Menu

Déclaration de confidentialité sur le traitement des données à caractère personnel aux fins de la surveillance prudentielle exercée au sein du mécanisme de surveillance unique

La Banque centrale européenne (BCE) est amenée à traiter des données à caractère personnel dans le cadre de ses missions, de ses responsabilités et de ses pouvoirs en matière de surveillance prudentielle. Cette déclaration de confidentialité explique comment la BCE traite ces données à caractère personnel dans le cadre général de ses activités de surveillance prudentielle.

Cette page fournit également des détails sur les données à caractère personnel traitées par la BCE au titre des procédures d’agrément. Ces informations peuvent être consultées en cliquant sur les différentes procédures (agréments, participations qualifiées, évaluations de l’honorabilité et de la compétence, droit d’établissement ou retrait d’agrément) dans les listes ci-dessous.

Dans quel cadre juridique agissons-nous ?

Le règlement du Conseil (UE) no 1024/2013 du 15 octobre 2013 (règlement MSU) confie à la BCE des missions spécifiques ayant trait aux politiques en matière de surveillance prudentielle des établissements de crédit sur la base de l’article 127, paragraphe 6, du traité sur le fonctionnement de l’Union européenne (TFUE).

À des fins de surveillance prudentielle, la BCE a été investie des missions spécifiques visées à l’article 4 du règlement MSU, dans le cadre de l’article 6 dudit règlement, à l’égard des établissements de crédit établis dans a) les États membres de l’UE dont la monnaie est l’euro et b) les États membres de l’UE dont la monnaie n’est pas l’euro qui ont conclu des accords de coopération rapprochée avec la BCE conformément à l’article 7 du règlement MSU (les États membres participants). Le règlement (UE) no 468/2014 de la Banque centrale européenne du 16 avril 2014 (le règlement-cadre MSU) définit les règles et procédures régissant la coopération entre la BCE et les autorités compétentes nationales (ACN) des États membres participants.

La BCE pouvant collecter et traiter des données à caractère personnel dans l’accomplissement des missions de surveillance que lui confie le règlement MSU, elle est soumise à la législation européenne sur la protection des données, à savoir le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39-98).

Pourquoi exploitons-nous des données personnelles ?

La BCE collecte et traite des données à caractère personnel aux fins de l’accomplissement de ses missions et de l’exercice de ses responsabilités et pouvoirs de surveillance prudentielle, qui lui sont conférés par le règlement MSU (notamment ses articles 4, 5, 6, 7, 8 et 18). Les principales activités concernées sont :

  • Procédures d’agrément
    L’octroi des agréments

    En vertu de l’article 4, paragraphe 1, point a), du règlement MSU, la BCE est seule compétente pour autoriser l’accès à l’activité d’établissement de crédit dans un État membre participant, sous réserve de l’article 14 dudit règlement. Dans ce contexte, le rôle de la BCE est de veiller à ce que les nouveaux venus sur le marché bancaire soient sains et respectent le droit de l’Union et leur législation nationale. Elle évalue en particulier les niveaux de fonds propres des banques demandeuses, leur programme d’activités, leur organisation structurelle et l’aptitude de leurs dirigeants et de leurs principaux actionnaires. Les données à caractère personnel demandées sont donc nécessaires pour évaluer les critères utilisés pour autoriser l’accès à l’activité d’établissement de crédit.

    Participations qualifiées

    En vertu de l’article 4, paragraphe 1, point c), du règlement MSU, la BCE est seule compétente pour évaluer les notifications indiquant l’acquisition de participations qualifiées dans les établissements de crédit situés dans les États membres participants, sous réserve de l’article 15 dudit règlement. La BCE décide de s’opposer ou non à ces acquisitions sur la base des critères d’évaluation énoncés dans les dispositions pertinentes du droit de l’Union et/ou de la législation nationale concernée, conformément aux procédures qui y sont définies et dans les délais qui y sont prévus. Les données à caractère personnel demandées sont donc nécessaires pour évaluer les critères utilisés pour autoriser l’acquisition de participations qualifiées dans des établissements de crédit. Conformément à l’article 23, paragraphe 1, points a) à e), de la directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013, les critères suivants doivent être évalués afin de déterminer l’aptitude du candidat acquéreur et la solidité financière de l’acquisition envisagée :

    • la réputation et la solidité financière du candidat acquéreur ;
    • l’honorabilité et la compétence de tout membre de l’organe de direction et de tout membre de la direction générale qui assureront la direction des activités de l’établissement de crédit cible à la suite de l’acquisition envisagée ;
    • la capacité de l’établissement de crédit cible à continuer de respecter les exigences prudentielles ;
    • l’existence de motifs raisonnables de soupçonner qu’une opération de blanchiment de capitaux ou de financement du terrorisme est en cours, a eu lieu ou a été tentée en rapport avec l’acquisition envisagée, ou que l’acquisition envisagée pourrait en augmenter le risque.

    Évaluations de l’honorabilité et de la compétence

    Selon l’article 4, paragraphe 1, point e) du règlement MSU, la BCE doit veiller au respect du droit de l’Union applicable qui impose aux établissements de crédit des exigences en vertu desquelles ceux-ci devront employer des dispositifs solides en matière de gouvernance, y compris les exigences d’honorabilité et de compétences nécessaires à l’exercice des fonctions des personnes chargées de la gestion des établissements de crédit. Par conséquent, des données à caractère personnel sont collectées et traitées afin d’évaluer si les personnes responsables de la gestion des établissements de crédit importants satisfont à ces exigences d’honorabilité et de compétence. Les cinq critères évalués à cet égard concernent les aspects suivants : a) l’expérience de la personne ; b) sa réputation ; c) les conflits d’intérêts et l’indépendance d’esprit ; d) l’engagement de la personne dans l’institution en question ; et e) l’aptitude collective de l’organe de direction dans son ensemble.

    Retrait d’agrément

    En vertu de l’article 4, paragraphe 1, point a), et de l’article 6, paragraphe 4, du règlement MSU, la BCE est seule compétente pour retirer les agréments autorisant à mener l’activité d’établissement de crédit dans un État membre participant, sous réserve de l’article 14 dudit règlement, afin de garantir que seuls les établissements de crédit dotés a) d’une solide base économique, b) d’une organisation leur permettant d’assumer les risques spécifiques inhérents à la prise de dépôts et à l’octroi de crédits ainsi que c) d’un personnel de direction qualifié exercent les activités d’établissement de crédit. Les données à caractère personnel demandées sont donc nécessaires pour déterminer si les critères utilisés pour autoriser l’exercice de l’activité d’établissement de crédit continuent d’être remplis.

    Droit d’établissement dans un autre État membre participant

    Les établissements de crédit établis dans les États membres participants peuvent exercer le droit d’établissement sur le territoire d’un autre État membre participant. Les autorités compétentes nationales (ACN) doivent communiquer à la BCE (au moyen des procédures prévues dans le règlement-cadre MSU) toutes les informations que les établissements de crédit importants leur fournissent en vertu de l’article 35, paragraphe 2, de la directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 (y compris, entre autres, les informations sur les personnes appelées à être responsables de la direction de la succursale proposée et de ses principales fonctions). Toutes les données à caractère personnel demandées, visées dans les formulaires prévus par le règlement d’exécution (UE) no 926/2014 de la Commission du 27 août 2014 définissant des normes techniques d’exécution en ce qui concerne les formulaires, modèles et procédures normalisés pour les notifications relatives à l’exercice du droit d’établissement et à la libre prestation de services conformément à la directive 2013/36/UE du Parlement européen et du Conseil, sont nécessaires pour que la BCE puisse évaluer l’aptitude des personnes appelées à être responsables de la direction ou des principales fonctions de la succursale proposée. Les ACN notifient également à la BCE les informations (qui peuvent comprendre des données à caractère personnel) qu’elles reçoivent a) des établissements moins importants qui exercent le droit d’établissement sur le territoire d’un autre État membre participant et b) des établissements de crédit établis dans des États membres non participants qui exercent le droit d’établissement dans un État membre participant.

    Droit d’établissement dans un État membre non participant

    Les établissements de crédit importants établis dans les États membres participants peuvent exercer le droit d’établissement sur le territoire d’un État membre non participant (avec un « passeport sortant »). Dans de tels cas, la BCE est tenue d’exercer les pouvoirs de l’autorité compétente de l’État membre d’origine conformément aux procédures énoncées à l’article 17, paragraphe 1, du règlement-cadre MSU. Les pouvoirs de l’État membre d’origine en ce qui concerne le droit d’établissement des établissements de crédit sont définis à l’article 35 de la directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 et comprennent une évaluation de l’adéquation de la structure administrative de l’établissement de crédit concerné. À cette fin, l’établissement de crédit doit fournir des informations sur les personnes appelées à être responsables de la direction de la succursale proposée et de ses principales fonctions. Toutes les données à caractère personnel demandées, visées dans les formulaires prévus dans le règlement d’exécution (UE) no 926/2014 de la Commission du 27 août 2014 définissant des normes techniques d’exécution en ce qui concerne les formulaires, modèles et procédures normalisés pour les notifications relatives à l’exercice du droit d’établissement et à la libre prestation de services conformément à la directive 2013/36/UE du Parlement européen et du Conseil, sont nécessaires pour évaluer l’aptitude des personnes appelées à être responsables de la direction ou des principales fonctions de la succursale proposée. Les ACN notifient également à la BCE les informations reçues d’établissements moins importants concernant l’exercice du droit d’établissement sur le territoire d’un État membre non participant, qui peuvent inclure des données à caractère personnel.

  • Le contrôle du respect, par les établissements de crédit, du droit pertinent de l’Union imposant des exigences prudentielles (par exemple, les exigences en matière de fonds propres, les règles relatives à l’octroi de crédit aux parties liées et les règles régissant les politiques et les pratiques en matière de rémunération)
  • Les examens prudentiels (y compris les tests de résistance) et leur publication
  • L’application d’exigences relatives aux coussins de fonds propres et d’autres mesures visant à faire face aux risques systémiques ou macroprudentiels
  • Le transfert de données à caractère personnel à d’autres institutions, organes ou agences de l’Union, autorités de surveillance ou organisations internationales et administrations de pays tiers

La BCE peut également traiter les données à caractère personnel :

  • Afin de mener des recherches et des analyses quantitatives et d’établir des rapports statistiques à un niveau agrégé (dans ce cas, les données à caractère personnel seront agrégées et suffisamment anonymisées, de sorte que les personnes ne puissent pas être identifiées au niveau agrégé)
  • En faisant appel à la technologie (y compris le traitement automatisé et normalisé de l’information ainsi que les phases automatisées des processus décisionnels) afin d’améliorer l’accomplissement de ses missions de surveillance prudentielle. Dans ce cas, les personnes concernées ne seront pas soumises à des décisions fondées uniquement sur un traitement automatisé et ayant des effets juridiques (ou d’autres effets tout aussi significatifs) sur elles. Toutes les mesures techniques et organisationnelles appropriées seront mises en place pour assurer le respect du règlement (UE) 2018/1725.

Quel est le fondement juridique du traitement de vos données à caractère personnel ?

Le traitement des données à caractère personnel aux fins susmentionnées est nécessaire en vertu de l’article 5, paragraphe 1, points a) et b), du règlement (UE) 2018/1725, conjointement avec le règlement MSU.

Pour plus de détails sur les procédures d’agrément, voir ce qui suit :

L’octroi des agréments

En vertu de l’article 4, paragraphe 1, point a), et de l’article 6, paragraphe 4, du règlement MSU, la BCE est seule compétente pour autoriser les établissements de crédit à exercer l’activité d’établissement de crédit, sous réserve de l’article 14 dudit règlement. En vertu de l’article 14 du règlement MSU, toute demande d’agrément pour l’accès à l’activité d’établissement de crédit doit être soumise à l’ACN de l’État membre où l’établissement de crédit doit être établi, conformément aux exigences pertinentes du droit national. L’ACN concernée doit évaluer la demande et fournir à la BCE un projet de décision si tous les critères pertinents énoncés dans le droit national sont remplis. La BCE ne peut s’opposer au projet de décision que lorsque les conditions d’agrément prévues par les dispositions pertinentes du droit de l’Union ne sont pas remplies. Les conditions régissant l’octroi d’agréments sont évaluées conformément aux articles 8 à 14 de la directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 et/ou au droit national applicable. Les articles 73 à 79 du règlement-cadre MSU établissent les règles régissant la coopération entre les ACN et la BCE en ce qui concerne la procédure d’agrément.

Participations qualifiées

En vertu de l’article 4, paragraphe 1, point c), de l’article 6, paragraphe 4, et de l’article 15 du règlement MSU, la BCE a) est seule compétente pour évaluer les notifications indiquant l’acquisition de participations qualifiées dans les établissements de crédit et b) doit décider de s’opposer ou non à de telles acquisitions sur la base des critères d’évaluation énoncés dans la législation pertinente de l’Union (article 23, paragraphe 1, points a) à e), de la directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013) et/ou le droit national applicable, conformément aux procédures qui y sont définies et dans les délais qui y sont prévus. Les articles 85 à 87 du règlement-cadre MSU établissent les règles régissant la coopération entre les ACN et la BCE en ce qui concerne l’acquisition de participations qualifiées.

Évaluations de l’honorabilité et de la compétence

En vertu de l’article 4, paragraphe 1, point e), du règlement MSU, la BCE doit, aux fins de l’accomplissement de ses missions, veiller au respect du droit de l’Union et/ou du droit national applicable, qui impose aux établissements de crédit des exigences en vertu desquelles ils devront employer des dispositifs en matière de gouvernance, y compris les exigences d’honorabilité et de compétences nécessaires à l’exercice des fonctions des personnes chargées de la direction des établissements de crédit. En vertu de l’article 16, paragraphe 2, point m), du règlement MSU, la BCE a le pouvoir de démettre, à tout moment, de leurs fonctions les membres de la direction des établissements de crédit qui ne remplissent pas les obligations prévues dans le droit de l’Union applicable. En outre, l’article 91, paragraphe 1, de la directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 stipule que les membres de l’organe de direction d’un établissement de crédit doivent à tout moment disposer de l’honorabilité et des connaissances, des compétences et de l’expérience nécessaires à l’exercice de leurs attributions. Les articles 93 et 94 du règlement-cadre MSU énoncent les règles régissant l’évaluation, par la BCE, du respect des exigences d’honorabilité et de compétences nécessaires à l’exercice des fonctions des personnes chargées de la direction des établissements de crédit. Pour garantir que ces exigences d’honorabilité et de compétences soient satisfaites à tout moment, la BCE peut lancer une nouvelle évaluation fondée sur des faits nouveaux ou toute autre événement si elle informée de tout fait nouveau de nature à avoir une incidence sur une évaluation antérieure d’un membre d’un organe de direction.

Retrait d’agrément

En vertu de l’article 4, paragraphe 1, point a), du règlement MSU, la BCE est chargée de décider s’il y a lieu de retirer un agrément autorisant à mener l’activité d’établissement de crédit, sous réserve de l’article 14 dudit règlement. Cette procédure peut être engagée soit par l’ACN concernée, soit par la BCE, l’autorité nationale responsable de la résolution des établissements de crédit devant également être impliquée. Les articles 80 à 84 du règlement-cadre MSU établissent les règles régissant la coopération entre les ACN et la BCE en ce qui concerne le retrait des agréments autorisant à mener l’activité d’établissement de crédit.

Droit d’établissement dans un autre État membre participant

L’article 17, paragraphe 1, du règlement MSU prévoit que, entre États membres participants, les procédures prévues dans les dispositions pertinentes du droit de l’Union pour les établissements de crédit souhaitant établir une succursale sur le territoire d’un autre État membre et les compétences y afférentes des États membres d’origine et d’accueil ne s’appliquent qu’aux fins des missions qui ne sont pas confiées à la BCE au titre de l’article 4 dudit règlement. Les procédures régissant le mode d’interaction entre les ACN et la BCE en ce qui concerne le droit d’établissement des établissements de crédit importants sur le territoire d’un autre État membre participant sont définies à l’article 11, paragraphes 1 et 3, du règlement-cadre MSU. En vertu de ces dispositions, la BCE doit être notifiée de toutes les informations que les établissements de crédit importants fournissent aux ANC conformément à l’article 35, paragraphe 2, de la directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 (y compris les informations sur les personnes appelées à être responsables de la direction de la succursale proposée et de ses principales fonctions). Conformément à l’article 11, paragraphe 4, et à l’article 13, paragraphe 1, du règlement-cadre MSU, les ACN informent la BCE des notifications soumises par a) les établissements moins importants qui exercent le droit d’établissement sur le territoire d’un autre État membre participant et b) les établissements de crédit établis dans des États membres non participants qui exercent le droit d’établissement dans un État membre participant. Lorsqu’une succursale importante est établie dans un État membre participant par un établissement de crédit établi dans un État membre non participant, la BCE exerce les pouvoirs de l’autorité compétente de l’État membre d’accueil, conformément à l’article 14, paragraphe 1, du règlement-cadre MSU.

Droit d’établissement dans un État membre non participant

En vertu de l’article 4, paragraphe 1, point b), du règlement MSU, la BCE est compétente pour exercer les missions confiées à l’autorité compétente de l’État membre d’origine dans le cadre des dispositions pertinentes du droit de l’Union lorsqu’un établissement de crédit important établi dans un État membre participant souhaite établir une succursale dans un État membre non participant. Les pouvoirs de l’État membre d’origine en ce qui concerne le droit d’établissement des établissements de crédit sont définis à l’article 35 de la directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 et comprennent une évaluation de l’adéquation de la structure administrative de l’établissement de crédit concerné. À cette fin, l’établissement de crédit doit fournir des informations sur les personnes appelées à être responsables de la direction de la succursale proposée et de ses principales fonctions. Les procédures régissant le mode d’interaction entre les ACN et la BCE en ce qui concerne le droit d’établissement des établissements de crédit importants dans les États membres non participants sont définies à l’article 17, paragraphe 1, du règlement-cadre MSU. Conformément à l’article 4, paragraphe 1, point b), du règlement MSU et à l’article 17, paragraphe 2, du règlement-cadre MSU, les ACN informent la BCE des notifications soumises par les établissements moins importants concernant l’exercice du droit d’établissement dans un État membre non participant.

Qui est responsable du traitement de vos données personnelles ?

En vertu de l’article 3, paragraphe 8, du règlement (UE) 2018/1725, la BCE est responsable des opérations de traitement des données pour différents types de procédure de surveillance prudentielle dans le cadre de la supervision des établissements importants.

La BCE et les ACN sont conjointement responsables, dans l’exécution des missions de surveillance prudentielle qui leur sont confiées par le règlement MSU et le règlement-cadre MSU, à chaque fois qu’elles déterminent ensemble la finalité et les moyens des opérations de traitement des données. Conformément à l’article 28 du règlement (UE) 2018/1725 (et à l’article 26 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (le règlement européen général sur la protection des données), qui s’applique au traitement des données à caractère personnel par les ACN), un accord spécifique sera conclu entre les responsables conjoints du traitement afin de définir leurs responsabilités respectives. Les grandes lignes de l’accord seront publiées.

Pour plus de détails sur les procédures d’agrément, voir ce qui suit :

L’octroi des agréments

La BCE et les ACN sont conjointement responsables des opérations de traitement des données relatives à l’autorisation de l’accès à l’activité d’établissement de crédit (la « délivrance d’agrément ») dans le cadre de la surveillance prudentielle des établissements importants et moins importants.

Participations qualifiées

La BCE et les ACN sont conjointement responsables des opérations de traitement des données relatives aux participations qualifiées dans le cadre de la surveillance prudentielle des établissements importants et moins importants.

Évaluations de l’honorabilité et de la compétence

La BCE est responsable des opérations de traitement des données relatives aux évaluations de l’honorabilité et de la compétence dans le cadre de la surveillance prudentielle des institutions importantes.

Retrait d’agrément

La BCE et les ACN sont des conjointement responsables des opérations de traitement des données relatives au retrait des agréments autorisant à mener l’activité d’établissement de crédit dans le cadre de la surveillance prudentielle des établissements importants et moins importants.

Droit d’établissement dans un autre État membre participant

La BCE est responsable des opérations de traitement des données relatives au droit d’établissement dans un autre État membre participant dans le cadre de la surveillance prudentielle des établissements importants. En outre, les ACN informent la BCE lorsqu’elles reçoivent des notifications a) d’établissements moins importants qui exercent le droit d’établissement dans un autre État membre participant et b) d’établissements de crédit établis dans des États membres non participants qui exercent le droit d’établissement dans un État membre participant.

Droit d’établissement dans un État membre non participant

La BCE est responsable des opérations de traitement des données relatives au droit d’établissement dans un État membre non participant dans le cadre de la surveillance prudentielle des établissements importants. En outre, les ACN informent la BCE lorsqu’elles reçoivent des notifications d’établissements moins importants qui exercent le droit d’établissement dans un État membre non participant.

Qui reçoit vos données à caractère personnel ?

Lorsque la BCE traite des données à caractère personnel aux fins susmentionnées, les personnes suivantes ont accès à ces données en application stricte du principe du « besoin d’en connaître » :

  • un nombre limité de membres du personnel de la BCE (pour l’exécution de leurs tâches, y compris celles liées à la surveillance prudentielle des établissements de crédit) ;
  • un nombre limité de membres du personnel des ACN concernées (pour l’exécution des tâches liées à la surveillance prudentielle des établissements de crédit) ;
  • les membres du conseil de surveillance prudentielle et du Conseil des gouverneurs de la BCE ;
  • des experts extérieurs et des prestataires travaillant pour le compte de la BCE et fournissant des avis, des conseils et une assistance dans le cadre de la surveillance prudentielle des établissements de crédit (par exemple, des conseils juridiques) ;
  • un nombre limité de membres du personnel d’autres institutions, organes et agences de l’Union, d’autorités de contrôle et d’autorités nationales (par exemple, les parquets ou autres autorités en charge de la lutte contre le blanchiment de capitaux).

Quels types de données à caractère personnel sont traités ?

La BCE traite différents types de données à caractère personnel, selon les besoins spécifiques. Exemples de données :

  • informations relatives à la réputation, aux connaissances, aux compétences et à l’expérience des membres actuels et potentiels du conseil d’administration a) des établissements de crédit supervisés et b) des sociétés ayant l’intention d’acquérir ou de céder des participations qualifiées dans des établissements de crédit supervisés. Pour plus de détails sur les procédures d’agrément, voir ce qui suit :
L’octroi des agréments

Les données à caractère personnel traitées dans le cadre des procédures d’agrément comprennent, entre autres, les données relatives au programme d’activités et aux dispositifs en matière de gouvernance de l’établissement de crédit (qui peuvent comprendre des informations financières à caractère personnel, des données sur l’aptitude des actionnaires qualifiés ou des vingt principaux actionnaires et des informations sur l’aptitude des membres des organes de direction). Le projet de normes techniques d’exécution de l’ABE en vertu de l’article 8, paragraphe 2, de la directive 2013/36/UE du Parlement européen et du Conseil sur les informations à communiquer pour l’agrément des établissements de crédit, les exigences applicables aux actionnaires et aux associés qui détiennent une participation qualifiée et les obstacles susceptibles d’entraver le bon exercice des pouvoirs de surveillance (EBA/RTS/2017/08) fournit des détails complets sur les informations qui seront requises, dès leur entrée en vigueur, pour les demandes d’agrément. Des exemples de données à caractère personnel concernant l’établissement de crédit demandeur, ses actionnaires ou membres actuels ou futurs, les membres actuels ou futurs de ses organes de direction, les titulaires de fonctions-clés ou les fonctions de contrôle interne, ou toute autre partie affiliée (à la suite d’accords d’externalisation, de dispositifs de financement, etc.) figurent dans les sections sur les participations qualifiées et les évaluations de l’honorabilité et de la compétence.

Participations qualifiées

Sans préjudice du droit national, les types de données à caractère personnel suivants sont traités en relation avec l’acquisition de participations qualifiées, avec des informations couvrant à la fois a) les candidats acquéreurs directs ou indirects (personnes physiques ou, dans le cas de personnes morales, les membres de leurs organes de direction) et b) les personnes liées à ces candidats acquéreurs :

  • données personnelles (nom complet, numéro de carte d'identité/de passeport, nationalité, etc.) ;
  • coordonnées (adresse postale, adresse électronique, numéro de téléphone, etc.) ;
  • détail des connaissances, des compétences et de l’expérience (par exemple, des informations sur l’expérience professionnelle pratique acquise dans le cadre de fonctions antérieures et l’expérience théorique (connaissances et compétences) résultant de l’éducation et de la formation) ;
  • renseignements sur la réputation, tels que :
    • détails concernant le casier judiciaire, des enquêtes/procédures judiciaires pertinentes, des affaires civiles/administratives pertinentes ou des mesures disciplinaires (y compris l’exclusion en tant que directeur d’une société, la faillite, l’insolvabilité ou des procédures analogues) ;
    • une déclaration indiquant si des procédures judiciaires sont en cours ou si la personne ou toute organisation sous sa direction a déjà été impliquée en tant que débiteur dans une procédure d'insolvabilité ou des procédures comparables ;
    • détails sur toute enquête, procédure d’exécution ou sanction conduite ou imposée par une autorité de contrôle ;
    • renseignements sur tout refus d’enregistrement, d’autorisation, d’adhésion ou d’agrément concernant l’exercice d’une activité commerciale ou professionnelle ;
    • informations sur tout retrait, révocation ou annulation d’enregistrement, d’autorisation, d’adhésion ou d’agrément ;
    • informations sur toute expulsion ordonnée par une instance de régulation ou un organe public ;
    • renseignements sur tout licenciement, renvoi d’un poste de confiance ou d’une relation fiduciaire (ou d’une situation semblable) ou sur toute demande de démission d’un tel poste ;
  • données financières telles que :
    • informations sur la situation et l’assise financière de la personne, ses sources de revenus, ses avoirs et ses dettes, ses gages et cautions ;
    • notations et rapports publics sur les entreprises contrôlées ou dirigées par la personne concernée ;
    • notations et rapports publics sur la personne elle-même ;
  • informations sur la question de savoir si l’évaluation de la réputation de l’acquéreur ou de la personne dirigeant les activités d’un établissement financier a déjà été effectuée par une autre autorité de surveillance compétente dans le secteur financier (y compris des détails sur l’identité de cette autorité et la preuve du résultat de l’évaluation menée) ;
  • informations sur la question de savoir si une évaluation de la réputation de la personne a déjà été effectuée par une autre autorité compétente dans un secteur non financier (y compris des détails sur l’identité de cette autorité et la preuve des résultats de l’évaluation menée) ;
  • détails concernant toute relation financière (impliquant des opérations de crédit, des garanties, des gages, etc.) ou non financière (par exemple, un lien de parenté étroit ou une cohabitation) avec :
    • tout actionnaire actuel de l’établissement cible ;
    • toute personne habilitée à exercer un droit de vote dans l’établissement cible ;
    • l’établissement cible lui-même ou son groupe ;
  • détails de tout autre intérêt ou toute autre activité en conflit avec l’établissement cible et les solutions possibles à ces conflits d’intérêts.

Il convient également de se référer à la liste des informations recommandées par les Orientations communes relatives à l’évaluation prudentielle des acquisitions et des augmentations de participations qualifiées dans des entités du secteur financier (CEBS/2016/01) en ce qui concerne l’évaluation des acquisitions de participations qualifiées.

En outre, toutes les données à caractère personnel énumérées dans la section concernée et nécessaires pour procéder à une évaluation de l’honorabilité et de la compétence de personnes appelées à être nommées membres de l’organe de direction de l’établissement cible peuvent également être traitées dans le cadre de l’évaluation relative aux participations qualifiées.

Évaluations de l’honorabilité et de la compétence

L’annexe III des orientations communes de l’AEMF et de l’ABE sur l’évaluation de l’aptitude des membres de l’organe de direction et des titulaires de postes-clés au titre de la directive 2013/36/UE et de la directive 2014/65/UE (EBA/GL/2017/12) contient une liste d’informations à fournir aux autorités compétentes pour chaque évaluation d’aptitude.

Les données à caractère personnel suivantes sont traitées en rapport avec les évaluations de l’honorabilité et de la compétence :

  1. données à caractère personnel fournies par les personnes nommées (soit par écrit en réponse au questionnaire sur l’honorabilité et la compétence, soit oralement au cours d’entretiens), telles que :
    • données personnelles (nom complet, numéro de carte d'identité/de passeport, nationalité, etc.) ;
    • coordonnées (adresse postale, adresse électronique, numéro de téléphone, etc.) ;
    • détail des connaissances, des compétences et de l’expérience (par exemple, des informations sur l’expérience professionnelle pratique acquise dans le cadre de fonctions antérieures et l’expérience théorique (connaissances et compétences) résultant de l’éducation et de la formation) ;
    • informations relatives à la réputation, telles que les détails concernant tout casier judiciaire, les enquêtes/procédures judiciaires pertinentes, les affaires civiles/administratives pertinentes ou des mesures disciplinaires (y compris l’exclusion en tant que directeur d’une société, la faillite, l’insolvabilité ou des procédures analogues) ;
    • détails concernant tout conflit d’intérêts (par exemple un lien personnel étroit avec un membre d’un organe de direction, une opération commerciale privée importante avec l’établissement de crédit concerné ou un poste conférant une forte influence politique) ;
    • informations sur la disponibilité de la personne nommée pour l’établissement de crédit concerné (y compris, le cas échéant, des détails sur le temps consacré à d’autres activités professionnelles ou personnelles) ;
    • informations sur l’aptitude collective du conseil d’administration (par exemple en ce qui concerne la valeur ajoutée apportée par la personne nommée dans la composition globale du conseil d’administration) ;
  2. données à caractère personnel obtenues par l’autorité compétente par d’autres moyens (par exemple via les médias) ;
  3. données à caractère personnel concernant des tiers (plutôt que la personne nommée) ;
  4. toute observation faite par des membres du personnel de la BCE ou des ACN au sujet de la prestation de la personne nommée au cours de l’évaluation de l’honorabilité et de la compétence (par exemple des observations reflétant l’opinion du superviseur ou son évaluation de la personne nommée, notamment en ce qui concerne les connaissances et les compétences de celle-ci dans le domaine concerné) ;
  5. informations sur une éventuelle évaluation de l’honorabilité et de la compétence déjà été effectuée par une autre autorité de contrôle compétente (y compris des détails sur l’identité de cette autorité et les éléments ressortant de l’évaluation).

Retrait d’agrément

Les types de données à caractère personnel suivants (entre autres) peuvent être traités pour décider s’il y a lieu de retirer un agrément autorisant à mener l’activité d’établissement de crédit :

  • toutes les données à caractère personnel fournies dans le cadre d’une évaluation de participations qualifiées, de l’octroi d’un agrément ou d’une évaluation de l’honorabilité et de la compétence (voir les sections ad hoc ci-dessus) et qui sont nécessaires pour évaluer le retrait éventuel de l’agrément ;
  • toutes les données à caractère personnel figurant dans les informations relatives aux activités de l’établissement, dans ses déclarations concernant son statut et dans d’autres documents fournis en vertu de la législation nationale applicable et des règlements administratifs de l’établissement ;
  • toutes les données à caractère personnel figurant dans les informations relatives aux inspections sur place, au processus de contrôle et d’évaluation prudentiels, au lancement d’alertes, aux constats et mesures prudentiels, à la communication avec l’établissement de crédit et aux ordonnances et décisions de justice.

Droit d’établissement

Les données à caractère personnel traitées en rapport avec le droit d’établissement sont celles visées dans les formulaires énoncés dans le règlement d’exécution (UE) no 926/2014 de la Commission du 27 août 2014 définissant des normes techniques d’exécution en ce qui concerne les formulaires, modèles et procédures normalisés pour les notifications relatives à l’exercice du droit d’établissement et à la libre prestation des services conformément à la directive 2013/36/UE du Parlement européen et du Conseil.

  • les informations relatives aux personnes physiques associées à des établissements de crédit supervisés (par exemple en tant que membres du personnel ou clients) dans le cadre de la surveillance prudentielle sur place et sur pièces.

Cette liste n’est toutefois pas exhaustive. Pour plus d’informations, merci de nous envoyer un courriel à info@ecb.europa.eu.

Où vos données sont-elles transférées, traitées et stockées?

Dans le cadre de la coopération en matière de surveillance prudentielle, certaines données à caractère personnel peuvent être transmises en dehors de l’Espace économique européen (EEE) à des organisations internationales, à des autorités de surveillance et aux administrations de pays tiers.

Ces transferts peuvent être fondés sur une décision d’adéquation prise par la Commission européenne conformément à l’article 47 du règlement (UE) 2018/1725.

En l’absence d’une décision d’adéquation de la part de la Commission européenne, les données à caractère personnel ne peuvent, en vertu de l’article 48, paragraphe 1, du règlement (UE) 2018/1725, être transférées vers un pays tiers ou à une organisation internationale que si des garanties appropriées sont prévues et si les personnes concernées disposent de droits opposables et de voies de droit effectives.

En l’absence de décision d’adéquation ou de garanties appropriées, les transferts de données à caractère personnel vers des pays tiers ne peuvent avoir lieu qu’à titre exceptionnel sur la base de dérogations spécifiques prévues à l’article 50 du règlement (UE) 2018/1725 (en particulier à l’article 50, paragraphe 1, point d)).

Les données personnelles sont stockées dans un système informatique sécurisé protégé par des fonctions de chiffrement et d’authentification.

Combien de temps la BCE conserve-t-elle les données à caractère personnel ?

La BCE conserve les données à caractère personnel aussi longtemps qu’elles servent l’objectif de surveillance concerné, conformément aux règles de la BCE en matière de conservation des données.

Périodes de conservation pour les procédures d’agrément

La BCE stocke les données à caractère personnel relatives aux procédures d’agrément pour les durées maximales suivantes :

  • 15 ans à compter de la date de la demande ou de la notification si une demande est retirée avant qu’une décision formelle n’ait été prise ;
  • 15 ans à compter de la date d’une décision négative ;
  • dans le cas d’une décision positive, 15 ans à compter de la date à laquelle la personne concernée cesse d’être membre de la direction de l’établissement de crédit, titulaire d’une fonction-clé, actionnaire fondateur ou actionnaire qualifié, ou gestionnaire ou titulaire d’une fonction-clé pour une succursale ;
  • 15 ans à compter de la date d’adoption, par la BCE, d’une décision visant à retirer un agrément autorisant à mener l’activité d’établissement de crédit.
En cas d'ouverture de procédures administratives ou judiciaires, les périodes de rétention susmentionnées peuvent être prolongées et se terminer un an après la prise d’une décision définitive mettant un terme à ces procédures.

Des informations sur les périodes de conservation de données personnelles spécifiques peuvent être mises à disposition sur demande. Pour plus d’informations, merci de nous envoyer un courriel à info@ecb.europa.eu.

Quels sont vos droits ?

Vous avez le droit d’accéder à vos données à caractère personnel et de rectifier toute information erronée ou incomplète. Vous pouvez aussi (avec certaines restrictions) faire supprimer vos données à caractère personnel, en faire limiter le traitement ou vous opposer à celui-ci conformément au règlement (UE) 2018/1725.

Les exceptions et restrictions à ces droits peuvent s’appliquer conformément au règlement (UE) 2018/1725.

À qui pouvez-vous vous adresser en cas de questions ou pour formuler une demande ?

Vous pouvez exercer vos droits en nous écrivant à info@ecb.europa.eu.

Coordonnées pour les procédures d’agrément spécifiques

Les personnes concernées peuvent exercer leurs droits en envoyant un courrier électronique à la Division Agréments ou à la Division Évaluation de l’honorabilité et de la compétence de la BCE.

Pour toutes les questions relatives aux données à caractère personnel, vous pouvez aussi vous adresser directement au responsable de la protection des données en envoyant un courrier électronique à dpo@ecb.europa.eu.

S’adresser au contrôleur européen de la protection des données

Si vous estimez que le traitement de vos données à caractère personnel enfreint les droits que vous accordent le règlement (UE) 2018/1725 en tant que personne concernée, vous pouvez à tout moment déposer un recours devant le contrôleur européen de la protection des données.

Contrôleur européen de la protection des données

Informations complémentaires

Des informations complémentaires figurent dans l’avis rendu par le contrôleur européen de la protection des données le 3 novembre 2014 au sujet du traitement des données à caractère personnel aux fins des processus de surveillance prudentielle dans le cadre du mécanisme de surveillance unique.

Avis du CEPD