Le Code monétaire et financier impose aux entités du secteur bancaire et financier de mettre en place des procédures permettant de détecter, d’évaluer et de limiter les risques opérationnels -- et notamment la fraude -- au sein de leur groupe. Ces dispositifs de détection et de lutte contre la fraude doivent être adaptés aux activités de ces entreprises, mais aussi à la nature, à l’échelle et à la complexité des risques auxquels elles font face.
Par Florence Guthfreund-Roland, associé, et Mathilde Hallé, avocat, DLA Piper France
A ce sujet, la CNIL a adopté le 13 juillet 2017 l’autorisation unique n° AU-054 (l’«AU-054») afin de couvrir les traitements de données à caractère personnel mis en œuvre dans le cadre des systèmes de détection et de lutte contre la fraude. L’AU-054 permet ainsi aux entités du secteur bancaire et financier traiter des données à caractère personnel à des fins de détection et de la lutte contre la fraude externe, sous réserve qu’elles s’engagent à respecter un ensemble de conditions strictes. Les principales conditions posées par l’AU-054 sont présentées ci-dessous.
L’AU-054, comme toutes les autorisations uniques de la CNIL, offre aux responsables de traitement la possibilité de s’engager à respecter certaines conditions fixées par la CNIL pour les traitements de données personnelles les plus répandus, par le biais d’une procédure simple et rapide d’auto-certification. Les traitements qui ne respectent pas l’ensemble des conditions posées dans une autorisation unique doivent faire l’objet d’une demande d’autorisation spécifique (qui est une procédure plus longue, complexe et incertaine que l’engagement de conformité à une autorisation unique).
1. Seules certaines entités du secteur bancaire et financier sont éligibles à l’auto-certification dans le cadre de l’AU-054
L’AU-054 couvre les entités du secteur bancaire ou financier sous réserve qu’elles soient placées sous le contrôle de l’Autorité de contrôle prudentiel et de résolution conformément à l’article L. 511-20-III du Code monétaire et financier et à ses textes d’application.
Plus précisément, les catégories d’organismes autorisés à mettre en place un système de lutte contre la fraude dans le cadre de l’AU-054 sont les suivantes :
– les établissements de crédit ;
– les intermédiaires en opérations de banque ;
– les prestataires de services de paiement ;
– les prestataires de services d’investissement ;
– les personnes qui fournissent des services d’investissement ;
– les conseillers en investissement ;
– les sociétés de financement ;
– les établissements de monnaie électronique ;
– les compagnies financières holding ; et
– les entreprises mères de société de financement.
Les entités contrôlées par les organismes listés ci-dessus peuvent bénéficier de la procédure simplifiée proposée par l’AU-054 lorsque leur activité est qualifiée de «connexe» au sens de l’article L. 311-2 du Code monétaire et financier.
