22.7.2011   

FR

Journal officiel de l'Union européenne

C 216/9


Avis du contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil sur les produits dérivés négociés de gré à gré, les contreparties centrales et les référentiels centraux

2011/C 216/04

LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16,

vu la Charte des droits fondamentaux de l’Union européenne, et notamment ses articles 7 et 8,

vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1),

vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (2), et notamment son article 41,

A ADOPTÉ L’AVIS SUIVANT:

1.   INTRODUCTION

1.

Le 15 septembre 2010, la Commission a adopté une proposition de règlement du Parlement européen et du Conseil sur les produits dérivés négociés de gré à gré, les contreparties centrales et les référentiels centraux («la proposition») (3). La proposition vise essentiellement à mettre en place des règles communes en vue d’accroître la sécurité et l’efficacité du marché des dérivés de gré à gré.

2.

Le CEPD n’a pas été consulté par la Commission comme le requiert l’article 28, paragraphe 2, du règlement (CE) no 45/2001 [«règlement (CE) no 45/2001»]. Agissant de sa propre initiative, le CEPD a donc adopté le présent avis à la lumière de l’article 41, paragraphe 2, du règlement (CE) no 45/2001.

3.

Le CEPD est conscient que le présent avis intervient à un stade assez tardif du processus législatif. Il estime néanmoins qu’il est approprié et utile de publier le présent avis. Il commence par mettre en évidence les éventuelles implications de la proposition en matière de protection des données. Ensuite, l’analyse exposée dans le présent avis présente un intérêt direct pour l’application de la législation en vigueur ainsi que pour d’autres propositions pendantes et d’éventuelles futures propositions contenant des dispositions similaires, comme il sera expliqué à la section 3.4 du présent avis.

2.   CONTEXTE ET PRINCIPAUX ÉLÉMENTS DE LA PROPOSITION

4.

Au lendemain de la crise financière, la Commission a engagé et présenté une révision du cadre juridique existant pour la supervision financière afin de combler les lacunes importantes mises au jour dans ce domaine, tant dans des cas particuliers que par rapport au système financier dans son ensemble. Un certain nombre de propositions législatives ont récemment été adoptées dans ce domaine, en vue de renforcer les dispositifs actuels de surveillance et d’améliorer la coordination et la coopération au niveau de l’UE.

5.

La réforme a notamment introduit un cadre européen de surveillance financière composé d’un Comité européen du risque systémique (4) et d’un système européen des superviseurs financiers (SESF). Le SESF est composé d’un réseau de superviseurs financiers nationaux qui travaillent en tandem avec trois nouvelles Autorités européennes de surveillance, à savoir l’Autorité bancaire européenne (5) (ABE), l’Autorité européenne des assurances et des pensions professionnelles (6) (AEAPF) et l’Autorité européenne des marchés financiers (AEMF) (7). En outre, la Commission a adopté une série d’initiatives spécifiques pour mettre en œuvre la réforme réglementaire relativement à des domaines ou à des produits financiers en particulier.

6.

L’une de ces initiatives est la présente proposition qui porte sur les «produits dérivés négociés de gré à gré», c’est-à-dire les produits dérivés (8) qui ne sont pas échangés, mais qui sont négociés en privé entre deux contreparties. Elle introduit l’obligation pour toutes les contreparties financières et les contreparties non financières, à partir de certains seuils, de recourir à des contreparties centrales pour la compensation des dérivés de gré à gré normalisés. En outre, la proposition de règlement oblige les contreparties financières et non financières à notifier les détails de tout contrat dérivé qu’ils ont conclu et toute modification de celui-ci à un référentiel central enregistré. La proposition prévoit également des exigences prudentielles et organisationnelles harmonisées pour les contreparties centrales et des exigences organisationnelles et opérationnelles pour les référentiels centraux. Selon la proposition de règlement, alors que les autorités nationales compétentes restent responsables de l’agrément et de la surveillance des contreparties centrales, la responsabilité de l’enregistrement et de la surveillance des référentiels centraux est entièrement confiée à l’AEMF.

3.   ANALYSE DES DISPOSITIONS CONCERNANT L’ACCÈS AUX ENREGISTREMENTS TÉLÉPHONIQUES ET D’ÉCHANGES DE DONNÉES

3.1.   Observations générales

7.

L’article 61, paragraphe 2, point d), de la proposition autorise l’AEMF à «exiger des enregistrements téléphoniques et d’échanges de données» (italiques ajoutées). Comme il sera expliqué ci-dessous, la portée de la disposition et notamment le sens exact d’«enregistrements téléphoniques et d’échanges de données» ne sont pas clairs. Il semblerait néanmoins — tout du moins on ne saurait l’exclure — que les enregistrements téléphoniques et d’échanges de données concernés contiennent des données à caractère personnel au sens de la directive 95/46/CE et du règlement (CE) no 45/2001 et, dans une certaine mesure, de la directive 2002/58/CE (modifiée par la directive 2009/136/CE et désormais intitulée directive «Vie privée et communications électroniques»), à savoir des données téléphoniques et des échanges de données de personnes physiques identifiées ou identifiables (9). Tant que cela est le cas, il conviendrait de s’assurer que les conditions d’un traitement loyal et licite des données à caractère personnel, telles que prévues dans les directives et le règlement, sont pleinement respectées.

8.

Les données relatives à l’utilisation de moyens de communications électroniques peuvent contenir un vaste ensemble d’informations personnelles, telles que l’identité des personnes émettant et recevant l’appel, l’heure et la durée de l’appel, le réseau utilisé, la localisation géographique de l’utilisateur en cas de téléphone portable, etc. Certaines données relatives au trafic concernant l’utilisation de l’internet et du courrier électronique (par exemple la liste des sites internet visités) peuvent en outre révéler d’importants détails sur le contenu de la communication. Par ailleurs, le traitement de données relatives au trafic est contraire au secret de la correspondance. Compte tenu de ces éléments, la directive 2002/58/CE a établi le principe selon lequel les données relatives au trafic doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication (10). Les États membres ont la possibilité d’inclure des dérogations à la législation nationale pour des finalités légitimes spécifiques, à condition qu’elles soient nécessaires, appropriées et proportionnées au sein d’une société démocratique pour réaliser ces finalités (11).

9.

Le CEPD reconnaît que les objectifs visés par la Commission sont légitimes. Il comprend la nécessité d’entreprendre des initiatives visant à renforcer la surveillance des marchés financiers afin de préserver leur solidité et de mieux protéger les investisseurs et l’économie en général. Cependant, les pouvoirs de recherche concernant directement les données relatives au trafic, compte tenu de leur nature potentiellement intrusive, doivent respecter les exigences de nécessité et de proportionnalité, c’est-à-dire qu’ils doivent être limités à ce qui est approprié pour réaliser l’objectif visé et ne pas aller au-delà de ce qui est nécessaire pour le réaliser (12). Dans cette perspective, il est donc essentiel qu’ils soient clairement formulés en ce qui concerne leur champ d’application personnel et matériel ainsi que les circonstances et les conditions dans lesquelles ils peuvent être utilisés. En outre, des garanties appropriées devraient être fournies contre le risque d’abus.

3.2.   L’étendue des pouvoirs des AEMF n’est pas clairement établie

10.

L’article 61, paragraphe 2, point d), dispose que «aux fins de l’exécution des tâches énoncées aux articles 51 à 60, 62 et 63 (à savoir les tâches relatives à la surveillance des référentiels centraux), l’AEMF est dotée […] (du pouvoir) d’exiger des enregistrements téléphoniques et d’échanges de données». En raison de cette formulation générale, la disposition soulève plusieurs doutes concernant son champ d’application matériel et personnel.

11.

En premier lieu, la signification d’«enregistrements téléphoniques et d’échanges de données» n’est pas totalement claire et doit donc être clarifiée. La disposition pourrait se référer à des enregistrements téléphoniques et d’échanges de données que les référentiels centraux sont tenus de conserver lors de la réalisation de leurs activités. Plusieurs dispositions de la proposition de règlement concernent les exigences d’enregistrement des référentiels centraux (13). Cependant, aucune de ces dispositions ne précise quels sont les enregistrements téléphoniques et d’échanges de données, le cas échéant, qui doivent être conservés par les référentiels centraux (14). Par conséquent, si la disposition doit se référer à des enregistrements détenus par des référentiels centraux, il est essentiel de définir précisément les catégories d’enregistrements téléphoniques et d’échanges de données qui doivent être conservés et qui peuvent être exigés par une AEMF. Conformément au principe de proportionnalité, ces données doivent être adéquates, pertinentes et non excessives au regard des finalités de surveillance pour lesquelles elles sont traitées (15).

12.

Des précisions supplémentaires sont nécessaires, notamment dans le cas présent, compte tenu des lourdes amendes et des astreintes qui peuvent être infligées aux référentiels centraux et à d’autres personnes (y compris à des personnes physiques en ce qui concerne les astreintes) concernées en cas de violation de la proposition de règlement (voir les articles 55 et 56). Ces amendes peuvent atteindre 20 pour cent du revenu ou du chiffre d’affaires annuel du référentiel central au titre de l’exercice précédent, à savoir un seuil qui est deux fois plus élevé que le seuil maximal prévu en cas de violation du droit européen de la concurrence.

13.

Il convient également de noter que l’article 67, paragraphe 4, suscité délègue à la Commission le pouvoir d’adopter des normes techniques réglementaires précisant les informations que les référentiels centraux doivent obligatoirement mettre à la disposition de l’AEMF et d’autres autorités. Cette disposition pourrait donc être utilisée pour préciser davantage les conditions de conservation des enregistrements des référentiels centraux et donc, indirectement, le pouvoir conféré par l’AEMF pour accéder aux enregistrements téléphoniques et d’échanges de données. L’article 290 TFUE dispose qu’un acte législatif peut déléguer à la Commission le pouvoir d’adopter des actes non législatifs de portée générale qui complètent ou modifient certains éléments non essentiels de l’acte législatif. Selon le CEPD, l’étendue exacte du pouvoir d’accéder aux données relatives au trafic ne peut être considérée comme un élément non essentiel du règlement. Le champ d’application matériel du règlement devrait donc être précisé directement dans le texte du règlement et non renvoyé à de futurs actes délégués.

14.

Des doutes similaires entourent le champ d’application personnel de la disposition en question. Notamment, les destinataires potentiels d’une demande de communication d’enregistrements téléphoniques et d’échanges de données ne sont pas indiqués à l’article 61, paragraphe 2, point d). Il n’est pas clairement établi si les pouvoirs d’exiger des enregistrements téléphoniques et d’échanges de données seraient uniquement limités aux référentiels centraux (16). Étant donné que la disposition a pour finalité d’autoriser l’AEMF à surveiller les référentiels centraux, le CEPD est d’avis que ce pouvoir devrait être strictement limité aux référentiels centraux uniquement.

15.

Enfin, le CEPD comprend que l’article 61, paragraphe 2, point d), n’a pas pour finalité d’autoriser l’AEMF à avoir accès aux données relatives au trafic directement auprès des fournisseurs de télécommunications. Cela semble être la conclusion logique, notamment compte tenu du fait que la proposition ne se réfère pas du tout aux données détenues par les fournisseurs de télécommunications ou aux conditions énoncées par la directive «Vie privée et communications électroniques» comme indiqué au point 8 ci-dessus (17). Cependant, dans un souci de clarté, il recommande que cette conclusion soit formulée de manière plus explicite à l’article 61, paragraphe 2, ou au moins dans un considérant de la proposition de règlement.

3.3.   La proposition n’indique pas les circonstances dans lesquelles et les conditions auxquelles l’accès peut être exigé

16.

L’article 61, paragraphe 2, point d), n’indique pas les circonstances dans lesquelles et les conditions auxquelles l’accès peut être exigé. Il ne prévoit pas non plus de garanties procédurales importantes contre le risque d’abus. Dans les paragraphes suivants, le CEPD proposera des suggestions concrètes en ce sens.

a)

Selon l’article 61, paragraphe 2, l’AEMF peut exiger l’accès à des enregistrements téléphoniques et d’échanges de données «aux fins de l’exécution des tâches énoncées aux articles 51 à 60, 62 et 63». Ces articles couvrent le titre de la proposition de règlement concernant l’enregistrement et la surveillance des référentiels centraux. Selon le CEPD, les circonstances et conditions d’utilisation d’un tel pouvoir doivent être définies plus clairement. Le CEPD recommande de limiter l’accès aux enregistrements téléphoniques et d’échanges de données aux violations précisément établies et graves de la proposition de règlement et lorsqu’il existe un motif raisonnable de soupçonner (suspicion qui doit être corroborée par des éléments de preuve initiaux concrets) qu’une violation a été commise. Une telle limitation est également particulièrement importante en vue d’éviter que le pouvoir d’accès ne soit utilisé à des fins d’activités de hameçonnage, d’extraction de données ou à d’autres fins.

b)

La proposition ne requiert pas d’autorisation judiciaire préalable pour que l’AEMF exige l’accès à des enregistrements téléphoniques et d’échanges de données. Le CEPD considère que cette exigence générale serait justifiée compte tenu du caractère potentiellement intrusif du pouvoir en question. Il conviendrait également de tenir compte du fait que les législations de certains États membres imposent une autorisation judiciaire préalable pour tout type d’ingérence dans le secret de la correspondance et interdisent donc à d’autres organismes chargés d’appliquer la loi (par ex. les forces de police) et aux institutions de nature administrative d’exercer cette ingérence sans cette surveillance stricte (18). Pour le moins, le CEPD considère qu’il est inévitable de rendre une autorisation judiciaire obligatoire lorsqu’une telle autorisation est requise par la législation nationale (19).

c)

Le CEPD recommande d’introduire l’exigence pour l’AEMF de demander des enregistrements téléphoniques et d’échanges de données par décision officielle précisant la base juridique et l’objet de la demande, les informations demandées, le délai dans lequel les informations doivent être communiquées ainsi que le droit du destinataire de faire réviser la décision par la Cour de justice. Toute demande présentée en l’absence d’une décision officielle ne devrait pas lier le destinataire.

d)

Des garanties procédurales adéquates contre de possibles abus devraient être proposées. À cet égard, la proposition pourrait prévoir que la Commission adopte des mesures d’exécution exposant en détail les procédures à suivre par les référentiels centraux et l’AEMF lorsqu’ils traitent ce type de données. Ces instruments devraient notamment préciser les mesures de sécurité adéquates ainsi que les garanties appropriées contre le risque d’abus, y compris de manière non limitative les normes professionnelles que les personnes compétentes qui traitent ces données devraient observer ainsi que les procédures internes permettant de garantir le respect légitime des dispositions relatives à la confidentialité et au secret professionnel. Le CEPD devrait être consulté pendant la procédure relative à l’adoption de ces mesures.

3.4.   Intérêt du présent avis pour d’autres instruments juridiques contenant des dispositions similaires

17.

Le pouvoir des autorités de surveillance d’exiger des enregistrements téléphoniques et d’échanges de données n’est pas nouveau dans la législation européenne étant donné qu’il est déjà prévu dans de nombreux règlements et directives en vigueur concernant le secteur financier. Notamment, la directive relative aux abus de marché (20), la directive MIFID (21), la directive OPCVM (22), le règlement actuel sur les agences de notation de crédit (23), tous contiennent des dispositions rédigées de façon similaire. Il en est de même pour un certain nombre de propositions récentes adoptées par la Commission, à savoir les propositions de directive sur les gestionnaires de fonds d’investissement alternatifs (24), de règlement modifiant le règlement existant sur les agences de notation de crédit (25), de règlement sur la vente à découvert et certains aspects des contrats d’échange sur risque de crédit (26) et de règlement concernant la transparence et l’intégrité du marché de l’énergie (27).

18.

En ce qui concerne ces instruments législatifs existants et propositions d’instruments, une distinction devrait être établie entre les pouvoirs d’enquête conférés aux autorités nationales et ceux conférés aux autorités de l’Union européenne. Plusieurs instruments obligent les États membres à conférer le pouvoir d’exiger des enregistrements téléphoniques et d’échanges de données aux autorités nationales «en conformité avec la législation nationale» (28). Par conséquent, l’exécution effective de cette obligation est nécessairement soumise à la législation nationale, y compris celle qui transpose les directives 95/46/CE et 2002/58/CE ainsi que d’autres législations nationales qui contiennent des garanties procédurales supplémentaires pour les autorités de surveillance et d’enquête nationales.

19.

Aucune condition de la sorte n’est contenue dans les instruments qui confèrent le pouvoir d’exiger des enregistrements téléphoniques et d’échanges de données directement auprès des autorités de l’UE, comme dans la présente proposition sur les produits dérivés négociés de gré à gré et la proposition de règlement susmentionnée modifiant le règlement (CE) no 1060/2009 sur les agences de notation de crédit (la «proposition sur les agences de notation de crédit»). Par conséquent, dans ces cas, il est d’autant plus nécessaire de clarifier dans l’instrument législatif lui-même, le champ d’application personnel et matériel de ce pouvoir et les circonstances dans lesquelles et conditions auxquelles il peut être utilisé et de veiller à ce que des garanties adéquates contre les abus soient mises en place.

20.

À cet égard, les observations formulées dans le présent avis, bien qu’elles concernent la proposition sur les produits dérivés négociés de gré à gré, présentent un intérêt plus général. Le CEPD est conscient du fait qu’en ce qui concerne la législation déjà adoptée ou sur le point d’être adoptée, ces observations peuvent intervenir trop tard. Il invite néanmoins les institutions à réfléchir sur la nécessité de modifier les propositions pendantes afin de tenir compte des préoccupations soulevées dans le présent avis. Quant aux textes qui ont déjà été adoptés, le CEPD invite les institutions à trouver des possibilités de clarifier certains points, par exemple lorsque la portée de la disposition concernée est susceptible d’être directement ou indirectement précisée dans des actes délégués ou d’exécution, par exemple des actes qui définissent les détails des exigences relatives à la conservation des documents, des communications interprétatives ou d’autres documents comparables (29). Le CEPD s’attend à ce que la Commission le consulte en temps voulu dans le cadre de ces procédures connexes.

4.   PRÉOCCUPATIONS EN MATIÈRE DE PROTECTION DES DONNÉES RELATIVES À D’AUTRES PARTIES DE LA PROPOSITION

21.

Le CEPD estime qu’il est approprié de formuler des observations supplémentaires sur d’autres points de la proposition qui concernent les droits à la vie privée et à la protection des données des personnes.

4.1.   Applicabilité de la directive 95/46/CE et du règlement (CE) no 45/2001

22.

Le considérant 48 dispose à juste titre qu’il est essentiel que les États membres et l’AEMF protègent le droit à la vie privée des personnes physiques lorsqu’ils traitent des données à caractère personnel, conformément à la directive 95/46/CE. Le CEPD se félicite du fait que la directive soit mentionnée dans le préambule. Cependant, la signification du considérant pourrait être plus claire en précisant que les dispositions du règlement ne portent en rien atteinte aux règles nationales qui transposent la directive 95/46/CE. Cette référence devrait de préférence être également comprise dans une disposition de fond.

23.

Le CEPD relève en outre que l’AEMF est un organe européen qui relève du règlement (CE) no 45/2001 et qui est soumis à la supervision du CEPD. Il est donc recommandé d’introduire une référence explicite à ce règlement, précisant également que les dispositions de la proposition ne portent en rien atteinte audit règlement.

4.2.   Limitation de la finalité, nécessité et qualité des données

24.

Un des principaux objectifs de la proposition de règlement est de renforcer la transparence du marché des produits dérivés de gré à gré et d’améliorer la surveillance réglementaire de ce marché. En vue de cet objectif, la proposition oblige les contreparties financières et non financières remplissant certaines conditions de seuil à transmettre à un référentiel central enregistré les détails de tout contrat dérivé de gré à gré conclu par elles et de toute modification ou cessation de ce contrat (article 6) (30). Ces informations sont détenues par les référentiels centraux qui les mettent à la disposition de diverses autorités à des fins réglementaires (article 67) (31).

25.

Lorsqu’une des parties à un contrat dérivé soumise aux obligations de compensation et de déclaration est une personne physique, les informations concernant cette personne physique constituent des données à caractère personnel au sens de l’article 2, point a), de la directive 95/46/CE. L’exécution des obligations susmentionnées constitue donc un traitement de données à caractère personnel au sens de l’article 2, point b), de la directive 95/46/CE. Même dans le cas où les parties à la transaction ne sont pas des personnes physiques, des données à caractère personnel peuvent encore être traitées dans le cadre des articles 6 et 67, comme les noms et les coordonnées des directeurs des sociétés. Les dispositions de la directive 95/46/CE [ou du règlement (CE) no 45/2001] seraient donc applicables aux activités en question.

26.

Une condition essentielle de la législation relative à la protection des données est que les informations doivent être traitées pour des finalités spécifiques, explicites et légitimes et qu’elles ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités (32). Les données utilisées pour réaliser les finalités doivent en outre être appropriées, pertinentes et non excessives au regard de cette finalité. Après analyse de la proposition de règlement, le CEPD conclut que le système mis en place par la proposition ne remplit pas ces conditions.

27.

En ce qui concerne la limitation de la finalité, il convient de souligner que la proposition ne précise pas quelles sont les finalités du système de déclaration, et, qui plus est, les finalités pour lesquelles les informations conservées par les référentiels centraux peuvent être consultées par les autorités compétentes au titre de l’article 67 de la proposition. Une référence générale à la nécessité d’accroître la transparence du marché des dérivés de gré à gré ne suffit pas pour se conformer au principe de limitation de la finalité. Ce principe est également mis à rude épreuve à l’article 20, paragraphe 3, de la proposition de règlement concernant le «secret professionnel», lequel, tel qu’il est actuellement formulé, semblerait autoriser l’utilisation d’informations confidentielles reçues conformément à la proposition de règlement pour un certain nombre de finalités supplémentaires qui ne sont pas clairement définies (33).

28.

La proposition ne précise pas quel type de données seront enregistrées, déclarées et consultées, y compris toute donnée à caractère personnel de personnes identifiées ou identifiables. Les articles 6 et 67 susmentionnés autorisent la Commission à préciser davantage le contenu des obligations de déclaration et de conservation des enregistrements dans des actes délégués. Même si le CEPD comprend la nécessité pratique d’utiliser une telle procédure, il souhaite souligner que, tant que les informations traitées au titre des articles susmentionnés concernent des personnes physiques, les principales règles et garanties relatives à la protection des données devraient être énoncées dans la loi fondamentale.

29.

Enfin, l’article 6 de la directive 46/95/CE et l’article 4 du règlement (CE) no 45/2001 prévoient que les données à caractère personnel sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées. Le CEPD constate que la proposition n’énonce aucune durée limite concrète pour la conservation des données à caractère personnel potentiellement traitées en vertu des articles 6, 27 et 67 de la proposition de règlement. Les articles 27 et 67 disposent uniquement que les enregistrements sont conservés pour une durée minimale de dix ans. Cependant, il s’agit uniquement d’une durée de conservation minimale, ce qui est clairement en contradiction avec les exigences énoncées par la législation relative à la protection des données.

30.

Compte tenu de ce qui précède, le CEPD prie instamment le législateur de préciser le type d’informations personnelles qui peuvent être traitées dans le cadre de la proposition, de définir les finalités pour lesquelles les données à caractère personnel peuvent être traitées par les différentes entités concernées et de fixer une durée de conservation exacte, nécessaire et proportionnée pour le traitement susmentionné.

4.3.   Inspections sur place

31.

L’article 61, paragraphe 2, point c), autorise l’AEMF à procéder à des inspections sur place avec ou sans préavis. Il n’est pas clairement établi si ces inspections seraient limitées aux locaux professionnels d’un référentiel central ou si elles s’appliqueraient également à des locaux ou exploitations privés de personnes physiques. L’article 56, paragraphe 1, point c), qui autorise la Commission, à la demande de l’AEMF, à infliger des astreintes à toute personne employée par un référentiel central ou liée à un référentiel central afin de la contraindre à se soumettre à une inspection sur place ordonnée par l’AEMF conformément à l’article 61, paragraphe 2, pourrait suggérer (de manière non intentionnelle) le contraire.

32.

Sans s’attarder davantage sur ce point, le CEPD recommande de limiter le pouvoir de procéder à des inspections sur place (et le pouvoir lié d’infliger des astreintes au titre de l’article 56) uniquement aux locaux professionnels des référentiels centraux et aux autres personnes morales clairement et substantiellement liées à ces derniers (34). Si la Commission envisageait en effet d’autoriser des inspections de locaux non professionnels de personnes physiques, cela devrait être clairement établi et des exigences plus strictes devraient être prévues afin de garantir le respect des principes de nécessité et de proportionnalité (notamment en ce qui concerne l’indication des circonstances dans lesquelles et des conditions auxquelles il peut être procédé à ces inspections).

4.4.   Échanges de données et principe de limitation de la finalité

33.

Plusieurs dispositions de la proposition de règlement autorisent de vastes échanges de données et d’informations entre l’AEMF, les autorités compétentes d’États membres et les autorités compétentes de pays tiers (voir notamment les articles 21, 23 et 62). Des transferts de données à des pays tiers peuvent également être effectués lorsqu’une contrepartie centrale agréée ou un référentiel central d’un pays tiers fournit des services à des entités reconnues dans l’Union. Dès lors que les informations et les données échangées concernent des personnes physiques identifiées ou identifiables, les articles 7 à 9 du règlement (CE) no 45/2001 et les articles 25 et 26 de la directive 95/46/CE, selon le cas, s’appliquent. Notamment, des transferts vers des pays tiers peuvent être effectués uniquement lorsqu’un niveau de protection adéquat est garanti dans ces pays ou que l’une des dérogations pertinentes prévues par la législation relative à la protection des données s’applique. Pour plus de clarté, une référence explicite au règlement (CE) no 45/2001 et à la directive 95/46/CE devrait être incluse dans le texte, disposant que ces transferts doivent être conformes aux règles applicables prévues, respectivement, dans le règlement ou la directive.

34.

Conformément au principe de limitation de la finalité (35), le CEPD recommande également d’introduire des limites claires quant au type d’informations personnelles qui peuvent être échangées et de définir les finalités pour lesquelles les données à caractère personnel peuvent être échangées.

4.5.   Responsabilité et déclarations

35.

L’article 68 de la proposition contient un certain nombre d’obligations de déclaration de la Commission concernant la mise en œuvre de différents éléments de la proposition de règlement. Le CEPD recommande d’introduire également l’obligation pour l’AEMF de rendre périodiquement compte de l’utilisation de ses pouvoirs d’investigation et notamment du pouvoir d’exiger des enregistrements téléphoniques et d’échanges de données. À la lumière des conclusions du rapport, la Commission devrait également être en mesure de formuler des recommandations, y compris si nécessaire des propositions pour la révision du règlement.

5.   CONCLUSIONS

36.

La présente proposition confère à l’AEMF le pouvoir d’«exiger des enregistrements téléphoniques et d’échanges de données» aux fins de l’exécution des tâches liées à la surveillance des référentiels centraux. Afin d’être considéré comme nécessaire et proportionné, le pouvoir d’exiger des enregistrements téléphoniques et d’échanges de données devrait être limité à ce qui est approprié pour réaliser l’objectif visé et ne pas aller au-delà de ce qui est nécessaire pour le réaliser. Telle qu’elle est actuellement énoncée, la disposition concernée ne satisfait pas à ces exigences étant donné qu’elle est formulée en des termes trop généraux. Notamment, le champ d’application personnel et matériel du pouvoir, les circonstances et les conditions dans lesquelles il peut être utilisé ne sont pas suffisamment détaillés.

37.

Les observations formulées dans le présent avis, bien qu’elles concernent la proposition sur les produits dérivés négociés de gré à gré, présentent également un intérêt pour l’application de la législation en vigueur ainsi que pour d’autres propositions pendantes et éventuelles futures propositions contenant des dispositions équivalentes. C’est notamment le cas lorsque le pouvoir en question est confié, comme dans la présente proposition, à une autorité européenne sans mentionner les conditions et procédures particulières prévues dans les droits nationaux (p. ex. la proposition sur les agences de notation de crédit).

38.

Compte tenu de ce qui précède, le CEPD recommande au législateur de:

préciser clairement les catégories d’enregistrements téléphoniques et d’échanges de données que les référentiels centraux sont tenus de conserver et/ou de communiquer aux autorités compétentes. Ces données doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées;

limiter le pouvoir d’exiger l’accès aux enregistrements téléphoniques et d’échanges de données aux référentiels centraux;

énoncer explicitement que l’accès aux enregistrements téléphoniques et d’échanges de données directement auprès des sociétés de télécommunications est exclu;

limiter l’accès aux enregistrements téléphoniques et d’échanges de données aux violations établies et graves de la proposition de règlement et lorsqu’il existe un motif raisonnable de soupçonner (suspicion qui doit être corroborée par des éléments de preuve initiaux concrets) qu’une violation a été commise;

préciser que les référentiels centraux doivent fournir les enregistrements téléphoniques et d’échanges de données uniquement lorsqu’une décision officielle les y oblige, précisant entre autres le droit de soumettre la décision au réexamen de la Cour de justice;

exiger que la décision ne soit pas exécutée avant l’autorisation judiciaire préalable de l’autorité judiciaire nationale de l’État membre concerné (au moins lorsqu’une telle autorisation est requise en vertu du droit national);

demander à la Commission d’adopter des mesures d’exécution indiquant de manière détaillée les procédures à suivre, y compris des mesures et garanties de sécurité adéquates.

39.

En ce qui concerne d’autres aspects de la proposition, le CEPD souhaiterait mentionner les observations qu’il a soumises à la section 4 du présent avis. Notamment, le CEPD recommande au législateur de:

inclure une référence à la directive 95/46/CE et au règlement (CE) no 45/2001, au moins dans les considérants de la proposition de règlement et de préférence dans une disposition de fond également, indiquant que les dispositions de la proposition de règlement ne portent en rien atteinte, respectivement, à la directive et au règlement;

préciser le type d’informations personnelles qui peuvent être traitées dans le cadre de la proposition conformément au principe de nécessité (notamment par rapport aux articles 6 et 67), définir les finalités pour lesquelles les données à caractère personnel peuvent être traitées par les différentes autorités/entités concernées et fixer des périodes de conservation des données qui soient précises, nécessaires et proportionnées pour le traitement susmentionné;

limiter le pouvoir de procéder à des inspections sur place au titre de l’article 61, paragraphe 2, point c), et d’infliger des astreintes au titre de l’article 56 uniquement aux référentiels centraux et aux autres personnes morales qui sont clairement et substantiellement liées à ces derniers;

indiquer explicitement que les transferts internationaux de données à caractère personnel doivent être conformes aux dispositions applicables du règlement (CE) no 45/2001 et de la directive 95/46/CE, introduire des limites claires quant au type d’informations personnelles qui peuvent être échangées et définir les finalités pour lesquelles les données à caractère personnel peuvent être échangées.

Fait à Bruxelles, le 19 avril 2011.

Giovanni BUTTARELLI

Contrôleur adjoint européen de la protection des données


(1)  JO L 281 du 23.11.1995, p. 31.

(2)  JO L 8 du 12.1.2001, p. 1.

(3)  COM(2010) 484 final.

(4)  Règlement (UE) no 1092/2010 du Parlement européen et du Conseil du 24 novembre 2010 relatif à la surveillance macroprudentielle du système financier dans l’Union européenne et instituant un Comité européen du risque systémique, (JO L 331 du 15.12.2010, p. 1).

(5)  Règlement (UE) no 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission, (JO L 331 du 15.12.2010, p. 12).

(6)  Règlement (UE) no 1094/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/79/CE de la Commission, (JO L 331 du 15.12.2010, p. 48).

(7)  Règlement (UE) no 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission, (JO L 331 du 15.12.2010, p. 84).

(8)  Un produit dérivé est un contrat financier lié à la future valeur ou statut du sous-jacent auquel il se réfère (p. ex. l’évolution de taux d’intérêts ou de la valeur d’une monnaie).

(9)  Normalement les employés auxquels les enregistrements téléphoniques et d’échanges de données peuvent être attribués ainsi que les destinataires et autres utilisateurs concernés.

(10)  Voir l’article 6, paragraphe 1, de la directive 2002/58/CE, (JO L 201 du 31.7.2002, p. 45).

(11)  Voir l’article 15, paragraphe 1, de la directive 2002/58/CE, lequel dispose que ces limitations doivent constituer une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale — c’est-à-dire la sûreté de l’État —, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe.

(12)  Voir, p. ex., les affaires jointes C-92/09 et C-93/09, Volker und Markus Schecke GbR (C-92/09), Hartmut Eifert (C-92/09)/Land Hessen, non encore publiées au Recueil, point 74.

(13)  Par exemple, le considérant 44 dispose que les référentiels centraux sont soumis à des exigences rigoureuses concernant la conservation des informations et la gestion de données. L’article 66 précise que les référentiels centraux «enregistrent rapidement les informations reçues en vertu de l’article 6 et les conservent pour une durée minimale de dix ans après la cessation des contrats concernés. Ils utilisent des procédures d’enregistrement rapides et efficaces pour documenter les modifications apportées aux informations enregistrées [sic]». L’article 67 dispose également que «les référentiels centraux mettent les informations nécessaires à la disposition» de l’AEMF et d’autres autorités compétentes.

(14)  L’expression «enregistrements téléphoniques et d’échanges de données» peut potentiellement inclure une grande diversité d’informations, y compris la durée, l’heure ou le volume d’une communication, le protocole utilisé, l’emplacement de l’équipement terminal de l’expéditeur ou du destinataire, le réseau sur lequel la communication commence ou se termine, le début, la fin ou la durée d’une connexion, voire la liste des sites internet visités et le contenu des communications elles-mêmes si elles sont enregistrées. Dès lors qu’elles concernent des personnes physiques identifiées ou identifiables, toutes ces informations constituent des données à caractère personnel.

(15)  Voir l’article 6, paragraphe 1, point c), de la directive 95/46/CE et l’article 4, paragraphe 1, point c), du règlement (CE) no 45/2001. Il convient d’examiner si des garanties particulières peuvent être élaborées afin d’éviter que des données concernant une utilisation réellement privée ne soient saisies et traitées.

(16)  L’article 56, paragraphe 1, point c), qui autorise la Commission, à la demande de l’AEMF, à infliger des astreintes à toute personne employée par un référentiel central ou liée à un référentiel central afin de la contraindre à se soumettre à une enquête lancée par l’AEMF conformément à l’article 61, paragraphe 2, pourrait suggérer (de manière non intentionnelle) le contraire.

(17)  Comme indiqué, la directive «Vie privée et communications électroniques» établit le principe général selon lequel les données relatives au trafic doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication. Ces données peuvent être traitées ultérieurement uniquement aux fins de la facturation et des paiements pour interconnexion et jusqu’à la fin de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement. Toute dérogation à ce principe doit être nécessaire, appropriée et proportionnée, au sein d’une société démocratique, à des fins spécifiques de maintien de l’ordre public (pour sauvegarder la sécurité nationale (c’est-à-dire la sûreté de l’État), la défense et la sécurité publique ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques).

(18)  La constitution italienne, par exemple, exige que toute ingérence dans le secret de la correspondance, y compris l’accès aux données relatives au trafic ne révélant pas le contenu des communications, soit ordonnée ou autorisée par un membre de l’ordre juridique.

(19)  Une condition similaire a été introduite dans la version modifiée de la proposition sur les agences de notation de crédit votée par le PE en décembre 2010.

(20)  Directive 2003/6/CE du Parlement européen et du Conseil du 28 janvier 2003 sur les opérations d’initiés et les manipulations de marché (abus de marché), (JO L 96 du 12.4.2003, p. 16).

(21)  Directive 2004/39/CE du Parlement européen et du Conseil du 21 avril 2004 concernant les marchés d’instruments financiers, modifiant les directives 85/611/CEE et 93/6/CEE du Conseil et la directive 2000/12/CE du Parlement européen et du Conseil et abrogeant la directive 93/22/CEE du Conseil, (JO L 145 du 30.4.2004, p. 1).

(22)  Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM), (JO L 302 du 17.11.2009, p. 32).

(23)  Règlement (CE) no 1060/2009 du Parlement européen et du Conseil du 16 septembre 2009 sur les agences de notation de crédit, (JO L 302 du 17.11.2009, p. 1).

(24)  Proposition de directive du Parlement européen et du Conseil du 30 avril 2009 sur les gestionnaires de fonds d’investissement alternatifs et modifiant les directives 2004/39/CE et 2009/…/CE, COM(2009) 207.

(25)  Proposition de règlement du Parlement européen et du Conseil du 2 juin 2010 modifiant le règlement (CE) no 1060/2009 sur les agences de notation de crédit, COM(2010) 289.

(26)  Proposition de règlement du Parlement européen et du Conseil du 15 septembre 2010 sur la vente à découvert et certains aspects des contrats d’échange sur risque de crédit, COM(2010) 482.

(27)  Proposition de règlement du Parlement européen et du Conseil concernant la transparence et l’intégrité du marché de l’énergie, COM(2010) 726.

(28)  Voir par exemple l’article 12, paragraphe 2, de la directive relative aux abus de marché mentionnée à la note de bas de page 20. Voir également l’article 50 de la directive MIFID, mentionnée à la note de bas de page 21.

(29)  Par exemple l’article 37 de la proposition sur les agences de notation de crédit autorise la Commission à modifier les annexes du règlement, qui contiennent les détails des exigences de conservation des documents imposées aux agences de notation de crédit; voir également le considérant 10 de la proposition sur les agences de notation de crédit qui mentionne le pouvoir de l’AEMF de publier et de mettre à jour des recommandations non contraignantes sur des problèmes liés à l’application du règlement sur les agences de notation de crédit.

(30)  L’article 6, paragraphe 4, de la proposition délègue à la Commission le pouvoir d’arrêter pour les différentes catégories de produits dérivés les détails et le type de déclaration à fournir, comportant au moins les éléments suivants: a) l’identification appropriée des parties au contrat et, s’il est autre, du bénéficiaire des droits et obligations découlant du contrat; et b) les principales caractéristiques du contrat, notamment le type de contrat, le sous-jacent, l’échéance et la valeur notionnelle.

(31)  Voir l’exposé des motifs, p. 11. L’article 67 le concrétise en disposant que les référentiels centraux mettent les informations nécessaires à la disposition d’un certain nombre d’entités, à savoir l’AEMF, les autorités compétentes chargées de la surveillance des entreprises soumises à l’obligation de notification, l’autorité compétente chargée de la surveillance des contreparties centrales et les banques centrales concernées du SEBC.

(32)  Voir par ex. l’avis du CEPD du 6 janvier 2010 sur la proposition de directive du Conseil relative à la coopération administrative dans le domaine de l’imposition, (JO C 101 du 20.4.2010, p. 1).

(33)  L’article 20, paragraphe 3, dispose ce qui suit: «Sans préjudice des cas relevant du droit pénal, les autorités compétentes, l’AEMF, les organismes ou les personnes physiques ou morales autres que les autorités compétente, qui reçoivent des informations confidentielles au titre du présent règlement, peuvent uniquement les utiliser dans l’exécution de leurs tâches et pour l’exercice de leurs fonctions dans le cas des autorités compétentes dans le cadre du présent règlement ou, dans le cas des autres autorités, organismes ou personnes physiques ou morales, aux fins pour lesquelles ces informations leur ont été communiquées ou dans le cadre de procédures administratives ou judiciaires spécifiquement liées à l’exercice de leurs fonctions, ou les deux à la fois. Si l’AEMF, l’autorité compétente ou toute autre autorité, organisme ou personne communiquant l’information y consent, l’autorité qui a reçu l’information peut l’utiliser à d’autres fins».

(34)  Une précision similaire a été introduite dans la version modifiée de la proposition sur les agences de notation de crédit votée par le PE en décembre 2010.

(35)  Voir l’article 6, paragraphe 1, point b), de la directive 95/46/CE et l’article 4, paragraphe 1, point b), du règlement (CE) no 45/2001.