AJP Formation

Les CIP et les IFP, qui avaient jusqu'au 10 novembre 2022 pour se mettre en conformité avec le nouveau cadre juridique, disposent d'un délai supplémentaire de douze mois. L'AMF précise les modalités pratiques de leur agrément en qualité de PSFP.

Le règlement (UE) 2020/1503 du 7 octobre 2020, entré en application le 10 novembre 2021, habilite les seuls prestataires européens de services de financement participatif (PSFP) à fournir les services de financement participatif entrant dans son champ d’application, qu’ils portent sur des prêts (hors prêts à titres gratuit) ou sur des titres.

Les ordonnances n° 2021-1735 du 22 décembre 2021 et n° 2022-230 du 15 février 2022 mettent en conformité la législation française avec ce nouveau dispositif et prévoient, conformément au règlement européen, une période transitoire devant s’achever le 10 novembre 2022, durant laquelle la fourniture de services de financement participatif  par les conseillers en investissement participatif (CIF) et les intermédiaires en financement participatif (IFP) peut continuer à être délivrée selon le droit national existant.

Remarque : rappelons que ces textes suppriment, à l’issue de cette période transitoire, les régimes français de conseillers en investissements participatifs (CIP) et de prestataires de services d’investissement agréés pour fournir le service de conseil réalisant des offres de titres financiers au moyen d'un site internet (PSI crowdfunding au sens de l’ancienne rédaction de l'article L. 533-22-3 du code monétaire et financier). Le régime des intermédiaires en financement participatif (IFP) perdure uniquement pour les activités portant sur des prêts sans intérêts à titre gratuit et des dons.

Prolongation de la période transitoire jusqu’au 10 novembre 2023

Or, sur la base d’un avis de l’ESMA du 19 mai 2022, la Commission européenne a adopté, le 12 juillet 2022, un acte délégué prorogeant la période transitoire d’un an.

En conséquence, l’ordonnance n° 2022-1229 du 14 septembre 2022, prise sur habilitation de la loi n° 2021-1308 du 8 octobre 2022, modifie les ordonnances n°s 2021-1735 et 2022-230 susvisées et porte ainsi l’échéance de la période transitoire au 10 novembre 2023.

Par ailleurs, un décret n° 2022-1230 du même jour apporte des adaptations rédactionnelles à la partie réglementaire du code monétaire et financier, en lien avec les modifications apportées à la partie législative par l’ordonnance n° 2021-1735 du 22 décembre 2021 et le décret n° 2022-110 du 1^er février 2022.

Précisions de l'AMF sur le processus d’agrément des PSFP 

Jusqu’à l’expiration de la période transitoire, le régime européen peut coexister avec les régimes nationaux pour les plateformes existantes au 10 novembre 2021, lesquelles peuvent continuer à fournir leurs services et à proposer des offres sur minibons.

A l’expiration de la période transitoire (désormais prolongée jusqu’au 10 novembre 2023), seuls les prestataires agréés en qualité de PSFP pourront fournir des services de financement participatif au sein de l’Union européenne.

Dans un communiqué du 9 septembre 2022, l’AMF rappelle que la fourniture de services de financement participatif entrant dans le champ d’application du règlement (UE) 2020/1503 du 7 octobre 2020 nécessite un agrément préalable de sa part.

Elle indique que la procédure d’agrément comporte six étapes :

- avant le dépôt formel du dossier, présentation du projet à l’AMF ( prise de rendez-vous via le site psfp@amf-france.org) ;
- dépôt du dossier de demande d’agrément qui fait courir les délais d’instruction, notamment sur la complétude du dossier ;
- vérification que le dossier est bien complet éventuellement avec l’intervention de l’ACPR s’il comporte une composante « prêts » ;
- instruction de la demande ;
- accord ou refus d’agrément ;
- décision de l’AMF éventuellement après avis conforme de l’ACPR si le dossier comporte une composante « prêts ».

Ce descriptif est complété d’un schéma indiquant à chaque étape les délais d’instruction du dossier.

Par arrêté du 25 juillet 2022 sont transposées dans le règlement général de l'AMF les exigences des directives déléguées (UE) 2021/1269 et 2021/1270 concernant les risques et facteurs de durabilité à prendre en compte dans la gestion d'actifs.

Les modifications apportées par arrêté du 25 juillet 2022 (JO, 2 août) au livre III du règlement général de l’AMF intègrent les nouvelles exigences visant les PSI, les CIF et les sociétés de gestion d’OPCVM en matière de durabilité.

Remarque : les exigences qui visent les SGP gérant des FIA sont, quant à elles, directement édictées par le règlement délégué (UE) 2021/1255 et n’ont pas à être transposées dans le règlement général de l’AMF.

Prestataires de services d'investissement

La directive MIF 2 a prévu un certain nombre d’exigences organisationnelles relatives à la commercialisation des instruments financiers et des services d’investissement par les prestataires de services d’investissement (PSI). Ces exigences ont été précisées par la directive déléguée (UE) 2017/593, modifiée par la directive (UE) 2021/1269 en vue d’encourager la demande d’investissements durables chez les investisseurs. C’est cette dernière directive qui vient d’être transposée par arrêté du 25 juillet 2022 ; elle impose aux PSI qui produisent et distribuent des instruments financiers :

- de tenir compte de facteurs de durabilité dans la procédure d’approbation du produit et les autres dispositifs de gouvernance et de supervision. Les « facteurs de durabilité » sont définis par le règlement « SFDR » (UE) 2019/2088 comme étant « des questions environnementales, sociales et de personnel, le respect des droits de l’homme et la lutte contre la corruption et les actes de corruption » ;
- de préciser à quels groupes de clients, en fonction des objectifs spécifiques de ces derniers en matière de durabilité, l’instrument financier est censé être distribué : « le producteur définit avec un niveau de détail suffisant le marché cible potentiel de chaque instrument financier et précise le ou les types de clients qui ont des besoins, caractéristiques et objectifs, y compris, éventuellement, des objectifs en matière de durabilité, avec lesquels cet instrument financier est compatible » (Règl. gén. AMF, art. 313-11). L’article 313-11 modifié prévoit une exception à l’obligation, issue de la réglementation MIF 2, de déterminer un groupe de clients à qui le produit financier ne doit pas être proposé (marché cible négatif). Cette exemption est limitée aux produits intégrant des critères ESG ;
- de présenter de manière transparente les facteurs de durabilité d’un instrument financier (règl. gén. AMF, art. 313-15).

Ces dispositions entreront en vigueur le 22 novembre 2022 (arr. 25 juill. 2022, art. 2, 2°).

Conseillers en investissements financiers

Le régime des conseillers en investissements financiers (CIF) est complété pour tenir compte du règlement délégué (UE) 2021/1253 qui impose :

- d'inclure, lors de l’identification des types de conflits d’intérêts susceptibles de se produire en cas notamment de fourniture d’un service d’investissement, les conflits découlant de l’intégration des préférences du client en matière de durabilité (règl. gén. AMF, art. 325-28) ;
- de fournir aux clients une description, le cas échéant, des facteurs de durabilité pris en compte dans le processus de sélection des instruments financiers (règl. gén. AMF, art. 325-5);
- de tenir compte, dans les objectifs d’investissement des clients et clients potentiels, de leurs éventuelles préférences en matière de durabilité (règl. gén. AMF, art. 325-8, III) ;
- d’ajuster les procédures garantissant que le CIF comprenne la nature et les caractéristiques des services d’investissement et instruments financiers sélectionnés pour ses clients dans son offre globale, en y incluant leurs éventuels facteurs de durabilité (règl. gén. AMF, art. 325-8, VIII) ;
- de s’abstenir de recommander des instruments financiers ne correspondant pas aux préférences des clients ou clients potentiels en matière de durabilité, d'expliquer aux clients ou clients potentiels les raisons de cette abstention et de conserver un enregistrement de ces explications. Les clients ou clients potentiels peuvent modifier les informations relatives à leurs préférences en matière de durabilité si aucun instrument financier ne répond à leurs préférences (règl. gén. AMF, art. 325-8, IX) ;
- de mentionner, dans la déclaration d’adéquation, en quoi la recommandation est adaptée au client au regard de ses préférences en matière de durabilité (règl. gén. AMF, art. 325-17).

Par ailleurs, le régime des CIF est modifié du fait des exigences d’intégration de la durabilité prévues par la réglementation MIF 2 et la directive déléguée (UE) 2021/1269 en ce qu’elles imposent aux CIF certaines règles analogues à celles applicables aux entreprises d’investissement (règl. gén. AMF, art. 325-31).

Ces dispositions entreront en vigueur le 1er janvier 2023 (arr. 25 juill. 2022, art. 2, 3°).

Sociétés de gestion d’OPCVM

L’arrêté du 25 juillet transpose dans le règlement général de l’AMF la directive déléguée (UE) 2021/1270 concernant les OPCVM, en reprenant littéralement ses dispositions. Cette directive (comme le règlement délégué (UE) 2021/1255 concernant les gestionnaires de FIA) fait référence au « risque en matière de durabilité », tel que défini par le règlement « SFDR », comme étant « un événement ou une situation dans le domaine environnemental, social ou de la gouvernance qui, s’il survient, pourrait avoir une incidence négative importante, réelle ou potentielle, sur la valeur de l’investissement ».

Les procédures des sociétés de gestion d’OPCVM doivent tenir compte du risque de durabilité :

- dans leur politique de gestion des risques : elles doivent prendre ce risque en compte dans l’évaluation de l’exposition de l’OPC, au même titre que les autres risques existants (risques de contrepartie, de liquidité, de marché…) (règl. gén. AMF, art. 321-76 et 321-78) ;
- dans leurs procédures de prises de décision et leur structure organisationnelle, ainsi que dans leurs processus, systèmes et contrôles internes (règl. gén. AMF, art. 321-23) ;
- dans leur politique relative aux conflits d'intérêts : elles doivent inclure les conflits pouvant résulter de l'intégration de ce risque dans leurs processus, systèmes et contrôles internes (règl. gén. AMF, art. 321-47, II).

Enfin, les instances dirigeantes des sociétés de gestion sont rendues responsables de l’intégration de ce risque dans leur politique générale d’investissement, la stratégie d’investissement, la conformité, la politique d’investissement et politique de gestion des risques (règl. gén. AMF, art. 321-35).

Ces dispositions sont entrées en vigueur le 1^er août 2022 (arr. 25 juill. 2022, art. 2, 1°).

• Une définition des lanceurs d'alerte plus large

Le texte précise la définition du lanceur d'alerte, le champ des informations considérées comme une alerte et complète la liste des secrets applicables.

Sera reconnue comme lanceur d'alerte la personne physique qui signale ou divulgue, sans contrepartie financière directe et de bonne foi, des informations portant sur un crime, un délit, une menace ou un préjudice pour l'intérêt général, une violation ou une tentative de dissimulation d'une violation du droit international ou de l'Union européenne, de la loi ou du règlement.

Jusqu'ici le lanceur d'alerte doit agir "de manière désintéressée". Cette notion ambiguë est remplacée par une absence de contrepartie financière. Il s'agit d'assouplir la recevabilité de l'alerte notamment dans les cas où le lanceur d'alerte est en conflit avec son employeur, sans pour autant permettre sa rémunération (comme c'est la pratique aux États-Unis).

Selon la loi "Sapin 2", le lanceur d'alerte doit aussi avoir "personnellement" connaissance des faits qu'il signale. Cette condition est supprimée dans le contexte professionnel. Dans ce cadre, un lanceur d'alerte pourra ainsi signaler des faits qui lui ont été rapportés.

Les faits dénoncés pourront porter sur "des informations" sur un crime, un délit ou des violations du droit mais aussi sur des "tentatives de dissimulation" de ces violations. La violation de la règle n'aura plus à être "grave et manifeste".

Les parlementaires ont étendu les garanties offertes par la loi Sapin 2 aux lanceurs d'alerte qui relèveraient d'un dispositif spécifique de signalement. Le lanceur d'alerte bénéficiera des mesures les plus favorables de chaque dispositif. Ces garanties ne s'appliqueront toutefois pas au dispositif spécifique de signalement en matière de renseignements.

• Un nouveau statut pour l'entourage des lanceurs d'alerte

La loi "Sapin 2" ne prévoit rien sur l'entourage du lanceur d'alerte. Le texte, suivant la directive du 23 octobre 2019, étend certaines protections offertes aux lanceurs d'alerte, notamment la protection contre les représailles, aux personnes physiques et aux personnes morales à but non lucratif (syndicats et associations) qui sont en lien avec le lanceur d'alerte : facilitateurs qui aident à effectuer le signalement ou la divulgation, collègues, proches...

Avec ce nouveau statut pour les "facilitateurs", le lanceur d'alerte ne devrait plus être isolé.

• Les canaux de signalement simplifiés

C'est une des innovations principales de la directive de 2019. Les canaux dont dispose le lanceur d'alerte pour signaler des faits, s'il veut bénéficier d'une protection, sont simplifiés.

La loi "Sapin 2" hiérarchise les canaux d'alerte en trois temps :
- d'abord obligatoirement un signalement interne par l'intéressé dans son entreprise ou son administration ;
- ensuite en l'absence de traitement, un signalement externe (à l'autorité administrative ou judiciaire ou à un ordre professionnel) ;
- et en dernier recours une divulgation publique.

Cette hiérarchisation pose des difficultés : en cas de signalement interne, les risques de pressions et de représailles sont accrus. Par ailleurs, la procédure de signalement externe est complexe et peu connue.

La loi prévoit que le lanceur d'alerte pourra choisir entre le signalement interne et le signalement externe à l'autorité compétente, au Défenseur des droits, à la justice ou à un organe européen. La divulgation publique ne sera toujours possible que dans certaines situations. Après accord trouvé entre les parlementaires, l'alerte publique pourra intervenir en cas :
- d'absence de traitement à la suite d'un signalement externe dans un certain délai ;
- ou de risque de représailles ou si le signalement n'a aucune chance d'aboutir ;
- ou de "danger grave et imminent" ou, pour les informations obtenues dans un cadre professionnel, en cas de "danger imminent ou manifeste pour l'intérêt général".

Dans les cas de signalement ou de divulgation publique anonyme, un amendement des sénateurs permet aux personnes ayant vu leur identité révélée, comme les journalistes, d'obtenir le statut de lanceur d'alerte. Cet amendement renforce, conformément à la directive de 2019, la protection des sources.

Un décret précisera la liste des autorités compétentes pour recueillir et traiter les alertes externes, parmi les autorités administratives ou indépendantes, les ordres professionnels... Ce décret fixera les conditions et délais dans lesquels elles devront accuser réception des signalements (sept jours maximum) et fournir un retour d'information aux lanceurs d'alerte (trois mois ou six mois si cela est justifié).

Dans ce nouveau dispositif, le Défenseur des droits aura la charge d'orienter les lanceurs d'alerte et de réorienter les alertes lorsqu'une autorité externe ne s'estimera pas compétente. Tout au long de son parcours, le lanceur d'alerte pourra bénéficier de l'appui d'un nouvel adjoint au Défenseur des droits, dont les missions sont précisées par une proposition de loi organique.

• Des mesures de protection renforcées

Pour faciliter les alertes, la loi renforce les garanties de confidentialité qui entourent un signalement et complète la liste des représailles interdites (intimidation, atteinte à la réputation notamment sur les réseaux sociaux, orientation abusive vers des soins, inscription sur une liste noire…).

L'irresponsabilité des lanceurs d'alerte du fait de leur signalement est étendue. Le lanceur d'alerte ne pourra être inquiété ni civilement pour les préjudices que son signalement de bonne foi aura causés, ni pénalement pour avoir intercepté et emmené des documents confidentiels liés à son alerte, contenant des informations dont il aura eu accès de façon licite. Par exemple, un salarié à qui on montre un rapport prouvant qu'une usine déverse du mercure dans une rivière, aurait le droit de le subtiliser pour prouver les faits dont il a eu licitement connaissance.

Le texte entend également limiter le coût financier, parfois considérable, des procédures que doivent engager les lanceurs d'alerte. En début de procès, le juge pourra accorder une provision pour frais de justice au lanceur d'alerte qui conteste une mesure de représailles ou une procédure "bâillon" à son encontre (comme une plainte pour diffamation destinée à intimider et réduire au silence le lanceur d'alerte). Les députés ont prévu que le juge puisse allouer une provision supplémentaire au lanceur d'alerte dont la situation financière s'est gravement dégradée. Les députés ont en outre permis au juge de rendre ces provisions définitives à tout moment, c'est-à-dire même si le lanceur d'alerte perd son procès.

L'amende civile encourue en cas de procédure "bâillon" contre un lanceur d'alerte est portée 60 000 €.

Enfin, les lanceurs d'alerte pourront bénéficier de mesures de soutien psychologique et financier par les autorités externes, qu'elles aient été saisies directement ou via le Défenseur des droits.

Les sénateurs sont revenus sur la création d'un référé liberté "droit d'alerte" au profit des agents publics. Ils ont aligné la protection des militaires lanceurs d'alerte sur celle des fonctionnaires civils.

La formation restreinte de la CNIL a infligé une amende de 1,75 million d'euros à une société de groupe d'assurance mutuelle pour avoir manqué aux obligations du RGPD relatives aux durées de conservation et à l'information des personnes.

Cette sanction intervient à la suite d’un contrôle effectué par la CNIL en 2019 auprès d’un groupe de protection sociale et patrimoniale, lequel visait à vérifier la conformité des traitements mis en œuvre dans le cadre de sa mission de gestion des retraites complémentaires de salariés du secteur privé ainsi que de son activité assurantielle.

À cette occasion, la CNIL a constaté que la société de groupe d’assurance mutuelle (SGAM), en charge de coordonner l’activité assurantielle de prévoyance, dépendance, santé, épargne et retraite supplémentaire du groupe, conservait les données de millions de personnes pendant une durée excessive et ne respectait pas les obligations d’information dans le cadre de campagnes de démarchage téléphonique.

Sur la base de ces éléments, la formation restreinte de la CNIL a considéré que la société avait manqué à deux obligations fondamentales prévues par le RGPD :

- un manquement à l’obligation de limiter la durée de conservation des données (RGPD, art. 5.1 e) ;
- un manquement à l’obligation d’information des personnes (RGPD, art. 13 et 14).

Elle a ainsi prononcé une amende de 1 750 000 euros et a décidé de rendre publique sa décision.

Manquement à l’obligation de limiter la durée de conservation des données

Rappelons qu’aux termes de l’article 5.1 e) du RGPD, les données à caractère personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ».

En l’espèce, la société n’a pas mis en œuvre dans ses systèmes les durées de conservation qu’elle avait définies dans son référentiel, excepté s’agissant des traitements relatifs à la lutte contre le blanchiment, aux actions locales et aux données de santé. En conséquence, elle conservait les données personnelles de ses prospects et clients sur des durées excessives.

Conservation des données à caractère personnel des prospects

S’agissant des données des prospects, la société ne respectait pas la durée maximale de conservation de 3 ans fixée dans son référentiel et dans le registre des traitements du groupe. Les données de près de 2 000 clients n’ayant pas eu de contact avec la société depuis plus de 3 ans, parfois 5, étaient conservées.

Remarque : la durée de 3 ans constitue une durée de conservation proportionnée et conforme aux recommandations faites par la CNIL dans le cadre de la norme simplifiée n° NS-056 (délibération n° 2013-213, 11 juill. 2013) concernant les traitements automatisés de données relatifs à la gestion commerciale de clients et de prospects mis en œuvre par les organismes d’assurance, capitalisation, réassurance, assistance et par les intermédiaires d’assurance. Si depuis l’entrée en application du RGPD le 25 mai 2018, les normes simplifiées n’ont plus de valeur juridique, elles constituent toujours un point de repère pour les responsables de traitement, leur permettant de s’assurer de leur conformité. Pour tenir compte du RGPD, un guide actualisant le Pack de conformité assurance a été publié le 15 juillet dernier.

Conservation des données à caractère personnel des clients

S’agissant des données des clients, la société ne respectait pas les durées maximales de conservation légales prévues notamment par le code des assurances et le code de commerce. En l’occurrence, la société conservait les données de plus de 2 millions de clients, dont certaines de nature sensible (santé) ou particulière (coordonnées bancaires), au-delà des durées légales de conservation autorisées après la fin du contrat.

La formation restreinte de la CNIL a ainsi pu relever que les données de milliers de clients titulaires de contrats de type incendies, accidents et risques divers, lesquelles peuvent être conservées entre 2 ans après la fin du contrat (C. assur., art L. 114-1 fixant les délais de prescription des actions dérivant d’un contrat d’assurance, aucune autre finalité n’ayant été mise en avant par la société pour justifier d’une conservation à l’issue de l’expiration des contrats) et 10 ans pour certaines pièces comptables (C. com., art. L. 123-22), l’ont été pour des durées excédant 10 ans et parfois supérieures à 30 ans. Idem pour les données à caractère personnel de près de 100 000 clients titulaires de contrats épargne, épargne patrimoniale, retraite supplémentaire, obsèques et prévoyance, lesquelles peuvent être conservées pour des durées variables pouvant aller jusqu’à 30 ans après le dénouement du contrat pour la finalité de gestion des contentieux mais qui l’ont été pour une durée supérieure. Ou encore sur les données à caractère personnel de plus de 2 millions de clients, collectées dans le cadre des contrats santé, qui ont été conservées pour des durées excédant la durée légale de 5 ans suivant la résiliation du contrat (jusqu’à 30 ans !).

Enfin, hormis pour les données concernant les prestations de santé, il n’existait pas, au jour du contrôle, de mécanisme d’archivage permettant la conservation des données des clients à des fins comptables, fiscales ou contentieuses dans la limite des délais de prescription que ce soit en les transférant au sein d’une base d’archives dédiée ou en mettant en place des restrictions d’accès à ces données pour qu’elles ne puissent être consultées que par des personnes spécialement habilitées, ayant un intérêt à en connaître en raison de leurs fonctions (par exemple, le service en charge du contentieux).

Manquement à l’obligation d’information des personnes

Les articles 13 et 14 du RGPD imposent au responsable de traitement de fournir à la personne concernée différentes informations relatives notamment à son identité et ses coordonnées, aux finalités du traitement mis en œuvre, sa base juridique, les destinataires ou les catégories de destinataires des données, au fait que le responsable du traitement a l’intention d’effectuer un transfert de données vers un pays tiers. En outre, la réglementation impose, lorsque cela apparaît nécessaire pour garantir « un traitement équitable et transparent » des données personnelles en l’espèce, d’informer les personnes sur la durée de conservation des données, l’existence des différents droits dont bénéficient les personnes, l’existence du droit de retirer son consentement à tout moment et le droit d’introduire une réclamation auprès d’une autorité de contrôle.

En l’espèce, la société confiait à ses sous-traitants une partie des opérations de prospection téléphonique à mener auprès de ses clients et prospects. Or, l’information fournie aux personnes démarchées téléphoniquement par ces sous-traitants ne comportait pas l’ensemble des éléments exigés par le RGPD. En effet, les appels téléphoniques passés par les sous-traitants pouvaient être enregistrés sans que la personne contactée ne soit informée du principe de l’enregistrement ou de son droit à s’y opposer. De plus, aucune autre information n’était fournie aux personnes démarchées concernant les traitements relatifs à leurs données personnelles ou leurs autres droits. Enfin, les personnes ne se voyaient pas offrir la possibilité d’accéder à une information plus complète, par exemple en activant une touche sur leur téléphone ou par l’envoi d’un courriel.

Mesures correctrices

Des mesures ont été prises par la société à la suite du contrôle, puis au cours de la procédure pour atteindre la mise en conformité. La conformité est acquise s’agissant des données des prospects. S’agissant des données des clients, la société a pris des engagements fermes et documentés de la démarche de mise en conformité qu’elle a engagée et dont la réalisation partielle a été démontrée. Elle a également pris un engagement s’agissant de la date à laquelle elle sera entièrement en conformité sur ce point (fin 2022).

S’agissant du manquement à l’obligation d’information des personnes en application des articles 13 et 14 du RGPD, la formation restreinte prend acte de la mise en conformité de la société sur ce point. En effet, la société démontre avoir envoyé des instructions écrites à ses prestataires afin que soit délivrée une information complète aux personnes démarchées téléphoniquement pour son compte, et y avoir joint des scripts d’appels complétés des mentions d’information obligatoires. Par ailleurs, l’écoute des échantillons d’appels téléphoniques communiqués par la société atteste de la délivrance effective de ces informations aux personnes concernées.

Sanction et publicité

La formation restreinte rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative et pour la détermination de son montant, des critères précisés à l’article 83 du RGPD, tels que la nature, la gravité et la durée de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation. Elle rappelle également que les amendes administratives doivent être dissuasives mais proportionnées. Par ailleurs, l’activité de la société et sa situation financière doivent être prises en compte pour la détermination de la sanction et notamment, en cas d’amende administrative, de son montant.

En l’espèce, la société a fait preuve d’une négligence grave au regard de l’atteinte portée à des principes fondamentaux prévus par le RGPD et même si son résultat net a diminué de manière assez significative entre 2019 et 2020, la CNIL souligne que celui-ci reste largement positif. Le prononcé d’une amende de 1 750 000 euros apparaît donc justifié.

Enfin, la formation restreinte considère que la publicité de la sanction se justifie au regard du fait que les manquements aux principes élémentaires du RGPD relevés en l’espèce concernent un acteur majeur de la protection sociale et patrimoniale en France, qui gère les données à caractère personnel de millions de personnes. Dans ce contexte, la publicité de la sanction permet d’informer les personnes concernées de la nature et de l’étendue de ces manquements. Elle décide donc de rendre publique, sur le site de la CNIL et sur le site de Legifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai d’un an à compter de sa publication.

Comme tous les ans, l'ACPR publie un rapport sur l'activité de l'année écoulée.

Cette année, on note, dans le cadre du contrôle qu'elle exerce sur les professionnels du secteur banque et assurance, des décisions de sanction de la commission des sanctions (pages 64 et suivantes du rapport), notamment en sanctionnant la succursale française du groupe néerlandais ING Bank NV qui propose, d’une part, des services de banque en ligne à une clientèle de particuliers résidents fiscaux en France et, d’autre part, des prestations diversifiées à une clientèle principalement composée de grandes entreprises. La Commission a considéré que la classification des risques d’ING France était incomplète et inefficace, que son dispositif de suivi de ses relations d’affaires et de leurs opérations présentait de graves carences, de même que son organisation et ses procédures en matière de transferts de fonds. En outre, l’actualisation de la connaissance des clients était insuffisante, de même que la détection des personnes politiquement exposées (PPE) ainsi que la mise en place de mesures de vigilance appropriées pour cette catégorie de clientèle. Enfin, la mise en œuvre de ses obligations de vigilance, notamment de l’obligation d’adresser à TRACFIN une déclaration de soupçon (DS), était entachée de nombreuses insuffisances : ces manquements constituaient des carences importantes et révélaient que le dispositif LCB-FT d’ING France était globalement défaillant. Par ailleurs, la détection des personnes faisant l’objet d’une mesure de gel des avoirs n’était pas pleinement efficace.

C’est le 1^er juin 2022 (pour les nouveaux contrats uniquement, il a fallu attendre le 1^er septembre 2022 pour les contrats en cours), que le droit de résiliation infra-annuel (RIA) pour les contrats d’assurance garantissant un emprunt immobilier entre en vigueur, de même que la fin partielle du questionnaire de santé.

Des dispositions de la loi n° 2022-270 du 28 février 2022 pour un accès plus juste, plus simple et plus transparent au marché de l’assurance emprunteur, dite loi « Lemoine », qui a permis ces évolutions, sont désormais intégrées dans la fiche standardisée d’information (FSI), récemment modifiée par arrêté (Arr. 29 avr. 2015, NOR : FCPT1425918A : JO, 7 mai mod. par Arr. 27 mai 2022 : JO, 29 mai) : coût de l’assurance en euros sur les 8 premières années, suppression du questionnaire médical pour les emprunts n’excédant pas 200 000 € pour une échéance de remboursement avant les 60 ans de l’emprunteur, faculté de résilier le contrat à tout moment.

L’arrêté intègre également dans la FSI, comme le préconisait le Comité consultatif du secteur financier (CCSF) dans sa recommandation du 12 octobre 2021, une information sur le fait que « la garantie invalidité telle que prévue au contrat d’assurance emprunteur est indépendante de la notion d’invalidité retenue par la Sécurité sociale ou tout autre organisme compétent qui juge de l’inaptitude professionnelle. La reconnaissance d’un état d’invalidité par l’un de ces organismes ne s’impose pas à l’assureur, qui est tenu par la seule définition figurant au contrat ».

Le traitement des réclamations est une procédure à mettre en place, que l'on soit IOBSP, IAS ou CIF.

L’Autorité de contrôle prudentiel et de résolution (ACPR) a mis en ligne le 17 mai 2022 une nouvelle recommandation sur le traitement des réclamations. Faisant suite notamment à sa recommandation n° 2016-R-02 du 14 novembre 2016, elle sera applicable à compter du 31 décembre 2022. Par rapport à celle-ci, elle comporte les innovations décrites ci-après.

Si elle définit toujours la réclamation comme l’expression d’un mécontentement envers un professionnel, elle précise que celle-ci peut émaner de toute personne, y compris en l’absence de relation contractualisée avec le professionnel (art. 2). Dans une annexe, elle donne des exemples de mécontentement à traiter en réclamation : celui-ci peut porter par exemple sur les communications publicitaires, la teneur d’un discours commercial, la qualité d’accueil ou le refus d’octroi ou de souscription d’un produit ou service, y compris par une personne non-cliente.

Par ailleurs, le traitement des réclamations doit s’effectuer quel que soit leur canal d’expression, y compris à l’oral. Si une réclamation est formulée à l’oral, par téléphone ou dans un guichet, ou par messagerie instantanée (genre SMS) et que le réclamant n’est pas en mesure d’en obtenir une copie datée, il doit être invité à formaliser son mécontentement au moyen d’un support écrit durable s’il ne peut pas lui être donné immédiatement entière satisfaction (art. 3.1.1).

Comme par le passé, un accusé de réception doit être adressé dans les 10 jours maximum (sauf si une réponse sur le fond peut lui être donnée dans ce délai) et la réponse doit être donnée dans le délai de 2 mois maximum. Toutefois, les délais de réponse doivent être cohérents avec l’objet du mécontentement exprimé, en particulier lorsque celui-ci porte sur un délai d’exécution (art. 3.1.3). Par ailleurs, la réponse doit mentionner le médiateur susceptible d’être sollicité et les modalités pratiques de sa saisine. En ce qui concerne le médiateur de la consommation, la réponse doit préciser qu’en tout état de cause, il peut être saisi 2 mois après l’envoi de la première réclamation écrite (art. 3.2.2 et 3.2.3).

 Comme par le passé, les professionnels doivent identifier, au travers des réclamations et des demandes de médiation, les dysfonctionnements et autres, afin de prendre des mesures correctives pour y remédier. Mais ils doivent également analyser la qualité du dispositif de traitement des réclamations et, chaque année au moins, soumettre aux instances de gouvernance un rapport sur la qualité du dispositif mis en place, les dysfonctionnements constatés et les mesures correctives envisagées ou mises en œuvre (art. 3.3.1).

L’intermédiation financière non-bancaire (IFNB), connue jusqu’en 2018 sous le nom de « shadow banking » ou « finance de l’ombre », désigne un système de collecte de fonds et d’octroi de financements impliquant des acteurs qui n’appartiennent pas au système bancaire traditionnel, bien qu’ils puissent conduire des activités similaires à celles des banques.

L'ABC de l'économie publie un article sur cette activité vue à la loupe par TRACFIN pour éviter que ne se trament du blanchiment d'argent ou du financement du terrorisme par ce biais-là.

Voici une lecture qui peut vous intéresser.

Pour générer un effet immédiat sur le pouvoir d'achat, un déblocage exceptionnel de l'intéressement et de la participation est prévu, pour une durée limitée (L., art. 5). Ce déblocage concerne non seulement les salariés mais aussi les dirigeants et leurs conjoints bénéficiaires d'un tel dispositif. La mesure est entrée en vigueur le 18 août 2022.

Remarque : d'ici le 16 octobre 2022, l'employeur doit informer les salariés de son existence.

Pour quelle finalité ?

Le déblocage anticipé de l'épargne doit servir à :

- l'achat d'un ou plusieurs biens ;
- ou à la fourniture d'une ou plusieurs prestations de service.

L'organisme gestionnaire ou, à défaut, l'employeur, déclare à l'administration fiscale le montant des sommes débloquées. Le bénéficiaire doit tenir à la disposition de cette administration les pièces justificatives attestant de l'usage des sommes débloquées.

Jusqu'à 10 000 € bénéficiant d'exonérations sociales et fiscales

Peuvent être débloqués de manière anticipée les droits (titres, parts, actions ou sommes) issus de la participation ou de l'intéressement affectés avant le 1^er janvier 2022 sur un PEE, un PEI ou un compte courant bloqué (CCB) dans le cadre d'un régime d'autorité.

Une autre mesure phare de la loi consiste à rendre obligatoire la résiliation électronique des contrats d'assurance.

L’assureur devra mettre à la disposition des assurés une fonctionnalité gratuite leur permettant d’accomplir la notification et les démarches nécessaires à la résiliation du contrat ; en pratique, cette fonctionnalité devrait prendre la forme d'un « bouton » résiliation. L’assureur confirmera la réception de la notification et informera l’assuré sur support durable et dans des délais raisonnables de la date à laquelle le contrat prendra fin et des effets de la résiliation.

Des modifications législatives sont également introduites en ce sens aux codes de la mutualité (C . mut., art. L. 221-10-3) et de la sécurité sociale (CSS, art. L. 932-12-2 et L. 932-21-3).

Un décret fixera les modalités techniques de nature à garantir une identification du souscripteur ainsi qu’un accès facile, direct et permanent à cette fonctionnalité.

Ces dispositions entreront en vigueur, au plus tard, le 1^er juin 2023 et s'appliqueront aux contrats en cours d'exécution à cette date (L., art. 17, IV).

Un décret du 15 juin 2022 modifie la formation professionnelle continue et initiale des IOBSP. Elle s'effectue désormais dans le cadre d'un programme annuel de formation permettant de maintenir des compétences en matière juridique, économique et financière. Ce programme de formation devra être établi par les associations professionnelles agréées par l'ACPR, validé ensuite par arrêté du ministre de l'économie. Affaire à suivre!