Qu’est-ce qu’EuReCa ?
EuReCa est une base de données centrale de l’Autorité bancaire européenne (ci-après, « ABE ») destinée à renforcer le dispositif de lutte contre le blanchiment de capitaux et le financement du terrorisme (ci-après « LBC/FT »). Le fondement légal d’EuReCa réside dans l’article 9 bis §§ 1 et 3 du Règlement (UE) 1093/2010 du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne). EuReCa contient des informations sur des « déficiences significatives », c’est-à-dire des manquements importants aux exigences en matière de LBC/FT d’un opérateur du secteur financier qui le rend vulnérable face au blanchiment de capitaux ou au financement du terrorisme, et des informations sur les mesures prises par les autorités de supervision en réaction à ces déficiences significatives.
Dans le cadre de sa gestion d’EuReCa, l’ABE collabore avec les autorités nationales au sein de l’Union européenne, dont l’Autorité des services et marchés financiers (ci-après, « la FSMA »).
Quelles sont les responsabilités respectives de l’ABE et de la FSMA liées à EuReCa en matière de protection des données?
Du point de vue de la protection des données, les obligations respectives de l’ABE et la FSMA impliquent ce qui suit :
- l’ABE est responsable du respect des obligations applicables au traitement des données à caractère personnel lors de l'analyse des informations fournies par les autorités déclarantes (dont la FSMA) via EuReCa et pour exploiter, stocker et tenir à jour cette base de données, y compris son infrastructure de support. Pour obtenir davantage d’informations sur EuReCa, vous pouvez consulter la politique vie privée applicable de l’ABE (disponible sur leur site internet).
- la FSMA, en tant qu’autorité déclarante (conformément au Règlement délégué de la Commission (UE) 2024/595 du 9 novembre 2023), est légalement tenue et responsable de fournir à l’ABE par le biais d’EuReCa certaines informations concernant des déficiences significatives en matière de LBC/FT et les mesures prises (y compris l’encodage des données dans la base de données, les réponses aux demandes de l’ABE, les mises à jour des données, etc). La FSMA peut, par ailleurs, recevoir certaines informations contenues dans EuReCa et fournies par d’autres autorités déclarantes, à sa propre demande ou communiquées par l’ABE de sa propre initiative.
Dans ce cadre, et sur la base de ses missions d’intérêt public, la FSMA peut être amenée à traiter, en tant que responsable du traitement, le cas échéant, un nombre limité de données à caractère personnel (ci-après, « les données ») concernant des personnes physiques soumises à sa supervision (les personnes exerçant leur activité en personne physique, les membres de l’organe de direction, les titulaires de postes clés auprès d’un opérateur du secteur financier), mais également des clients et des bénéficiaires effectifs. Les données traitées concernent en particulier des données d’identification (nom, prénom, date de naissance, nationalité, numéro BCE, pays de résidence), des données professionnelles, des données financières et des données judiciaires liées aux déficiences significatives et aux mesures LBC/FT. Pour obtenir davantage d’informations sur la manière dont la FSMA traite les données dans le cadre de l’exercice de ses missions d’intérêt public, vous pouvez consulter la politique vie privée applicable de la FSMA (y compris les sections « quels sont vos droits et comment pouvez-vous les exercer ? » et « comment pouvez-vous nous contacter ? »).
Que contient l’accord de responsabilité conjointe entre l’ABE et la FSMA ?
La FSMA et l’ABE ont davantage formalisé leurs obligations respectives dans le cadre de l’utilisation de la base de données centrale EuReCa par le biais d’un accord de responsabilité conjointe (ci-après, « ARC ») afin de déterminer leurs responsabilités respectives en matière de protection des données concernant les données transférées entre elles, vers ou depuis la base de données EuReCa. Les grandes lignes de cet accord sont les suivantes :
- Assistance mutuelle : La FSMA et l’ABE se fournissent une assistance mutuelle raisonnable concernant leurs obligations respectives en vertu de la législation applicable en matière de protection des données, notamment concernant les demandes des personnes concernées exerçant leurs droits en vertu du RGPD et les violations de données à caractère personnel.
- Demandes des personnes concernées : En particulier, toute demande d’une personne concernée liée aux données contenues dans EuReCa et qui est adressée à la FSMA sera systématiquement transmise par la FSMA à l’ABE. Dans ce cas, l'ABE traitera (si nécessaire) cette demande avec l'assistance de la FSMA (dans la mesure où la FSMA a déclaré à l'ABE les données à caractère personnel auxquelles la demande se réfère), et avec toute autre autorité qui a reçu tout ou une partie de ces données à caractère personnel de la base de données EuReCA. Dans tous les cas, la réponse à la personne concernée relèvera de la responsabilité de la partie qui a initialement reçu la demande de la personne concernée (sur la base de l'analyse et des informations communiquées par l'ABE).
- Qualité des données : En outre, l'ABE demande aux autorités déclarantes, dont la FSMA, d'examiner annuellement les données qu’elles ont encodées dans EuReCa afin de garantir que les données restent pertinentes, exactes et à jour et d'examiner si ces données doivent être supprimées.
- Violation des données : Enfin, la FSMA et l’ABE doivent coopérer en cas de violation de données affectant EuReCA : la FSMA doit informer l'ABE de toute violation dont elle a connaissance et (le cas échéant) les autorités de protection des données compétentes et les personnes concernées.
Finalement, la base de données EuReCa est stockée et gérée par l’ABE au sein de l’Espace économique européen.
Des questions ?
Si vous avez des questions concernant l’ARC, vous pouvez consulter le site internet de l’ABE ou contacter le DPO de la FSMA à l’adresse e-mail dataprotection@fsma.be.
La présente déclaration a été mise à jour au 26/04/2024.