Le CEPD constate des lacunes importantes dans les propositions anti-blanchiment de la Commission
D'après les propos tenus aujourd'hui par le Contrôleur européen de la protection des données (CEPD), les propositions de la Commission relatives au transfert d'argent, à la prévention du blanchiment d'argent et du financement du terrorisme ne peuvent se contenter de simples références à la protection des données. Il est essentiel que des garanties spécifiques, telles que le droit des personnes à être informées et le respect des principes de proportionnalité et de finalité, soient mises en place afin d'éviter que des citoyens ordinaires soient l'objet d'un fichage excessif par les prestataires de service, ce pour des raisons discutables et avec des conséquences potentiellement dommageables.
Giovanni Buttarelli, CEPD adjoint, ajoute: "Nous nous réjouissons que les propositions de législation attachent de plus en plus d'importance à la protection des données. Toutefois, si l'on y regarde de plus près, cet intérêt n'est souvent pas suivi par l'adoption de mesures et de garanties concrètes. Le manque de détails sur la protection ainsi accordée peut aussi avoir pour conséquence un défaut d'harmonisation des mesures prises par les Etats membres. La protection des données ne devrait pas être perçue comme un obstacle à la lutte contre le blanchiment d'argent mais comme un prérequis indispensable à la réussite de cette politique."
Dans son avis publié le 4 juillet, le CEPD reconnaît la légitimité des objectifs poursuivis par la Commission dans ses propositions, à savoir la lutte contre des activités illégales, et l'importance fondamentale de la collecte et de l'analyse de données personnelles dans ce contexte. Toutefois, ces projets contraignent les professionnels concernés à procéder au profilage de leurs clients ou clients potentiels et à traiter et analyser une quantité importante de données personnelles, sans formation ni communication préalable de lignes directrices. Toutes les suspicions doivent faire l'objet d'un compte-rendu à adresser aux autorités compétentes et un manquement à ces obligations est susceptible d'être sanctionné. Excès de zèle, carences et erreurs pourraient caractériser cette collecte de données et les comptes-rendus d'analyse qui seront ainsi transmis.
Les conséquences de possibles erreurs d'analyse seraient sérieuses puisqu'une personne suspectée de blanchiment d'argent pourrait se voir refuser l'accès à un certain nombre de services. En l'état actuel des propositions de législations, les personnes suspectées à tort de blanchiment d'argent ou de financement du terrorisme ont peu de recours.
Par ailleurs, les données personnelles de clients et de clients potentiels pourront être transférées à des organisations ou filiales situées dans des pays tiers dans lesquels le niveau de protection des données n'est pas équivalent à celui exigé au sein de l'UE.
Aussi, le CEPD recommande que:
- l'applicabilité de la législation européenne relative à la protection des données soit affirmée plus explicitement dans les propositions de directive et de règlement;
- la finalité du traitement soit limitée à la lutte contre le blanchiment d'argent et le financement du terrorisme et que les données personnelles collectées ne puissent être traitées de manière incompatible avec cette finalité;
- des dispositions spécifiques aux transferts internationaux soient intégrées dans les projets de législations, qui prennent notamment en considération le principe de proportionnalité, en particulier aux fins d'éviter le transfert massif de données personnelles et de données sensibles vers des pays tiers ;
- compte tenu de la nature potentiellement très intrusive des obligations liées à la lutte contre le blanchiment d'argent, l'obligation d'information des personnes dont les données sont traitées apparaisse clairement dans la proposition de directive, en particulier quant à la potentielle analyse de leurs données personnelles et à leur transfert ;
toute limite apportée aux droits fondamentaux des individus soit dûment justifiée et soumise à des conditions et des garanties strictes.
Contexte:
Le 5 février 2013, la Commission a adopté deux propositions: une proposition de Directive relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme et une proposition de Règlement sur les informations accompagnant les virements de fonds. L'objectif de ces propositions est d'assurer une plus grande transparence et une meilleure traçabilité de l'origine des paiements d'argent, des dépôts de fonds et des transferts. Les propositions ont été adressées pour avis au CEPD le 12 février 2013.
Blanchiment d'argent : signifie globalement la conversion des produits d'activités criminelles en des fonds d'origine en apparence licite, le plus souvent en utilisant le système financier.
Financement du terrorisme : fourniture ou collecte de fonds, par tous moyens, directement ou indirectement, avec l'intention ou la connaissance de leur future utilisation à des fins terroristes.
Le respect de la vie privée et la protection des données sont des droits fondamentaux dans l'UE. Dans le cadre du règlement sur la protection des données (CE) n° 45/2001, l'une des fonctions du CEPD est de conseiller la Commission européenne, le Parlement européen et le Conseil sur les propositions de nouvelle législation et un large éventail d'autres questions qui ont un impact sur la protection des données. En outre, les institutions et organes de l'UE traitant des données personnelles qui présentent des risques particuliers pour les droits et les libertés des individus sont soumis à un contrôle préalable par le CEPD. Si, de l'avis du CEPD, le traitement notifié risque d'entraîner une violation d'une disposition du règlement, il doit faire des propositions afin d'éviter une telle violation.
Données personnelles : toute information concernant une personne physique identifiée ou identifiable. Les exemples sont le nom, la date de naissance, les photographies, les adresses e-mail et les numéros de téléphone. D'autres informations telles que les données de santé, les données utilisées à des fins d'évaluation et les données d'utilisation du téléphone, de l’e-mail ou de l’Internet sont également considérées comme des données personnelles.
Respect de la vie privée : droit d'un individu à être laissé seul et à contrôler l'information le concernant. Le droit à la vie privée est consacré par la Déclaration universelle des Droits de l'Homme (article 12), la Convention européenne des Droits de l'Homme (article 8) et la Charte européenne des Droits fondamentaux (article 7). La Charte contient également un droit explicite à la protection des données à caractère personnel (article 8).
Limitation de la finalité : les données personnelles ne peuvent être collectées qu’à des fins déterminées, explicites et légitimes. Une fois collectées, elles ne peuvent être traitées de manière incompatible avec ces finalités. Le principe est conçu pour protéger les individus en limitant l'utilisation de leurs données à des fins prédéfinies, sauf dans des conditions strictes et avec des garanties appropriées.
Profilage : fait de tirer des déductions sur une personne à partir de la collecte de données existantes - traits connus ou tendances, traits de caractère/signes particuliers ou schémas de comportement.
Proportionnalité : les données personnelles ne devraient être utilisées et traitées que dans la mesure où elles sont adéquates, pertinentes et non excessives par rapport à la finalité pour laquelle elles sont collectées et/ou font l'objet d'un traitement.
Détournement de finalité : fait d'utiliser une technologie ou un système d'information à des fins qui dépassent ou contournent la finalité pour laquelle cette technologie ou ce système d'informations ont initialement été créés, donnant souvent lieu à une atteinte à la vie privée des personnes.