Marchés d'instruments financiers. Refonte

AVIS DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES sur les propositions de la Commission relatives à une directive du Parlement européen et du Conseil concernant les marchés d’instruments financiers abrogeant la directive 2004/39/CE du Parlement européen et du Conseil et à un règlement du Parlement européen et du Conseil concernant les marchés d’instruments financiers modifiant le règlement sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux.

Le CEPD a été consulté de manière informelle avant l’adoption des propositions. Il constate que plusieurs de ses observations ont été prises en considération dans les propositions.

Plusieurs aspects des propositions ont des incidences sur les droits des personnes en ce qui concerne le traitement de leurs données à caractère personnel. Ces incidences sont les suivantes: 1) obligations en matière d’enregistrement et de déclaration des transactions; 2) pouvoirs des autorités compétentes (en ce compris le pouvoir d’effectuer des contrôles et d’exiger les enregistrements d'échanges téléphoniques et de données); 3) publication des sanctions; 4) notification des violations, et en particulier, les dispositions relatives à la dénonciation; 5) coopération entre les autorités compétentes des États membres et l’AEMF.

Le CEPD adresse les recommandations suivantes:

Applicabilité de la législation relative à la protection des données : insérer dans les propositions une disposition de fond formulée comme suit: «En ce qui concerne le traitement de données à caractère personnel effectué par les États membres dans le cadre du présent règlement, les autorités compétentes appliquent les dispositions des règles nationales mettant en œuvre la directive 95/46/CE. En ce qui concerne le traitement de données à caractère personnel qu’elle effectue dans le cadre du présent règlement, l’AEMF respecte les dispositions du règlement (CE) n° 45/2001».

Obligations en matière d’enregistrement et de déclaration des transactions : remplacer, à l’article 22 du règlement proposé, la période de conservation minimale de 5 ans par une période de conservation maximale. La période choisie devrait être nécessaire et proportionnée par rapport aux finalités pour lesquelles les données ont été collectées.

Obligation d’enregistrement des conversations téléphoniques ou communications électroniques : préciser, à l’article 16, paragraphe 7, de la directive proposée, i) la finalité de l’enregistrement des conversations téléphoniques et des communications électroniques, et ii) les types de conversations téléphoniques et de communications électroniques, ainsi que les catégories de données afférentes aux conversations et communications en question, qui seront enregistrées. Ces données doivent être adéquates, pertinentes et non excessives au regard de la même finalité.

Le CEPD invite en outre le législateur à évaluer soigneusement le délai de conservation qui est nécessaire aux fins de l’enregistrement des conversations téléphoniques et des communications électroniques dans le cadre spécifique de la proposition.

Pouvoirs des autorités compétentes :

• préciser, à l’article 71, paragraphe 2, point c), de la directive proposée, que le pouvoir d’inspection est limité aux locaux des entreprises d’investissement et ne couvre pas les locaux privés;
• introduire, à l’article 71, paragraphe 2, point d), relatif au pouvoir d’exiger des enregistrements téléphoniques et d’échanges de données, l’exigence générale d’une autorisation judiciaire préalable, ainsi que celle d’une décision officielle précisant: i) la base juridique, ii) l’objet de la demande, iii) les informations demandées, iv) le délai dans lequel les informations doivent être communiquées, ainsi que v) le droit du destinataire de faire réviser la décision par la Cour de justice;
• préciser les enregistrements téléphoniques et d’échanges de données auxquels fait référence l’article 71, paragraphe 2, point d).

Publication des sanctions ou autres mesures : compte tenu des doutes exprimés dans le présent avis, évaluer la nécessité et la proportionnalité du mécanisme de publication obligatoire des sanctions proposé; quels que soient les résultats de cette évaluation de la nécessité et de la proportionnalité, fournir de toute façon des garanties adéquates permettant d’assurer le respect de la présomption d’innocence et du droit d’opposition des personnes concernées, la sécurité/l’exactitude des données et la suppression de celles-ci après un délai adéquat.

Signalements des violations : en ce qui concerne l’article 77, paragraphe 1,

• ajouter au point b) une disposition indiquant que «la confidentialité de l’identité des dénonciateurs devrait être garantie à toutes les étapes de la procédure, à moins que sa divulgation ne soit exigée par la législation nationale dans le cadre d’une enquête complémentaire ou d’une procédure judiciaire ultérieure»;
• ajouter un point d) exigeant des États membres qu’ils mettent en place «des procédures adéquates garantissant les droits de la défense de la personne accusée et son droit d’être entendue avant l’adoption d’une décision la concernant, ainsi que le droit d’exercer une voie de recours juridictionnelle effective contre toute décision ou mesure la concernant»;
• remplacer les termes «conformément aux principes consacrés par la directive 95/46/CE» par «conformément à la directive 95/46/CE», afin de rendre plus globale et contraignante la référence à la directive.

Échanges d’informations avec des pays tiers : compte tenu des risques qu’impliquent ces transferts, ajouter des garanties spécifiques, comme une évaluation au cas par cas, l’assurance de la nécessité du transfert, l’exigence d’une autorisation expresse préalable de l’autorité compétente pour tout nouveau transfert de données vers et par un pays tiers et l’existence d’un niveau adéquat de protection des données à caractère personnel dans le pays tiers destinataire des données à caractère personnel.