Arrêté du 23 août 2021 transposant la directive 2019/1153 du Parlement européen et du Conseil du 20 juin 2019

Le code général des impôts est ainsi modifié :

1° Le troisième alinéa de l'article 164 FC est complété par la phrase suivante :

« Des mesures techniques et organisationnelles en garantissent la sécurité, conformément à des normes technologiques élevées. » ;

2° Il est introduit, après l'article 164 FF, un article 164 FG ainsi rédigé :

« Art. 164 FG. - Le responsable du traitement mentionné à l'article 2 veille à ce que chaque accès aux informations traitées soit consigné dans des journaux. Ces journaux mentionnent notamment les éléments suivants :

1° La référence du compte consulté ;

2° La date et l'heure de la requête ou de la recherche ;

3° Les données utilisées pour lancer la requête ou la recherche ;

4° L'identifiant unique des résultats ;

5° Le nom de l'autorité compétente désignée qui a consulté le registre ;

6° L'identifiant d'utilisateur unique de l'agent qui a introduit la requête ou qui a effectué la recherche et, le cas échéant, celui de l'agent qui a ordonné la requête ou la recherche et, lorsqu'il est connu, l'identifiant d'utilisateur unique du destinataire des résultats de la requête ou de la recherche.

Ils sont uniquement utilisés pour veiller à la protection des informations qui font l'objet du traitement, notamment pour vérifier la recevabilité des demandes de consultation et la sécurité des données.

Ils sont protégés par des mesures appropriées empêchant tout accès non autorisé et sont effacés cinq ans après leur création, sauf s'ils sont nécessaires à des procédures de contrôle en cours.

Ils sont régulièrement contrôlés par le délégué à la protection des données.

Lorsque l'autorité mentionnée à l'article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés en fait la demande, ces journaux sont mis à sa disposition.

Le responsable du traitement mentionné ci-dessus prend des mesures appropriées pour que ses agents soient informés du droit de l'Union et des dispositions nationales applicables, notamment des règles applicables en matière de protection des données. Des programmes de formation spécialisés sont mis en œuvre à cette fin. »

Les moyens de communication électronique sécurisés mentionnés à l'article R. 561-36-3 du code monétaire et financier sont :

1° Le SIENA mentionné au considérant 24 du règlement (UE) 2016 /794 du Parlement européen et du Conseil du 11 mai 2016.

2° Le FIU.net ou son successeur, mentionné au second alinéa du 1 de l'article 53 de la directive (UE) 2015/849 du 20 mai 2015.

Les registres mentionnés à l'article R. 561-37-1 du code monétaire et financier contiennent notamment les informations suivantes :

1° Le nom et les coordonnées de l'organisation et du membre du personnel demandant les informations et, dans la mesure du possible, du destinataire des résultats de la requête ;

2° La référence du dossier national pour lequel les informations sont demandées ;

3° L'objet des demandes ;

4° Toute mesure d'exécution de ces demandes.

Ces registres ne sont utilisés qu'aux fins de vérifier la licéité du traitement des données à caractère personnel.

Lorsque l'autorité mentionnée à l'article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés en fait la demande, ce registre est mis à sa disposition.

Les articles 2 et 3 du présent arrêté sont applicables à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, sous réserve des adaptations suivantes,à l'article 2 :

1° Les mots : « mentionné au considérant 24 du règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 » sont remplacés par les mots : « réseau sécurisé pour l'échange de données qui vise à faciliter l'échange d'informations entre la France, Europol, les autres organes de l'Union européenne, les pays tiers et les organisations internationales » ;

2° Les mots : « mentionné au second alinéa de l'article 53 de la directive (UE) 2015/849 du 20 mai 2015 » sont remplacés par les mots : « chaine de communication entre les cellules de renseignement financier ».

Le directeur général des finances publiques, le directeur de Tracfin et la directrice générale des outre-mer sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.