Texte consolidé
La consolidation consiste à intégrer dans un acte juridique ses modifications successives, elle a pour but d'améliorer la transparence du droit et de le rendre plus accessible.
Ce texte consolidé a uniquement une valeur documentaire. Il importe de noter qu’il n’a pas de valeur juridique.
Version consolidée applicable au 02/03/2021 : Loi du 25 mars 2020 instituant un système électronique central de recherche de données concernant des comptes de paiement et des comptes bancaires identifiés par un numéro IBAN et des coffres-forts tenus par des établissements de crédit au Luxembourg et portant modification :
1° | de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme ; | ||||||
2° | de la loi modifiée du 5 juillet 2016 portant réorganisation du Service de renseignement de l’État ; | ||||||
3° | de la loi du 30 mai 2018 relative aux marchés d’instruments financiers ; | ||||||
4° | de la loi du 13 janvier 2019 instituant un Registre des bénéficiaires effectifs ; en vue de la transposition :
|
Titre Ier
-Le système électronique central de recherche de données concernant des comptes de paiement et des comptes bancaires identifiés par un numéro IBAN et des coffres-forts tenus par des établissements de crédit au LuxembourgChapitre 1er
-DéfinitionsArt. 1er.
On entend aux fins du présent titre par :
1° | « autorités nationales » : les autorités, administrations et entités suivantes :
| ||||||||||||||||
2° | « bénéficiaire effectif » : le bénéficiaire effectif tel que défini à l’article 1er, paragraphe 7, de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme ; | ||||||||||||||||
3° | « établissement de crédit » : tout établissement de crédit au sens de l’article 1er, point 12), de la loi modifiée du 5 avril 1993 relative au secteur financier établi au Luxembourg, y compris les succursales au Luxembourg, au sens de l’article 1er, point 32), de ladite loi, de tout établissement de crédit luxembourgeois ou dont le siège social est situé dans un État membre ou dans un pays tiers ; | ||||||||||||||||
4° | « État membre » : un État membre de l’Union européenne. Sont assimilés aux États membres de l’Union européenne les États parties à l’Accord sur l’Espace économique européen autres que les États membres de l’Union européenne, dans les limites définies par cet accord et les actes y afférents ; | ||||||||||||||||
5° | « organismes d’autorégulation » : les organismes visés à l’article 1er, point 21, de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme ; | ||||||||||||||||
6° | « professionnels » : toute personne établie au Luxembourg, y compris les succursales établies au Luxembourg, proposant des services de tenue de comptes de paiement ou de comptes bancaires identifiés par un numéro IBAN, au sens du règlement (UE) n° 260/2012 du Parlement européen et du Conseil du 14 mars 2012 établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros et modifiant le règlement (CE) n° 924/2009, dénommé ci- après « règlement (UE) n° 260/2012 », ainsi que tout établissement de crédit tenant des coffres-forts au Luxembourg. |
Chapitre 2
-Création par les professionnels d’un fichier de données et conservation de données sur les titulaires de comptes bancaires, comptes de paiement ou coffres-fortsArt. 2.
(1)
Les professionnels mettent en place un fichier de données permettant l’identification de toute personne physique ou morale qui détient ou contrôle, auprès de tels professionnels, des comptes de paiement ou des comptes bancaires identifiés par un numéro IBAN, au sens de l’article 2, point 15, du règlement (UE) n° 260/2012 ou des coffres-forts.Ce fichier comprend les données suivantes :
a) | les données relatives à tout titulaire d’un compte client et toute personne prétendant agir au nom du client, à savoir le nom, complété par les autres données d’identification requises au titre de l’article 3, paragraphe 2, 1 lettre a), de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme ; ►alinéa 1er,◄ |
b) | les données relatives au bénéficiaire effectif du titulaire d’un compte client, à savoir le nom, complété par les autres données d’identification requises au titre de l’article 3, paragraphe 2, 2 lettre b), de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme ; ►alinéa 1er,◄ |
c) | les données relatives au compte bancaire ou au compte de paiement, à savoir le numéro IBAN et la date d’ouverture et de clôture du compte ; et |
d) | les données relatives au coffre-fort, à savoir le nom du locataire, complété par les autres données d’identification requises au titre de l’article 3, paragraphe 2, de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme, ainsi que la durée de la période de location. |
Ces données peuvent être complétées par un numéro d’identification unique.
(2)
Les données visées au paragraphe 1er sont adéquates, exactes et actuelles. Le fichier de données visé au paragraphe 1er est mis à jour sans délai après toute modification notifiée au ou constatée par le professionnel.(3)
Les durées de conservation de l’article 3, paragraphe 6, de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme s’appliquent aux données contenues dans le fichier de données visé au paragraphe 1er.(4)
La structure du fichier et le détail des données visés au paragraphe 1er sont définis par la CSSF.Le professionnel veille à ce que la CSSF ait à tout moment un accès automatisé conformément à l’article 7, aux données saisies dans le fichier de données visé au paragraphe 1er au moyen d’une procédure définie par la CSSF.
Le professionnel veille à la complète confidentialité en ce qui concerne l’accès par la CSSF, conformément à l’article 7, au fichier de données visé au paragraphe 1er. Nonobstant les vérifications en matière d’accès non autorisés conformément à l’alinéa 4, le professionnel ne contrôle pas les accès de la CSSF, conformément à l’article 7, au fichier de données visé au paragraphe 1er.
Le professionnel met en place, à ses frais, toutes les mesures nécessaires pour assurer à la CSSF un accès permanent, automatisé et confidentiel, conformément à l’article 7, au fichier de données visé au paragraphe 1er qui est sous la responsabilité du professionnel. Celles-ci comprennent, dans chaque cas et conformément à la procédure arrêtée par la CSSF :
1° | l’acquisition et la mise à jour du matériel nécessaire et la mise en place de l’infrastructure nécessaire pour assurer la confidentialité ; |
2° | la sauvegarde du secret professionnel ainsi que la protection contre les accès non autorisés ; |
3° | l’installation d’une liaison de télécommunication adéquate et la participation au système utilisateur fermé, et |
4° | la fourniture continue desdits services au moyen de ces installations. |
(5)
Le professionnel est autorisé à déléguer à un tiers l’exercice pour son propre compte, d’une ou de plusieurs des obligations prévues au présent article.Toute externalisation se fait sur base d’un contrat de service conformément aux modalités prévues à l’article 41, paragraphe 2bis, de la loi modifiée du 5 avril 1993 relative au secteur financier ou à l’article 30, paragraphe 2bis, de la loi modifiée du 10 novembre 2009 relative aux services de paiement.
Lorsqu’il a recours à l’externalisation, le professionnel conserve l’entière responsabilité du respect de l’ensemble de ses obligations qui lui incombent en vertu de la présente loi.
L’externalisation de fonctions opérationnelles ne doit pas se faire de manière à empêcher la CSSF de contrôler que les professionnels respectent les obligations qui leur incombent en vertu de la présente loi.
Art. 3.
La CSSF surveille le respect par les professionnels des obligations prévues par le présent chapitre.
Art. 4.
(1)
Aux fins d’application du présent chapitre, la CSSF est investie de tous les pouvoirs de surveillance et d’enquête nécessaires à l’exercice de ses fonctions dans les limites définies par le présent chapitre.Les pouvoirs de la CSSF sont les suivants :
a) | d’avoir accès à tout document et à toute donnée sous quelque forme que ce soit et d’en recevoir ou prendre copie ; |
b) | de demander des informations à tout professionnel et, si nécessaire, de convoquer tout professionnel et de l’entendre afin d’obtenir des informations ; |
c) | de procéder à des inspections sur place ou des enquêtes, y compris de saisir tout document, fichier électronique ou autre chose qui paraît utile à la manifestation de la vérité, auprès des professionnels ou, le cas échéant, auprès du sous-traitant visé à l’article 2, paragraphe 5 ; |
d) | d’enjoindre aux professionnels ou, le cas échéant, au sous-traitant visé à l’article 2, paragraphe 5, de mettre un terme à toute pratique contraire aux dispositions visées à l’article 2, et de s’abstenir de la réitérer, dans le délai qu’elle fixe. |
(2)
La CSSF est investie du pouvoir d’enjoindre aux professionnels de se conformer à leurs obligations découlant de l’article 2.(3)
Lorsqu’elle prononce l’injonction prévue au paragraphe 1er, lettre d), ou au paragraphe 2, la CSSF peut imposer une astreinte contre un professionnel ou, le cas échéant, un sous-traitant visé à l’article 2, paragraphe 5, visé par cette mesure afin d’inciter ce professionnel ou, le cas échéant, ce sous-traitant, à se conformer à l’injonction. Le montant de l’astreinte par jour à raison du manquement constaté ne peut être supérieur à 1 250 euros, sans que le montant total imposé à raison du manquement constaté puisse dépasser 25 000 euros.Art. 5.
(1)
La CSSF a le pouvoir d’infliger les sanctions administratives et de prendre les autres mesures administratives prévues au paragraphe 2 à l’égard des professionnels ainsi que, le cas échéant, à l’égard des membres de leurs organes de direction, de leurs dirigeants effectifs ou des autres personnes responsables du non-respect des obligations, lorsque ces professionnels manquent à leurs obligations :a) | de mettre en place le fichier de données et d’y conserver les données conformément à l’article 2, paragraphe 1er, ainsi que d’assurer que ces données sont adéquates, exactes, actuelles et mises à jour conformément à l’article 2, paragraphe 2 ; |
b) | de fournir un accès aux données à la CSSF, conformément à l’article 2, paragraphe 4, alinéa 1er, ou lorsque les professionnels fournissent sciemment accès à la CSSF à des données qui sont incomplètes, inexactes ou fausses ; |
c) | d’assurer la complète confidentialité en ce qui concerne l’accès par la CSSF conformément à l’article 7 au fichier de données visé à l’article 2, paragraphe 1er. |
(2)
Dans les cas visés au paragraphe 1er, la CSSF a le pouvoir d’infliger les sanctions administratives suivantes et de prendre les mesures administratives suivantes :a) | un avertissement ; |
b) | un blâme ; |
c) | une déclaration publique qui précise l’identité de la personne physique ou morale et la nature de la violation ; ou |
d) | des amendes administratives de 1 250 euros à 1 250 000 euros ou d’un montant maximal de deux fois le montant de l’avantage tiré de la violation, lorsqu’il est possible de déterminer celui-ci. |
(3)
La CSSF peut prononcer une amende d’ordre de 250 à 250 000 euros à l’égard des personnes physiques et morales qui font obstacle à l’exercice de leurs pouvoirs prévus à l’article 4, paragraphe 1er, qui ne donnent pas suite à leurs injonctions prononcées en vertu de l’article 4, paragraphe 1er, lettre d), ou de l’article 4, paragraphe 2, ou qui leur auront sciemment donné des documents ou autres renseignements qui se révèlent être incomplets, inexacts ou faux suite à des demandes basées sur l’article 4, paragraphe 1er.(4)
Au moment de déterminer le type et le niveau des sanctions administratives, la CSSF tient compte de toutes les circonstances pertinentes, y compris, le cas échéant :a) | de la gravité et de la durée de la violation ; |
b) | du degré de responsabilité de la personne physique ou morale tenue pour responsable de la violation ; |
c) | de la situation financière de la personne physique ou morale tenue pour responsable de la violation, par exemple telle qu’elle ressort du chiffre d’affaires total de la personne morale tenue pour responsable ou des revenus annuels de la personne physique tenue pour responsable ; |
d) | de l’avantage tiré de la violation par la personne physique ou morale tenue pour responsable, dans la mesure où il est possible de le déterminer ; |
e) | des préjudices subis par des tiers du fait de la violation, dans la mesure où il est possible de les déterminer ; |
f) | du degré de coopération de la personne physique ou morale tenue pour responsable de la violation avec la CSSF ; |
g) | des violations antérieures commises par la personne physique ou morale tenue pour responsable. |
(5)
Les frais exposés pour le recouvrement forcé des amendes sont à charge des personnes auxquelles ces amendes ont été infligées.(6)
La CSSF publie toute décision qui a acquis force de chose décidée ou force de chose jugée et instituant une sanction ou une mesure administrative en raison d’un ou plusieurs des manquements visés au paragraphe 1er sur son site internet officiel immédiatement après que la personne sanctionnée a été informée de cette décision. Cette publication mentionne le type et la nature de la violation commise et l’identité de la personne responsable.La CSSF évalue au cas par cas le caractère proportionné de la publication de l’identité des personnes responsables visées à l’alinéa 1er ou des données à caractère personnel de ces personnes. Lorsqu’elle juge cette publication disproportionnée ou lorsque cette publication compromet la stabilité des marchés financiers ou une enquête en cours, la CSSF :
a) | retarde la publication de la décision d’imposer une sanction ou une mesure administrative jusqu’au moment où les raisons de ne pas la publier cessent d’exister ; | ||||
b) | publie la décision d’imposer une sanction ou une mesure administrative sur la base de l’anonymat si cette publication anonyme garantit une protection effective des données à caractère personnel concernées ; s’il est décidé de publier une sanction ou une mesure administrative sur la base de l’anonymat, la publication des données concernées peut être reportée pendant un délai raisonnable si l’on prévoit qu’à l’issue de ce délai les raisons d’une publication anonyme auront cessé d’exister ; | ||||
c) | ne publie pas la décision d’imposer une sanction ou une mesure administrative, lorsque les options envisagées aux lettres a) et b) sont jugées insuffisantes :
|
La CSSF veille à ce que tout document publié conformément au présent paragraphe demeure sur leur site internet officiel pendant cinq ans après sa publication. Toutefois, les données à caractère personnel mentionnées dans le document publié ne sont conservées sur le site internet officiel de l’autorité de contrôle que pendant une durée maximale de douze mois.
Chapitre 3
-Création et gestion du système électronique central de recherche de donnéesArt. 7.
(1)
La CSSF met en place et assure la gestion d’un système électronique central de recherche de données, permettant l’identification, en temps utile, de toute personne physique ou morale qui détient ou contrôle, au Luxembourg, des comptes de paiement ou des comptes bancaires identifiés par un numéro IBAN, au sens du règlement (UE) n° 260/2012, ainsi que des coffres-forts tenus par des établissements de crédit.(2)
La CSSF peut accéder directement, immédiatement et sans filtre aux données saisies dans le fichier de données visé à l’article 2, paragraphe 1er, afin de s’acquitter de ses missions en vertu du paragraphe 1er. La CSSF accède aux données saisies dans les fichiers de données des professionnels au moyen d’une procédure sécurisée et par un personnel désigné.(3)
Le système électronique central de recherche de données doit permettre un accès aux données saisies dans le fichier de données visé à l’article 2, paragraphe 1er, conformément au chapitre 4.Chapitre 4
-Accès au système électronique central de recherche de donnéesArt. 8.
(1)
Dans le cadre de ses missions, la CRF a accès au système électronique central de recherche de données visé au chapitre 3 de manière directe, immédiate et non filtrée afin d’effectuer des recherches dans les données visées à l’article 2, paragraphe 1er.(2)
Les autorités nationales autres que celles visées au paragraphe 1er et les organismes d’autorégulation peuvent, dans la mesure où cela est nécessaire dans l’accomplissement des obligations qui leur incombent en matière de lutte contre le blanchiment et contre le financement du terrorisme, demander à la CSSF, selon la procédure arrêtée par la CSSF et selon les conditions du paragraphe 3, de recevoir sans délai les données visées à l’article 2, paragraphe 1er.(3)
Les autorités nationales et les organismes d’autorégulation désignent en leur sein un nombre limité de personnes autorisées à accéder au système électronique central de recherche de données conformément au paragraphe 1er ou à demander la réception des données conformément au paragraphe 2.Les autorités nationales et les organismes d’autorégulation donnent la liste du personnel spécifiquement désigné et autorisé à exécuter ces tâches à la CSSF et la mettent à jour immédiatement après tout changement.
Les autorités nationales et les organismes d’autorégulation veillent à ce que le personnel habilité conformément au présent paragraphe, soit informé du droit de l’Union européenne et du droit national applicables, y compris les règles applicables en matière de protection des données. À cet effet, les autorités nationales et les organismes d’autorégulation veillent, à ce que le personnel habilité suive des programmes de formation spécialisés.
Art. 9.
(1)
La CSSF met en place, conformément à des normes technologiques élevées, des mesures techniques et organisationnelles permettant de garantir la sécurité des données accessibles par le système électronique central de recherche afin de veiller à ce que seules les personnes habilitées conformément à l’article 8, paragraphe 3, aient accès aux données accessibles par le système électronique central de recherche conformément au présent chapitre.(2)
La CSSF veille à ce que chaque accès en vertu de l’article 8, paragraphe 1er, aux données accessibles par le système électronique central de recherche de données et chaque recherche effectuée dans ces données soient consignés dans des registres. Les registres mentionnent notamment les éléments suivants :a) | la référence du dossier ; |
b) | la date et l’heure de la recherche ; |
c) | le type de données utilisées pour lancer la recherche ; |
d) | l’identifiant unique des résultats ; |
e) | l’identifiant d’utilisateur unique de la personne habilitée qui a eu accès aux données accessibles par le système électronique central de recherche de données et qui a effectué la recherche et, le cas échéant, l’identifiant d’utilisateur unique du destinataire des résultats de la recherche. |
(3)
La CSSF veille à ce que chaque demande d’accès aux données accessibles par le système électronique central de recherche de données et chaque recherche effectuée dans ces données par le biais de la CSSF conformément à l’article 8, paragraphe 2, soient consignés dans des registres. Les registres mentionnent notamment les éléments suivants :a) | la référence du dossier au niveau de l’autorité nationale ou de l’organisme d’autorégulation concerné ; |
b) | la date et l’heure de la requête ou de la recherche ; |
c) | le type de données utilisées pour demander de lancer la requête ou la recherche ; |
d) | l’identifiant unique des résultats ; |
e) | le nom de l’autorité nationale ou l’organisme d’autorégulation demandeur ; |
f) | l’identifiant d’utilisateur unique de la personne habilitée qui a ordonné la requête ou la recherche et, le cas échéant, l’identifiant d’utilisateur unique du destinataire des résultats de la requête ou de la recherche. |
Chapitre 5
-Traitement des données à caractère personnelArt. 10.
(1)
Le traitement des données à caractère personnel en vertu de la présente loi est soumis au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dénommé ci-après « règlement (UE) 2016/679 ».(2)
Le traitement de données à caractère personnel sur base de la présente loi aux fins de la prévention du blanchiment et du financement du terrorisme est considéré comme une question d’intérêt public au titre du règlement (UE) 2016/679.Titre II
-Modification de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorismeArt. 11.
La loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme est modifiée comme suit :
1° | Le chapitre 3 est complété par deux nouvelles sections 3 et 4, libellées comme suit :
| |||||||||||||||||||||||||||||||||||||||||||||
2° | À l’article 8-4, paragraphe 1er, de la même loi, les mots sont ajoutés après les mots ; | |||||||||||||||||||||||||||||||||||||||||||||
3° | À l’article 9 de la même loi, le mot est remplacé par une virgule et les mots sont ajoutés après la lettre ; | |||||||||||||||||||||||||||||||||||||||||||||
4° | L’article 9-2 de la même loi est modifié comme suit :
|
Titre III
-Modification de la loi modifiée du 5 juillet 2016 portant réorganisation du Service de renseignement de l’ÉtatArt. 12.
À l’article 8, paragraphe 1er, de la loi modifiée du 5 juillet 2016 portant réorganisation du Service de renseignement de l’État, il est introduit un point a) ayant la teneur suivante :
| ||||
Titre IV
-Modification de la loi du 30 mai 2018 relative aux marchés d’instruments financiersArt. 13.
À l’article 8, paragraphe 1er, de la loi du 30 mai 2018 relative aux marchés d’instruments financiers, il est ajouté après la première phrase, une deuxième phrase, qui prend la teneur suivante :
« L’application des pas de cotation n’empêche pas les marchés réglementés d’apparier des ordres d’une taille élevée au point médian entre les prix actuels acheteurs et vendeurs. ». | ||
Titre V
-Modification de la loi du 13 janvier 2019 instituant un Registre des bénéficiaires effectifsArt. 14.
À l’article 1er, point 4°, de la loi du 13 janvier 2019 instituant un Registre des bénéficiaires effectifs, la référence au point est remplacée par la référence au point ».
Titre VI
-Dispositions finalesArt. 15.
L’obligation de mise en place du fichier de données conformément à l’article 2, paragraphe 1er concerne les comptes de paiement et les comptes bancaires identifiés par un numéro IBAN, au sens du règlement (UE) n° 260/2012, qui existent à la date d’entrée en vigueur de la présente loi ainsi que les comptes qui seront ouverts postérieurement à cette date.
L’obligation de mise en place du fichier de données conformément à l’article 2, paragraphe 1er concerne les coffres-forts en location à la date d’entrée en vigueur de la présente loi ainsi que les coffres-forts qui seront mis en location postérieurement à cette date.