Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Produits dérivés de gré à gré, contreparties centrales et référentiels centraux (EMIR, règlement sur l'infrastructure du marché européen)

2010/0250(COD)

AVIS DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES sur la proposition de règlement du Parlement européen et du Conseil sur les produits dérivés négociés de gré à gré, les contreparties centrales et les référentiels centraux.

Le CEPD rappelle qu’il n’a pas été consulté par la Commission et qu’il a donc adopté le présent avis de sa propre initiative. Il formule les observations générales suivantes.

1) Accès aux enregistrements téléphoniques et échanges de données : la proposition confère à l’AEMF le pouvoir d’exiger des enregistrements téléphoniques et d’échanges de données aux fins de l’exécution des tâches liées à la surveillance des référentiels centraux.  Or, le CEPD estime que la portée de la disposition n’est pas claire. Il lui semble que les enregistrements téléphoniques et d’échanges de données concernés contiennent des données à caractère personnel au sens de la directive 95/46/CE et du règlement (CE) n° 45/2001 et, dans une certaine mesure, de la directive dite « Vie privée et communications électroniques» (directive 2002/58/CE modifiée par la directive 2009/136/CE). Tant que cela est le cas, le CEPD estime qu’il conviendrait de s’assurer que les conditions d’un traitement loyal et licite des données à caractère personnel, telles que prévues dans les directives et le règlement, sont pleinement respectées.

Afin d’être considéré comme nécessaire et proportionné, le pouvoir d’exiger des enregistrements téléphoniques et d’échanges de données devrait être limité à ce qui est approprié pour réaliser l’objectif visé et ne pas aller au-delà de ce qui est nécessaire pour le réaliser. Telle qu’elle est actuellement énoncée, la disposition concernée ne satisfait pas à ces exigences étant donné qu’elle est formulée en des termes trop généraux. Notamment, le champ d’application personnel et matériel du pouvoir, les circonstances et les conditions dans lesquelles il peut être utilisé ne sont pas suffisamment détaillés.

Le CEPD note que ces observations présentent également un intérêt pour l’application de la législation en vigueur ainsi que pour d’autres propositions pendantes et éventuelles futures propositions. C’est le cas notamment de la directive relative aux abus de marché, de la directive MIFID, de la directive OPCVM et du règlement actuel sur les agences de notation de crédit qui contiennent des dispositions équivalentes. Il en est de même pour les propositions : de directive sur les gestionnaires de fonds d’investissement alternatifs ;  de règlement sur la vente à découvert et certains aspects des contrats d’échange sur risque de crédit et ; de règlement concernant la transparence et l’intégrité du marché de l’énergie.

Compte tenu de ce qui précède, le CEPD recommande au législateur de:

  • préciser clairement les catégories d’enregistrements téléphoniques et d’échanges de données que les référentiels centraux sont tenus de conserver et/ou de communiquer aux autorités compétentes. Ces données doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées;
  • limiter le pouvoir d’exiger l’accès aux enregistrements téléphoniques et d’échanges de données aux référentiels centraux;
  • énoncer explicitement que l’accès aux enregistrements téléphoniques et d’échanges de données directement auprès des sociétés de télécommunications est exclu;
  • limiter l’accès aux enregistrements téléphoniques et d’échanges de données aux violations établies et graves de la proposition de règlement et lorsqu’il existe un motif raisonnable de soupçonner (suspicion qui doit être corroborée par des éléments de preuve initiaux concrets) qu’une violation a été commise;
  • préciser que les référentiels centraux doivent fournir les enregistrements téléphoniques et d’échanges de données uniquement lorsqu’une décision officielle les y oblige, précisant entre autres le droit de soumettre la décision au réexamen de la Cour de justice;
  • exiger que la décision ne soit pas exécutée avant l’autorisation judiciaire préalable de l’autorité judiciaire nationale de l’État membre concerné (au moins lorsqu’une telle autorisation est requise en vertu du droit national);
  • demander à la Commission d’adopter des mesures d’exécution indiquant de manière détaillée les procédures à suivre, y compris des mesures et garanties de sécurité adéquates.

Autres parties de la proposition : le CEPD formule des observations supplémentaires sur d’autres points de la proposition qui concernent les droits à la vie privée et à la protection des données des personnes, notamment l’applicabilité de la directive 95/46/CE et du règlement (CE) n° 45/2001. Le CEPD souligne que la proposition ne précise pas quelles sont les finalités du système de déclaration, et, qui plus est, les finalités pour lesquelles les informations conservées par les référentiels centraux peuvent être consultées par les autorités compétentes. Par ailleurs, la proposition ne précise pas quel type de données seront enregistrées, déclarées et consultées, y compris toute donnée à caractère personnel de personnes identifiées ou identifiables. De plus, elle n’énonce aucune durée limite concrète pour la conservation des données à caractère personnel potentiellement traitées en vertu de la proposition.

Enfin, il n’est pas clairement établi si les inspections sur place seraient limitées aux locaux professionnels d’un référentiel central ou si elles s’appliqueraient également à des locaux ou exploitations privés de personnes physiques.

En ce qui concerne ces aspects, le CEPD recommande au législateur de:

  • inclure une référence à la directive 95/46/CE et au règlement (CE) n° 45/2001, au moins dans les considérants de la proposition de règlement et de préférence dans une disposition de fond également, indiquant que les dispositions de la proposition de règlement ne portent en rien atteinte, respectivement, à la directive et au règlement;
  • préciser le type d’informations personnelles qui peuvent être traitées dans le cadre de la proposition conformément au principe de nécessité, définir les finalités pour lesquelles les données à caractère personnel peuvent être traitées par les différentes autorités/entités concernées et fixer des périodes de conservation des données qui soient précises, nécessaires et proportionnées pour le traitement susmentionné;
  • limiter le pouvoir de procéder à des inspections sur place et d’infliger des astreintes uniquement aux référentiels centraux et aux autres personnes morales qui sont clairement et substantiellement liées à ces derniers;
  • indiquer explicitement que les transferts internationaux de données à caractère personnel doivent être conformes aux dispositions applicables du règlement (CE) n° 45/2001 et de la directive 95/46/CE, introduire des limites claires quant au type d’informations personnelles qui peuvent être échangées et définir les finalités pour lesquelles les données à caractère personnel peuvent être échangées.