Par Florence Guthfreund-Roland, associée, et Mathilde Hallé, avocat, DLA Piper France

La Cnil a ainsi adopté, le 13 juillet 2017, l’autorisation unique n° AU-054, afin de couvrir les traitements de données à caractère personnel mis en œuvre dans le cadre des systèmes de détection et de lutte contre la fraude.

L’AU-054 offre la possibilité de s’engager à respecter certaines conditions fixées par la Cnil par le biais d’une procédure simple et rapide d’auto-certification. Les traitements qui ne respectent pas l’ensemble des conditions posées dans une autorisation unique doivent faire l’objet d’une demande d’autorisation spécifique (qui est une procédure plus longue et complexe).

1. Seules certaines entités du secteur bancaire et financier sont éligibles à l’auto-certification dans le cadre de l’AU-054.

L’AU-054 couvre les entités du secteur bancaire ou financier sous réserve qu’elles soient placées sous le contrôle de l’Autorité de contrôle prudentiel et de résolution conformément à l’article L. 511-20, III, du CMF et à ses textes d’application.

Plus précisément, les catégories d’organismes autorisés à mettre en place un système de lutte contre la fraude dans le cadre de l’AU-054 sont les suivantes :

- les établissements de crédit ;

- les intermédiaires en opérations de banque ;

- les prestataires de services de paiement ;

- les prestataires de services d’investissement ;

- les personnes qui fournissent des services d’investissement ;

- les conseillers en investissement ;

- les sociétés de financement ;

- les établissements de monnaie électronique ;

- les compagnies financières holding ;

- les entreprises mères de sociétés de financement.

Les entités contrôlées par les organismes listés ci-dessus peuvent bénéficier de la procédure simplifiée proposée par l’AU-054 lorsque leur activité est qualifiée de «connexe» au sens de l’article L. 311-2 du CMF.

A contrario, les organismes d’assurance et assimilés ne peuvent pas bénéficier de l’AU-054 et doivent se référer à l’AU-039.

2. L’AU-054 ne couvre que les systèmes de détection de la fraude externe

L’AU-054 vise à couvrir les traitements mis en œuvre à des fins de détection et de qualification des anomalies qualifiées de «fraude externe» exclusivement définie comme «tout événement causant des pertes liées à des actes de tiers visant à commettre une fraude ou un détournement d’actif ou à enfreindre/tourner la loi (1)». La fraude externe concerne donc les personnes parties ou intéressées à un contrat (clients, bénéficiaires) et toute autre personne intervenant au contrat (sous-traitants, prestataires de services, intermédiaires financiers, etc.). L’AU-054 ne couvre donc pas la détection de la fraude interne (c’est-à-dire la fraude commise par des employés ou d’autres membres du personnel).

Plus précisément, l’AU-054 couvre (i) les alertes générées après la détection d’une anomalie, d’une incohérence ou le signalement d’un acte pouvant relever d’une fraude, y compris leur analyse par les personnes habilitées, et (ii) les fraudes avérées, qui s’entendent comme des fraudes ou tentatives de fraude qualifiées comme telle à la suite d’investigations par les personnes habilitées.

Elle détaille également les différentes catégories d’activités frauduleuses qui peuvent être couvertes par un système de détection des fraudes (la fraude liée au mode de paiement, la fraude d’identité, la fraude au crédit, etc.).

Elle indique enfin clairement que les systèmes de lutte contre la fraude peuvent déboucher sur des interconnexions ponctuelles avec d’autres fichiers ou traitements de données personnelles (fichiers clients/prospects ; traitements relatifs à la passation, la gestion et l’exécution des contrats portant sur les services bancaires et financiers ; systèmes d’alerte professionnelle (whistleblowing), etc.).

3. Les différentes catégories de données à caractère personnel pouvant être traitées dans le cadre de l’AU-054

En supposant qu’elles soient nécessaires aux finalités visées par l’AU-054, seules les catégories suivantes de données à caractère personnel peuvent être collectées et traitées par le biais des systèmes de détection de la fraude :

- les données relatives à la passation, la gestion et l’exécution des contrats portant sur les services bancaires et financiers ainsi que celles relatives à la gestion de la relation commerciale ;

- les données d’identification des personnes parties au contrat (client, bénéficiaire effectif, etc.), ainsi que les prospects ;

- les données relatives à la situation personnelle, familiale et professionnelle, les informations d’ordre économique et financier et habitudes de vie en lien avec l’exécution des contrats portant sur des services bancaires et financiers ;

- les données relatives aux opérations commerciales et au suivi de la relation commerciale ;

- les données relatives aux anomalies, incohérences et signalement pouvant révéler une fraude ;

- les données relatives aux investigations, à l’instruction du dossier de fraude et à l’évaluation du périmètre et de la nature de la fraude présumée ou avérée et à ses suites ;

- les données relatives à l’appréciation du risque, à la détermination ou à l’évaluation des préjudices ;

- les données d’identification des personnes intervenant dans la détection et la gestion de la fraude ;

- les données relatives aux mouvements financiers, aux moyens de paiement, etc. ;

- les données de navigation et de connexion aux systèmes d’information (y compris les données de localisation et les données relatives au matériel) collectées dans le cadre des contrats souscrits ;

- la gestion des relations contractuelles avec les prestataires de services ou de tâches opérationnelles «essentielles» ou «importantes» au sens des lois applicables, et les intermédiaires en opérations de banque et services de paiement, sous-traitants, mandataires.

4. Des exigences strictes concernant les droits d’accès et la gestion du système de détection de la fraude

En règle générale, seul le personnel spécialement autorisé doit avoir accès au système de détection et aux informations collectées via celui-ci.

Plus précisément, aux termes de l’AU-054, les informations relatives aux alertes de fraude (fraudes présumées) et celles relatives aux fraudes avérées (fraudes établies) ne peuvent être respectivement consultées que par certaines catégories de personnes, spécifiquement listées par l’AU-054.

En outre, les informations recueillies peuvent être partagées par le responsable du traitement avec d’autres entités de son groupe dans des conditions spécifiques, qui sont détaillées dans l’AU-054.

5. Les autres exigences à garder à l’esprit

L’AU-054 rappelle que les personnes concernées (dont les données personnelles sont collectées via le système) doivent être informées des caractéristiques du traitement mis en œuvre, conformément à l’article 32 de la loi Informatique et Libertés.

L’AU-054 rappelle également qu’aucune décision ayant des conséquences juridiques ne peut être prise de manière totalement automatisée. Par conséquent, toute alerte doit être suivie d’une analyse non automatisée et, si nécessaire, d’investigations supplémentaires. En outre, tout individu faisant l’objet d’une alerte à la fraude doit pouvoir être mis en mesure de faire ses observations.

En ce qui concerne la conservation des données, les alertes doivent être «qualifiées» (c’est-à-dire confirmées ou non) par l’organisme responsable dans le délai de douze mois. Les signalements qui ne sont pas pertinents doivent être supprimés immédiatement.

Enfin, l’AU-054 prévoit que les transferts de données à caractère personnel vers des pays n’appartenant pas à l’Espace économique européen ne peuvent être effectués que si (i) le pays de destination a été considéré comme assurant un niveau de protection adéquat par la Commission européenne, ou (ii) le destinataire est certifié par le Privacy Shield, ou (iii) des clauses contractuelles types «Model Contractual Clauses» ou des règles internes d’entreprise «Binding Corporate Rules» ont été mises en place, ou (iv) s’ils sont réalisés dans le cadre de l’exécution d’un contrat ou de la mise en œuvre de garanties ou droits devant un tribunal (sous réserve que les transferts soient non massifs et ponctuels).

(1).  Article 324 du règlement (UE) n° 575/2013 du 26 juin 2013