La lettre d'Option Droit & Affaires

IP/IT

France : La Cnil adopte une nouvelle autorisation unique pour ouvrir les systèmes de prévention des fraudes

Option Droit & Affaires - 22 novembre 2017 - Florence Guthfreund-Roland & Mathilde Hallé

Le Code monétaire et financier (CMF) impose aux entités du secteur bancaire et financier de mettre en place des procédures permettant de détecter, d’évaluer et de limiter les risques opérationnels, et notamment la fraude, au sein de leurs groupes. Ces dispositifs doivent être adaptés aux activités de ces entreprises, mais aussi à la nature, l’échelle et la complexité des risques auxquels elles font face.

Par Florence Guthfreund-Roland, associée, et Mathilde Hallé, avocat, DLA Piper France

La Cnil a ainsi adopté, le 13 juillet 2017, l’autorisation unique n° AU-054, afin de couvrir les traitements de données à caractère personnel mis en œuvre dans le cadre des systèmes de détection et de lutte contre la fraude.

L’AU-054 offre la possibilité de s’engager à respecter certaines conditions fixées par la Cnil par le biais d’une procédure simple et rapide d’auto-certification. Les traitements qui ne respectent pas l’ensemble des conditions posées dans une autorisation unique doivent faire l’objet d’une demande d’autorisation spécifique (qui est une procédure plus longue et complexe).

1. Seules certaines entités du secteur bancaire et financier sont éligibles à l’auto-certification dans le cadre de l’AU-054.

L’AU-054 couvre les entités du secteur bancaire ou financier sous réserve qu’elles soient placées sous le contrôle de l’Autorité de contrôle prudentiel et de résolution conformément à l’article L. 511-20, III, du CMF et à ses textes d’application.

Plus précisément, les catégories d’organismes autorisés à mettre en place un système de lutte contre la fraude dans le cadre de l’AU-054 sont les suivantes :

- les établissements de crédit ;

- les intermédiaires en opérations de banque ;

- les prestataires de services de paiement ;

- les prestataires de services d’investissement ;

- les personnes qui fournissent des services d’investissement ;

- les conseillers en investissement ;

- les sociétés de financement ;

- les établissements de monnaie électronique ;

- les compagnies financières holding ;

- les entreprises mères de sociétés de financement.

Les entités contrôlées par les organismes listés ci-dessus peuvent bénéficier de la procédure simplifiée proposée par l’AU-054 lorsque leur activité est qualifiée de «connexe» au sens de l’article L. 311-2 du CMF.

A contrario, les organismes d’assurance et assimilés ne peuvent pas bénéficier de l’AU-054 et doivent se référer à l’AU-039.

2. L’AU-054 ne couvre que les systèmes de détection de la fraude externe

L’AU-054 vise à couvrir les traitements mis en œuvre à des fins de détection et de qualification des anomalies qualifiées de «fraude externe» exclusivement définie comme «tout événement causant des pertes liées à des actes de tiers visant à commettre une fraude ou un détournement d’actif ou à enfreindre/tourner la loi (1)». La fraude externe concerne donc les personnes parties ou intéressées à un contrat (clients, bénéficiaires) et toute...

La suite de cet article est réservée aux abonnés

Vous avez déjà un compte

Pour lire la suite de cet article, connectez-vous à votre compte

Mot de passe oublié

En cas de problème avec votre compte abonné, merci de contacter abonnement(at)optionfinance.fr

Pas encore abonné ?

Découvrez toutes nos offres d'abonnement et accédez à nos articles et dossiers en ligne.

S'abonner