Résumé de l’avis du Contrôleur européen de
la protection des données (CEPD) sur la proposition de la
Commission de règlement du Parlement européen et du
Conseil concernant l’amélioration du règlement des
opérations sur titres dans l’Union européenne et les
dépositaires centraux de titres (DCT) et modifiant la
directive 98/26/EC.
Le CEPD se
réjouit d’être consulté par la Commission et
recommande qu’il soit fait référence à son avis
dans le préambule du règlement proposé. L’avis
rappelle que toute opération sur titres, boursière ou
non, est suivie d’un traitement post-marché qui
débouche sur son règlement, à savoir la livraison
des titres à l’acheteur contre la livraison
d’espèces au vendeur. Les dépositaires centraux de
titres (DCT) (central securities depositories - CSD) jouent
un rôle clé dans ce règlement en exploitant des
systèmes de règlement des opérations sur titres. Les
DCT assurent aussi l’enregistrement initial et la tenue
centralisée de comptes de titres, qui enregistrent le nombre
de titres émis et l’identité de chaque
émetteur, ainsi que chaque changement de détenteur de
ces titres.
D’un usage
généralement sûr et efficace à
l’intérieur des frontières nationales, les DCT ne
présentent pas le même degré de sécurité
en ce qui concerne les communications et les connexions
internationales, de sorte qu’un investisseur court de plus
gros risques et s’expose à des frais plus
élevés lorsqu’il fait un investissement dans un
autre État membre. La présente proposition vise à
remédier à l’absence d’un marché
interne unique et efficace pour les règlements alors que
les opérations transnationales en Europe ne cessent
d’augmenter et que les DCT deviennent de plus en plus
interconnectés.
Recommandations
du CEPD : la proposition contient des dispositions qui peuvent,
dans certains cas, avoir des implications en matière de
protection des données des personnes concernées, telles
que les pouvoirs d’enquête des autorités
compétentes, l’échange d’informations, la tenue
de registres, l’externalisation d’activités, la
publication de sanctions et la dénonciation
d’infractions. Tout en saluant l’attention
particulière accordée à la protection des
données dans la proposition, le CEPD formule les
recommandations suivantes :
- reformuler les
dispositions en soulignant la totale applicabilité de la
législation existante en matière de protection des
données dans une disposition générale unique
faisant référence à la directive 95/46/CE ainsi
qu’au règlement (CE) n° 45/2001 et clarifier la
référence à la directive 95/46/CE en précisant
que les dispositions s’appliqueront conformément aux
règles nationales qui mettent en œuvre la directive
95/46/CE. Le CEPD recommande en outre d’inclure ce type de
disposition de fond dans une disposition importante de la
proposition;
- limiter
l’accès des autorités compétentes aux documents
et aux informations à des violations graves et
précisément identifiées de la proposition et
lorsqu’il existe des raisons (qui doivent être
étayées par une preuve initiale concrète) de
suspecter qu’une infraction a été commise;
- introduire
l’exigence pour les autorités compétentes de
demander des documents et des informations par décision
expresse, précisant la base juridique et la finalité
de la demande, les informations requises, le délai imparti
pour la production des informations ainsi que le droit du
destinataire de faire réexaminer la décision par un
tribunal;
- préciser
le type d’informations à caractère personnel qui
peuvent être traitées et transférées aux termes
de la proposition, définir les finalités pour
lesquelles les données à caractère personnel peuvent
être traitées et transférées par les
autorités compétentes et fixer une période de
conservation des données proportionnée pour le
traitement susmentionné ou au moins introduire des
critères précis pour son établissement;
- au vu des risques
encourus concernant les transferts de données vers des pays
tiers, ajouter des garanties spécifiques telles que, par
exemple, une appréciation au cas par cas et l’existence
d’un niveau de protection adéquat des données à
caractère personnel dans le pays tiers destinataire;
- remplacer la
période minimale de conservation de 5 ans par une
période maximale de conservation lorsque les dossiers
contiennent des données à caractère personnel.
La période choisie devrait être nécessaire et
proportionnée à la finalité pour laquelle les
données sont traitées;
- préciser que
le DCT doit veiller à ce que le prestataire fournisse ses
services en totale conformité avec les réglementations
nationales, applicables au DCT, mettant en œuvre la directive
95/46/CE ;
- ajouter une
disposition énonçant que l’identité de ces
personnes devrait être garantie à tous les stades de la
procédure, à moins que sa divulgation ne soit
exigée par la législation nationale dans le contexte
d’une enquête complémentaire ou de procédures
judiciaires ultérieures ;
- apprécier
la nécessité et la proportionnalité du système
proposé de publication obligatoire de sanctions. Sous
réserve du résultat de ce test de la nécessité
et de la proportionnalité, dans tous les cas, prévoir des
garanties adéquates pour le respect de la présomption
d’innocence, le droit des personnes concernées à
émettre une opposition, la sécurité/ justesse des
données et leur effacement après un délai
approprié.
Le CEPD note
qu’il existe des dispositions comparables à celles
mentionnées dans le présent avis dans plusieurs
propositions en attente et éventuellement à venir, telles
celles discutées dans les avis du CEPD concernant les European
Venture Capital Funds et les European
Social Entrepreneurship Funds, le paquet législatif
concernant la révision de la législation bancaire, les
agences de notation, les marchés d’instruments financiers
(MiFID/ MiFIR) et l’abus de marché. En conséquence,
le CEPD recommande de lire le présent avis en étroite
conjonction avec ses avis du 10 février 2012 sur ces
initiatives.