📄 Texte de loi
1
PROJET DE LOI DU [--]
instituant un système électronique central de recherche de données concernant des
comptes de paiement et des comptes bancaires identifiés par un numéro IBAN et des
coffres-forts tenus par des établissements de crédit au Luxembourg et portant :
1. transposition :
a. de l'article Ier, points 19 et 29, de la directive (UE) 2018/843 du Parlement
européen et du Conseil du 30 mai 2018 modifiant la directive (UE) 2015/849
relative à la prévention de l'utilisation du système financier aux fins du
blanchiment de capitaux ou du financement du terrorisme ainsi que les
directives 2009/138/CE et 2013/36/UE ;
b. de l'article Ier, point 28, lettre d), de la directive (UE) 2019/878 du Parlement
européen et du Conseil du 20 mai 2019 modifiant la directive 2013/36/UE en
ce qui concerne les entités exemptées, les compagnies financières holding,
les compagnies financières holding mixtes, la rémunération, les mesures et
pouvoirs de surveillance et les mesures de conservation des fonds
propres ;
c. de l'article 64, point 5, de la directive (UE) 2019/2034 du Parlement européen
et du Conseil du 27 novembre 2019 concernant la surveillance prudentielle
des entreprises d'investissement et modifiant les directives 2002/87/CE,
2009/65/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE et 2014/65/UE ; et
2. modification:
a. de la loi modifiée du 12 novembre 2004 relative à la lutte contre le
blanchiment et contre le financement du terrorisme ;
b. de la loi modifiée du 5 juillet 2016 portant réorganisation du Service de
renseignement de l'Etat ;
c. de la loi du 30 mai 2018 relative aux marchés d'instruments financiers ; et
d. de la loi du 13 janvier 2019 instituant un Registre des bénéficiaires effectifs
I. EXPOSE DES MOTIFS
L'objet du présent projet de loi consiste à parachever la transposition de la directive (UE)
2018/843 du Parlement européen et du Conseil du 30 mai 2018 (dénommée ci-après « directive
(UE) 2018/843 » ou encore « 5eme directive ») modifiant la directive (UE) 2015/849 du Parlement
européen et du Conseil du 20 mai 2015 (dénommée ci-après « directive (UE) 2015/849 » ou
encore « 4eme directive ») relative à la prévention de l'utilisation du système financier aux fins du
blanchiment de capitaux ou du financement du terrorisme ainsi que les directives 2009/138/CE
et 2013/36/UE.
La directive (UE) 2018/843 fait l'objet d'une transposition en droit national par le biais de différents
textes de loi ou projets de loi. Afin d'achever sa transposition, le présent projet de loi vise à
instituer un système électronique central de recherche de données concernant des comptes de
2
paiement et des comptes bancaires identifiés par un numéro IBAN et des coffres-forts tenus par
des établissements de crédit au Luxembourg et à apporter des modifications ciblées à la loi
modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement
du terrorisme (ci-après « loi de 2004 ») ainsi qu'à la loi du 13 janvier 2019 instituant un Registre
des bénéficiaires effectifs.
L'article 32bis de la directive (UE) 2015/849 prévoit que les États membres doivent mettre en
place des mécanismes automatisés centralisés, tels que des registres centraux ou des systèmes
électroniques centraux de recherche de données, permettant l'identification, en temps utile, de
toute personne physique ou morale qui détient ou contrôle des comptes de paiement et des
comptes bancaires identifiés par un numéro IBAN, au sens du règlement (UE) n° 260/2012 du
Parlement européen et du Conseil, ainsi que des coffres-forts tenus par un établissement de
crédit établi sur leur territoire. De tels systèmes constituent en effet des moyens efficaces pour
obtenir un accès en temps utile et de manière non fragmentée aux informations sur l'identité des
titulaires de comptes bancaires et de comptes de paiement ainsi que de coffres-forts, de leurs
mandataires et de leurs bénéficiaires effectifs.
Il est ainsi proposé de mettre en place un système électronique central de recherche des données
mentionnées ci-dessus auprès de la Commission de surveillance du secteur financier (ci-après
« CSSF »). Ce système électronique central de recherche de données permettrait aux personnes
habilitées au sein des autorités nationales de rechercher des données dans le cadre de leurs
missions et enquêtes en matière de lutte contre le blanchiment et le financement du terrorisme.
Le système électronique central de recherche de données puise les données dans des fichiers
des professionnels soumis à cette loi afin de rapporter le résultat de la recherche sous forme
d'une vue d'ensemble. Il s'agit ainsi de prévoir des règles de création d'un fichier de données au
sein des professionnels soumis à cette loi ainsi que des règles de création et d'accès à un
système électronique central de recherche de données au sein de la CSSF.
Les modifications opérées par l'article ler, point 29, de la directive (UE) 2018/843 à l'article 47,
paragraphe ler, de la directive (UE) 2015/849 rendent une modification de la loi de 2004
nécessaire afin d'introduire des dispositions particulières applicables aux prestataires de services
d'actifs virtuels (ci-après « PSAV ») et aux prestataires de services aux sociétés et fiducies (ciaprès « PSSF »). Cette modification assure que les PSAV et les PSSF fassent l'objet d'une
surveillance conformément aux dernières mises-à-jour des standards internationaux en matière
de lutte contre le blanchiment et le financement du terrorisme. Ces modifications se basent en
cela sur les recommandations du Groupe d'action financière (ci-après « GAFI »).
Par ailleurs, la directive (UE) 2019/878 du Parlement européen et du Conseil du 20 mai 2019
modifiant la directive 2013/36/UE en ce qui concerne les entités exemptées, les compagnies
financières holding, les compagnies financières holding mixtes, la rémunération, les mesures et
pouvoirs de surveillance et les mesures de conservation des fonds propres (ci-après « directive
(UE) 2019/878 » ou « CRD V ») oblige les autorités prudentielles à informer immédiatement
l'Autorité bancaire européenne, ainsi que les autorités ou organismes en charge de la surveillance
des obligations en matière de lutte contre le blanchiment et le financement du terrorisme de tout
soupçon y relatif. Ces modifications rendent nécessaire une modification additionnelle de la loi
de 2004.
Le projet de loi modifie également la loi modifiée du 5 juillet 2016 portant réorganisation du
Service de renseignement de l'Etat afin d'y introduire la base légale permettant au Service de
3
renseignement de l'Etat de demander à la CSSF de recevoir les données faisant l'objet du présent
projet de loi.
Finalement, la loi du ier août 2019 concernant les mutuelles a modifié le référencement dans la
loi modifiée du 19 décembre 2002 concernant le registre de commerce et des sociétés ainsi que
la comptabilité et les comptes annuels des entreprises. Cette modification a eu pour effet de
potentiellement exclure une certaine catégorie de personnes morales du champ d'application de
la loi du 13 janvier 2019 instituant un Registre des bénéficiaires effectifs. Cette circonstance nonintentionnée est corrigée par le présent projet de loi en adaptant le renvoi en question.
II. TEXTE DU PROJET DE LOI
Titre ler. - Le système électronique central de recherche de données concernant des comptes de
paiement et des comptes bancaires identifiés par un numéro IBAN et des coffres-forts tenus par
des établissements de crédit au Luxembourg
Chapitre l er. — Définitions
Art. 1.
On entend aux fins du présent titre par :
1. « autorités nationales » : les autorités, administrations et entités suivantes :
2.
a)
le procureur général d'Etat, les procureurs d'Etat ainsi que les membres de leurs
parquets ;
b)
les juges d'instruction ;
c)
la Cellule de renseignement financier, dénommée ci-après « CRF » ;
d)
les agents de police judiciaire et officiers de police judiciaire affectés au Service de
Police Judiciaire, ainsi que les officiers de police judiciaire visés à l'article 10 du
Code de procédure pénale et agréés par le directeur général de la Police grandducale ;
e)
la Commission de surveillance du secteur financier, dénommée ci-après « CSSF » ;
f)
le Commissariat aux assurances, dénommé ci-après « CAA » ;
g)
l'Administration de l'enregistrement, des domaines et de la TVA, dénommée ciaprès « AED » ;
h)
le Service de renseignement de l'Etat ;
« bénéficiaire effectif » : le bénéficiaire effectif tel que défini à l'article 1er, paragraphe 7,
de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre
le financement du terrorisme ;
4
3. « établissement de crédit » : tout établissement de crédit au sens de l'article 1er, point 12)
de la loi modifiée du 5 avril 1993 relative au secteur financier établi au Luxembourg, y
compris les succursales au Luxembourg, au sens de l'article 1er, point 32) de ladite loi,
de tout établissement de crédit luxembourgeois ou dont le siège social est situé dans un
Etat membre ou dans un pays tiers ;
4. « Etat membre » : un Etat membre de l'Union européenne. Sont assimilés aux Etats
membres de l'Union européenne les Etats parties à l'Accord sur l'Espace économique
européen autres que les Etats membres de l'Union européenne, dans les limites définies
par cet accord et les actes y afférents ;
5. « organismes d'autorégulation » : les organismes visés à l'article 1er, point 21, de la loi
modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le
financement du terrorisme ;
6. « professionnels » : toute personne établie au Luxembourg, y compris les succursales
établies au Luxembourg, proposant des services de tenue de comptes de paiement ou
de comptes bancaires identifiés par un numéro IBAN, au sens du règlement (UE)
n° 260/2012 du Parlement européen et du Conseil du 14 mars 2012 établissant des
exigences techniques et commerciales pour les virements et les prélèvements en euros
et modifiant le règlement (CE) n° 924/2009, dénommé ci-après « règlement (UE)
n° 260/2012 », ainsi que tout établissement de crédit tenant des coffres-forts au
Luxembourg.
Chapitre 2. - Création par les professionnels d'un fichier de données et conservation de
données sur les titulaires de comptes bancaires, comptes de paiement ou coffres-forts
Art. 2.
(1)
Les professionnels mettent en place un fichier de données permettant l'identification de
toute personne physique ou morale qui détient ou contrôle des comptes de paiement ou
des comptes bancaires identifiés par un numéro IBAN, au sens du règlement (UE)
n° 260/2012, ainsi que des coffres-forts, le cas échéant, tenus au sein de tels
professionnels et dans lequel ils conservent les données suivantes :
a)
concernant tout titulaire d'un compte client et toute personne prétendant agir au nom
du client : le nom, complété par les autres données d'identification requises au titre
de l'article 3, paragraphe 2, lettre a), de la loi modifiée du 12 novembre 2004 relative
à la lutte contre le blanchiment et contre le financement du terrorisme. Ces données
peuvent être complétées par un numéro d'identification unique ;
b)
concernant le bénéficiaire effectif du titulaire d'un compte client : le nom, complété
par les autres données d'identification requises au titre de l'article 3, paragraphe 2,
lettre b), de la loi modifiée du 12 novembre 2004 relative à la lutte contre le
blanchiment et contre le financement du terrorisme. Ces données peuvent être
complétées par un numéro d'identification unique ;
c)
concernant le compte bancaire ou le compte de paiement : le numéro IBAN et la date
d'ouverture et de clôture du compte ; et
5
d) concernant le coffre-fort : le nom du locataire, complété par les autres données
d'identification requises au titre de l'article 3, paragraphe 2, de la loi modifiée du 12
novembre 2004 relative à la lutte contre le blanchiment et contre le financement du
terrorisme, ainsi que la durée de la période de location. Ces données peuvent être
complétées par un numéro d'identification unique.
(2)
Les données visées au paragraphe l er sont adéquates, exactes et actuelles. Le fichier de
données visé au paragraphe 1er est mis à jour sans délai après toute modification notifiée
au ou constatée par le professionnel.
(3)
Les durées de conservation de l'article 3, paragraphe 6, de la loi modifiée du 12 novembre
2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme
s'appliquent aux données contenues dans le fichier de données visé au paragraphe l er.
(4)
La structure du fichier et le détail des données visés au paragraphe l er sont définis par la
CSSF.
Le professionnel veille à ce que la CSSF ait à tout moment un accès automatisé
conformément à l'article 7 aux données saisies dans le fichier de données visé au
paragraphe l er au moyen d'une procédure définie par la CSSF.
Le professionnel veille à la complète confidentialité en ce qui concerne l'accès par la
CSSF conformément à l'article 7 au fichier de données visé au paragraphe 1er. Nonobstant
les vérifications en matière d'accès non autorisés conformément à l'alinéa 4, le
professionnel ne contrôle pas les accès de la CSSF conformément à l'article 7 au fichier
de données visé au paragraphe 1.
Le professionnel met en place, à ses frais, toutes les mesures nécessaires pour assurer
l'accès par la CSSF tel que défini à l'article 7 au fichier de données qui est sous la
responsabilité du professionnel. Celles-ci comprennent, dans chaque cas, conformément
à la procédure arrêtée par la CSSF, l'acquisition et la mise à jour du matériel nécessaire
et la mise en place de l'infrastructure nécessaire pour assurer la confidentialité et la
sauvegarde du secret professionnel ainsi que la protection contre les accès non autorisés,
l'installation d'une liaison de télécommunication adéquate et la participation au système
utilisateur fermé, ainsi que la fourniture continue desdits services au moyen de ces
installations.
(5)
Le professionnel est autorisé à déléguer à un tiers l'exercice pour son propre compte,
d'une ou de plusieurs des obligations prévues au présent article.
Toute externalisation se fait sur base d'un contrat de service conformément aux modalités
prévues à l'article 41, paragraphe 2b1s, de la loi modifiée du 5 avril 1993 relative au secteur
financier ou à l'article 30, paragraphe 2b1s, de la loi modifiée du 10 novembre 2009 relative
aux services de paiement.
Lorsqu'il a recours à l'externalisation, le professionnel conserve l'entière responsabilité du
respect de l'ensemble de ses obligations qui lui incombent en vertu de la présente loi.
L'externalisation de fonctions opérationnelles ne doit pas se faire de manière à empêcher
la CSSF de contrôler que les professionnels respectent les obligations qui leur incombent
en vertu de la présente loi.
6
Art. 3.
La CSSF surveille le respect par les professionnels des obligations prévues par le présent
chapitre.
Art. 4.
(1)
Aux fins d'application du présent chapitre, la CSSF est investie de tous les pouvoirs de
surveillance et d'enquête nécessaires à l'exercice de ses fonctions dans les limites
définies par le présent chapitre.
Les pouvoirs de la CSSF sont les suivants :
a)
d'avoir accès à tout document et à toute donnée sous quelque forme que ce soit et
d'en recevoir ou prendre copie ;
b)
de demander des informations à tout professionnel et, si nécessaire, de convoquer
tout professionnel et de l'entendre afin d'obtenir des informations ;
c)
de procéder à des inspections sur place ou des enquêtes, y compris de saisir tout
document, fichier électronique ou autre chose qui paraît utile à la manifestation de la
vérité, auprès des professionnels ou, le cas échéant, auprès du sous-traitant visé à
l'article 2, paragraphe 5 ;
d)
d'enjoindre aux professionnels ou, le cas échéant, au sous-traitant visé à l'article 2,
paragraphe 5 de mettre un terme à toute pratique contraire aux dispositions visées à
l'article 2, et de s'abstenir de la réitérer, dans le délai qu'elle fixe.
(2)
La CSSF est investie du pouvoir d'enjoindre aux professionnels de se conformer à leurs
obligations découlant de l'article 2.
(3)
Lorsqu'elle prononce l'injonction prévue au paragraphe ler, lettre d), ou au paragraphe 2,
la CSSF peut imposer une astreinte contre un professionnel ou, le cas échéant, un soustraitant visé à l'article 2, paragraphe 5, visé par cette mesure afin d'inciter ce professionnel
ou, le cas échéant, ce sous-traitant, à se conformer à l'injonction. Le montant de l'astreinte
par jour à raison du manquement constaté ne peut être supérieur à 1.250 euros, sans que
le montant total imposé à raison du manquement constaté puisse dépasser 25.000 euros.
Art. 5.
(1)
La CSSF a le pouvoir d'infliger les sanctions administratives et de prendre les autres
mesures administratives prévues au paragraphe 2 à l'égard des professionnels ainsi que,
le cas échéant, à l'égard des membres de leurs organes de direction, de leurs dirigeants
effectifs ou des autres personnes responsables du non-respect des obligations, lorsque
ces professionnels manquent à leurs obligations :
a)
de mettre en place le fichier de données et d'y conserver les données conformément
à l'article 2, paragraphe ler ainsi que d'assurer que ces données sont adéquates,
exactes, actuelles et mises à jour conformément à l'article 2, paragraphe 2 ;
b)
de fournir un accès aux données à la CSSF, conformément à l'article 2, paragraphe
4, alinéa ler, ou lorsque les professionnels fournissent sciemment accès à la CSSF à
des données qui sont incomplètes, inexactes ou fausses ;
7
c) d'assurer la complète confidentialité en ce qui concerne l'accès par la CSSF
conformément à l'article 7 au fichier de données visé à l'article 2, paragraphe I er.
(2)
Dans les cas visés aux paragraphes I er, la CSSF a le pouvoir d'infliger les sanctions
administratives suivantes et de prendre les mesures administratives suivantes :
a)
un avertissement ;
b)
un blâme ;
c)
une déclaration publique qui précise l'identité de la personne physique ou morale et
la nature de la violation ; ou
d)
des amendes administratives de 1.250 euros à 1.250.000 euros ou d'un montant
maximal de deux fois le montant de l'avantage tiré de la violation, lorsqu'il est possible
de déterminer celui-ci.
(3)
La CSSF peut prononcer une amende d'ordre de 250 à 250.000 euros à l'égard des
personnes physiques et morales qui font obstacle à l'exercice de leurs pouvoirs prévus à
l'article 4, paragraphe I er, qui ne donnent pas suite à leurs injonctions prononcées en vertu
de l'article 4, paragraphe I er, lettre d), ou de l'article 4, paragraphe 2 ou qui leur auront
sciemment donné des documents ou autres renseignements qui se révèlent être
incomplets, inexacts ou faux suite à des demandes basées sur l'article 4, paragraphe 1er.
(4)
Au moment de déterminer le type et le niveau des sanctions administratives, la CSSF tient
compte de toutes les circonstances pertinentes, y compris, le cas échéant :
a)
de la gravité et de la durée de la violation ;
b)
du degré de responsabilité de la personne physique ou morale tenue pour
responsable de la violation ;
c)
de la situation financière de la personne physique ou morale tenue pour responsable
de la violation, par exemple telle qu'elle ressort du chiffre d'affaires total de la
personne morale tenue pour responsable ou des revenus annuels de la personne
physique tenue pour responsable ;
d)
de l'avantage tiré de la violation par la personne physique ou morale tenue pour
responsable, dans la mesure où il est possible de le déterminer ;
e)
des préjudices subis par des tiers du fait de la violation, dans la mesure où il est
possible de les déterminer ;
f)
du degré de coopération de la personne physique ou morale tenue pour responsable
de la violation avec la CSSF ;
g)
des violations antérieures commises par la personne physique ou morale tenue pour
responsable.
(5)
Les frais exposés pour le recouvrement forcé des amendes sont à charge des personnes
auxquelles ces amendes ont été infligées.
(6)
La CSSF publie toute décision qui a acquis force de chose décidée ou force de chose
jugée et instituant une sanction ou une mesure administrative en raison d'un ou plusieurs
des manquements visés au paragraphe I er sur son site internet officiel immédiatement
après que la personne sanctionnée a été informée de cette décision. Cette publication
8
mentionne le type et la nature de la violation commise et l'identité de la personne
responsable.
La CSSF évalue au cas par cas le caractère proportionné de la publication de l'identité
des personnes responsables visées au alinéa ler ou des données à caractère personnel
de ces personnes. Lorsqu'elle juge cette publication disproportionnée ou lorsque cette
publication compromet la stabilité des marchés financiers ou une enquête en cours, la
CSSF :
a)
retarde la publication de la décision d'imposer une sanction ou une mesure
administrative jusqu'au moment où les raisons de ne pas la publier cessent d'exister ;
b)
publie la décision d'imposer une sanction ou une mesure administrative sur la base
de l'anonymat si cette publication anonyme garantit une protection effective des
données à caractère personnel concernées ; s'il est décidé de publier une sanction
ou une mesure administrative sur la base de l'anonymat, la publication des données
concernées peut être reportée pendant un délai raisonnable si l'on prévoit qu'à l'issue
de ce délai les raisons d'une publication anonyme auront cessé d'exister ;
c)
ne publie pas la décision d'imposer une sanction ou une mesure administrative,
lorsque les options envisagées aux lettres a) et b) sont jugées insuffisantes :
i) pour éviter que la stabilité des marchés financiers ne soit compromise ; ou
ii) pour garantir la proportionnalité de la publication de la décision, lorsque les
mesures concernées sont jugées mineures.
La CSSF veille à ce que tout document publié conformément au présent paragraphe
demeure sur leur site internet officiel pendant cinq ans après sa publication. Toutefois, les
données à caractère personnel mentionnées dans le document publié ne sont conservées
sur le site internet officiel de l'autorité de contrôle que pendant une durée maximale de 12
mois.
Art. 6.
Un recours en pleine juridiction est ouvert devant le Tribunal administratif à l'encontre des
décisions de la CSSF prises dans le cadre du présent chapitre. Le recours doit être introduit sous
peine de forclusion dans le délai d'un mois à partir de la notification de la décision attaquée.
Chapitre 3. — Création et gestion du système électronique central de recherche de
données
Art. 7.
(1)
La CSSF met en place et assure la gestion d'un système électronique central de
recherche de données, permettant l'identification, en temps utile, de toute personne
physique ou morale qui détient ou contrôle, au Luxembourg, des comptes de paiement ou
des comptes bancaires identifiés par un numéro IBAN, au sens du règlement (UE)
n° 260/2012, ainsi que des coffres-forts tenus par des établissements de crédit.
(2)
La CSSF peut accéder directement, immédiatement et sans filtre aux données saisies
dans le fichier de données visé à l'article 2, paragraphe ler, afin de s'acquitter de ses
missions en vertu du paragraphe ler. La CSSF accède aux données saisies dans les
9
fichiers de données des professionnels au moyen d'une procédure sécurisée et par un
personnel désigné.
Le système électronique central de recherche de données doit permettre un accès aux
données saisies dans le fichier de données visé à l'article 2 paragraphe 1er conformément
au chapitre 4.
(3)
Chapitre 4. — Accès au système électronique central de recherche de données
Art. 8.
(1)
Dans le cadre de ses missions, la CRF a accès au système électronique central de
recherche de données visé au chapitre 3 de manière directe, immédiate et non filtrée afin
d'effectuer des recherches dans les données visées à l'article 2, paragraphe 1er.
(2)
Les autorités nationales autres que celles visées au paragraphe 1er et les organismes
d'autorégulation peuvent, dans la mesure où cela est nécessaire dans l'accomplissement
des obligations qui leur incombent en matière de lutte contre le blanchiment et contre le
financement du terrorisme, demander à la CSSF, selon la procédure arrêtée par la CSSF
et selon les conditions du paragraphe 3, de recevoir sans délai les données visées à
l'article 2, paragraphe 1er.
(3)
Les autorités nationales et les organismes d'autorégulation désignent en leur sein un
nombre limité de personnes autorisées à accéder au système électronique central de
recherche de données conformément au paragraphe I er ou à demander la réception des
données conformément au paragraphe 2.
Les autorités nationales et les organismes d'autorégulation donnent la liste du personnel
spécifiquement désigné et autorisé à exécuter ces tâches à la CSSF et la mettent à jour
immédiatement après tout changement.
Les autorités nationales et les organismes d'autorégulation veillent, à ce que le personnel
habilité conformément au présent paragraphe, soit informé du droit de l'Union et du droit
national applicables, y compris les règles applicables en matière de protection des
données. A cet effet, les autorités nationales et les organismes d'autorégulation veillent,
à ce que le personnel habilité suive des programmes de formation spécialisés.
Art. 9.
(1)
La CSSF met en place, conformément à des normes technologiques élevées, des
mesures techniques et organisationnelles permettant de garantir la sécurité des données
accessibles par le système électronique central de recherche afin de veiller à ce que
seules les personnes habilitées conformément à l'article 8, paragraphe 3, aient accès aux
données accessibles par le système électronique central de recherche conformément au
présent chapitre.
(2)
La CSSF veille à ce que chaque accès en vertu de l'article 8, paragraphe 1er, aux données
accessibles par le système électronique central de recherche de données et chaque
recherche effectuée dans ces données soient consignés dans des journaux. Les journaux
mentionnent notamment les éléments suivants :
a) la référence du dossier ;
10
b)
la date et l'heure de la recherche ;
c)
le type de données utilisées pour lancer la recherche ;
d)
l'identifiant unique des résultats ;
e)
l'identifiant d'utilisateur unique de la personne habilitée qui a eu accès aux données
accessibles par le système électronique central de recherche de données et qui a
effectué la recherche et, le cas échéant, l'identifiant d'utilisateur unique du
destinataire des résultats de la recherche.
La CSSF veille à ce que chaque demande d'accès aux données accessibles par le
système électronique central de recherche de données et chaque recherche effectuée
dans ces données par le biais de la CSSF conformément à l'article 8, paragraphe 2, soient
consignés dans des journaux. Les journaux mentionnent notamment les éléments
suivants
(3)
a)
la référence du dossier au niveau de l'autorité nationale ou de l'organisme
d'autorégulation concerné ;
b)
la date et l'heure de la requête ou de la recherche ;
c)
le type de données utilisées pour demander de lancer la requête ou la recherche ;
d)
l'identifiant unique des résultats ;
e)
le nom de l'autorité nationale ou l'organisme d'autorégulation demandeur ;
f)
l'identifiant d'utilisateur unique de la personne habilitée qui a ordonné la requête ou
la recherche et, le cas échéant, l'identifiant d'utilisateur unique du destinataire des
résultats de la requête ou de la recherche.
Chapitre 5. — Traitement des données à caractère personnel
Art. 10.
(1)
Le traitement des données à caractère personnel en vertu de la présente loi est soumis
au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif
à la protection des personnes physiques à l'égard du traitement des données à caractère
personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE,
dénommé ci-après « règlement (UE) 2016/679 ».
(2)
Le traitement de données à caractère personnel sur base de la présente loi aux fins de la
prévention du blanchiment et du financement du terrorisme est considéré comme une
question d'intérêt public au titre du règlement (UE) 2016/679.
Titre II — Modification de la loi modifiée du 12 novembre 2004 relative à la lutte contre le
blanchiment et contre le financement du terrorisme
Art. 11.
La loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le
financement du terrorisme est modifiée comme suit :
11
1. Le chapitre 3 est complété par deux nouvelles sections 3 et 4, libellées comme suit :
« Section 3 : Dispositions particulières applicables aux prestataires de services d'actifs
virtuels
Art. 7-1.
(1) Sans préjudice de l'article 4 de la loi modifiée du 10 novembre 2009 relative aux
services de paiement, le présent article s'applique aux prestataires de services
d'actifs virtuels qui exercent des activités autres que la prestation de services de
paiement tels que visés à l'article ler, point 38, de ladite loi. Sont visés les
prestataires de services d'actifs virtuels établis ou qui fournissent des prestations de
services au Luxembourg.
(2) Les prestataires de services d'actifs virtuels visés au paragraphe ler doivent
s'enregistrer au registre des prestataires de services d'actifs virtuels établi par la
CSSF. Ils adressent à la CSSF une demande d'enregistrement, accompagnée des
informations suivantes :
a) le nom du requérant ;
b) l'adresse de l'administration centrale du requérant ;
c) une description des activités exercées, en particulier, une liste des types de
services d'actifs virtuels envisagés et leur qualification y afférente ;
d) une description des risques de blanchiment et de financement du terrorisme
auxquels le requérant sera exposé et des mécanismes de contrôle interne que
le requérant met en place pour mitiger ces risques et se conformer aux
obligations professionnelles définies dans la présente loi et dans le règlement
(UE) 2015/847 du Parlement européen et du Conseil du 20 mai 2015 sur les
informations accompagnant les transferts de fonds et abrogeant le règlement
(CE) n° 1781/2006, ou dans les mesures prises pour leur exécution.
La CSSF tient et met à jour le registre visé à l'alinéa ler et le publie sur son site
internet.
(3) L'enregistrement est subordonné à la condition que les personnes qui exercent une
fonction de direction au sein des entités visées au paragraphe ler et les bénéficiaires
effectifs desdites entités adressent à la CSSF les informations nécessaires pour justifier
de leur honorabilité professionnelle.
L'honorabilité s'apprécie sur base des antécédents judiciaires et de tous les éléments
susceptibles d'établir que les personnes visées à l'alinéa ler jouissent d'une bonne
réputation et présentent toutes les garanties d'une activité irréprochable.
Les personnes chargées de la gestion du prestataire de services d'actifs virtuels doivent
être au moins à deux et doivent être habilitées à déterminer effectivement l'orientation
de l'activité. Elles doivent posséder une expérience professionnelle adéquate.
Toute modification dans le chef des personnes visées aux alinéas ler à 3 doit être
notifiée à la CSSF et approuvée au préalable par celle-ci. La CSSF s'oppose au
changement envisagé si ces personnes ne jouissent pas d'une honorabilité
professionnelle adéquate et, le cas échéant, d'une expérience professionnelle
adéquate.
12
La CSSF peut demander tous renseignements nécessaires sur les personnes
susceptibles de devoir remplir les conditions légales d'honorabilité ou d'expérience
professionnelles.
(4) Lorsque les conditions énoncées au paragraphe (3) ne sont plus remplies ou si les
prestataires de services d'actifs virtuels visés au présent article ne respectent pas les
obligations prévues par les articles 2-2, 3, 3-1, 3-2, 3-3, 4, 4-1, 5 et 8-3, paragraphe (3),
la CSSF peut rayer les prestataires de services d'actifs virtuels du registre visé au
paragraphe (2).
(5) Toute décision prise par la CSSF en vertu du présent article peut être déférée dans le
délai d'un mois, sous peine de forclusion, au tribunal administratif qui statue comme
juge du fond.
(6) Le fait qu'un prestataire de services d'actifs virtuels est inscrit sur le registre visé au
paragraphe 2 ne doit en aucun cas et sous quelque forme que ce soit, être décrit comme
une appréciation positive faite par la CSSF de la qualité des services offerts.
Section 4 : Dispositions particulières applicables aux prestataires de services aux sociétés
et fiducies
Art. 7-2.
(1) Les prestataires de services aux sociétés et fiducies doivent s'enregistrer auprès de
l'autorité de contrôle ou l'organisme d'autorégulation dont ils relèvent en vertu de l'article
2-1. La demande d'enregistrement est accompagnée des informations suivantes :
a) dans le cas d'une personne physique requérante :
i) le nom et le ou les prénoms ;
ii) l'adresse privée précise ou l'adresse professionnelle précise mentionnant :
—pour les adresses au Grand-Duché de Luxembourg, la résidence habituelle
figurant dans le registre national des personnes physiques ou, pour les
adresses professionnelles, la localité, la rue et le numéro d'immeuble figurant
au registre national des localités et des rues, tel que prévu par l'article 2, lettre
g) de la loi modifiée du 25 juillet 2002 portant réorganisation de l'administration
du cadastre et de la topographie, ainsi que le code postal ;
—pour les adresses à l'étranger, la localité, la rue et le numéro d'immeuble à
l'étranger, le code postal et le pays ;
iii) pour les personnes inscrites au registre national des personnes physiques : le
numéro d'identification tel que prévu par la loi modifiée du 19 juin 2013 relative à
l'identification des personnes physiques ;
iv) pour les personnes non résidentes non inscrites au registre national des
personnes physiques : un numéro d'identification étranger ;
v) le ou les services prestés qui correspondent à un ou plusieurs des services visés
à l'article l er, paragraphe (8).
b) dans le cas d'une personne morale requérante :
i) la dénomination de la personne morale et, le cas échéant, l'abréviation et
l'enseigne commerciale utilisée ;
13
ii) l'adresse précise du siège de la personne morale ;
iii) s'il s'agit
—d'une personne morale immatriculée auprès du registre de commerce et des
sociétés de Luxembourg, le numéro d'immatriculation ;
—d'une personne morale non immatriculée auprès du registre de commerce et
des sociétés de Luxembourg, le cas échéant, le nom du registre auquel la
personne morale est immatriculée et le numéro d'immatriculation au registre, si
la législation de l'Etat dont elle relève prévoit un tel numéro ;
iv) le ou les services prestés qui correspondent à un ou plusieurs des services visés
à l'article 1er, paragraphe (8).
(2) Les autorités de contrôle peuvent dispenser des obligations visées au paragraphe 1er
les prestataires de services aux sociétés et fiducies qui relèvent de leur surveillance
prudentielle et qui sont déjà agréés ou autorisés à exercer l'activité de prestataire de
services aux sociétés et fiducies.
(3) Les autorités de contrôle et les organismes d'autorégulation se coordonnent afin
d'établir et de tenir à jour une liste des prestataires de services aux sociétés et fiducies
pour lesquels ils sont compétent en vertu de l'article 2-1.
Cette liste indique pour chaque prestataire de services aux sociétés et fiducies, l'autorité
de contrôle ou l'organisme d'autorégulation concerné ainsi que toute dispense accordée
en vertu du paragraphe (2).
(4) En ce qui concerne les prestataires de services aux sociétés et fiducies soumis au
pouvoir de surveillance d'un organisme d'autorégulation, les obligations prévues au
paragraphe I er sont considérées comme des obligations professionnelles découlant de
la législation en matière de lutte contre le blanchiment et contre le financement du
terrorisme au sens des articles 71, point Ibis et 100-1 de la loi modifiée du 9 décembre
1976 relative à l'organisation du notariat, des articles 32, point 4) et 46-1 de la loi
modifiée du 4 décembre 1990 portant organisation du service des huissiers de justice,
des articles 17, 19, point 6 et 30-1 de la loi modifiée du 10 août 1991 sur la profession
d'avocat, des articles 11, lettre f) et 38-1 de la loi modifiée du 10 juin 1999 portant
organisation de la profession d'expert-comptable et des articles 62, lettre d) et 78,
paragraphe 1er, lettre c), de la loi modifiée du 23 juillet 2016 relative à la profession de
l'audit. » ;
2. A l'article 8-4, paragraphe 1er, de la même loi, les mots « , 7-1, paragraphes (2) et (6),
et 7-2, paragraphe (1) » sont ajoutés après les mots « 4-1 et 5 » ;
3. A l'article 9 de la même loi, le mot « et » est remplacé par une virgule et les mots « , 71, paragraphes (2) et (6), et 7-2, paragraphe (1) » sont ajoutés après la lettre « 5 » ;
4. L'article 9-2 de la même loi est modifié comme suit :
a) A l'alinéa ler, les mots « peuvent fournir » sont remplacés par « fournissent » ;
b) L'article est complété par un alinéa 3 libellé comme suit :
« Lorsque dans le cadre de sa surveillance prudentielle d'un établissement CRR au
sens de l'article I er, paragraphe (11bis) de la loi modifiée du 5 avril 1993 relative au
secteur financier, un contrôle, en particulier l'évaluation des dispositifs de
14
gouvernance, du modèle d'entreprise et des activités de cet établissement, donne
à la CSSF des motifs raisonnables de soupçonner que, en lien avec cet
établissement, une opération ou une tentative de blanchiment de capitaux ou de
financement du terrorisme est en cours ou a eu lieu ou que le risque d'une telle
opération ou tentative est renforcé, la CSSF informe immédiatement l'Autorité
bancaire européenne. En cas de risque renforcé de blanchiment de capitaux ou de
financement du terrorisme, la CSSF communique immédiatement son évaluation à
l'Autorité bancaire européenne. Cet alinéa est sans préjudice des autres mesures
prises par la CSSF dans le cadre des missions qui lui incombent en matière de
surveillance prudentielle. Aux fins du présent alinéa, la CSSF veille à ce que les
services en charge de la surveillance prudentielle et en charge de la lutte contre le
blanchiment et contre le financement du terrorisme coopèrent et s'informent
mutuellement conformément à l'article 9-1bis. De même, la CSSF se concerte
conformément à l'article 9-2ter avec la Banque centrale européenne agissant
conformément au règlement (UE) n° 1024/2013 du Conseil du 15 octobre 2013
confiant à la Banque centrale européenne des missions spécifiques ayant trait aux
politiques en matière de surveillance prudentielle des établissements de crédit. Elles
communiquent immédiatement leur évaluation commune à l'Autorité bancaire
européenne. ».
Titre Ill — Modification de la loi modifiée du 5 juillet 2016 portant réorganisation du
Service de renseignement de l'Etat
Art. 12
A l'article 8, paragraphe l er, de la loi modifiée du 5 juillet 2016 portant réorganisation du Service
de renseignement de l'Etat, il est introduit un point a) ayant la teneur suivante :
« a) demander à la CSSF, selon la procédure arrêtée par la CSSF et selon les conditions de
l'article 8, paragraphe 3, de la loi du [*insérer la date de la présente loil instituant un
système électronique central de recherche de données concernant des comptes IBAN et
des coffres-forts, de recevoir sans délai les données visées à l'article 2, paragraphe l er,
de cette loi ; ».
Titre IV— Modification de la loi du 30 mai 2018 relative aux marchés d'instruments
financiers
Art. 13
A l'article 8, paragraphe l er, de la loi du 30 mai 2018 relative aux marchés d'instruments
financiers, il est ajouté après la première phrase, une deuxième phrase, qui prend la teneur
suivante :
« L'application des pas de cotation n'empêche pas les marchés réglementés d'apparier des
ordres d'une taille élevée au point médian entre les prix actuels acheteurs et vendeurs. ».
15
Titre V— Modification de la loi du 13 janvier 2019 instituant un Registre des bénéficiaires
effectifs
Art. 14
A l'article 1er, point 4°, de la loi du 13 janvier 2019 instituant un Registre des bénéficiaires effectifs,
la référence au point « 15° » est remplacée par la référence au point « 16° » ».
Titre VI — Dispositions finales
Art. 15
L'obligation de mise en place du fichier de données conformément à l'article 2, paragraphe I er
concerne les comptes de paiement et les comptes bancaires identifiés par un numéro IBAN, au
sens du règlement (UE) n° 260/2012, qui existent à la date d'entrée en vigueur de la présente loi
ainsi que les comptes qui seront ouverts postérieurement à cette date.
L'obligation de mise en place du fichier de données conformément à l'article 2, paragraphe 1er
concerne les coffres-forts en location à la date d'entrée en vigueur de la présente loi ainsi que les
coffres-forts qui seront mis en location postérieurement à cette date.
Art. 16
L'article 13 entre en vigueur le rinsérer date : 26 mars 2020, ou si la publication de la présente
loi est postérieure à cette date, la date de la publication de la présente loi au Journal officiel.
Art. 17
La référence à la présente loi se fait sous la forme suivante : « loi du ['insérer la date de la
présente 1011 instituant un système électronique central de recherche de données concernant
des comptes IBAN et des coffres-forts ».
16
III. COMMENTAIRE DES ARTICLES
Titre ler. - Le système électronique central de recherche de données concernant des comptes de
paiement et des comptes bancaires identifiés par un numéro IBAN et des coffres-forts tenus par
des établissements de crédit au Luxembourg
Le titre ler du présent projet de loi vise à instituer un système électronique central de recherche
de données concernant des comptes de paiement et des comptes bancaires identifiés par un
numéro IBAN ou concernant des coffres-forts tenus par des établissements de crédit au
Luxembourg; Il transpose ainsi l'article 32bis de la directive (UE) 2015/849 du Parlement
européen et du Conseil du 20 mai 2015 relative à la prévention de l'utilisation du système financier
aux fins du blanchiment de capitaux ou du financement du terrorisme ainsi que les directives
2009/138/CE et 2013/36/UE (dénommée ci-après « directive (UE) 2015/849 » ou encore « eine
directive »), tel qu'introduit par l'article Ier, point 19, de la directive (UE) 2018/843 du Parlement
européen et du Conseil du 30 mai 2018 modifiant la directive (UE) 2015/849 relative à la
prévention de l'utilisation du système financier aux fins du blanchiment de capitaux ou du
financement du terrorisme ainsi que les directives 2009/138/CE et 2013/36/UE (ci-après
« directive (UE) 2018/843 » ou encore « 5ème directive »).
Chapitre ler. — Définitions
Article 1er
L'article Ier définit certaines notions qui sont employées de manière récurrente dans le titre ler
de la loi en projet.
Les « autorités nationales » comprennent d'une part les autorités publiques qui sont
compétentes en matière de lutte contre le blanchiment et le financement du terrorisme.
L'énumération au point Ier englobe les autorités judiciaires (lettres a) et b)), la Cellule de
renseignement financier (lettre c)), les autorités policières (lettre d)), les autorités de contrôle qui
sont chargées de veiller au respect par les professionnels sous leur surveillance de leurs
obligations professionnelles en matière de lutte contre le blanchiment et contre le financement du
terrorisme (lettres e), f) et g)) et le Service de renseignement de l'Etat (lettre h)).
Concernant les autorités policières, la lettre d) du point 1 désigne les agents de police judiciaire
et officiers de police judiciaire affectés au Service de Police Judiciaire, ainsi que les officiers de
police judiciaire visés à l'article 10 du Code de procédure pénale et agréés par le directeur général
de la Police grand-ducale. Cette description entend ainsi viser les officiers et agents de police
judiciaire spécialisés dans les enquêtes économiques et financières qui auront besoin des
informations accessibles par le système électronique central de recherche de données dans le
cadre de leurs enquêtes relatives aux affaires économiques et financières.
En ce qui concerne la définition de la notion de bénéficiaire effectif, un renvoi est effectué à la
disposition définissant la notion de bénéficiaire effectif dans la loi modifiée du 12 novembre 2004
relative à la lutte contre le blanchiment et contre le financement du terrorisme (ci-après « loi de
2004 »).
Les « établissements de crédit » englobent tous les établissements de crédits ayant un
agrément conformément à la loi modifiée du 5 avril 1993 relative au secteur financier et qui sont
17
établis au Luxembourg ainsi que les succursales établies au Luxembourg d'établissements de
crédits.
La définition de « professionnels » couvre toute personne proposant des services de tenue de
comptes de paiement ou de comptes bancaires identifiés par un numéro IBAN, au sens du
règlement (UE) n° 260/2012 du Parlement européen et du Conseil du 14 mars 2012 établissant
des exigences techniques et commerciales pour les virements et les prélèvements en euros et
modifiant le règlement (CE) n° 924/2009, dénommé ci-après « règlement (UE) n° 260/2012 ».
Cette définition large ne se limite en effet pas qu'aux établissements de crédits et doit être
interprétée par rapport à l'activité du professionnel. Concernant les coffres-forts, seuls les
établissements de crédit sont visés par la notion de professionnel. De plus, sont non seulement
visées toutes les personnes établies au Luxembourg mais aussi les succursales de personnes
luxembourgeoises ou étrangères établies au Luxembourg.
Chapitre 2. — Création d'un fichier de données et conservation de données sur les
titulaires de comptes bancaires, comptes de paiement ou coffres-forts par les
professionnels
Le chapitre 2 prévoit les règles applicables à la création d'un fichier de données et à la
conservation de ces données sur les titulaires de comptes bancaire, de comptes de paiement
ainsi que de coffres-forts par les professionnels.
Article 2
L'article 2 prévoit dans un premier paragraphe la création par les professionnels d'un fichier
de données permettant l'identification en temps utile, de toute personne physique ou morale qui
détient ou contrôle des comptes de paiement ou des comptes bancaires identifiés par un numéro
IBAN, au sens du règlement (UE) n° 260/2012, ainsi que des coffres-forts, le cas échéant, tenus
au sein de tels professionnels. Ce fichier devra contenir un certain nombre d'informations listées
dans ce paragraphe. Cette liste correspond aux informations qui doivent être disponibles selon
l'article 32b1s, paragraphe 3 de la directive (UE) 2015/849. Concernant les personnes prétendant
agir au nom d'un client qui sont également à renseigner dans le fichier de données, il faut
entendre, notamment, les mandataires détenant une procuration d'un client personne morale leur
donnant le pouvoir d'agir en son nom et les mandataires/fondés de procuration d'un client
personne physique.
Le paragraphe 2 précise que les professionnels doivent s'assurer que les données inscrites
dans le fichier soient adéquates, exactes et actuelles. Les données des clients doivent être mises
à jour en vertu des obligations de vigilance constante des professionnels conformément la loi de
2004. En cas de modification des données, les professionnels devront s'assurer que ces
changements sont répercutés dans le fichier dans un délai raisonnable qui ne dépasse pas un
jour.
Le paragraphe 3 renvoie aux dispositions de la loi de 2004 concernant la durée de
conservation des données contenues dans le fichier de données.
Le paragraphe 4 prévoit, à des fins d'harmonisation et de simplification des procédures, que
la CSSF définit la structure du fichier de données tenu par les professionnels et le détail des
données visées. Le professionnel doit donner un accès automatisé non filtré et à tout moment à
18
la CSSF en tant que gestionnaire du système électronique central de recherche de données au
moyen d'une procédure choisie par la CSSF.
Le professionnel ne doit en aucun cas contrôler les accès ainsi que les données consultées
par la CSSF dans le fichier de données. Il peut y avoir un risque que le fait que la CSSF ait eu
accès, soit néanmoins visible au professionnel. Dans ce cas, le professionnel doit veiller à la
complète confidentialité en ce qui concerne ces accès.
La création et l'accès automatisé au fichier de données relèvent de la responsabilité du
professionnel qui met en place, à ses frais, toutes les mesures nécessaires. Celles-ci
comprennent, dans chaque cas, conformément à la procédure arrêtée par la CSSF, l'acquisition
et la mise à jour du matériel nécessaire et la mise en place de l'infrastructure nécessaire pour
assurer la confidentialité et la sauvegarde du secret professionnel ainsi que la protection contre
les accès non autorisés, l'installation d'une liaison de télécommunication adéquate et la
participation au système utilisateur fermé, ainsi que la fourniture continue desdits services au
moyen de ces installations.
Le paragraphe 5 prévoit la possibilité pour les professionnels de recourir à la sous-traitance dans
les conditions et selon les modalités de l'article 41, paragraphe 2b1s, de la loi modifiée du 5 avril
1993 relative au secteur financier ou à l'article 30, paragraphe 2b1s, de la loi modifiée du
10 novembre 2009 relative aux services de paiement. Les professionnels peuvent donc soustraiter leurs obligations en vertu de la présente loi conformément aux exigences auxquelles ils
sont soumis dans le cadre de la réglementation prudentielle, en particulier en ce qui concerne les
exigences en matière de secret professionnel. Dans ce cas, le professionnel conserve l'entière
responsabilité du respect de l'ensemble de ses obligations qui lui incombent en vertu de la
présente loi.
Article 3
L'article 3 prévoit que la CSSF en tant que gestionnaire du système électronique central de
recherche de données sera en charge de la surveillance du respect par les professionnels de
leurs obligations prévues au chapitre 2.
Article 4
L'article 4 établit les pouvoirs de la CSSF en tant que gestionnaire du système électronique
central de recherche de données afin de veiller au respect par les professionnels des obligations
prévues par le chapitre 2.
Article 5
L'article 5 fixe les sanctions applicables en cas de non-respect par les professionnels de leurs
obligations prévues par la loi. Il s'agit des cas où les professionnels omettent de mettre en place
le fichier de données et d'y conserver les données conformément à l'article 2, paragraphe ler,ou
d'assurer que ces données sont adéquates, exactes, actuelles et mises à jour conformément à
l'article 2, paragraphe 2. Sont visés aussi les cas où les professionnels manquent à leur obligation
de fournir un accès aux données à la CSSF, conformément à l'article 2, paragraphe 4, alinéa ler,
ou lorsqu'ils fournissent sciemment accès à la CSSF à des données qui sont incomplètes,
19
inexactes ou fausses. Il est à noter à ce propos qu'au cas où le professionnel sait que des
informations de son fichier sont fausses ou incomplètes (par exemple en cas de changement
d'adresse du client qui n'a pas encore renseigné sa nouvelle adresse) mais n'a pas encore eu de
retour de son client afin de pouvoir le mettre à jour, le professionnel pourra mettre une inscription
au fichier en ce sens. Des sanctions sont également applicables au cas où les professionnels
manquent à leur obligation d'assurer la complète confidentialité en ce qui concerne tout accès
par la CSSF au fichier de données conformément à l'article 7. Les sanctions sont proportionnelles
aux circonstances pertinentes au paragraphe 4. Ces sanctions répondent aux exigences de
l'article 58, paragraphe l er, de la directive (UE) 2015/849.
Article 6
L'article 6 prévoit un recours en pleine juridiction devant le Tribunal administratif à l'encontre
des décisions de la CSSF. Ce recours doit être introduit sous peine de forclusion dans le délai
d'un mois à partir de la notification de la décision attaquée.
Chapitre 3. — Création et gestion du système électronique central de recherche de
données
Le chapitre 3 régit la création du système électronique central de recherche de données par
la CSSF.
Article 7
L'article 7, paragraphe l er, prévoit que la CSSF met en place un système électronique central
de recherche de données, permettant l'identification, en temps utile, de toute personne physique
ou morale qui détient ou contrôle des comptes de paiement ou des comptes bancaires identifiés
par un numéro IBAN, au sens du règlement (UE) n° 260/2012, ainsi que des coffres-forts tenus
par des établissements de crédit établi au Luxembourg.
Le paragraphe 2 prévoit que la CSSF peut accéder directement, immédiatement et sans filtre
aux données saisies dans le fichier de données créé par les professionnels dans la mesure où
cela est nécessaire pour lui permettre de s'acquitter de ses missions de mise en place et de
gestion du système électronique central de recherche de données. Cet accès doit être fait au
moyen d'une procédure sécurisée. Cet article permet ainsi à la CSSF de rechercher les données
dont elle a besoin pour le fonctionnement du système électronique central de recherche de
données dans chacun des fichiers créés par les professionnels afin de les consolider pour
l'utilisateur qui aura initié la recherche selon le chapitre 4. Ces recherches sont effectuées par le
personnel désigné pour la création et la gestion du système électronique central de recherche de
données au sein de la CSSF.
Le système électronique central de recherche de données doit permettre un accès
conformément au chapitre 4 à toutes les données visées à l'article 2, paragraphe l er. Sont donc
visés pour les comptes bancaires et de paiement non seulement les titulaires d'un compte client
mais également toute personne prétendant agir au nom du client. Il s'agit du pendant de l'article
2 qui transpose l'article 32bis, paragraphe 3, de la directive (UE) 2015/849.
20
Chapitre 4. — Accès au système électronique central de recherche de données
Le chapitre 4 régit l'accès au système électronique central de recherche de données.
Article 8
L'article 8 transpose l'article 32bis, paragraphe 2, de la directive (UE) 2015/849.
Le paragraphe 1er donne accès au système électronique central de recherche de données de
manière directe, immédiate et non filtrée à la CRF dans le cadre de ses missions. L'article 32bis,
paragraphe 2, de la directive (UE) 2015/849 exige également que chaque CRF soit en mesure
de fournir, en temps utile, à toute autre CRF des informations conservées dans le système
électronique central de recherche de données. Cette coopération est actuellement prévue à
l'article 74-5, paragraphe 3, de la loi modifiée du 7 mars 1980 sur l'organisation judiciaire selon
laquelle la CRF peut utiliser tous les pouvoirs dont elle dispose pour répondre, en temps utile,
aux demandes de coopération d'une CRF étrangère.
Le paragraphe 2 assure que les données visées à l'article 2, paragraphe ler, soient également
accessibles aux autorités nationales autres que celles visées au paragraphe ler, y inclus la CSSF
elle-même, et aux organismes d'autorégulation pour l'accomplissement des obligations qui leur
incombent en matière de lutte contre le blanchiment et contre le financement du terrorisme. Les
autorités nationales et les organismes d'autorégulation n'ont pas un accès de manière directe,
immédiate et non filtrée au système électronique central de recherche de données mais reçoivent
les données à travers la CSSF en tant que gestionnaire du système électronique central de
recherche de données. La procédure pour qu'une recherche soit effectuée par la CSSF en tant
que gestionnaire du système électronique central de recherche de données est arrêtée par la
CSSF et divulguée aux autorités nationales et organismes d'autorégulation.
Le paragraphe 3 prévoit que l'accès aux données du système électronique central de
recherche de données et les recherches, le cas échéant, sont effectués uniquement, au cas par
cas, par le personnel de chaque autorité nationale ou organisme d'autorégulation, qui a été
spécifiquement désigné et autorisé à exécuter ces tâches. Les autorités nationales et organismes
d'autorégulation donnent la liste du personnel en question à la CSSF en tant que gestionnaire et
la mettent à jour immédiatement après tout changement, le cas échéant. L'exécution de ces
tâches étant particulièrement sensible, il convient de limiter au sein de chaque autorité nationale
ou organisme d'autorégulation le nombre de personnes habilitées, qui doivent répondre à des
critères élevés de responsabilité. Les autorités nationales et les organismes d'autorégulation
veillent, à ce que le personnel habilité suive des programmes de formation spécialisés.
Article 9
L'article 9 contient les dispositions prévoyant la sécurité des données.
Le paragraphe ier prévoit que la CSSF doit veiller à la sécurité des données accessibles par
le biais du système électronique central de recherche de données en s'assurant que seules les
personnes habilitées y aient accès. A cet effet, la CSSF met en place des mesures techniques et
organisationnelles conformément à des normes technologiques élevées.
21
Le paragraphe 2 prévoit plus particulièrement les données qui doivent être enregistrés dans
un journal concernant les accès et recherches effectuées par les personnes visées à l'article 8,
paragraphe ler.
Le paragraphe 3 prévoit une journalisation similaire pour les personnes habilitées des autorités
nationales ou des organismes d'autorégulation.
Chapitre 5. — Traitement des données à caractère personnel
Article 10
L'article 10 prévoit les dispositions applicables au traitement des données à caractère
personnel.
Le paragraphe premier prévoit que le traitement des données à caractère personnel en vertu
de la présente loi est soumis au règlement (UE) 2016/679 du Parlement européen et du Conseil
du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des
données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive
95/46/CE (ci-après « règlement (UE) 2016/679 »).
Le paragraphe second prévoit que le traitement de données à caractère personnel sur base
de la présente loi aux fins de la prévention du blanchiment et du financement du terrorisme est
considéré comme une question d'intérêt public au titre du règlement (UE) 2016/679.
Titre II — Modification de la loi modifiée du 12 novembre 2004 relative à la lutte contre le
blanchiment et contre le financement du terrorisme
Le titre II du présent projet de loi apporte des modifications ciblées à la loi de 2004.
Article 11
L'article 11 du présent projet de loi vise à apporter des modifications ponctuelles à la loi de
2004. Afin d'assurer une intégration harmonieuse des modifications dans le texte de la loi de
2004, les modifications proposées ont été alignées sur les choix d'ordre légistique faits à
l'occasion de la rédaction des dispositions existantes de la loi de 2004 en ce qui concerne le style,
la terminologie ainsi que la présentation.
L'article 11, point 1, du projet de loi complète le chapitre 3 de la loi de 2004 relatif aux
dispositions particulières à certains professionnels par deux nouvelles sections relatives aux
dispositions particulières applicables aux prestataires de services d'actifs virtuels (ci-après
« PSAV ») et aux prestataires de services aux sociétés et fiducies (ci-après « PSSF »).
La nouvelle section 3 de la loi de 2004 introduit un nouvel article 7-1 qui a pour objet de
transposer l'article ler, point 29), de la directive (UE) 2018/843. Etant donné que la directive (UE)
2018/843 a modifié l'article 47, paragraphe 1er, de la directive (UE) 2015/849, l'article introduit par
la loi en projet vise également à parachever la transposition du paragraphe 2 de l'article 47 de la
22
directive (UE) 2015/849, suite aux modifications apportées audit article. Le nouvel article 7-1 vise,
par ailleurs, à tenir …
Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.