Formule les observations suivantes :
Crédit agricole SA a saisi la CNIL d'une demande d'autorisation unique qui porte sur la mise en place d'un traitement automatisé de données à caractère personnel dont la finalité est de détecter, parmi les transactions sur instruments financiers passées par Crédit agricole titres pour le compte des clients du groupe Crédit agricole, celles qui sont susceptibles de constituer des opérations d'initiés et doivent, à ce titre, donner lieu, après réalisation d'une analyse manuelle complémentaire, à l'envoi d'une déclaration de soupçon à l'Autorité des marchés financiers (AMF).
Le traitement est mis en œuvre pour le compte non seulement de Crédit agricole SA, mais aussi des caisses régionales de Crédit agricole mutuel, de LCL et d'autres établissements du groupe Crédit agricole.
Sur la procédure applicable
L'identification d'opérations d'initiés, sur la base de critères intégrés dans le traitement automatisé, peut conduire à souhaiter, pour des raisons de prudence, rompre toute relation contractuelle avec leurs auteurs. Le traitement peut ainsi, du fait de sa portée, conduire à l'exclusion de personnes du bénéfice d'un contrat en l'absence de toute disposition légale prévoyant la mise en œuvre d'une telle exclusion.
Dès lors, ce traitement relève du 4° du I de l'article 25 de la loi du 6 janvier 1978 modifiée et doit être autorisé par la CNIL.
La demande d'autorisation est présentée par Crédit agricole SA pour le compte des établissements du groupe Crédit agricole qui mettront en œuvre le traitement pour leur compte et sous leur responsabilité.
En vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, la Commission peut autoriser par une décision unique une catégorie de traitements répondant aux mêmes finalités, portant sur des catégories de données identiques et ayant les mêmes catégories de destinataires. Il en résulte que chaque établissement du groupe Crédit agricole qui mettra en œuvre un traitement conforme à cette décision unique d'autorisation pourra déclarer ce traitement en adressant à la Commission un engagement de conformité par lequel il s'engage à respecter les termes de la décision de la CNIL.
Sur les finalités du traitement
Le traitement automatisé a pour objet de détecter plusieurs signaux potentiellement constitutifs d'opérations d'initiés. Leur détection s'effectue a posteriori par comparaison, pour un compte-titres donné, entre des indicateurs relatifs au nombre ou au montant des transactions réalisées en bourse pendant un mois et la valeur moyenne de ces indicateurs pour les douze derniers mois.
Des alertes sont ainsi produites en présence :
― de comptes restés inactifs durant plusieurs mois qui présentent subitement des volumes importants de transactions ;
― de comptes qui enregistrent des opérations inhabituelles au regard des pratiques antérieures ;
― de comptes connaissant des variations d'activité fortes et soudaines ;
― de transactions importantes effectuées à la vente ou à l'achat, simultanément ou préalablement à d'importantes variations de cours ou de volume constatées pour une action ou une obligation donnée.
Les signalements d'opérations d'initiés potentielles sont transmis pour analyse au responsable conformité de l'établissement responsable du traitement, qui peut lancer des requêtes spécifiques pour disposer d'informations statistiques synthétisant l'activité constatée sur un compte-titres.
Les données enregistrées peuvent également faire l'objet d'une exploitation statistique pour mettre à jour le paramétrage du système d'émission automatique d'alertes.
Sur les catégories de données traitées
Les listes d'opérations à analyser ainsi obtenues comportent les catégories de données suivantes :
― les nom, prénom ou la raison sociale du détenteur du compte ;
― le type de détenteur ;
― le numéro du compte-titres ;
― la date d'ouverture et la catégorie du compte ;
― les dates et motif des alertes ;
― la montant des transactions ayant généré l'alerte ;
― le nombre de titres faisant l'objet des transactions en cause ;
― le détail des mouvements (valeurs concernées, caractéristiques de l'ordre donné et de l'ordre exécuté).
Sont également enregistrés :
― les nom, prénom et titre des destinataires des signalements et des personnes habilitées à consulter le système ;
― les dates de début et de fin de leur habilitation ;
― les données de connexion au système informatique.
Les informations sont conservées cinq ans à compter de la réalisation de l'opération.
Sur les destinataires des informations
Les destinataires de tout ou partie des données sont :
― le responsable conformité de l'établissement responsable du traitement, pour les seules données relatives aux opérations effectuées par les clients de cet établissement ;
― les responsables de la gestion des titres de l'établissement ;
― le responsable conformité de Crédit agricole titres, société chargée de la passation des ordres en bourse pour le compte du groupe ;
― le responsable conformité de Crédit agricole SA, organe central du groupe chargé de l'administration et du paramétrage du système informatique ;
― en cas d'envoi d'une déclaration de soupçon à l'AMF, les agents habilités de cette autorité ainsi que ceux de la direction générale de l'établissement concerné.
Sur le régime de droit d'accès
Le droit d'accès s'exerce auprès du responsable conformité de l'établissement teneur du compte du requérant.
Une clause de la convention de comptes de titres informe les clients de la finalité du traitement ainsi que des modalités d'exercice du droit d'accès.
L'ensemble de ces dispositions est adéquat, pertinent et non excessif au regard des finalités déclarées et n'appellent pas d'observation particulière.
Autorise, dans ces conditions, les établissements du groupe Crédit agricole à mettre en œuvre le traitement automatisé de détection des alertes d'opérations d'initiés potentielles, sous réserve qu'ils adressent à la CNIL, conformément aux dispositions de l'article 25-II de la loi du 6 janvier 1978, un engagement de conformité valant engagement de respecter les termes de la présente autorisation de la CNIL.