Sur la procédure applicable
Ce traitement vise à détecter des opérations de transactions sur titres, réalisées par les clients du groupe Caisses d'épargne, qui sont susceptibles de constituer des opérations d'abus de marché et qui, de ce fait, doivent, le cas échéant après la collecte de renseignements complémentaires ou un travail d'analyse non automatisé, donner lieu à l'envoi d'une déclaration de soupçon à l'Autorité des marchés financiers (AMF).
L'identification de telles opérations, pour une large part sur la base de critères intégrés dans les traitements automatisés des établissements susmentionnés, peut conduire ces derniers à souhaiter, pour des raisons de prudence, rompre toute relation contractuelle avec certains des clients qui en font l'objet. Ces traitements peuvent ainsi, du fait de leur portée, conduire à l'exclusion de personnes du bénéfice d'un contrat en l'absence de toute disposition légale prévoyant la mise en œuvre d'une telle exclusion.
Dès lors, ces traitements relèvent du 4° du I de l'article 25 de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL.
La demande d'autorisation est présentée par la CNCE pour le compte de l'ensemble des entités juridiques du groupe Caisses d'épargne qui mettront en œuvre le traitement pour leur compte et sous leur responsabilité.
En vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, la commission peut autoriser par une décision unique une catégorie de traitements répondant aux mêmes finalités, portant sur des catégories de données identiques et ayant les mêmes catégories de destinataires. Il en résulte que chaque établissement du groupe Caisses d'épargne qui mettra en œuvre un traitement conforme à cette décision unique d'autorisation pourra déclarer ce traitement en adressant à la commission un engagement de conformité par lequel il s'engage à respecter les termes de la décision de la CNIL.
Sur les finalités du traitement
Les critères d'alerte retenus dans le cadre de ce traitement ont pour objet de détecter de manière automatisée diverses situations en fonction des facteurs de détection énumérés aux articles 631-2 et 631-3 du règlement général de l'AMF.
Le dispositif de détection d'opérations susceptibles d'être suspectées d'abus de marché repose sur une analyse journalière des opérations, a posteriori, à partir du carnet d'ordre et des portefeuilles.
Les transactions ainsi détectées ont vocation à être analysées sans délai. La commission souligne que le traitement ne permet pas la constitution d'une « liste noire » de personnes qui ont déjà été concernées par une ou plusieurs alertes.
Sur les catégories de données enregistrées
Les listes d'opérations à analyser ainsi obtenues comportent les catégories suivantes :
― les nom, prénom, date de naissance ou la raison sociale du détenteur du compte ;
― le numéro SIREN ;
― l'adresse ;
― la date de détection ;
― la date et la nature de la détection ;
― le nombre de détections sur une période glissante et la date de la dernière détection ;
― l'établissement du groupe concerné, le numéro de l'agence ;
― le numéro du compte-titre et du compte numéraire associé ;
― le type de compte (joint ou non) ;
― les caractéristiques de la valeur (code ISIN, libellé, marché, place et mode de cotation, admissible ou non au système de règlement différé) ;
― les caractéristiques de l'ordre détecté (achat ou vente, type d'ordre, prix, quantité, origine, date...) ;
― les caractéristiques de l'ordre exécuté (achat ou vente, type d'ordre, prix, quantité, origine, date...).
Les listes ainsi constituées sont mises en ligne sur l'intranet du groupe. Elles sont consultables pendant quarante-cinq jours, avant d'être archivées pendant trois ans par le contrôle interne de l'établissement concerné.
Ces dispositions sont adéquates, pertinentes et non excessives au regard des finalités déclarées et n'appellent pas d'observation particulière.
Sur les destinataires des informations
Chaque responsable de la conformité pour les services d'investissement (RCSI) ne peut accéder qu'aux données qui se rapportent à son établissement. Il peut interroger la base des anomalies détectées pour une période donnée, pour un type d'anomalies, par instrument financier ou par numéro de compte. Il peut également procéder à des extractions de données sous Excel pour constituer des fichiers de travail. Les données ne peuvent pas y être conservées plus de quarante-cinq jours avant leur éventuel archivage.
Les destinataires de tout ou partie des données sont :
― les responsables de la conformité des services d'investissement du groupe Caisses d'épargne et les agents habilités placés sous leur responsabilité, pour les seules données relatives à des opérations effectuées par les clients de leur établissement ;
― les chargés de clientèle et les agents habilités du back office-titres de l'établissement concerné, lorsqu'il leur est demandé de répondre à une demande d'information du client ;
― en cas d'envoi d'une déclaration de soupçon à l'AMF, les agents habilités de cette autorité ainsi que ceux de la direction générale de l'établissement concerné.
Ces règles n'appellent pas d'observation particulière dès lors que la liste des personnes habilitées à consulter et analyser ces résultats ainsi qu'à exporter les données au format Excel est arrêtée par les responsables du contrôle des services d'investissement de l'établissement.
Sur le régime de droit d'accès
Le droit d'accès s'exerce auprès du responsable de la conformité pour les services d'investissement de l'établissement teneur du compte du requérant.
Une clause de la convention d'instruments financiers informe les clients de la finalité du traitement ainsi que des modalités d'exercice du droit d'accès.
Autorise, dans ces conditions, les établissements du groupe Caisses d'épargne à mettre en œuvre le traitement automatisé de détection des alertes potentielles d'abus de marché, sous réserve qu'ils adressent à la CNIL, conformément aux dispositions de l'article 25-III de la loi du 6 janvier 1978, un engagement de conformité valant engagement de respecter les termes de la présente autorisation de la CNIL.