Déclaration de confidentialité relative à la plateforme de lancement d’alerte de la BCE

Cadre juridique applicable à la BCE en matière de protection des données

L’ensemble des données à caractère personnel sont traitées conformément à la législation européenne sur la protection des données, à savoir le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE.

Quelles données la BCE recueille-t-elle et comment ?

La Banque centrale européenne (BCE) recueille des informations sensibles et les données à caractère personnel relatives aux personnes signalant des infractions présumées au droit pertinent de l’Union européenne (UE). La BCE collecte également des informations sensibles et les données à caractère personnel relatives aux personnes suspectées d’avoir commis une infraction et aux tiers cités dans les déclarations d’infraction soumises via la plateforme de lancement d’alerte. Par ailleurs, la BCE traite les données de toutes les personnes travaillant pour elle ou au service des autorités compétentes nationales (autorités de surveillance nationales) ainsi que les données des tiers cités dans les rapports d’infraction ou dans les dossiers ouverts à la suite de ces rapports. Si la BCE établit que ces personnes ou ces tiers ne sont pas impliqués dans l’infraction signalée, elle met fin au traitement de leurs données.

Pour que les personnes signalant des infractions présumées au droit pertinent de l’UE via la plateforme de lancement d’alerte puissent rester anonymes, elles ne sont nullement tenues de révéler leurs données personnelles. Au cours des enquêtes ouvertes à la suite des rapports d’infraction, la BCE est toutefois susceptible d’obtenir des informations contenant des données d’identification (y compris nom, prénom, date et lieu de naissance, adresse, numéro de téléphone ou de télécopie, adresse électronique et IP), des données professionnelles (dont profession, employeur et fonctions) ou des données financières (dont bulletins de salaire, relevés de compte et portefeuilles de titres).

Qui est chargé du traitement des données à caractère personnel recueillies via la plateforme de lancement d’alerte ?

La BCE, et plus particulièrement sa division « Mise en œuvre et sanctions », est responsable du traitement des données à caractère personnel recueillies via la plateforme de lancement d’alerte.

Les informations soumises via la plateforme de lancement d’alerte sont également traitées en externe, pour le compte de la BCE, par EQS Group AG, un prestataire de services sécurisés. EQS Group AG ne dispose d’aucun moyen de prendre connaissance de la teneur des informations reçues.

Pourquoi et sur quelle base juridique la BCE traite-t-elle les données à caractère personnel ?

La plateforme de lancement d’alerte mise au point par la BCE s’adresse à quiconque a de bonnes raisons de croire qu’une entité soumise à la surveillance prudentielle ou une autorité compétente (une autorité de surveillance nationale – aussi appelée « autorité compétente nationale » – ou la BCE) a contrevenu aux actes législatifs visés à l’article 4, paragraphe 3, du règlement (UE) nº 1024/2013 du Conseil (le règlement MSU) et souhaite révéler des informations importantes à la BCE.

Les données à caractère personnel sont collectées et traitées conformément à l’article 5, paragraphe 1, point a), du règlement 2018/1725 par la division « Mise en œuvre et sanctions » de la BCE et par EQS Group AG.

Qui a accès aux informations soumises et à qui ces informations sont-elles révélées ?

Les informations reçues sur la plateforme de lancement d’alerte sont traitées en externe, pour le compte de la BCE, par EQS Group AG, un prestataire de services sécurisés. Le traitement est effectué via un système de stockage en nuage dont les serveurs sont situés en Allemagne. Seuls les utilisateurs de la BCE ont accès aux informations transmises.

Au sein de la BCE, la division « Mise en œuvre et sanctions » est chargée du traitement des rapports envoyés via la plateforme de lancement d’alerte. Son personnel est soumis à un régime de stricte confidentialité. C’est à cette section qu’il incombe de décider de faire suivre ou non certaines informations aux services compétents de la BCE ou aux autorités compétentes (autorités de surveillance nationales) en vertu du règlement MSU.

La plateforme de lancement d’alerte mise en place par la BCE a pour seul but de recevoir des informations concernant des infractions au droit pertinent de l’UE commises par les banques soumises à la surveillance prudentielle, les autorités de surveillance nationales ou la BCE elle-même.

Lorsque la BCE reçoit un rapport signalant une infraction au droit pertinent de l’UE, les informations qui y figurent sont transmises aux services compétents de la BCE ou aux autorités de surveillance nationales. Ces rapports sont toutefois traités par la BCE comme constituant des « signalements protégés ». Autrement dit, la BCE ne révélera l’identité ou les données à caractère personnel d’aucune personne ayant effectué un signalement protégé via la plateforme de lancement d’alerte sans le consentement exprès de la personne, sauf décision judiciaire l’y obligeant dans le contexte d’une enquête ou de procédures judiciaires ultérieures.

Lorsque la BCE reçoit un rapport ne constituant pas un signalement d’infraction au droit pertinent de l’UE mais concernant néanmoins d’autres missions lui incombant, les informations qui y figurent sont portées à la connaissance de ses services compétents et ses critères généraux de protection des données s’appliquent.

Lorsque la BCE reçoit un rapport dont elle estime qu’il constitue un signalement d’infraction aux dispositions du droit non pertinent de l’UE (prévention du blanchiment de capitaux et lutte contre le financement du terrorisme, protection des consommateurs ou supervision des services de paiement, par exemple) et qui ne relève pas d’autres missions de la BCE, elle efface les données à caractère personnel reçues sans faire suivre aucune information et ses critères généraux de protection des données s’appliquent.

Cela étant, les infractions aux dispositions du droit non pertinent de l’UE peuvent révéler des infractions aux exigences prudentielles. Ainsi, les infractions aux provisions du corpus réglementaire en matière de prévention du blanchiment de capitaux et de lutte contre le financement du terrorisme peuvent témoigner de mécanismes de gouvernance et de contrôle interne déficients, dont les structures sont énoncées dans les règles relatives à la surveillance prudentielle des établissements de crédit. Aussi les rapports correspondants peuvent-ils être traités au cas par cas par la BCE comme constituant des « signalements protégés » liés à des infractions au droit pertinent de l’UE et les informations soumises sont transmises aux services compétents de la BCE ou aux autorités de surveillance nationales en vertu du règlement MSU.

De plus, les informations reçues via les rapports d’infraction peuvent être transmises par la BCE aux autorités nationales chargées de la prévention du blanchiment de capitaux si a) ces rapports contiennent des informations pertinentes et nécessaires pour l’accomplissement des missions de ces autorités telles que prévues par l’accord multilatéral sur les modalités pratiques d’échange d’informations entre la BCE et les autorités compétentes en matière de prévention du blanchiment de capitaux et de lutte contre le financement du terrorisme et b) les informations ont trait au système et aux contrôles internes d’une entité soumise à la surveillance prudentielle.

Combien de temps la BCE conserve-t-elle les données à caractère personnel transmises via la plateforme de lancement d’alerte ?

Après la clôture d’un dossier, toutes les données à caractère personnel pertinentes sont stockées pour une période de conservation variable selon le cas.

Si un rapport est considéré comme important pour les missions de surveillance prudentielle de la BCE, les données seront stockées pendant cinq ans. S’il n’est pas considéré important pour les missions de surveillance prudentielle de la BCE mais concerne toutefois les autres responsabilités de la BCE, les données seront stockées douze mois. Si la BCE estime qu’un rapport n’est important pour aucune de ses missions, les données seront stockées pendant trois mois.

Transfert de données à caractère personnel vers des pays hors UE

La BCE a conclu différents accords de coopération et continue de conclure de tels accords avec d’autres autorités ou organisations internationales. Ces autorités et organisations peuvent être amenées à exiger les données à caractère personnel soumises dans le cadre de lancements d’alertes concernant des infractions au droit de l’UE. Dans ce cas, la BCE est tenue de respecter les règles spécifiques au transfert de données personnelles vers des destinataires situés dans des pays n’appartenant pas à l’UE, où la législation européenne sur la protection des données ne s’applique pas. Ces règles sont définies au chapitre V de la réglementation sur la protection des données.

Quels sont vos droits ?

Vous pouvez accéder à vos données personnelles et les rectifier, limiter le traitement qui en est fait ou vous y opposer, et, dans certaines conditions, demander leur suppression. Pour faire valoir vos droits, veuillez prendre contact avec la division « Mise en œuvre et sanctions » de la BCE à l’adresse suivante :

European Central Bank
Directorate General SSM Governance and Operations ‑ Enforcement and Sanctions Division
Whistleblowing mechanism
60640 Frankfurt am Main

Vous disposez en outre du droit de vous adresser, à tout moment, au contrôleur européen de la protection des données en ce qui concerne le traitement de vos données personnelles.

Informations complémentaires

Pour toute question concernant le traitement de vos données à caractère personnel ou vos droits, vous pouvez prendre contact avec le responsable de la protection des données à la BCE (dpo@ecb.europa.eu).