Source: OJ L 150, 9.6.2023, pp. 1–39

Article 25 Protection des données

1. Le traitement des données à caractère personnel effectué au titre du présent règlement est soumis au règlement (UE) 2016/679. Les données à caractère personnel qui sont traitées au titre du présent règlement par la Commission ou l’ABE sont soumises au règlement (UE) 2018/1725.
1. Les données à caractère personnel ne sont traitées par des prestataires de services de paiement: les catégories de prestataires de services de paiement visées à l’article 1er, paragraphe 1, de la directive (UE) 2015/2366, les personnes physiques ou morales bénéficiant d’une dérogation en vertu de l’article 32 de ladite directive et les personnes morales bénéficiant d’une exemption en vertu de l’article 9 de la directive 2009/110/CE, qui fournissent des services de transfert de fonds; et des prestataires de services sur crypto-actifs: un prestataire de services sur crypto-actifs tel qu’il est défini à l’article 3, paragraphe 1, point 15), du règlement (UE) 2023/1114, lorsqu’il fournit un ou plusieurs services sur crypto-actifs tels qu’ils sont définis à l’article 3, paragraphe 1, point 16), dudit règlement; sur la base du présent règlement qu’aux fins de la prévention du blanchiment de capitaux: les activités de blanchiment de capitaux visées à l’article 1er, paragraphes 3 et 4, de la directive (UE) 2015/849; et du financement du terrorisme: le financement du terrorisme tel qu’il est défini à l’article 1er, paragraphe 5, de la directive (UE) 2015/849; et ne font pas l’objet d’un traitement ultérieur d’une manière incompatible avec lesdites finalités. Le traitement des données à caractère personnel sur la base du présent règlement à des fins commerciales est interdit.
1. Les prestataires de services de paiement: les catégories de prestataires de services de paiement visées à l’article 1er, paragraphe 1, de la directive (UE) 2015/2366, les personnes physiques ou morales bénéficiant d’une dérogation en vertu de l’article 32 de ladite directive et les personnes morales bénéficiant d’une exemption en vertu de l’article 9 de la directive 2009/110/CE, qui fournissent des services de transfert de fonds; et les prestataires de services sur crypto-actifs: un prestataire de services sur crypto-actifs tel qu’il est défini à l’article 3, paragraphe 1, point 15), du règlement (UE) 2023/1114, lorsqu’il fournit un ou plusieurs services sur crypto-actifs tels qu’ils sont définis à l’article 3, paragraphe 1, point 16), dudit règlement; communiquent aux nouveaux clients les informations requises au titre de l’article 13 du règlement (UE) 2016/679 avant d’établir une relation d’affaires, une relation d’affaires, professionnelle ou commerciale liée aux activités professionnelles d’une entité assujettie, qui est mise en place entre une entité assujettie et un client, y compris en l’absence de contrat écrit, et qui est censée revêtir, au moment où le contact est établi, un caractère répétitif et durable, ou qui acquiert ultérieurement ce caractère; ou d’exécuter une transaction à titre occasionnel. Ces informations sont fournies sous une forme concise, transparente, compréhensible et aisément accessible conformément à l’article 12 du règlement (UE) 2016/679, et contiennent en particulier un avertissement général concernant les obligations légales des prestataires de services de paiement: les catégories de prestataires de services de paiement visées à l’article 1er, paragraphe 1, de la directive (UE) 2015/2366, les personnes physiques ou morales bénéficiant d’une dérogation en vertu de l’article 32 de ladite directive et les personnes morales bénéficiant d’une exemption en vertu de l’article 9 de la directive 2009/110/CE, qui fournissent des services de transfert de fonds; et des prestataires de services sur crypto-actifs: un prestataire de services sur crypto-actifs tel qu’il est défini à l’article 3, paragraphe 1, point 15), du règlement (UE) 2023/1114, lorsqu’il fournit un ou plusieurs services sur crypto-actifs tels qu’ils sont définis à l’article 3, paragraphe 1, point 16), dudit règlement; au titre du présent règlement lorsqu’ils traitent des données à caractère personnel aux fins de la prévention du blanchiment de capitaux: les activités de blanchiment de capitaux visées à l’article 1er, paragraphes 3 et 4, de la directive (UE) 2015/849; et du financement du terrorisme: le financement du terrorisme tel qu’il est défini à l’article 1er, paragraphe 5, de la directive (UE) 2015/849;.
1. Les prestataires de services de paiement: les catégories de prestataires de services de paiement visées à l’article 1er, paragraphe 1, de la directive (UE) 2015/2366, les personnes physiques ou morales bénéficiant d’une dérogation en vertu de l’article 32 de ladite directive et les personnes morales bénéficiant d’une exemption en vertu de l’article 9 de la directive 2009/110/CE, qui fournissent des services de transfert de fonds; et les prestataires de services sur crypto-actifs: un prestataire de services sur crypto-actifs tel qu’il est défini à l’article 3, paragraphe 1, point 15), du règlement (UE) 2023/1114, lorsqu’il fournit un ou plusieurs services sur crypto-actifs tels qu’ils sont définis à l’article 3, paragraphe 1, point 16), dudit règlement; veillent à tout moment à ce que la transmission de toute donnée à caractère personnel concernant les parties intervenant dans un transfert de fonds: toute transaction exécutée au moins en partie par voie électronique, pour le compte d’un donneur d’ordre, par l’intermédiaire d’un prestataire de services de paiement, dans le but de mettre des fonds à la disposition d’un bénéficiaire de fonds, par l’intermédiaire d’un prestataire de services de paiement, que le donneur d’ordre et le bénéficiaire de fonds, et que le prestataire de services de paiement du donneur d’ordre et celui du bénéficiaire de fonds, soient ou non la même personne, y compris:un virement au sens de l’article 4, point 24), de la directive (UE) 2015/2366;un prélèvement au sens de l’article 4, point 23), de la directive (UE) 2015/2366;une transmission de fonds au sens de l’article 4, point 22), de la directive (UE) 2015/2366, qu’elle soit nationale ou transfrontière;un transfert effectué à l’aide d’une carte de paiement, d’un instrument de monnaie électronique, d’un téléphone portable ou de tout autre dispositif numérique ou informatique qui permet de prépayer ou postpayer présentant des caractéristiques similaires; ou un transfert de crypto-actifs: toute transaction visant à déplacer des crypto-actifs d’une adresse de registre distribué, d’un compte de crypto-actifs ou d’un autre dispositif permettant le stockage de crypto-actifs vers une ou un autre, exécutée par au moins un prestataire de services sur crypto-actifs agissant pour le compte d’un initiateur ou d’un bénéficiaire de crypto-actifs, que l’initiateur et le bénéficiaire de crypto-actifs, et que le prestataire de services sur crypto-actifs de l’initiateur et celui du bénéficiaire de crypto-actifs, soient ou non la même personne; soit effectuée conformément au règlement (UE) 2016/679.
2. Le comité européen de la protection des données, après consultation de l’ABE, émet des orientations sur la mise en œuvre pratique des exigences en matière de protection des données pour les transferts de données à caractère personnel vers des pays tiers, tout pays ou territoire, tout État indépendant ou tout territoire autonome qui ne fait pas partie de l’Union et qui possède sa propre législation LBC/FT ou son propre régime d’application; dans le cadre des transferts de crypto-actifs: toute transaction visant à déplacer des crypto-actifs d’une adresse de registre distribué, d’un compte de crypto-actifs ou d’un autre dispositif permettant le stockage de crypto-actifs vers une ou un autre, exécutée par au moins un prestataire de services sur crypto-actifs agissant pour le compte d’un initiateur ou d’un bénéficiaire de crypto-actifs, que l’initiateur et le bénéficiaire de crypto-actifs, et que le prestataire de services sur crypto-actifs de l’initiateur et celui du bénéficiaire de crypto-actifs, soient ou non la même personne;. L’ABE émet des orientations sur les procédures appropriées pour déterminer s’il y a lieu d’effectuer, de rejeter, de renvoyer ou de suspendre un transfert de crypto-actifs: toute transaction visant à déplacer des crypto-actifs d’une adresse de registre distribué, d’un compte de crypto-actifs ou d’un autre dispositif permettant le stockage de crypto-actifs vers une ou un autre, exécutée par au moins un prestataire de services sur crypto-actifs agissant pour le compte d’un initiateur ou d’un bénéficiaire de crypto-actifs, que l’initiateur et le bénéficiaire de crypto-actifs, et que le prestataire de services sur crypto-actifs de l’initiateur et celui du bénéficiaire de crypto-actifs, soient ou non la même personne; dans les situations où le respect des exigences en matière de protection des données pour le transfert de données à caractère personnel vers des pays tiers, tout pays ou territoire, tout État indépendant ou tout territoire autonome qui ne fait pas partie de l’Union et qui possède sa propre législation LBC/FT ou son propre régime d’application; ne peut être garanti.

Relevant recitals

Considérant 19 Personal data processing requirements and intra-group data transfers

Le traitement des données à caractère personnel au titre du présent règlement devrait s’effectuer dans le strict respect du règlement (UE) 2016/679 du Parlement européen et du Conseil(¹⁷)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).. Le traitement ultérieur des données à caractère personnel à des fins commerciales devrait être strictement interdit. La lutte contre le blanchiment de capitaux: les activités de blanchiment de capitaux visées à l’article 1er, paragraphes 3 et 4, de la directive (UE) 2015/849; et le financement du terrorisme: le financement du terrorisme tel qu’il est défini à l’article 1er, paragraphe 5, de la directive (UE) 2015/849; est reconnue par tous les États membres comme un motif d’intérêt public important. Dans le cadre de l’application du présent règlement, il est impératif que le transfert de données à caractère personnel vers un pays tiers, tout pays ou territoire, tout État indépendant ou tout territoire autonome qui ne fait pas partie de l’Union et qui possède sa propre législation LBC/FT ou son propre régime d’application; soit effectué conformément au chapitre V du règlement (UE) 2016/679. Il est important que les prestataires de services de paiement: les catégories de prestataires de services de paiement visées à l’article 1er, paragraphe 1, de la directive (UE) 2015/2366, les personnes physiques ou morales bénéficiant d’une dérogation en vertu de l’article 32 de ladite directive et les personnes morales bénéficiant d’une exemption en vertu de l’article 9 de la directive 2009/110/CE, qui fournissent des services de transfert de fonds; et les prestataires de services sur crypto-actifs: un prestataire de services sur crypto-actifs tel qu’il est défini à l’article 3, paragraphe 1, point 15), du règlement (UE) 2023/1114, lorsqu’il fournit un ou plusieurs services sur crypto-actifs tels qu’ils sont définis à l’article 3, paragraphe 1, point 16), dudit règlement; actifs dans plusieurs pays ou territoires et disposant de succursales ou de filiales en dehors de l’Union ne soient pas empêchés de transférer au sein de la même organisation des données sur des transactions suspectes, pour autant qu’ils prennent les précautions nécessaires. De plus, les prestataires de services sur crypto-actifs: un prestataire de services sur crypto-actifs tel qu’il est défini à l’article 3, paragraphe 1, point 15), du règlement (UE) 2023/1114, lorsqu’il fournit un ou plusieurs services sur crypto-actifs tels qu’ils sont définis à l’article 3, paragraphe 1, point 16), dudit règlement; de l’initiateur: une personne qui détient un compte de crypto-actifs auprès d’un prestataire de services sur crypto-actifs, une adresse de registre distribué ou un dispositif permettant le stockage de crypto-actifs, et qui autorise un transfert de crypto-actifs à partir de ce compte, de cette adresse de registre distribué ou de ce dispositif ou, en l’absence d’un tel compte, d’une telle adresse de registre distribué ou d’un tel dispositif, une personne qui ordonne ou initie un transfert de crypto-actifs; et du bénéficiaire de crypto-actifs: la personne qui est le destinataire prévu du transfert de crypto-actifs;, les prestataires de services de paiement: les catégories de prestataires de services de paiement visées à l’article 1er, paragraphe 1, de la directive (UE) 2015/2366, les personnes physiques ou morales bénéficiant d’une dérogation en vertu de l’article 32 de ladite directive et les personnes morales bénéficiant d’une exemption en vertu de l’article 9 de la directive 2009/110/CE, qui fournissent des services de transfert de fonds; du donneur d’ordre: une personne qui est titulaire d’un compte de paiement et qui autorise un transfert de fonds depuis ce compte de paiement ou, en l’absence de compte de paiement, qui donne un ordre de transfert de fonds; et du bénéficiaire de fonds: la personne qui est le destinataire prévu du transfert de fonds;, ainsi que les prestataires de services de paiement intermédiaires: un prestataire de services de paiement qui n’est pas le prestataire de services de paiement du donneur d’ordre ou du bénéficiaire de fonds et qui reçoit et transmet un transfert de fonds pour le compte du prestataire de services de paiement du donneur d’ordre ou du bénéficiaire de fonds ou d’un autre prestataire de services de paiement intermédiaire; et les prestataires de services sur crypto-actifs intermédiaires: un prestataire de services sur crypto-actifs qui n’est pas le prestataire de services sur crypto-actifs de l’initiateur ou du bénéficiaire de crypto-actifs et qui reçoit et transmet un transfert de crypto-actifs pour le compte du prestataire de services sur crypto-actifs de l’initiateur ou du bénéficiaire de crypto-actifs ou d’un autre prestataire de services sur crypto-actifs intermédiaire;, devraient mettre en place des mesures techniques et organisationnelles appropriées destinées à protéger les données à caractère personnel contre la perte accidentelle, l’altération, ou la diffusion ou l’accès non autorisé.

Considérant 34 Data protection assessment for crypto-asset transfers to non-Union providers

Les crypto-actifs: un crypto-actif tel qu’il est défini à l’article 3, paragraphe 1, point 5), du règlement (UE) 2023/1114, sauf s’il relève des catégories énumérées à l’article 2, paragraphes 2, 3 et 4, dudit règlement ou s’il remplit, à un autre titre, les conditions pour être considéré comme des fonds; existent dans une réalité virtuelle sans frontières et peuvent être transférés à n’importe quel prestataire de services sur crypto-actifs: un prestataire de services sur crypto-actifs tel qu’il est défini à l’article 3, paragraphe 1, point 15), du règlement (UE) 2023/1114, lorsqu’il fournit un ou plusieurs services sur crypto-actifs tels qu’ils sont définis à l’article 3, paragraphe 1, point 16), dudit règlement;, que celui-ci soit enregistré ou non dans un pays ou territoire. De nombreux pays ou territoires en dehors de l’Union disposent, en matière de protection des données et de son application, de règles différentes de celles en vigueur dans l’Union. Lorsqu’il transfère des crypto-actifs: un crypto-actif tel qu’il est défini à l’article 3, paragraphe 1, point 5), du règlement (UE) 2023/1114, sauf s’il relève des catégories énumérées à l’article 2, paragraphes 2, 3 et 4, dudit règlement ou s’il remplit, à un autre titre, les conditions pour être considéré comme des fonds; pour le compte d’un client à un prestataire de services sur crypto-actifs: un prestataire de services sur crypto-actifs tel qu’il est défini à l’article 3, paragraphe 1, point 15), du règlement (UE) 2023/1114, lorsqu’il fournit un ou plusieurs services sur crypto-actifs tels qu’ils sont définis à l’article 3, paragraphe 1, point 16), dudit règlement; qui n’est pas enregistré dans l’Union, le prestataire de services sur crypto-actifs: un prestataire de services sur crypto-actifs tel qu’il est défini à l’article 3, paragraphe 1, point 15), du règlement (UE) 2023/1114, lorsqu’il fournit un ou plusieurs services sur crypto-actifs tels qu’ils sont définis à l’article 3, paragraphe 1, point 16), dudit règlement; de l’initiateur: une personne qui détient un compte de crypto-actifs auprès d’un prestataire de services sur crypto-actifs, une adresse de registre distribué ou un dispositif permettant le stockage de crypto-actifs, et qui autorise un transfert de crypto-actifs à partir de ce compte, de cette adresse de registre distribué ou de ce dispositif ou, en l’absence d’un tel compte, d’une telle adresse de registre distribué ou d’un tel dispositif, une personne qui ordonne ou initie un transfert de crypto-actifs; devrait évaluer la capacité du prestataire de services sur crypto-actifs: un prestataire de services sur crypto-actifs tel qu’il est défini à l’article 3, paragraphe 1, point 15), du règlement (UE) 2023/1114, lorsqu’il fournit un ou plusieurs services sur crypto-actifs tels qu’ils sont définis à l’article 3, paragraphe 1, point 16), dudit règlement; du bénéficiaire de crypto-actifs: la personne qui est le destinataire prévu du transfert de crypto-actifs; à recevoir et à conserver les informations requises en vertu du présent règlement conformément au règlement (UE) 2016/679, en utilisant, le cas échéant, les options disponibles au chapitre V du règlement (UE) 2016/679. Le comité européen de la protection des données devrait, après consultation de l’ABE, émettre des orientations sur la mise en œuvre pratique des exigences en matière de protection des données pour les transferts de données à caractère personnel vers des pays tiers, tout pays ou territoire, tout État indépendant ou tout territoire autonome qui ne fait pas partie de l’Union et qui possède sa propre législation LBC/FT ou son propre régime d’application; dans le cadre des transferts de crypto-actifs: toute transaction visant à déplacer des crypto-actifs d’une adresse de registre distribué, d’un compte de crypto-actifs ou d’un autre dispositif permettant le stockage de crypto-actifs vers une ou un autre, exécutée par au moins un prestataire de services sur crypto-actifs agissant pour le compte d’un initiateur ou d’un bénéficiaire de crypto-actifs, que l’initiateur et le bénéficiaire de crypto-actifs, et que le prestataire de services sur crypto-actifs de l’initiateur et celui du bénéficiaire de crypto-actifs, soient ou non la même personne;. Il pourrait arriver que des données à caractère personnel ne puissent pas être transmises en raison de l’impossibilité de satisfaire aux exigences du règlement (UE) 2016/679. L’ABE devrait émettre des orientations sur les procédures appropriées permettant de déterminer s’il y a lieu, en pareil cas, d’effectuer, de rejeter ou de suspendre le transfert de crypto-actifs: toute transaction visant à déplacer des crypto-actifs d’une adresse de registre distribué, d’un compte de crypto-actifs ou d’un autre dispositif permettant le stockage de crypto-actifs vers une ou un autre, exécutée par au moins un prestataire de services sur crypto-actifs agissant pour le compte d’un initiateur ou d’un bénéficiaire de crypto-actifs, que l’initiateur et le bénéficiaire de crypto-actifs, et que le prestataire de services sur crypto-actifs de l’initiateur et celui du bénéficiaire de crypto-actifs, soient ou non la même personne;.

Considérant 63 Fundamental rights and data protection compliance

Le présent règlement est soumis au règlement (UE) 2016/679 et au règlement (UE) 2018/1725 du Parlement européen et du Conseil(²³)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).. Il respecte les droits fondamentaux et observe les principes reconnus par la Charte des droits fondamentaux de l’Union européenne, en particulier le droit au respect de la vie privée et familiale (article 7), le droit à la protection des données à caractère personnel (article 8), le droit à un recours effectif et à accéder à un tribunal impartial (article 47) et le principe ne bis in idem.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.