Les sociétés cotées[1] ainsi que les personnes qui agissent en leur nom ou pour leur compte ont l’obligation d’établir et de mettre à jour une liste d’initiés, c’est-à-dire une liste des personnes travaillant pour eux et ayant accès à ce titre à des informations privilégiées[2].

La notion d’information privilégiée est définie par le Règlement MAR comme étant « une information à caractère précis qui n’a pas été rendue publique, qui concerne, directement ou indirectement, un ou plusieurs émetteurs, ou un ou plusieurs instruments financiers, et qui, si elle était rendue publique, serait susceptible d’influencer de façon sensible le cours des instruments financiers concernés ou le cours d’instruments financiers dérivés qui leur sont liés ».

Le respect de l’obligation de tenue de listes d’initiés suppose la collecte de données à caractère personnel relatives aux initiés. Un traitement de données à caractère personnel est donc mis en œuvre à cette occasion. Dès lors, les dispositions de la loi Informatique et Libertés s’appliquent, en particulier, l’obligation de procéder à une déclaration préalable auprès de la Commission Nationale de l’Informatique et des Libertés (la « CNIL ») avant toute mise en place de la liste d’initiés.

En 2006, la CNIL avait rendu publique une décision de dispense de déclaration pour les listes d’initiés conformes à la réglementation pre-MAR[3]. Afin de prendre en compte les modifications du régime de tenue des listes d’initiés introduites par le Règlement MAR, la CNIL vient d’émettre une nouvelle décision de dispense en date du 6 juillet 2017[4] (la « Dispense CNIL »). La Dispense CNIL prend en compte les données à caractère personnel supplémentaires devant désormais figurer au sein des listes d’initiés (notamment date de naissance, adresse et numéro de téléphone privés) en plus des données telles que les motifs d’inscription sur la liste d’initiés ou les coordonnées professionnels qui devaient déjà y figurer au titre de la règlementation pre-MAR. Ces données sont conservées pendant une période de cinq ans à compter de leur établissement ou de leur mise à jour.

Ainsi, aux termes de la Dispense CNIL, sont désormais dispensés de toute formalité déclarative préalable les traitements automatisés de données à caractère personnel qui ont pour finalité la tenue des listes d'initiés dans les conditions fixées par le Règlement MAR (y compris en ce qui concerne les listes d’initiés permanents) pour autant que soit strictement respecté l’ensemble des termes de la Dispense CNIL (durée de conservation, destinataire des données, information des personnes, droit d’accès, etc.).

La Dispense CNIL prévoit par ailleurs qu’en cas de recours à un prestataire pour la gestion et l’archivage des listes d’initiés, la convention signée entre l’émetteur et le prestataire doit décrire (i) les opérations que celui-ci est habilité à effectuer à partir des données à caractère personnel, et (ii) les engagements qu'il prend pour garantir leur sécurité et leur confidentialité, en particulier l'interdiction d'utiliser les données à d'autres fins que celles indiquées par la convention et de les mettre en relation avec d'autres sources de données à caractère personnel ou encore l'engagement de procéder à la destruction des fichiers manuels ou informatisés stockant les données personnelles dès l'achèvement du contrat.