Opérations sur titres dans l'UE et dépositaires centraux de titres (DCT)

Résumé de l’avis du Contrôleur européen de la protection des données (CEPD) sur la proposition de la Commission de règlement du Parlement européen et du Conseil concernant l’amélioration du règlement des opérations sur titres dans l’Union européenne et les dépositaires centraux de titres (DCT) et modifiant la directive 98/26/EC.

Le CEPD se réjouit d’être consulté par la Commission et recommande qu’il soit fait référence à son avis dans le préambule du règlement proposé. L’avis rappelle que toute opération sur titres, boursière ou non, est suivie d’un traitement post-marché qui débouche sur son règlement, à savoir la livraison des titres à l’acheteur contre la livraison d’espèces au vendeur. Les dépositaires centraux de titres (DCT) (central securities depositories - CSD) jouent un rôle clé dans ce règlement en exploitant des systèmes de règlement des opérations sur titres. Les DCT assurent aussi l’enregistrement initial et la tenue centralisée de comptes de titres, qui enregistrent le nombre de titres émis et l’identité de chaque émetteur, ainsi que chaque changement de détenteur de ces titres.

D’un usage généralement sûr et efficace à l’intérieur des frontières nationales, les DCT ne présentent pas le même degré de sécurité en ce qui concerne les communications et les connexions internationales, de sorte qu’un investisseur court de plus gros risques et s’expose à des frais plus élevés lorsqu’il fait un investissement dans un autre État membre. La présente proposition vise à remédier à l’absence d’un marché interne unique et efficace pour les règlements alors que les opérations transnationales en Europe ne cessent d’augmenter et que les DCT deviennent de plus en plus interconnectés.

Recommandations du CEPD : la proposition contient des dispositions qui peuvent, dans certains cas, avoir des implications en matière de protection des données des personnes concernées, telles que les pouvoirs d’enquête des autorités compétentes, l’échange d’informations, la tenue de registres, l’externalisation d’activités, la publication de sanctions et la dénonciation d’infractions. Tout en saluant l’attention particulière accordée à la protection des données dans la proposition, le CEPD formule les recommandations suivantes :

• reformuler les dispositions en soulignant la totale applicabilité de la législation existante en matière de protection des données dans une disposition générale unique faisant référence à la directive 95/46/CE ainsi qu’au règlement (CE) n° 45/2001 et clarifier la référence à la directive 95/46/CE en précisant que les dispositions s’appliqueront conformément aux règles nationales qui mettent en œuvre la directive 95/46/CE. Le CEPD recommande en outre d’inclure ce type de disposition de fond dans une disposition importante de la proposition;
• limiter l’accès des autorités compétentes aux documents et aux informations à des violations graves et précisément identifiées de la proposition et lorsqu’il existe des raisons (qui doivent être étayées par une preuve initiale concrète) de suspecter qu’une infraction a été commise;
• introduire l’exigence pour les autorités compétentes de demander des documents et des informations par décision expresse, précisant la base juridique et la finalité de la demande, les informations requises, le délai imparti pour la production des informations ainsi que le droit du destinataire de faire réexaminer la décision par un tribunal;
• préciser le type d’informations à caractère personnel qui peuvent être traitées et transférées aux termes de la proposition, définir les finalités pour lesquelles les données à caractère personnel peuvent être traitées et transférées par les autorités compétentes et fixer une période de conservation des données proportionnée pour le traitement susmentionné ou au moins introduire des critères précis pour son établissement;
• au vu des risques encourus concernant les transferts de données vers des pays tiers, ajouter des garanties spécifiques telles que, par exemple, une appréciation au cas par cas et l’existence d’un niveau de protection adéquat des données à caractère personnel dans le pays tiers destinataire;
• remplacer la période minimale de conservation de 5 ans par une période maximale de conservation lorsque les dossiers contiennent des données à caractère personnel. La période choisie devrait être nécessaire et proportionnée à la finalité pour laquelle les données sont traitées;
• préciser que le DCT doit veiller à ce que le prestataire fournisse ses services en totale conformité avec les réglementations nationales, applicables au DCT, mettant en œuvre la directive 95/46/CE ;
• ajouter une disposition énonçant que l’identité de ces personnes devrait être garantie à tous les stades de la procédure, à moins que sa divulgation ne soit exigée par la législation nationale dans le contexte d’une enquête complémentaire ou de procédures judiciaires ultérieures ;
• apprécier la nécessité et la proportionnalité du système proposé de publication obligatoire de sanctions. Sous réserve du résultat de ce test de la nécessité et de la proportionnalité, dans tous les cas, prévoir des garanties adéquates pour le respect de la présomption d’innocence, le droit des personnes concernées à émettre une opposition, la sécurité/ justesse des données et leur effacement après un délai approprié.

Le CEPD note qu’il existe des dispositions comparables à celles mentionnées dans le présent avis dans plusieurs propositions en attente et éventuellement à venir, telles celles discutées dans les avis du CEPD concernant les European Venture Capital Funds et les European Social Entrepreneurship Funds, le paquet législatif concernant la révision de la législation bancaire, les agences de notation, les marchés d’instruments financiers (MiFID/ MiFIR) et l’abus de marché. En conséquence, le CEPD recommande de lire le présent avis en étroite conjonction avec ses avis du 10 février 2012 sur ces initiatives.