La Commission nationale de l'informatique et des libertés,
Vu la convention no 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement
automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection
des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces
données ;
Vu la directive no 2003/6/CE du 28 janvier 2003 sur les abus de marché ;
Vu le code monétaire et financier, notamment ses articles L. 621-15 et L. 621-17-2 à L. 621-17-7 ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi
no 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de
données à caractère personnel, et notamment son article 25 ;
Vu le décret no 2005-1309 du 20 octobre 2005 pris pour l'application de la loi no 78-17 du 6 janvier 1978
précitée ;
Vu le règlement général de l'Autorité des marchés financiers (AMF), notamment ses articles 315-42 à
315-44 et 621-1 à 622-2 ;
Vu l'instruction AMF no 2008-05 du 29 juillet 2008 relative à la déclaration d'opérations suspectes prise en
application de l'article 315-42 du règlement général de l'AMF ;
Vu la demande d'autorisation déposée par Crédit agricole SA pour le compte des établissements du groupe
Crédit agricole et relative à un traitement automatisé de données personnelles ayant pour finalité l'identification
des opérations susceptibles de constituer des opérations d'initiés au sens de l'article L. 621-17-2 du code
monétaire et financier ;
Après avoir entendu M. Jean-Paul Amoudry, commissaire, en son rapport, et Mme Elisabeth Rolin,
commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Crédit agricole SA a saisi la CNIL d'une demande d'autorisation unique qui porte sur la mise en place d'un
traitement automatisé de données à caractère personnel dont la finalité est de détecter, parmi les transactions
sur instruments financiers passées par Crédit agricole titres pour le compte des clients du groupe Crédit
agricole, celles qui sont susceptibles de constituer des opérations d'initiés et doivent, à ce titre, donner lieu,
après réalisation d'une analyse manuelle complémentaire, à l'envoi d'une déclaration de soupçon à l'Autorité
des marchés financiers (AMF).
Le traitement est mis en oeuvre pour le compte non seulement de Crédit agricole SA, mais aussi des caisses
régionales de Crédit agricole mutuel, de LCL et d'autres établissements du groupe Crédit agricole.
Sur la procédure applicable
L'identification d'opérations d'initiés, sur la base de critères intégrés dans le traitement automatisé, peut
conduire à souhaiter, pour des raisons de prudence, rompre toute relation contractuelle avec leurs auteurs. Le
traitement peut ainsi, du fait de sa portée, conduire à l'exclusion de personnes du bénéfice d'un contrat en
l'absence de toute disposition légale prévoyant la mise en oeuvre d'une telle exclusion.
Dès lors, ce traitement relève du 4° du I de l'article 25 de la loi du 6 janvier 1978 modifiée et doit être
autorisé par la CNIL.
La demande d'autorisation est présentée par Crédit agricole SA pour le compte des établissements du groupe
Crédit agricole qui mettront en oeuvre le traitement pour leur compte et sous leur responsabilité.
En vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, la Commission peut autoriser par une
décision unique une catégorie de traitements répondant aux mêmes finalités, portant sur des catégories de
données identiques et ayant les mêmes catégories de destinataires. Il en résulte que chaque établissement du
groupe Crédit agricole qui mettra en oeuvre un traitement conforme à cette décision unique d'autorisation
pourra déclarer ce traitement en adressant à la Commission un engagement de conformité par lequel il s'engage
à respecter les termes de la décision de la CNIL.
Sur les finalités du traitement
Le traitement automatisé a pour objet de détecter plusieurs signaux potentiellement constitutifs d'opérations
d'initiés. Leur détection s'effectue a posteriori par comparaison, pour un compte-titres donné, entre des
indicateurs relatifs au nombre ou au montant des transactions réalisées en bourse pendant un mois et la valeur
moyenne de ces indicateurs pour les douze derniers mois.
Des alertes sont ainsi produites en présence :
de comptes restés inactifs durant plusieurs mois qui présentent subitement des volumes importants de
transactions ;
de comptes qui enregistrent des opérations inhabituelles au regard des pratiques antérieures ;
de comptes connaissant des variations d'activité fortes et soudaines ;
de transactions importantes effectuées à la vente ou à l'achat, simultanément ou préalablement à
d'importantes variations de cours ou de volume constatées pour une action ou une obligation donnée.
Les signalements d'opérations d'initiés potentielles sont transmis pour analyse au responsable conformité de
l'établissement responsable du traitement, qui peut lancer des requêtes spécifiques pour disposer d'informations
statistiques synthétisant l'activité constatée sur un compte-titres.
Les données enregistrées peuvent également faire l'objet d'une exploitation statistique pour mettre à jour le
paramétrage du système d'émission automatique d'alertes.
Sur les catégories de données traitées
Les listes d'opérations à analyser ainsi obtenues comportent les catégories de données suivantes :
les nom, prénom ou la raison sociale du détenteur du compte ;
le type de détenteur ;
le numéro du compte-titres ;
la date d'ouverture et la catégorie du compte ;
les dates et motif des alertes ;
la montant des transactions ayant généré l'alerte ;
le nombre de titres faisant l'objet des transactions en cause ;
le détail des mouvements (valeurs concernées, caractéristiques de l'ordre donné et de l'ordre exécuté).
Sont également enregistrés :
les nom, prénom et titre des destinataires des signalements et des personnes habilitées à consulter le
système ;
les dates de début et de fin de leur habilitation ;
les données de connexion au système informatique.
Les informations sont conservées cinq ans à compter de la réalisation de l'opération.
Sur les destinataires des informations
Les destinataires de tout ou partie des données sont :
le responsable conformité de l'établissement responsable du traitement, pour les seules données relatives
aux opérations effectuées par les clients de cet établissement ;
les responsables de la gestion des titres de l'établissement ;
le responsable conformité de Crédit agricole titres, société chargée de la passation des ordres en bourse
pour le compte du groupe ;
le responsable conformité de Crédit agricole SA, organe central du groupe chargé de l'administration et du
paramétrage du système informatique ;
en cas d'envoi d'une déclaration de soupçon à l'AMF, les agents habilités de cette autorité ainsi que ceux
de la direction générale de l'établissement concerné.
Sur le régime de droit d'accès
Le droit d'accès s'exerce auprès du responsable conformité de l'établissement teneur du compte du
requérant.
Une clause de la convention de comptes de titres informe les clients de la finalité du traitement ainsi que des
modalités d'exercice du droit d'accès.
L'ensemble de ces dispositions est adéquat, pertinent et non excessif au regard des finalités déclarées et
n'appellent pas d'observation particulière.
Autorise, dans ces conditions, les établissements du groupe Crédit agricole à mettre en oeuvre le traitement
automatisé de détection des alertes d'opérations d'initiés potentielles, sous réserve qu'ils adressent à la CNIL,
conformément aux dispositions de l'article 25-II de la loi du 6 janvier 1978, un engagement de conformité
valant engagement de respecter les termes de la présente autorisation de la CNIL.
Pour le président :
Le vice-président délégué,
E. DE GIVRY