La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment les articles 11 et 25 ;
Vu le code monétaire et financier, modifié notamment par le décret n° 2006-736 du 26 juin 2006 relatif à la lutte contre le blanchiment de capitaux, notamment les articles L. 511-34, L. 562-1, L. 562-2 et R. 562-1 à R. 562-2-1 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;
Vu la délibération n° 2005-297 du 1er décembre 2005 portant autorisation unique de certains traitements de données à caractère personnel mis en oeuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme (décision d'autorisation unique n° AU-003) ;
Après avoir entendu M. Bernard Peyrat, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La publication du décret n° 2006-736 du 26 juin 2006 relatif à la lutte contre le blanchiment de capitaux nécessite que des modifications soient apportées aux dispositions de la décision d'autorisation unique n° AU-003 relatives aux conditions dans lesquelles des informations peuvent être partagées entre les entités d'un même groupe bancaire au titre de l'organisation de la lutte anti-blanchiment et anti-terrorisme.
Ce décret précise, en effet, que les correspondants TRACFIN désignés au sein des organismes financiers peuvent, au titre de l'organisation de la lutte contre le blanchiment et le financement du terrorisme dans les organismes financiers filiales établis en France, se transmettre des données personnelles relatives à la clientèle, parmi les informations nécessaires à la vigilance dans le groupe.
Or, l'autorisation unique exclut actuellement des données personnelles pouvant être échangées entre des services de lutte contre le blanchiment des entreprises d'un même groupe les éléments relatifs aux déclarations de soupçon transmises au service TRACFIN et les suites qui leur sont réservées.
Il convient donc de prévoir que la décision d'autorisation unique n° AU-003 permet :
1° Que les informations relatives à l'existence et aux suites des déclarations de soupçon adressées au service TRACFIN par les différentes entreprises d'un même groupe (ou conglomérat) au sens de l'article L. 511-34 du code monétaire et financier soient communiquées à l'ensemble des services de lutte contre le blanchiment de ce groupe, sous réserve que ceux-ci soient installés sur le territoire national et qu'ils aient été déclarés en tant que correspondant TRACFIN ;
2° Que les autres données personnelles traitées aux fins de lutte contre le blanchiment de capitaux et le financement du terrorisme soient communiquées plus largement au sein du même groupe, c'est-à-dire à l'ensemble des services de lutte contre le blanchiment des entreprises de ce groupe, sous réserve que le siège social de ces entreprises soit situé sur le territoire d'un Etat membre de la Communauté européenne, d'un Etat partie à l'accord sur l'Espace économique européen ou d'un Etat qui est reconnu, par décision de la Commission européenne, comme assurant un niveau de protection adéquat et dont les autorités ont conclu avec la Commission bancaire une convention bilatérale en application de l'article L. 613-13 du code monétaire et financier,
Décide :