Impact des règles de protection des données Sur l industrie financière Dominique Dedieu ddedieu@farthouat.com 1 INTRODUCTION Loi Informatique et Liberté et établissements financiers Plan : 1. Règles de la CNIL en matière de LAB 2. risques juridiques pour les établissements financiers 3. Transfert des données vers l étranger 4. Le Cloud Computing : une solution efficace? 2 1
1. Règles CNIL en matière de lutte anti-blanchiment (LAB) Texte applicable Délibération n 2011-180 du 16 juin 2011 Assujettis concernés: Tous les établissements assujettis aux obligations du Code Monétaire et Financier 3 Finalités des traitements inclus dans l autorisation unique LAB (1) 1. Mise en œuvre des obligations de vigilance 2. Recherche des personnes devant faire l objet de mesures de vigilance complémentaires 3. Déclenchement des alertes et déclarations de soupçons 4 2
Finalités des traitements inclus dans l autorisation unique LAB (2) 4. Mise sous surveillance de certains comptes, contrats ou clients ou comptes non clôturés à la suite d une déclaration de soupçon 5. Application des mesures de gel des avoirs 5 Règles posées par la Délibération LAB Liste détaillée des données et informations susceptibles d être recueillies Liste des destinataires des données personnelles Durée de conservation des données Obligation d informer les personnes concernées Exercice du droit d accès aux informations 6 3
Limites aux traitements de données personnelles LAB : principe proportionnalité Collecte des informations ne peut être systématique et indifférenciée pour l ensemble des personnes concernées. Exception: données relatives à l identification et au justificatif de domicile dont la collecte est obligatoire Données non pertinentes telles que le numéro de Sécurité sociale et le numéro fiscal 7 2. Risques juridiques Exemples de problèmes juridiques posés par le traitement des données pour les établissements financiers En France et à l étranger sanctions CNIL, et autorités de tutelle 8 4
CNIL bilan Année 2012 Record des plaintes et contrôles en 2012 : Au total, 6017 plaintes 10% concernent le secteur bancaire et du crédit 9 CNIL - Entrave et abus Entrave à l action de la CNIL et inscription abusive de plusieurs clients dans le fichier central géré par la Banque de France LCL Amende de 45 000 euros 10 5
CNIL - Inscription abusive au FICP Avoir irrégulièrement inscrit un client au FICP sans apporter de garanties suffisantes afin que de tels faits ne se reproduisent pas. Crédit agricole Centre France Amende de 20 000 euros 11 CNIL - Inscription abusive dans le fichier de la Banque de France Inscription abusive dans les fichiers de la banque de France Amende de 30 000 euros Banque des Antilles françaises 12 6
CNIL - Défaut sécurité informatique Faille du système informatique commun au groupe bancaire du Crédit Mutuel-CIC et aux organes de presse lui appartenant Avertissement de la CNIL 13 CNIL - autres risques juridiques Impossibilité de fournir à leurs clients des copies correctes de leurs données personnelles Données de client incorrectes Non-respect du droit d opposition à recevoir de la prospection commerciale Non-respect des mesures de sécurité par le personnel Divulgation de données à des tiers 14 7
ACP données et conformité Décision ACP : UBS 25 juin 2013 Données sensibles et application informatique sensible : exhaustivité et intégrité des données Contrôle des risques 10 millions de sanction pécuniaire, sans préjudice de poursuites pénales en cours 15 Problèmes juridiques à l étranger(1) Défaut de vigilance et de supervision ISS et SEC Amende de 300 000 dollars 16 8
Problèmes juridiques à l étranger(2) Vol des ordinateurs contenant des données du client sans protection adéquate Nationwide Privaty Society Amende de 980 000 17 Problèmes juridiques liés aux réglementations étrangères : whistleblowing Recommandations CNIL 8.12.2005 : compatibilité whistleblowing et loi informatique et libertés 18 9
3. Transfert international de données à caractère personnel Problématiques des relations internationales avec des pays tiers non membres de l UE : Centralisation intra-groupe de la base de données de gestion des commandes et de la comptabilité client Recours à un centre d appel étranger et transfert du fichier correspondant pour démarchage ou qualification Hébergement et exploitation de plateformes informatiques 19 L encadrement des transferts vers un pays tiers Consentement exprès de la personne concernée Recours aux contrats offrant des garanties adéquates 20 10
Obligations de l exportateur de données Conformité du traitement à la loi française Information de la personne concernée Réponse aux demandes de contrôle de la CNIL ou de toute personne concernée 21 Obligations de l importateur de données Traitement des données pour le compte exclusif de l exportateur Respect des obligations de protection des données Sécurité des données Soumission au contrôle de l exportateur 22 11
Responsable du traitement Sur le territoire français Critère de rattachement : établissement du responsable du traitement Pays hors de l Union Européenne Critère de rattachement: lieu des moyens utilisés Désignation obligatoire d un représentant se substituant au responsable de traitement 23 Sanctions et personnes responsables pour les problématiques de données et sanctions Pour la CNIL : responsabilité du «responsable de traitement» Pour le juge pénal Responsabilité de la personne morale (Art. 121-2 et 226-24 Code Pénal) Responsabilité du chef d entreprise Sanctions CNIL + sanctions pénales encourues 24 12
4. Cloud computing : une solution efficace? Bénéfices: Accéder à des services dans des délais plus rapides Réduction du coût en matériel et logiciel informatique 25 Risque du Cloud computing Application des règles extraterritoriales Pour activités en France de la banque, accès des autorités administratives et judiciaires à certains documents 26 13
Risque du Cloud computing liés au traitement des données à caractère personnel Preuve de la destruction des documents pouvant être dupliqués sur plusieurs sites Obligation de sécurité renforcée si les données sont sensibles 27 Bilan Cloud Computing Solution efficace et intéressante Mais 28 14
MERCI POUR VOTRE ATTENTION Dominique Dedieu ddedieu@farthouat.com 06 78 69 69 38 29 15