Source: OJ L 150, 9.6.2023, pp. 1–39Current language: FR
- Anti-money laundering
Basic legislative acts
- Transfer of funds regulation (TFR)
Article 25 Protection des données
Summary What does Article 25 of the Transfer of funds regulation (TFR) say?
This article establishes the data protection framework that sits alongside the regulation's core obligations.
It anchors the entire regulation to the EU's existing data protection rules — primarily GDPR (Regulation (EU) 2016/679) — and makes clear that personal data collected under this regulation can only be used for AML/CFT purposes, with commercial use of that data explicitly prohibited.
The article also places transparency obligations on payment service providers and crypto-asset service providers toward their clients, and addresses the specific challenge of cross-border data transfers in the context of crypto-asset transactions, tasking both the European Data Protection Board and EBA with issuing relevant guidelines.
Important points:
- Process personal data collected under this regulation solely for the prevention of money laundering and terrorist financing — using it for commercial purposes is prohibited.
- Provide new clients with the required data protection information before establishing a business relationship or carrying out an occasional transaction, in a concise, transparent, intelligible and easily accessible form.
- The European Data Protection Board is required to issue guidelines on data protection requirements for transfers of personal data to third countries in the context of crypto-asset transfers, and EBA is required to issue guidelines on procedures for handling transfers where those requirements cannot be met.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Le traitement des données à caractère personnel effectué au titre du présent règlement est soumis au règlement (UE) 2016/679. Les données à caractère personnel qui sont traitées au titre du présent règlement par la Commission ou l’ABE sont soumises au règlement (UE) 2018/1725.
Les données à caractère personnel ne sont traitées par des prestataires de services de paiement et des prestataires de services sur crypto-actifs sur la base du présent règlement qu’aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme et ne font pas l’objet d’un traitement ultérieur d’une manière incompatible avec lesdites finalités. Le traitement des données à caractère personnel sur la base du présent règlement à des fins commerciales est interdit.
Les prestataires de services de paiement et les prestataires de services sur crypto-actifs communiquent aux nouveaux clients les informations requises au titre de l’article 13 du règlement (UE) 2016/679 avant d’établir une relation d’affaires ou d’exécuter une transaction à titre occasionnel. Ces informations sont fournies sous une forme concise, transparente, compréhensible et aisément accessible conformément à l’article 12 du règlement (UE) 2016/679, et contiennent en particulier un avertissement général concernant les obligations légales des prestataires de services de paiement et des prestataires de services sur crypto-actifs au titre du présent règlement lorsqu’ils traitent des données à caractère personnel aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme.
Les prestataires de services de paiement et les prestataires de services sur crypto-actifs veillent à tout moment à ce que la transmission de toute donnée à caractère personnel concernant les parties intervenant dans un transfert de fonds ou un transfert de crypto-actifs soit effectuée conformément au règlement (UE) 2016/679.
Le comité européen de la protection des données, après consultation de l’ABE, émet des orientations sur la mise en œuvre pratique des exigences en matière de protection des données pour les transferts de données à caractère personnel vers des pays tiers dans le cadre des transferts de crypto-actifs. L’ABE émet des orientations sur les procédures appropriées pour déterminer s’il y a lieu d’effectuer, de rejeter, de renvoyer ou de suspendre un transfert de crypto-actifs dans les situations où le respect des exigences en matière de protection des données pour le transfert de données à caractère personnel vers des pays tiers ne peut être garanti.
Relevant recitals
Considérant 19 Personal data processing requirements and intra-group data transfers
Le traitement des données à caractère personnel au titre du présent règlement devrait s’effectuer dans le strict respect du règlement (UE) 2016/679 du Parlement européen et du Conseil(17). Le traitement ultérieur des données à caractère personnel à des fins commerciales devrait être strictement interdit. La lutte contre le blanchiment de capitaux et le financement du terrorisme est reconnue par tous les États membres comme un motif d’intérêt public important. Dans le cadre de l’application du présent règlement, il est impératif que le transfert de données à caractère personnel vers un pays tiers soit effectué conformément au chapitre V du règlement (UE) 2016/679. Il est important que les prestataires de services de paiement et les prestataires de services sur crypto-actifs actifs dans plusieurs pays ou territoires et disposant de succursales ou de filiales en dehors de l’Union ne soient pas empêchés de transférer au sein de la même organisation des données sur des transactions suspectes, pour autant qu’ils prennent les précautions nécessaires. De plus, les prestataires de services sur crypto-actifs de l’initiateur et du bénéficiaire de crypto-actifs, les prestataires de services de paiement du donneur d’ordre et du bénéficiaire de fonds, ainsi que les prestataires de services de paiement intermédiaires et les prestataires de services sur crypto-actifs intermédiaires, devraient mettre en place des mesures techniques et organisationnelles appropriées destinées à protéger les données à caractère personnel contre la perte accidentelle, l’altération, ou la diffusion ou l’accès non autorisé.
Considérant 34 Data protection assessment for crypto-asset transfers to non-Union providers
Les crypto-actifs existent dans une réalité virtuelle sans frontières et peuvent être transférés à n’importe quel prestataire de services sur crypto-actifs, que celui-ci soit enregistré ou non dans un pays ou territoire. De nombreux pays ou territoires en dehors de l’Union disposent, en matière de protection des données et de son application, de règles différentes de celles en vigueur dans l’Union. Lorsqu’il transfère des crypto-actifs pour le compte d’un client à un prestataire de services sur crypto-actifs qui n’est pas enregistré dans l’Union, le prestataire de services sur crypto-actifs de l’initiateur devrait évaluer la capacité du prestataire de services sur crypto-actifs du bénéficiaire de crypto-actifs à recevoir et à conserver les informations requises en vertu du présent règlement conformément au règlement (UE) 2016/679, en utilisant, le cas échéant, les options disponibles au chapitre V du règlement (UE) 2016/679. Le comité européen de la protection des données devrait, après consultation de l’ABE, émettre des orientations sur la mise en œuvre pratique des exigences en matière de protection des données pour les transferts de données à caractère personnel vers des pays tiers dans le cadre des transferts de crypto-actifs. Il pourrait arriver que des données à caractère personnel ne puissent pas être transmises en raison de l’impossibilité de satisfaire aux exigences du règlement (UE) 2016/679. L’ABE devrait émettre des orientations sur les procédures appropriées permettant de déterminer s’il y a lieu, en pareil cas, d’effectuer, de rejeter ou de suspendre le transfert de crypto-actifs.
Considérant 63 Fundamental rights and data protection compliance
Le présent règlement est soumis au règlement (UE) 2016/679 et au règlement (UE) 2018/1725 du Parlement européen et du Conseil(23). Il respecte les droits fondamentaux et observe les principes reconnus par la Charte des droits fondamentaux de l’Union européenne, en particulier le droit au respect de la vie privée et familiale (article 7), le droit à la protection des données à caractère personnel (article 8), le droit à un recours effectif et à accéder à un tribunal impartial (article 47) et le principe ne bis in idem.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
bénéficiaire de fonds
(En. payee)
Definition
services sur crypto-actifs
(En. crypto-asset services)
Definition
fonds
(En. funds)
Definition
donneur d’ordre
(En. payer)
Definition
blanchiment de capitaux
(En. money laundering)
Definition
technologie des registres distribués
(En. distributed ledger technology)
Definition
relation d’affaires
(En. business relationship)
Definition
prestataire de services sur crypto-actifs intermédiaire
(En. intermediary crypto-asset service provider)
Definition
pays tiers
(En. third country)
Definition
transfert de fonds
(En. transfer of funds)
- un virement au sens de l’article 4, point 24), de la directive (UE) 2015/2366;
- un prélèvement au sens de l’article 4, point 23), de la directive (UE) 2015/2366;
- une transmission de fonds au sens de l’article 4, point 22), de la directive (UE) 2015/2366, qu’elle soit nationale ou transfrontière;
- un transfert effectué à l’aide d’une carte de paiement, d’un instrument de monnaie électronique, d’un téléphone portable ou de tout autre dispositif numérique ou informatique qui permet de prépayer ou postpayer présentant des caractéristiques similaires;
Definition
crypto-actif
(En. crypto-asset)
Definition
adresse de registre distribué
(En. distributed ledger address)
Definition
financement du terrorisme
(En. terrorist financing)
Definition
compte de paiement
(En. payment account)
Definition
compte de crypto-actifs
(En. crypto-asset account)
Definition
DLT
(En. distributed ledger technology)
Definition
crypto-actif
(En. crypto-asset)
Definition
transfert de crypto-actifs
(En. transfer of crypto-assets)
Definition
prestataire de services de paiement intermédiaire
(En. intermediary payment service provider)
Definition
initiateur
(En. originator)
Definition
bénéficiaire de crypto-actifs
(En. beneficiary)
Definition
prestataire de services de paiement
(En. payment service provider)
Definition
prestataire de services sur crypto-actifs
(En. crypto-asset service provider)
Definition
monnaie électronique
(En. electronic money)
Footnote 23
Footnote 17