Source: OJ L, 2024/1624, 19.6.2024

Current language: FR

Article 75 Échange d’informations dans le cadre de partenariats en matière de partage d’informations

    1. Les membres de partenariats en matière de partage d’informations peuvent échanger des informations entre eux lorsque cela est strictement nécessaire aux fins du respect des obligations prévues au chapitre III et à l’article 69 et en conformité avec les droits fondamentaux et les garanties procédurales juridictionnelles.

    1. Les entités assujetties ayant l’intention de participer à un partenariat en matière de partage d’informations en informent leurs autorités de surveillance respectives, qui, le cas échéant en concertation les unes avec les autres et avec les autorités chargées de vérifier le respect du règlement (UE) 2016/679, vérifient que le partenariat en matière de partage d’informations a mis en place des mécanismes pour assurer le respect du présent article et que l’analyse d’impact relative à la protection des données visée au paragraphe 4, point h), a été réalisée. La vérification a lieu avant le début des activités du partenariat en matière de partage d’informations. Le cas échéant, les autorités de surveillance consultent également les CRF.

    2. La responsabilité du respect des exigences du droit de l’Union ou du droit national continue d’incomber aux participants au partenariat en matière de partage d’informations.

    1. Les informations échangées dans le cadre d’un partenariat en matière de partage d’informations sont limitées:

      1. aux informations sur le client, y compris toute information obtenue lors de l’identification et de la vérification de l’identité du client et, le cas échéant, du bénéficiaire effectif, toute personne physique qui, en dernier ressort, possède ou contrôle une entité juridique, un trust exprès ou une construction juridique similaire; du client;

      2. aux informations sur l’objet et la nature envisagée de la relation d’affaires, une relation d’affaires, professionnelle ou commerciale liée aux activités professionnelles d’une entité assujettie, qui est mise en place entre une entité assujettie et un client, y compris en l’absence de contrat écrit, et qui est censée revêtir, au moment où le contact est établi, un caractère répétitif et durable, ou qui acquiert ultérieurement ce caractère; ou de la transaction à titre occasionnel entre le client et l’entité assujettie ainsi que, le cas échéant, l’origine du patrimoine et des fondsou «biens», les biens au sens de l’article 2, point 2), de la directive (UE) 2018/1673; du client;

      3. aux informations relatives aux transactions des clients;

      4. aux informations sur les facteurs de risques plus ou moins élevés associés au client;

      5. à l’analyse des risques associés au client menée par l’entité assujettie conformément à l’article 20, paragraphe 2;

      6. aux informations détenues par l’entité assujettie conformément à l’article 77, paragraphe 1;

      7. aux informations relatives aux soupçons en vertu de l’article 69.

    2. Les informations visées au premier alinéa ne sont échangées que dans la mesure où elles sont nécessaires aux fins de la réalisation des activités du partenariat en matière de partage d’informations.

    1. Les conditions suivantes s’appliquent au partage d’informations dans le cadre d’un partenariat en matière de partage d’informations:

      1. les entités assujetties enregistrent tous les cas de partage d’informations dans le cadre du partenariat;

      2. les entités assujetties ne se fondent pas uniquement sur les informations reçues dans le cadre du partenariat pour satisfaire aux exigences du présent règlement;

      3. les entités assujetties ne tirent pas de conclusions ni ne prennent de décisions ayant une incidence sur la relation d’affaires, une relation d’affaires, professionnelle ou commerciale liée aux activités professionnelles d’une entité assujettie, qui est mise en place entre une entité assujettie et un client, y compris en l’absence de contrat écrit, et qui est censée revêtir, au moment où le contact est établi, un caractère répétitif et durable, ou qui acquiert ultérieurement ce caractère; avec le client ou sur l’exécution de transactions à titre occasionnel pour le client sur la base d’informations reçues d’autres participants dans le cadre du partenariat en matière de partage d’informations sans avoir évalué ces informations; toute information reçue dans le cadre du partenariat qui est utilisée dans une évaluation donnant lieu à une décision de refus ou de cessation d’une relation d’affaires, une relation d’affaires, professionnelle ou commerciale liée aux activités professionnelles d’une entité assujettie, qui est mise en place entre une entité assujettie et un client, y compris en l’absence de contrat écrit, et qui est censée revêtir, au moment où le contact est établi, un caractère répétitif et durable, ou qui acquiert ultérieurement ce caractère; ou d’exécution d’une transaction à titre occasionnel est consignée dans les registres tenus conformément à l’article 21, paragraphe 3, et ce registre contient des références au fait que les informations proviennent d’un partenariat en matière de partage d’informations;

      4. les entités assujetties mènent leur propre évaluation des transactions impliquant des clients afin d’évaluer lesquelles peuvent être liées au blanchiment de capitaux, le comportement visé à l’article 3, paragraphes 1 et 5, de la directive (UE) 2018/1673, y compris le fait de se rendre complice de ce comportement, d’inciter à ce comportement et de tenter d’adopter ce comportement, que les activités à l’origine des biens à blanchir aient été exercées sur le territoire d’un État membre ou sur celui d’un pays tiers; la connaissance, l’intention ou la motivation requises pour qualifier ce comportement peuvent être déduites de circonstances de fait objectives; ou au financement du terrorisme, le comportement visé à l’article 11 de la directive (UE) 2017/541, y compris le fait de se rendre complice de ce comportement, d’inciter à ce comportement et de tenter d’adopter ce comportement, que ces activités soient exercées sur le territoire d’un État membre ou sur celui d’un pays tiers; la connaissance, l’intention ou la motivation requises pour qualifier ce comportement peuvent être déduites de circonstances de fait objectives; ou impliquer les produits d’activités criminelles;

      5. les entités assujetties mettent en œuvre des mesures techniques et organisationnelles appropriées, y compris des mesures permettant la pseudonymisation, afin de garantir un niveau de sécurité et de confidentialité proportionné à la nature et à l’étendue des informations échangées;

      6. le partage d’informations n’est effectué qu’en ce qui concerne les clients:

        1. dont le comportement ou les activités transactionnelles sont associés à un risque plus élevé de blanchiment de capitaux, le comportement visé à l’article 3, paragraphes 1 et 5, de la directive (UE) 2018/1673, y compris le fait de se rendre complice de ce comportement, d’inciter à ce comportement et de tenter d’adopter ce comportement, que les activités à l’origine des biens à blanchir aient été exercées sur le territoire d’un État membre ou sur celui d’un pays tiers; la connaissance, l’intention ou la motivation requises pour qualifier ce comportement peuvent être déduites de circonstances de fait objectives;, d’infractions sous-jacentes associées ou de financement du terrorisme, le comportement visé à l’article 11 de la directive (UE) 2017/541, y compris le fait de se rendre complice de ce comportement, d’inciter à ce comportement et de tenter d’adopter ce comportement, que ces activités soient exercées sur le territoire d’un État membre ou sur celui d’un pays tiers; la connaissance, l’intention ou la motivation requises pour qualifier ce comportement peuvent être déduites de circonstances de fait objectives; décelé conformément à l’évaluation des risques au niveau de l’Union et à l’évaluation nationale des risques effectuées conformément aux articles 7 et 8 de la directive (UE) 2024/1640;

        2. qui relèvent de l’une des situations visées aux articles 29, 30, 31 et 36 à 46 du présent règlement; ou

        3. pour lesquels les entités assujetties doivent recueillir des informations supplémentaires afin de déterminer s’ils sont associés à un niveau de risque plus élevé de blanchiment de capitaux, le comportement visé à l’article 3, paragraphes 1 et 5, de la directive (UE) 2018/1673, y compris le fait de se rendre complice de ce comportement, d’inciter à ce comportement et de tenter d’adopter ce comportement, que les activités à l’origine des biens à blanchir aient été exercées sur le territoire d’un État membre ou sur celui d’un pays tiers; la connaissance, l’intention ou la motivation requises pour qualifier ce comportement peuvent être déduites de circonstances de fait objectives;, d’infractions sous-jacentes associées ou de financement du terrorisme, le comportement visé à l’article 11 de la directive (UE) 2017/541, y compris le fait de se rendre complice de ce comportement, d’inciter à ce comportement et de tenter d’adopter ce comportement, que ces activités soient exercées sur le territoire d’un État membre ou sur celui d’un pays tiers; la connaissance, l’intention ou la motivation requises pour qualifier ce comportement peuvent être déduites de circonstances de fait objectives;;

      7. les informations générées par l’utilisation de l’intelligence artificielle, de technologies d’apprentissage automatique ou d’algorithmes ne peuvent être partagées que lorsque ces processus ont fait l’objet d’un contrôle humain adéquat;

      8. une analyse d’impact relative à la protection des données visée à l’article 35 du règlement (UE) 2016/679 est menée avant le traitement de toute donnée à caractère personnel;

      9. les autorités compétentes qui sont membres d’un partenariat en matière de partage d’informations n’obtiennent, ne fournissent et n’échangent des informations que dans la mesure où cela est nécessaire à l’exécution de leurs tâches au titre du droit de l’Union ou du droit national applicable;

      10. lorsque les autorités compétentes visées à l’article 2, paragraphe 1, point 44) c), du présent règlement participent à un partenariat en matière de partage d’informations, elles n’obtiennent, ne fournissent ou n’échangent des données à caractère personnel et des informations opérationnelles que conformément au droit national transposant la directive (UE) 2016/680 du Parlement européen et du Conseil(44)Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89). et aux dispositions applicables du droit national de la procédure pénale, y compris une autorisation judiciaire préalable ou toute autre garantie procédurale nationale requise;

      11. l’échange d’informations sur les transactions suspectes en application du paragraphe 3, point g), du présent article, n’a lieu que si la CRF à laquelle la déclaration de transaction suspecte a été présentée conformément à l’article 69 ou 70 a approuvé cette divulgation.

    1. Les informations reçues dans le cadre d’un partenariat en matière de partage d’informations ne sont pas transmises plus avant, excepté lorsque:

      1. les informations sont fournies à une autre entité assujettie conformément à l’article 49, paragraphe 1;

      2. les informations doivent figurer dans une déclaration présentée à la CRF ou être fournies en réponse à une demande d’une CRF conformément à l’article 69, paragraphe 1;

      3. les informations sont fournies à l’ALBC conformément à l’article 93 du règlement (UE) 2024/1620;

      4. les informations sont demandées par les autorités répressives ou judiciaires, sous réserve de toute autorisation préalable ou autre garantie procédurale requise par le droit national.

    1. Les entités assujetties qui participent à des partenariats en matière de partage d’informations définissent des politiques et des procédures en matière de partage d’informations dans leurs politiques et procédures internes établies conformément à l’article 9. Ces politiques et procédures:

      1. donnent des précisions sur l’évaluation qui doit être réalisée pour déterminer l’étendue des informations à partager et, lorsque la nature des informations ou les garanties judiciaires applicables le nécessitent, prévoient un accès différencié ou limité des membres du partenariat aux informations;

      2. décrivent les rôles et responsabilités des parties au partenariat en matière de partage d’informations;

      3. recensent les évaluations des risques que l’entité assujettie prendra en considération pour déterminer les situations présentant un risque plus élevé dans lesquelles des informations peuvent être partagées.

    2. Les politiques et procédures internes visées au premier alinéa sont élaborées avant la participation à un partenariat en matière de partage d’informations.

    1. Lorsque les autorités de surveillance le jugent nécessaire, les entités assujetties participant à un partenariat en matière de partage d’informations commandent un audit indépendant du fonctionnement de ce partenariat et en partagent les résultats avec les autorités de surveillance.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod