22.7.2011   

FR

Journal officiel de l'Union européenne

C 216/9

1.

Le 15 septembre 2010, la Commission a adopté une proposition de règlement du Parlement européen et du Conseil sur les produits dérivés négociés de gré à gré, les contreparties centrales et les référentiels centraux («la proposition») (3). La proposition vise essentiellement à mettre en place des règles communes en vue d’accroître la sécurité et l’efficacité du marché des dérivés de gré à gré.

2.

Le CEPD n’a pas été consulté par la Commission comme le requiert l’article 28, paragraphe 2, du règlement (CE) no 45/2001 [«règlement (CE) no 45/2001»]. Agissant de sa propre initiative, le CEPD a donc adopté le présent avis à la lumière de l’article 41, paragraphe 2, du règlement (CE) no 45/2001.

3.

Le CEPD est conscient que le présent avis intervient à un stade assez tardif du processus législatif. Il estime néanmoins qu’il est approprié et utile de publier le présent avis. Il commence par mettre en évidence les éventuelles implications de la proposition en matière de protection des données. Ensuite, l’analyse exposée dans le présent avis présente un intérêt direct pour l’application de la législation en vigueur ainsi que pour d’autres propositions pendantes et d’éventuelles futures propositions contenant des dispositions similaires, comme il sera expliqué à la section 3.4 du présent avis.

4.

Au lendemain de la crise financière, la Commission a engagé et présenté une révision du cadre juridique existant pour la supervision financière afin de combler les lacunes importantes mises au jour dans ce domaine, tant dans des cas particuliers que par rapport au système financier dans son ensemble. Un certain nombre de propositions législatives ont récemment été adoptées dans ce domaine, en vue de renforcer les dispositifs actuels de surveillance et d’améliorer la coordination et la coopération au niveau de l’UE.

5.

La réforme a notamment introduit un cadre européen de surveillance financière composé d’un Comité européen du risque systémique (4) et d’un système européen des superviseurs financiers (SESF). Le SESF est composé d’un réseau de superviseurs financiers nationaux qui travaillent en tandem avec trois nouvelles Autorités européennes de surveillance, à savoir l’Autorité bancaire européenne (5) (ABE), l’Autorité européenne des assurances et des pensions professionnelles (6) (AEAPF) et l’Autorité européenne des marchés financiers (AEMF) (7). En outre, la Commission a adopté une série d’initiatives spécifiques pour mettre en œuvre la réforme réglementaire relativement à des domaines ou à des produits financiers en particulier.

6.

L’une de ces initiatives est la présente proposition qui porte sur les «produits dérivés négociés de gré à gré», c’est-à-dire les produits dérivés (8) qui ne sont pas échangés, mais qui sont négociés en privé entre deux contreparties. Elle introduit l’obligation pour toutes les contreparties financières et les contreparties non financières, à partir de certains seuils, de recourir à des contreparties centrales pour la compensation des dérivés de gré à gré normalisés. En outre, la proposition de règlement oblige les contreparties financières et non financières à notifier les détails de tout contrat dérivé qu’ils ont conclu et toute modification de celui-ci à un référentiel central enregistré. La proposition prévoit également des exigences prudentielles et organisationnelles harmonisées pour les contreparties centrales et des exigences organisationnelles et opérationnelles pour les référentiels centraux. Selon la proposition de règlement, alors que les autorités nationales compétentes restent responsables de l’agrément et de la surveillance des contreparties centrales, la responsabilité de l’enregistrement et de la surveillance des référentiels centraux est entièrement confiée à l’AEMF.

7.

L’article 61, paragraphe 2, point d), de la proposition autorise l’AEMF à «exiger des enregistrements téléphoniques et d’échanges de données» (italiques ajoutées). Comme il sera expliqué ci-dessous, la portée de la disposition et notamment le sens exact d’«enregistrements téléphoniques et d’échanges de données» ne sont pas clairs. Il semblerait néanmoins — tout du moins on ne saurait l’exclure — que les enregistrements téléphoniques et d’échanges de données concernés contiennent des données à caractère personnel au sens de la directive 95/46/CE et du règlement (CE) no 45/2001 et, dans une certaine mesure, de la directive 2002/58/CE (modifiée par la directive 2009/136/CE et désormais intitulée directive «Vie privée et communications électroniques»), à savoir des données téléphoniques et des échanges de données de personnes physiques identifiées ou identifiables (9). Tant que cela est le cas, il conviendrait de s’assurer que les conditions d’un traitement loyal et licite des données à caractère personnel, telles que prévues dans les directives et le règlement, sont pleinement respectées.

8.

Les données relatives à l’utilisation de moyens de communications électroniques peuvent contenir un vaste ensemble d’informations personnelles, telles que l’identité des personnes émettant et recevant l’appel, l’heure et la durée de l’appel, le réseau utilisé, la localisation géographique de l’utilisateur en cas de téléphone portable, etc. Certaines données relatives au trafic concernant l’utilisation de l’internet et du courrier électronique (par exemple la liste des sites internet visités) peuvent en outre révéler d’importants détails sur le contenu de la communication. Par ailleurs, le traitement de données relatives au trafic est contraire au secret de la correspondance. Compte tenu de ces éléments, la directive 2002/58/CE a établi le principe selon lequel les données relatives au trafic doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication (10). Les États membres ont la possibilité d’inclure des dérogations à la législation nationale pour des finalités légitimes spécifiques, à condition qu’elles soient nécessaires, appropriées et proportionnées au sein d’une société démocratique pour réaliser ces finalités (11).

9.

Le CEPD reconnaît que les objectifs visés par la Commission sont légitimes. Il comprend la nécessité d’entreprendre des initiatives visant à renforcer la surveillance des marchés financiers afin de préserver leur solidité et de mieux protéger les investisseurs et l’économie en général. Cependant, les pouvoirs de recherche concernant directement les données relatives au trafic, compte tenu de leur nature potentiellement intrusive, doivent respecter les exigences de nécessité et de proportionnalité, c’est-à-dire qu’ils doivent être limités à ce qui est approprié pour réaliser l’objectif visé et ne pas aller au-delà de ce qui est nécessaire pour le réaliser (12). Dans cette perspective, il est donc essentiel qu’ils soient clairement formulés en ce qui concerne leur champ d’application personnel et matériel ainsi que les circonstances et les conditions dans lesquelles ils peuvent être utilisés. En outre, des garanties appropriées devraient être fournies contre le risque d’abus.

10.

L’article 61, paragraphe 2, point d), dispose que «aux fins de l’exécution des tâches énoncées aux articles 51 à 60, 62 et 63 (à savoir les tâches relatives à la surveillance des référentiels centraux), l’AEMF est dotée […] (du pouvoir) d’exiger des enregistrements téléphoniques et d’échanges de données». En raison de cette formulation générale, la disposition soulève plusieurs doutes concernant son champ d’application matériel et personnel.

11.

En premier lieu, la signification d’«enregistrements téléphoniques et d’échanges de données» n’est pas totalement claire et doit donc être clarifiée. La disposition pourrait se référer à des enregistrements téléphoniques et d’échanges de données que les référentiels centraux sont tenus de conserver lors de la réalisation de leurs activités. Plusieurs dispositions de la proposition de règlement concernent les exigences d’enregistrement des référentiels centraux (13). Cependant, aucune de ces dispositions ne précise quels sont les enregistrements téléphoniques et d’échanges de données, le cas échéant, qui doivent être conservés par les référentiels centraux (14). Par conséquent, si la disposition doit se référer à des enregistrements détenus par des référentiels centraux, il est essentiel de définir précisément les catégories d’enregistrements téléphoniques et d’échanges de données qui doivent être conservés et qui peuvent être exigés par une AEMF. Conformément au principe de proportionnalité, ces données doivent être adéquates, pertinentes et non excessives au regard des finalités de surveillance pour lesquelles elles sont traitées (15).

12.

Des précisions supplémentaires sont nécessaires, notamment dans le cas présent, compte tenu des lourdes amendes et des astreintes qui peuvent être infligées aux référentiels centraux et à d’autres personnes (y compris à des personnes physiques en ce qui concerne les astreintes) concernées en cas de violation de la proposition de règlement (voir les articles 55 et 56). Ces amendes peuvent atteindre 20 pour cent du revenu ou du chiffre d’affaires annuel du référentiel central au titre de l’exercice précédent, à savoir un seuil qui est deux fois plus élevé que le seuil maximal prévu en cas de violation du droit européen de la concurrence.

13.

Il convient également de noter que l’article 67, paragraphe 4, suscité délègue à la Commission le pouvoir d’adopter des normes techniques réglementaires précisant les informations que les référentiels centraux doivent obligatoirement mettre à la disposition de l’AEMF et d’autres autorités. Cette disposition pourrait donc être utilisée pour préciser davantage les conditions de conservation des enregistrements des référentiels centraux et donc, indirectement, le pouvoir conféré par l’AEMF pour accéder aux enregistrements téléphoniques et d’échanges de données. L’article 290 TFUE dispose qu’un acte législatif peut déléguer à la Commission le pouvoir d’adopter des actes non législatifs de portée générale qui complètent ou modifient certains éléments non essentiels de l’acte législatif. Selon le CEPD, l’étendue exacte du pouvoir d’accéder aux données relatives au trafic ne peut être considérée comme un élément non essentiel du règlement. Le champ d’application matériel du règlement devrait donc être précisé directement dans le texte du règlement et non renvoyé à de futurs actes délégués.

14.

Des doutes similaires entourent le champ d’application personnel de la disposition en question. Notamment, les destinataires potentiels d’une demande de communication d’enregistrements téléphoniques et d’échanges de données ne sont pas indiqués à l’article 61, paragraphe 2, point d). Il n’est pas clairement établi si les pouvoirs d’exiger des enregistrements téléphoniques et d’échanges de données seraient uniquement limités aux référentiels centraux (16). Étant donné que la disposition a pour finalité d’autoriser l’AEMF à surveiller les référentiels centraux, le CEPD est d’avis que ce pouvoir devrait être strictement limité aux référentiels centraux uniquement.

15.

Enfin, le CEPD comprend que l’article 61, paragraphe 2, point d), n’a pas pour finalité d’autoriser l’AEMF à avoir accès aux données relatives au trafic directement auprès des fournisseurs de télécommunications. Cela semble être la conclusion logique, notamment compte tenu du fait que la proposition ne se réfère pas du tout aux données détenues par les fournisseurs de télécommunications ou aux conditions énoncées par la directive «Vie privée et communications électroniques» comme indiqué au point 8 ci-dessus (17). Cependant, dans un souci de clarté, il recommande que cette conclusion soit formulée de manière plus explicite à l’article 61, paragraphe 2, ou au moins dans un considérant de la proposition de règlement.

16.

L’article 61, paragraphe 2, point d), n’indique pas les circonstances dans lesquelles et les conditions auxquelles l’accès peut être exigé. Il ne prévoit pas non plus de garanties procédurales importantes contre le risque d’abus. Dans les paragraphes suivants, le CEPD proposera des suggestions concrètes en ce sens.

17.

Le pouvoir des autorités de surveillance d’exiger des enregistrements téléphoniques et d’échanges de données n’est pas nouveau dans la législation européenne étant donné qu’il est déjà prévu dans de nombreux règlements et directives en vigueur concernant le secteur financier. Notamment, la directive relative aux abus de marché (20), la directive MIFID (21), la directive OPCVM (22), le règlement actuel sur les agences de notation de crédit (23), tous contiennent des dispositions rédigées de façon similaire. Il en est de même pour un certain nombre de propositions récentes adoptées par la Commission, à savoir les propositions de directive sur les gestionnaires de fonds d’investissement alternatifs (24), de règlement modifiant le règlement existant sur les agences de notation de crédit (25), de règlement sur la vente à découvert et certains aspects des contrats d’échange sur risque de crédit (26) et de règlement concernant la transparence et l’intégrité du marché de l’énergie (27).

18.

En ce qui concerne ces instruments législatifs existants et propositions d’instruments, une distinction devrait être établie entre les pouvoirs d’enquête conférés aux autorités nationales et ceux conférés aux autorités de l’Union européenne. Plusieurs instruments obligent les États membres à conférer le pouvoir d’exiger des enregistrements téléphoniques et d’échanges de données aux autorités nationales «en conformité avec la législation nationale» (28). Par conséquent, l’exécution effective de cette obligation est nécessairement soumise à la législation nationale, y compris celle qui transpose les directives 95/46/CE et 2002/58/CE ainsi que d’autres législations nationales qui contiennent des garanties procédurales supplémentaires pour les autorités de surveillance et d’enquête nationales.

19.

Aucune condition de la sorte n’est contenue dans les instruments qui confèrent le pouvoir d’exiger des enregistrements téléphoniques et d’échanges de données directement auprès des autorités de l’UE, comme dans la présente proposition sur les produits dérivés négociés de gré à gré et la proposition de règlement susmentionnée modifiant le règlement (CE) no 1060/2009 sur les agences de notation de crédit (la «proposition sur les agences de notation de crédit»). Par conséquent, dans ces cas, il est d’autant plus nécessaire de clarifier dans l’instrument législatif lui-même, le champ d’application personnel et matériel de ce pouvoir et les circonstances dans lesquelles et conditions auxquelles il peut être utilisé et de veiller à ce que des garanties adéquates contre les abus soient mises en place.

20.

À cet égard, les observations formulées dans le présent avis, bien qu’elles concernent la proposition sur les produits dérivés négociés de gré à gré, présentent un intérêt plus général. Le CEPD est conscient du fait qu’en ce qui concerne la législation déjà adoptée ou sur le point d’être adoptée, ces observations peuvent intervenir trop tard. Il invite néanmoins les institutions à réfléchir sur la nécessité de modifier les propositions pendantes afin de tenir compte des préoccupations soulevées dans le présent avis. Quant aux textes qui ont déjà été adoptés, le CEPD invite les institutions à trouver des possibilités de clarifier certains points, par exemple lorsque la portée de la disposition concernée est susceptible d’être directement ou indirectement précisée dans des actes délégués ou d’exécution, par exemple des actes qui définissent les détails des exigences relatives à la conservation des documents, des communications interprétatives ou d’autres documents comparables (29). Le CEPD s’attend à ce que la Commission le consulte en temps voulu dans le cadre de ces procédures connexes.

21.

Le CEPD estime qu’il est approprié de formuler des observations supplémentaires sur d’autres points de la proposition qui concernent les droits à la vie privée et à la protection des données des personnes.

22.

Le considérant 48 dispose à juste titre qu’il est essentiel que les États membres et l’AEMF protègent le droit à la vie privée des personnes physiques lorsqu’ils traitent des données à caractère personnel, conformément à la directive 95/46/CE. Le CEPD se félicite du fait que la directive soit mentionnée dans le préambule. Cependant, la signification du considérant pourrait être plus claire en précisant que les dispositions du règlement ne portent en rien atteinte aux règles nationales qui transposent la directive 95/46/CE. Cette référence devrait de préférence être également comprise dans une disposition de fond.

23.

Le CEPD relève en outre que l’AEMF est un organe européen qui relève du règlement (CE) no 45/2001 et qui est soumis à la supervision du CEPD. Il est donc recommandé d’introduire une référence explicite à ce règlement, précisant également que les dispositions de la proposition ne portent en rien atteinte audit règlement.

24.

Un des principaux objectifs de la proposition de règlement est de renforcer la transparence du marché des produits dérivés de gré à gré et d’améliorer la surveillance réglementaire de ce marché. En vue de cet objectif, la proposition oblige les contreparties financières et non financières remplissant certaines conditions de seuil à transmettre à un référentiel central enregistré les détails de tout contrat dérivé de gré à gré conclu par elles et de toute modification ou cessation de ce contrat (article 6) (30). Ces informations sont détenues par les référentiels centraux qui les mettent à la disposition de diverses autorités à des fins réglementaires (article 67) (31).

25.

Lorsqu’une des parties à un contrat dérivé soumise aux obligations de compensation et de déclaration est une personne physique, les informations concernant cette personne physique constituent des données à caractère personnel au sens de l’article 2, point a), de la directive 95/46/CE. L’exécution des obligations susmentionnées constitue donc un traitement de données à caractère personnel au sens de l’article 2, point b), de la directive 95/46/CE. Même dans le cas où les parties à la transaction ne sont pas des personnes physiques, des données à caractère personnel peuvent encore être traitées dans le cadre des articles 6 et 67, comme les noms et les coordonnées des directeurs des sociétés. Les dispositions de la directive 95/46/CE [ou du règlement (CE) no 45/2001] seraient donc applicables aux activités en question.

26.

Une condition essentielle de la législation relative à la protection des données est que les informations doivent être traitées pour des finalités spécifiques, explicites et légitimes et qu’elles ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités (32). Les données utilisées pour réaliser les finalités doivent en outre être appropriées, pertinentes et non excessives au regard de cette finalité. Après analyse de la proposition de règlement, le CEPD conclut que le système mis en place par la proposition ne remplit pas ces conditions.

27.

En ce qui concerne la limitation de la finalité, il convient de souligner que la proposition ne précise pas quelles sont les finalités du système de déclaration, et, qui plus est, les finalités pour lesquelles les informations conservées par les référentiels centraux peuvent être consultées par les autorités compétentes au titre de l’article 67 de la proposition. Une référence générale à la nécessité d’accroître la transparence du marché des dérivés de gré à gré ne suffit pas pour se conformer au principe de limitation de la finalité. Ce principe est également mis à rude épreuve à l’article 20, paragraphe 3, de la proposition de règlement concernant le «secret professionnel», lequel, tel qu’il est actuellement formulé, semblerait autoriser l’utilisation d’informations confidentielles reçues conformément à la proposition de règlement pour un certain nombre de finalités supplémentaires qui ne sont pas clairement définies (33).

28.

La proposition ne précise pas quel type de données seront enregistrées, déclarées et consultées, y compris toute donnée à caractère personnel de personnes identifiées ou identifiables. Les articles 6 et 67 susmentionnés autorisent la Commission à préciser davantage le contenu des obligations de déclaration et de conservation des enregistrements dans des actes délégués. Même si le CEPD comprend la nécessité pratique d’utiliser une telle procédure, il souhaite souligner que, tant que les informations traitées au titre des articles susmentionnés concernent des personnes physiques, les principales règles et garanties relatives à la protection des données devraient être énoncées dans la loi fondamentale.

29.

Enfin, l’article 6 de la directive 46/95/CE et l’article 4 du règlement (CE) no 45/2001 prévoient que les données à caractère personnel sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées. Le CEPD constate que la proposition n’énonce aucune durée limite concrète pour la conservation des données à caractère personnel potentiellement traitées en vertu des articles 6, 27 et 67 de la proposition de règlement. Les articles 27 et 67 disposent uniquement que les enregistrements sont conservés pour une durée minimale de dix ans. Cependant, il s’agit uniquement d’une durée de conservation minimale, ce qui est clairement en contradiction avec les exigences énoncées par la législation relative à la protection des données.

30.

Compte tenu de ce qui précède, le CEPD prie instamment le législateur de préciser le type d’informations personnelles qui peuvent être traitées dans le cadre de la proposition, de définir les finalités pour lesquelles les données à caractère personnel peuvent être traitées par les différentes entités concernées et de fixer une durée de conservation exacte, nécessaire et proportionnée pour le traitement susmentionné.

31.

L’article 61, paragraphe 2, point c), autorise l’AEMF à procéder à des inspections sur place avec ou sans préavis. Il n’est pas clairement établi si ces inspections seraient limitées aux locaux professionnels d’un référentiel central ou si elles s’appliqueraient également à des locaux ou exploitations privés de personnes physiques. L’article 56, paragraphe 1, point c), qui autorise la Commission, à la demande de l’AEMF, à infliger des astreintes à toute personne employée par un référentiel central ou liée à un référentiel central afin de la contraindre à se soumettre à une inspection sur place ordonnée par l’AEMF conformément à l’article 61, paragraphe 2, pourrait suggérer (de manière non intentionnelle) le contraire.

32.

Sans s’attarder davantage sur ce point, le CEPD recommande de limiter le pouvoir de procéder à des inspections sur place (et le pouvoir lié d’infliger des astreintes au titre de l’article 56) uniquement aux locaux professionnels des référentiels centraux et aux autres personnes morales clairement et substantiellement liées à ces derniers (34). Si la Commission envisageait en effet d’autoriser des inspections de locaux non professionnels de personnes physiques, cela devrait être clairement établi et des exigences plus strictes devraient être prévues afin de garantir le respect des principes de nécessité et de proportionnalité (notamment en ce qui concerne l’indication des circonstances dans lesquelles et des conditions auxquelles il peut être procédé à ces inspections).

33.

Plusieurs dispositions de la proposition de règlement autorisent de vastes échanges de données et d’informations entre l’AEMF, les autorités compétentes d’États membres et les autorités compétentes de pays tiers (voir notamment les articles 21, 23 et 62). Des transferts de données à des pays tiers peuvent également être effectués lorsqu’une contrepartie centrale agréée ou un référentiel central d’un pays tiers fournit des services à des entités reconnues dans l’Union. Dès lors que les informations et les données échangées concernent des personnes physiques identifiées ou identifiables, les articles 7 à 9 du règlement (CE) no 45/2001 et les articles 25 et 26 de la directive 95/46/CE, selon le cas, s’appliquent. Notamment, des transferts vers des pays tiers peuvent être effectués uniquement lorsqu’un niveau de protection adéquat est garanti dans ces pays ou que l’une des dérogations pertinentes prévues par la législation relative à la protection des données s’applique. Pour plus de clarté, une référence explicite au règlement (CE) no 45/2001 et à la directive 95/46/CE devrait être incluse dans le texte, disposant que ces transferts doivent être conformes aux règles applicables prévues, respectivement, dans le règlement ou la directive.

34.

Conformément au principe de limitation de la finalité (35), le CEPD recommande également d’introduire des limites claires quant au type d’informations personnelles qui peuvent être échangées et de définir les finalités pour lesquelles les données à caractère personnel peuvent être échangées.

35.

L’article 68 de la proposition contient un certain nombre d’obligations de déclaration de la Commission concernant la mise en œuvre de différents éléments de la proposition de règlement. Le CEPD recommande d’introduire également l’obligation pour l’AEMF de rendre périodiquement compte de l’utilisation de ses pouvoirs d’investigation et notamment du pouvoir d’exiger des enregistrements téléphoniques et d’échanges de données. À la lumière des conclusions du rapport, la Commission devrait également être en mesure de formuler des recommandations, y compris si nécessaire des propositions pour la révision du règlement.

36.

La présente proposition confère à l’AEMF le pouvoir d’«exiger des enregistrements téléphoniques et d’échanges de données» aux fins de l’exécution des tâches liées à la surveillance des référentiels centraux. Afin d’être considéré comme nécessaire et proportionné, le pouvoir d’exiger des enregistrements téléphoniques et d’échanges de données devrait être limité à ce qui est approprié pour réaliser l’objectif visé et ne pas aller au-delà de ce qui est nécessaire pour le réaliser. Telle qu’elle est actuellement énoncée, la disposition concernée ne satisfait pas à ces exigences étant donné qu’elle est formulée en des termes trop généraux. Notamment, le champ d’application personnel et matériel du pouvoir, les circonstances et les conditions dans lesquelles il peut être utilisé ne sont pas suffisamment détaillés.

37.

Les observations formulées dans le présent avis, bien qu’elles concernent la proposition sur les produits dérivés négociés de gré à gré, présentent également un intérêt pour l’application de la législation en vigueur ainsi que pour d’autres propositions pendantes et éventuelles futures propositions contenant des dispositions équivalentes. C’est notamment le cas lorsque le pouvoir en question est confié, comme dans la présente proposition, à une autorité européenne sans mentionner les conditions et procédures particulières prévues dans les droits nationaux (p. ex. la proposition sur les agences de notation de crédit).

38.

Compte tenu de ce qui précède, le CEPD recommande au législateur de:

39.

En ce qui concerne d’autres aspects de la proposition, le CEPD souhaiterait mentionner les observations qu’il a soumises à la section 4 du présent avis. Notamment, le CEPD recommande au législateur de: