CNIL – Autorisation unique AU-054

Le 25 Juillet 2017, la Cnil rend publique la déclaration portant sur l’autorisation unique AU-054, faisant suite à la Délibération n° 2017-217 du 13 juillet 2017, publiée au Journal officiel de la République française. Celle-ci se penche sur le traitement des données personnelles dans le cadre de la lutte contre la fraude externe dans le secteur bancaire et financier.

L’autorisation unique AU-054 appartient au « Pack Conformité Banque » et a été élaborée en collaboration avec des professionnels de ce domaine.

En quoi consiste l’autorisation unique AU-054 ?

L’autorisation unique AU-054 encadre les traitements de données personnelles, collectées par le domaine bancaire et financier, dans le but de lutter contre la fraude. Cette autorisation unique s’applique uniquement à la fraude externe ; c’est-à-dire la fraude commise dans le cadre de contrats rattachés aux services bancaires et financiers, à la gestion de la relation commerciale, aux relations contractuelles avec les prestataires et en cas de fraude mixte.

Les fraudes internes, commises par le personnel, les collaborateurs ou les administrateurs des entités doivent faire l’objet d’une autorisation spécifique.

Quels sont les objectifs ?

L’objectif de cette autorisation unique est de donner un cadre au traitement des données afin de prévenir et éviter la fraude. Elle s’applique uniquement au champ de la détection d’anomalies, de leurs analyses et de la gestion des alertes.

La détection d’actes présentant une anomalie, une incohérence ou ayant été signalés comme pouvant relever d’une fraude peuvent consister en la remise d’une fausse fiche de paie, de faux justificatifs d’identité, ou en la communication d’informations contradictoires, d’où la nécessité d’une politique KYC intransigeante.

Ce processus permet de constituer ainsi des listes d’auteurs de fraudes avérées, dans le cadre d’activités portant notamment sur les services et produits bancaires et financiers. Ces listes ne peuvent pas être conservées plus de 12 mois, à partir de leurs émissions, sans être traitées.

Qui est concerné ?

Seules les entités spécifiées au sein du livre V du code monétaire et financier (CMF) ainsi que les filiales contrôlées par ces entités exerçant une activité qualifiée de « connexe » peuvent procéder à un engagement de conformité à cette autorisation unique.

Les entités concernées sont les suivantes :

• Les établissements de crédit ;
• Les intermédiaires en opérations de banque ;
• Les prestataires de services de paiement ;
• Les prestataires de services d’investissement ;
• Les personnes qui fournissent des services d’investissement ;
• Les conseillers en investissement ;
• Les sociétés de financement ;
• Les établissements de monnaie électronique ;
• Les compagnies financières holding ;
• Les entreprises mères de société de financement.

Les organismes d’assurance, de capitalisation, de réassurance, d’assistance et les intermédiaires d’assurance doivent se référer à l’AU-039 pour procéder à un engagement de conformité.

L’autorisation unique AU-054 encadre, sécurise et facilite le traitement de données personnelles dans le cadre de la lutte contre la fraude externe dans le secteur bancaire et financier.

Cette autorisation unique AU-054 demeure une étape essentielle dans la lutte contre la fraude externe ; néanmoins il est fondamental de s’armer efficacement contre les tentatives fraudes et par extension de bien connaitre son client.