La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu le code monétaire et financier ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment son article 25-I (4°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n. 78-17 du 6 janvier 1978, modifiée par la loi n° 2004-801 du 6 août 2004 ;
Vu la demande de modification de la délibération n° 2009-359 du 18 juin 2009 portant autorisation unique des traitements automatisés de détection des abus de marché mise en œuvre par les organismes du groupe Caisse d'épargne ;
Après avoir entendu M. Jean-Paul AMOUDRY, commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La Caisse nationale des caisses d'épargne (CNCE) a saisi la commission d'une demande d'autorisation portant sur la mise en place dans les établissements du groupe Caisse d'épargne d'un traitement automatisé de données à caractère personnel de détection des alertes potentielles d'abus de marché.
Par une délibération n° 2009-359 en date du 18 juin 2009, la commission a adopté une autorisation unique des traitements automatisés de détection des alertes d'abus de marché mis en œuvre par les organismes du groupe Caisse d'épargne.
La Caisse nationale des caisses d'épargne, devenue BPCE, saisit aujourd'hui la commission d'une demande de modification de l'autorisation unique qui bénéficie aux caisses d'épargne du groupe CNCE.
La délibération n° 2009-359 est modifiée sur les points suivants :
Les organismes susceptibles de réaliser un engagement de conformité à la présente autorisation unique sont les caisses d'épargne du groupe BPCE qui mettent en œuvre un traitement automatisé de données à caractère personnel de détection des alertes potentielles d'abus de marché pour autant que ces traitements soient conformes à la présente autorisation unique.
Les destinataires de tout ou partie des données sont :
― les responsables de la conformité des services d'investissement des caisses d'épargne du groupe BPCE et les agents habilités placés sous leur responsabilité, pour les seules données relatives à des opérations effectuées par les clients de leur établissement ;
― les chargés de clientèle et les agents habilités du back office-titres de l'établissement concerné, lorsqu'il leur est demandé de répondre à une demande d'information du client ;
― en cas d'envoi d'une déclaration de soupçon à l'AMF, les agents habilités de cette autorité ainsi que ceux de la direction générale de l'établissement concerné.
Hormis ces deux modifications, chaque établissement du groupe Banque populaire-Caisse d'épargne mettant en œuvre un traitement conforme à la présente autorisation unique respectera l'ensemble des dispositions prévues par la délibération n° 2009-359 du 18 juin 2009 ;
Autorise, dans les conditions prévues par la présente délibération, les caisses d'épargne du groupe BPCE à mettre en œuvre le traitement automatisé de détection des alertes potentielles d'abus de marché, sous réserve qu'ils adressent à la CNIL, conformément aux dispositions de l'article 25-III de la loi du 6 janvier 1978, un engagement de conformité valant engagement de respecter les termes de la présente autorisation de la CNIL.