Les brèves

ACPR – PAS DE CADEAU POUR LA BANQUE POSTALE

Elle n’avait pas pris de sanction depuis 5 mois. L’ACPR vient de se rattraper de façon retentissante en publiant la veille de Noël une sanction qui n’a pourtant rien d’un cadeau. La décision vise la Banque Postale, qui écope d’un blâme et surtout d’une amende de 50 millions d’euros, sur le fondement de LCB/FT (comme la quasi-totalité des 10 sanctions ACPR en 2018 sauf une). Il s’agit de la plus forte sanction pécuniaire depuis celle de même montant prononcée contre ALLIANZ VIE fin 2014. Les faits ainsi sanctionnés sont qualifiés d’exceptionnels ; ils visent le service de « mandat cash » pratiqué par la Banque Postale, au profit d’un nombre très élevé de personnes dont les 2/3 ne détenaient pas de compte auprès d’elle, et portant sur des sommes totales dépassant le milliard d’euros. L’ACPR avait décelé des carences dans le dispositif de gel des avoirs (entre 2010 et 2017, au moins 75 opérations de mandat cash effectuées pour le compte de 10 personnes dont les éléments d’identité correspondaient à ceux de personnes qui faisaient l’objet, à la date des opérations, d’une mesure de gel des avoirs, dans 9 cas sur 10 en raison d’activités terroristes). Au courant de ces carences depuis 2013, la Banque Postale avait examiné dès cette époque un projet informatique de mise en conformité, lequel avait toutefois été reporté à plusieurs reprises et jamais mis en œuvre malgré des alertes de l’audit interne en 2015-2016. Le Comité des risques n’avait en outre pas été tenu informé. Malgré cela, la Banque Postale avait indiqué de manière inexacte à l’ACPR lors de son questionnaire sur l’exercice 2016 que ses systèmes de détection étaient conformes. L’ACPR explique le niveau de ses condamnations par la nature, la durée, la particulière gravité et les conséquences potentielles très lourdes des manquements, ainsi que par l’assise financière de la Banque Postale.

Source : Banque de France

AMF – SANCTION CONTRE UN CIF

Par une décision du 16 décembre non-anonymisée, l’AMF a condamné la société AXESS et son associé unique et dirigeant à 10 ans d’interdiction d’exercer la profession de CIF, ainsi qu’à des amendes de 120 000 € pour la société et 50 000 € pour son dirigeant. Les faits ainsi sanctionnés consistent en diverses activités outrepassant de façon répétitive et prolongée le périmètre autorisé par la réglementation applicable aux CIF : Réception de fonds autres que ceux destinés à rémunérer l’activité de CIF - Fourniture de service de gestion de portefeuille incluant des instruments financiers pour compte de tiers. D’autre part, même dans le cadre de l’exercice de l’activité de CIF, il a été constaté l’absence de remise de lettres de mission et de rapports écrits pourtant obligatoire à l’occasion de la fourniture de recommandations personnalisées. L’AMF a enfin déploré un comportement peu loyal lors du contrôle, avec notamment dissimulation d’un document important.

Source : Banque de France

LA CNIL SANCTIONNE UBER... MAIS PAS SUR LE FONDEMENT DU RGPD

Par une décision du 19 décembre assortie de publicité, la CNIL a infligé à UBER une amende de 400 000 €. La sanction française vient s’ajouter à celles prononcées récemment pour les mêmes faites par les Pays-Bas (600 000 €) et par la Grande Bretagne (385 000 £). Fin 2017, UBER avait révélé dans la presse s’être fait dérober un an plus tôt les données personnelles de 57 millions de clients, dont 1,4 million situés en France. Les faits touchant de nombreux états-membres, le G29 avait créé une cellule de coordination ad hoc. L’enquête avait démontré que le vol et son ampleur avaient été rendus possibles par l’absence de certaines mesures élémentaires de sécurisation des données personnelles. S’agissant de faits antérieurs à l’entrée en application du RGPD, les sanctions ne se fondent évidemment pas sur lui.

Source : CNIL

EUROPE – PREMIERES SANCTIONS RGPD

Deux états-membres ont prononcé les premières condamnations courant novembre : le Portugal puis l’Allemagne. Au Portugal, c’est un hôpital qui a écopé de 400 000 € d’amende, sanctionnant la violation – signalée par l’Ordre des médecins - de 3 principes du RGPD : la confidentialité des données, la limitation d’accès, la garantie de l’intégrité des données par le responsable du traitement ; ainsi par exemple, les dossiers médicaux des patients étaient accessibles aux personnels administratifs, à des médecins vacataires ou n’exerçant plus dans l’hôpital… Enfin, un compte test avait pu être créé par les contrôleurs qui avaient ainsi accédé à des données patients, la gestion des habilitations et des profils n’étant pas sécurisée. En Allemagne, une amende modique de 20 000 € justifiée par la transparence et la collaboration du contrôlé, a été prononcée par le land de Bade-Würtemberg contre un réseau social. Celui-ci avait fait l’objet l’été dernier d’un piratage conséquent portant sur plusieurs centaines de milliers d’adresses mail et de mots de passe. Pour ce qui est de la France, la CNIL – qui a reçu plus de 1000 notifications de violations du RGPD – a pour le moment adressé des mises en demeure, mais à ce jour elle n’a pas encore prononcé de sanction.

Source : MEDI

RGPD – LA CNIL SE PRONONCE SUR L’ORDONNANCE DE REECRITURE DE LA LOI INFORMATIQUE ET LIBERTES

Quelques jours après la publication de l’ordonnance du 12 décembre 2018 achevant la mise en conformité du droit français avec le RGPD et la Directive « police-justice », la CNIL s’exprime dans un document de 13 pages. Elle avait rendu le 15 novembre un avis sur le projet de texte. La CNIL salue les améliorations apportées par l’ordonnance, notamment en termes d’articulation globale de la législation applicable en matière de protection des données, et surtout de lisibilité de la loi Informatique et Libertés grâce aux précisions sur les différents régimes applicables en fonction de la nature des traitements concernés. La CNIL insiste par ailleurs sur la nécessité de clarifier les obligations imposées aux structures de taille modeste, et de préciser les conditions de l’action collective ou les modalités d’utilisation des données personnelles à des fins de recherche en santé. L’ordonnance du 12 décembre entrera en vigueur au plus tard en juin 2019, la loi Informatique et Libertés telle que modifiée en juin 2018 restant applicable jusque là. La CNIL conclu en appelant à une réflexion de fond sur certaines législations sectorielles touchant à la protection des données personnelles, par exemple en matière de vidéoprotection, dans le contexte imposé par le cadre juridique européen.

Source : CNIL