LegalizeLoi du 25 mars 2020 instituant un système électronique central de recherche de données concernant des comptes de paiement et des comptes bancaires identifiés par un numéro IBAN et des coffres-forts tenus par des établissements de crédit au Luxembourg et portant modification : 1° de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme ; 2° de la loi modifiée du 5 juillet 2016 portant réorganisation du Service de renseignement de l’État ; 3° de la loi du 30 mai 2018 relative aux marchés d’instruments financiers ; 4° de la loi du 13 janvier 2019 instituant un Registre des bénéficiaires effectifs ; en vue de la transposition : 1° de l’article 1er, points 19 et 29, de la directive (UE) 2018/843 du Parlement européen et du Conseil du 30 mai 2018 modifiant la directive (UE) 2015/849 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme ainsi que les directives 2009/138/CE et 2013/36/UE ; 2° de l’article 1er, point 28, lettre d), de la directive (UE) 2019/878 du Parlement européen et du Conseil du 20 mai 2019 modifiant la directive 2013/36/UE en ce qui concerne les entités exemptées, les compagnies financières holding, les compagnies financières holding mixtes, la rémunération, les mesures et pouvoirs de surveillance et les mesures de conservation des fonds propres ; 3° de l’article 64, point 5, de la directive (UE) 2019/2034 du Parlement européen et du Conseil du 27 novembre 2019 concernant la surveillance prudentielle des entreprises d’investissement et modifiant les directives 2002/87/CE, 2009/65/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE et 2014/65/UE
Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,
Notre Conseil d’État entendu ;
De l’assentiment de la Chambre des Députés ;
Vu la décision de la Chambre des Députés du 21 mars 2020 et celle du Conseil d’État du 24 mars 2020 portant qu’il n’y a pas lieu à second vote ;
Avons ordonné et ordonnons :
Titre Ier Le système électronique central de recherche de données concernant des comptes de paiement et des comptes bancaires identifiés par un numéro IBAN et des coffres-forts tenus par des établissements de crédit au Luxembourg
Chapitre 1er Définitions
Art. 1er.
On entend aux fins du présent titre par :
« autorités nationales » : les autorités, administrations et entités suivantes :le procureur général d’État, les procureurs d’État ainsi que les membres de leurs parquets ;les juges d’instruction ;la Cellule de renseignement financier, ci-après « CRF » ;les agents de police judiciaire et officiers de police judiciaire affectés au Service de police judiciaire, ainsi que les officiers de police judiciaire visés à l’article 10 du Code de procédure pénale et agréés par le directeur général de la Police grand-ducale ;la Commission de surveillance du secteur financier, ci-après « CSSF » ;le Commissariat aux assurances, ci-après « CAA » ;l’Administration de l’enregistrement, des domaines et de la TVA, ci-après « AED » ;le Service de renseignement de l’État ;
« bénéficiaire effectif » : le bénéficiaire effectif tel que défini à l’article 1er, paragraphe 7, de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme ;
« établissement de crédit » : tout établissement de crédit au sens de l’article 1er, point 12),de la loi modifiée du 5 avril 1993 relative au secteur financier établi au Luxembourg, y compris les succursales au Luxembourg, au sens de l’article 1er, point 32),de ladite loi, de tout établissement de crédit luxembourgeois ou dont le siège social est situé dans un État membre ou dans un pays tiers ;
« État membre » : un État membre de l’Union européenne. Sont assimilés aux États membres de l’Union européenne les États parties à l’Accord sur l’Espace économique européen autres que les États membres de l’Union européenne, dans les limites définies par cet accord et les actes y afférents ;
« organismes d’autorégulation » : les organismes visés à l’article 1er, point 21, de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme ;
« professionnels » : toute personne établie au Luxembourg, y compris les succursales établies au Luxembourg, proposant des services de tenue de comptes de paiement ou de comptes bancaires identifiés par un numéro IBAN, au sens du règlement (UE) n° 260/2012 du Parlement européen et du Conseil du 14 mars 2012 établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros et modifiant le règlement (CE) n° 924/2009, dénommé ci- après « règlement (UE) n° 260/2012 », ainsi que tout établissement de crédit tenant des coffres-forts au Luxembourg.
Chapitre 2 Création par les professionnels d’un fichier de données et conservation de données sur les titulaires de comptes bancaires, comptes de paiement ou coffres-forts
Art. 2.
(1)
Les professionnels mettent en place un fichier de données permettant l’identification de toute personne physique ou morale qui détient ou contrôle, auprès de tels professionnels, des comptes de paiement ou des comptes bancaires identifiés par un numéro IBAN, au sens de l’article 2, point 15, du règlement (UE) n° 260/2012 ou des coffres-forts.
Ce fichier comprend les données suivantes :
les données relatives à tout titulaire d’un compte client et toute personne prétendant agir au nom du client, à savoir le nom, complété par les autres données d’identification requises au titre de l’article 3, paragraphe 2, lettre a), de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme ;
les données relatives au bénéficiaire effectif du titulaire d’un compte client, à savoir le nom, complété par les autres données d’identification requises au titre de l’article 3, paragraphe 2, lettre b), de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme ;
les données relatives au compte bancaire ou au compte de paiement, à savoir le numéro IBAN et la date d’ouverture et de clôture du compte ; et
les données relatives au coffre-fort, à savoir le nom du locataire, complété par les autres données d’identification requises au titre de l’article 3, paragraphe 2, de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme, ainsi que la durée de la période de location.
Ces données peuvent être complétées par un numéro d’identification unique.
(2)
Les données visées au paragraphe 1er sont adéquates, exactes et actuelles. Le fichier de données visé au paragraphe 1er est mis à jour sans délai après toute modification notifiée au ou constatée par le professionnel.
(3)
Les durées de conservation de l’article 3, paragraphe 6, de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme s’appliquent aux données contenues dans le fichier de données visé au paragraphe 1er.
(4)
La structure du fichier et le détail des données visés au paragraphe 1er sont définis par la CSSF.
Le professionnel veille à ce que la CSSF ait à tout moment un accès automatisé conformément à l’article 7, aux données saisies dans le fichier de données visé au paragraphe 1er au moyen d’une procédure définie par la CSSF.
Le professionnel veille à la complète confidentialité en ce qui concerne l’accès par la CSSF, conformément à l’article 7, au fichier de données visé au paragraphe 1er. Nonobstant les vérifications en matière d’accès non autorisés conformément à l’alinéa 4, le professionnel ne contrôle pas les accès de la CSSF, conformément à l’article 7, au fichier de données visé au paragraphe 1er.
Le professionnel met en place, à ses frais, toutes les mesures nécessaires pour assurer à la CSSF un accès permanent, automatisé et confidentiel, conformément à l’article 7, au fichier de données visé au paragraphe 1er qui est sous la responsabilité du professionnel. Celles-ci comprennent, dans chaque cas et conformément à la procédure arrêtée par la CSSF :
l’acquisition et la mise à jour du matériel nécessaire et la mise en place de l’infrastructure nécessaire pour assurer la confidentialité ;
la sauvegarde du secret professionnel ainsi que la protection contre les accès non autorisés ;
l’installation d’une liaison de télécommunication adéquate et la participation au système utilisateur fermé, et
la fourniture continue desdits services au moyen de ces installations.
(5)
Le professionnel est autorisé à déléguer à un tiers l’exercice pour son propre compte, d’une ou de plusieurs des obligations prévues au présent article.
Toute externalisation se fait sur base d’un contrat de service conformément aux modalités prévues à l’article 41, paragraphe 2bis, de la loi modifiée du 5 avril 1993 relative au secteur financier ou à l’article 30, paragraphe 2bis, de la loi modifiée du 10 novembre 2009 relative aux services de paiement.
Lorsqu’il a recours à l’externalisation, le professionnel conserve l’entière responsabilité du respect de l’ensemble de ses obligations qui lui incombent en vertu de la présente loi.
L’externalisation de fonctions opérationnelles ne doit pas se faire de manière à empêcher la CSSF de contrôler que les professionnels respectent les obligations qui leur incombent en vertu de la présente loi.
Art. 3.
La CSSF surveille le respect par les professionnels des obligations prévues par le présent chapitre.
Art. 4.
(1)
Aux fins d’application du présent chapitre, la CSSF est investie de tous les pouvoirs de surveillance et d’enquête nécessaires à l’exercice de ses fonctions dans les limites définies par le présent chapitre.
Les pouvoirs de la CSSF sont les suivants :
d’avoir accès à tout document et à toute donnée sous quelque forme que ce soit et d’en recevoir ou prendre copie ;
de demander des informations à tout professionnel et, si nécessaire, de convoquer tout professionnel et de l’entendre afin d’obtenir des informations ;
de procéder à des inspections sur place ou des enquêtes, y compris de saisir tout document, fichier électronique ou autre chose qui paraît utile à la manifestation de la vérité, auprès des professionnels ou, le cas échéant, auprès du sous-traitant visé à l’article 2, paragraphe 5 ;
d’enjoindre aux professionnels ou, le cas échéant, au sous-traitant visé à l’article 2, paragraphe 5, de mettre un terme à toute pratique contraire aux dispositions visées à l’article 2, et de s’abstenir de la réitérer, dans le délai qu’elle fixe.
(2)
La CSSF est investie du pouvoir d’enjoindre aux professionnels de se conformer à leurs obligations découlant de l’article 2.
(3)
Lorsqu’elle prononce l’injonction prévue au paragraphe 1er, lettre d), ou au paragraphe 2, la CSSF peut imposer une astreinte contre un professionnel ou, le cas échéant, un sous-traitant visé à l’article 2, paragraphe 5, visé par cette mesure afin d’inciter ce professionnel ou, le cas échéant, ce sous-traitant, à se conformer à l’injonction. Le montant de l’astreinte par jour à raison du manquement constaté ne peut être supérieur à 1 250 euros, sans que le montant total imposé à raison du manquement constaté puisse dépasser 25 000 euros.
Art. 5.
(1)
La CSSF a le pouvoir d’infliger les sanctions administratives et de prendre les autres mesures administratives prévues au paragraphe 2 à l’égard des professionnels ainsi que, le cas échéant, à l’égard des membres de leurs organes de direction, de leurs dirigeants effectifs ou des autres personnes responsables du non-respect des obligations, lorsque ces professionnels manquent à leurs obligations :
de mettre en place le fichier de données et d’y conserver les données conformément à l’article 2, paragraphe 1er,ainsi que d’assurer que ces données sont adéquates, exactes, actuelles et mises à jour conformément à l’article 2, paragraphe 2 ;
de fournir un accès aux données à la CSSF, conformément à l’article 2, paragraphe 4, alinéa 1er, ou lorsque les professionnels fournissent sciemment accès à la CSSF à des données qui sont incomplètes, inexactes ou fausses ;
d’assurer la complète confidentialité en ce qui concerne l’accès par la CSSF conformément à l’article 7 au fichier de données visé à l’article 2, paragraphe 1er.
(2)
Dans les cas visés au paragraphe 1er, la CSSF a le pouvoir d’infliger les sanctions administratives suivantes et de prendre les mesures administratives suivantes :
un avertissement ;
un blâme ;
une déclaration publique qui précise l’identité de la personne physique ou morale et la nature de la violation ; ou
des amendes administratives de 1 250 euros à 1 250 000 euros ou d’un montant maximal de deux fois le montant de l’avantage tiré de la violation, lorsqu’il est possible de déterminer celui-ci.
(3)
La CSSF peut prononcer une amende d’ordre de 250 à 250 000 euros à l’égard des personnes physiques et morales qui font obstacle à l’exercice de leurs pouvoirs prévus à l’article 4, paragraphe 1er, qui ne donnent pas suite à leurs injonctions prononcées en vertu de l’article 4, paragraphe 1er, lettre d), ou de l’article 4, paragraphe 2,ou qui leur auront sciemment donné des documents ou autres renseignements qui se révèlent être incomplets, inexacts ou faux suite à des demandes basées sur l’article 4, paragraphe 1er.
(4)
Au moment de déterminer le type et le niveau des sanctions administratives, la CSSF tient compte de toutes les circonstances pertinentes, y compris, le cas échéant :
de la gravité et de la durée de la violation ;
du degré de responsabilité de la personne physique ou morale tenue pour responsable de la violation ;
de la situation financière de la personne physique ou morale tenue pour responsable de la violation, par exemple telle qu’elle ressort du chiffre d’affaires total de la personne morale tenue pour responsable ou des revenus annuels de la personne physique tenue pour responsable ;
de l’avantage tiré de la violation par la personne physique ou morale tenue pour responsable, dans la mesure où il est possible de le déterminer ;
des préjudices subis par des tiers du fait de la violation, dans la mesure où il est possible de les déterminer ;
du degré de coopération de la personne physique ou morale tenue pour responsable de la violation avec la CSSF ;
des violations antérieures commises par la personne physique ou morale tenue pour responsable.
(5)
Les frais exposés pour le recouvrement forcé des amendes sont à charge des personnes auxquelles ces amendes ont été infligées.
(6)
La CSSF publie toute décision qui a acquis force de chose décidée ou force de chose jugée et instituant une sanction ou une mesure administrative en raison d’un ou plusieurs des manquements visés au paragraphe 1er sur son site internet officiel immédiatement après que la personne sanctionnée a été informée de cette décision. Cette publication mentionne le type et la nature de la violation commise et l’identité de la personne responsable.
La CSSF évalue au cas par cas le caractère proportionné de la publication de l’identité des personnes responsables visées à l’alinéa 1er ou des données à caractère personnel de ces personnes. Lorsqu’elle juge cette publication disproportionnée ou lorsque cette publication compromet la stabilité des marchés financiers ou une enquête en cours, la CSSF :
retarde la publication de la décision d’imposer une sanction ou une mesure administrative jusqu’au moment où les raisons de ne pas la publier cessent d’exister ;
publie la décision d’imposer une sanction ou une mesure administrative sur la base de l’anonymat si cette publication anonyme garantit une protection effective des données à caractère personnel concernées ; s’il est décidé de publier une sanction ou une mesure administrative sur la base de l’anonymat, la publication des données concernées peut être reportée pendant un délai raisonnable si l’on prévoit qu’à l’issue de ce délai les raisons d’une publication anonyme auront cessé d’exister ;
La consultation de ce document ne remplace pas la lecture du texte officiel publié au Mémorial du Grand-Duché de Luxembourg. Nous déclinons toute responsabilité pour d'éventuelles inexactitudes résultant de la conversion de l'original dans ce format.