L’impact de la loi informatique et libertés sur la collecte d’informations imposée par la MIF

Voilà plus d’un an que la directive européenne Marchés d’instruments financiers (MIF) est applicable en droit français, imposant notamment aux sociétés de gestion l’obligation de classifier leurs clients (contrepartie éligible, client professionnel ou non professionnel), afin de mieux les connaître et par conséquent, de leur procurer des produits et des services adaptés à leurs besoins et surtout à leur profil.

Cette obligation a contraint les sociétés de gestion à collecter des informations relatives à la situation patrimoniale et à la compétence en matière de connaissance financière de leurs clients particuliers et professionnels (par des Suitability tests et Appropriateness tests). Certes, beaucoup n’y ont vu que la concrétisation de l’obligation plus générale d’information et de conseil du prestataire de services d’investissement. Nombreux sont cependant les clients, principalement ceux de longue date, qui ont été surpris de devoir répondre aux questions, dont les réponses en pratique étaient souvent déjà connues de leur gérant, relatives à leur horizon d’investissement par classe d’actifs, la finalité de leur investissement, leur attente de volatilité annualisée par classe d’actifs, leur soumission éventuelle à des contraintes réglementaires ou internes et la composition de leur portefeuille d’investissements.

Pressées par la mise en place, souvent tardive, des procédures de classification, peu de sociétés de gestion s’étaient alors intéressées aux conséquences de la collecte de telles informations au regard de la protection des données à caractère personnel. Les interrogations avaient surtout porté sur le refus d’un client de répondre au questionnaire et l’absence d’uniformité de classification d’un même client au sein de différentes branches de la banque. Ainsi, les sociétés de gestion ont été amenées à collecter puis à constituer des fichiers stockant des données à caractère personnel de leurs clients. La durée d’archivage prévue par la MIF est de 5 ans.

Or, la loi Informatique et Libertés du 6 janvier 1978 dispose que la collecte et le stockage de données à caractère personnel relatives à une clientèle doivent faire l’objet d’une déclaration ou d’une demande d’autorisation à la Commission Nationale de l’Informatique et des Libertés (CNIL) en fonction, notamment, de la nature des données collectées et de l’usage qui en est prévu (notamment, le transfert de ces données hors Union Européenne).

Ce régime juridique peut se révéler contraignant.

Dans la mesure où la mise en œuvre de ce type de traitement est imposée par la loi, la collecte de telles données et leur utilisation requiert l’information, et non le consentement, du client. En tout état de cause, le client disposera, notamment, d’un droit d’accès et de rectification de ses données.

Par ailleurs, le fichier doit avoir un objectif précis. Les informations collectées doivent être cohérentes par rapport à la finalité déclarée du fichier et ne pourront pas être réutilisées de manière incompatible avec celle-ci. Le fichier doit également être sécurisé et les données contenues n’être accessibles qu’aux seules personnes autorisées.

Par conséquent, chaque société de gestion est contrainte de procéder auprès de la CNIL à la déclaration de ses traitements de données à caractère personnel et à l’information de ses clients, ce qui représente une masse de travail importante, très chronophage.

Aussi la profession, via l’Association Française de la Gestion financière, est entrée en contact avec la CNIL afin de solliciter son avis sur les obligations qu’impose la loi Informatique et Libertés aux sociétés de gestion et de tenter de définir une procédure visant à alléger leurs formalités de déclaration.

Comme pour les conseillers en gestion de patrimoine qui travaillent déjà sur un projet de normes simplifiées, le but serait d’obtenir l’adoption d’une norme simplifiée par la CNIL.

Il convient de rappeler que le non-respect de la règlementation Informatique et Libertés est sanctionnée à la fois administrativement par la CNIL (150.000 euros au premier manquement et jusqu’à 300.000 euros en cas de manquement réitéré dans les cinq années) et pénalement (notamment de 3 à 5 ans d’emprisonnement et jusqu’à 300.000 euros d’amende en fonction du délit commis).

Frédéric GUENIN, avocat & Cyril KARAM, avocat

Article publié pour la première fois dans "Option Finance n°1007" - 8 décembre 2008