leurs obligations légales de lutte contre le blanchiment de capitaux et le financement du terrorisme.

Elle couvre également les traitements mis en œuvre au titre de l’application des mesures de sanctions financières nationales et internationales. Les traitements mis en œuvre visent à mettre en place une surveillance adaptée aux risques de blanchiment de capitaux et de financement du terrorisme pendant toute la durée de la relation d’affaire et d’apporter une aide à la surveillance, à la détection et à l’examen des transactions ou opérations réalisées par des clients portant sur des sommes qui sont susceptibles de provenir d’une infraction passible d’une peine privative de liberté supérieure à un an, de participer au financement du terrorisme ou de détecter des fonds et ressources économiques faisant l’objet d’une mesure de gel ou de sanction.

Les données traitées se rapportent à l’identification du client et, le cas échéant, du bénéficiaire effectif de la relation d’affaires, la situation professionnelle, au fonctionnement du compte, aux opérations financières ou aux produits souscrits, au patrimoine.

Outre les autorités légales françaises compétentes, les données peuvent être communiquées aux services chargés de la lutte antiblanchiment au sein de l’organisme, aux autres correspondants Tracfin du même groupe bancaire et, le cas échéant, aux autorités de l’Etat du siège social de l’organisme, s’il est membre de la communauté européenne.

Parmi ces destinataires, seules les personnes qui ont la qualité de correspondant ou de déclarant Tracfin peuvent avoir communication de l’existence d’une déclaration de soupçon et de toute information sur la suite qui lui a été réservée par Tracfin.

Les données sont conservées 5 ans

• à compter de la clôture du compte ou de la cessation de la relation d’affaire s’agissant des données et documents relatifs à l’identité des clients
• à compter de l’exécution de l’opération, s’agissant des données et documents consignant les caractéristiques des opérations mentionnées au II de l’article L561-10-2 (y compris en cas de clôture du compte ou de cessation des relations ou de non-exécution de l’opération)

Le droit d’accès s’exerce via une procédure de droit d’accès indirect s’agissant des traitements de lutte contre le blanchiment. Les accès à l’application doivent se faire grâce à un identifiant et un mot de passe personnels afin de garantir la confidentialité des données.

TEXTE OFFICIEL

Délibération n° 2011-180 du 16 juin 2011 portant autorisation unique de traitements de données à caractère personnel mis en œuvre par des organismes financiers relatifs à la lutte contre le blanchiment de capitaux et le financement du terrorisme ainsi qu’à l’application des sanctio ..