L’articulation du RGPD avec la réglementation LCB-FT
Le RGPD1, en application depuis le 25 mai 2018, s’applique aux organismes publics et privés qui traitent des données personnelles au sein de l’Union Européenne. Il définit plusieurs principes et obligations reposant sur les responsables de traitement de données et consacre des droits aux personnes physiques dont les données sont traitées (personnes concernées). Le RGPD impose également de réaliser une analyse d’impact sur la protection des données (AIPD) pour évaluer et limiter les risques de porter atteinte aux droits et libertés fondamentales des personnes, notamment lorsque le traitement de données personnelles remplit certains critères, tels que l’évaluation ou la notation, le croisement de bases de données, ou encore l’utilisation innovante de technologie, etc.
La règlementation relative à la LCB-FT a pour objectif de prévenir et détecter les actes, comportements ou pratiques qui aboutissent aux infractions de blanchiment des capitaux et de financement du terrorisme. Les 4ème, 5ème et 6ème directives, transposées en droit français notamment dans le Code Monétaire et Financier (CMF), imposent aux organismes financiers (banques et assurances) de collecter et de traiter de nombreuses données, en particulier dans le cadre des obligations de vigilance à l’égard de la clientèle, de détection et d’examen des opérations atypiques, et de signalement des opérations suspectes. Ces obligations peuvent nécessiter la réalisation d’analyses d’impact sur la protection des données.
Est-il possible de répondre aux obligations prévues par la règlementation relative à la LCB-FT tout en respectant celles prévues par le RGPD ? Ces deux règlementations sont-elles conciliables ?
Les obligations de vigilance à l’égard de la clientèle
En France, le CMF impose aux assujettis, d’une part, d’identifier et de vérifier l’identité de leurs clients et, le cas échéant, de leur(s) bénéficiaire(s) effectif(s) et, d’autre part, de recueillir et analyser les informations relatives à l’objet et à la nature de la relation d’affaires (obligation de vigilance). La mise en œuvre de ces obligations s’effectue selon une approche par les risques et conduit à collecter et conserver des données et pièces justificatives telles que : le nom, le prénom, la date et le lieu de naissance, un document officiel en cours de validité comportant une photographie, la profession, la fonction, les revenus, le patrimoine, la résidence fiscale du client, le secteur d’activité et l’environnement des opérations, l’origine et la destination des fonds. La nature et l’étendue des informations collectées sont adaptées au risque de blanchiment de capitaux et de financement du terrorisme (BC-FT) présenté par la relation d’affaires.
Limitation des finalités : Dans le cadre de leurs obligations de vigilance, les organismes financiers doivent collecter les données personnelles « pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ». Elles doivent donc être utilisées uniquement aux fins de la prévention et de la détection du blanchiment de capitaux et du financement du terrorisme et ne peuvent être utilisées ultérieurement à des fins considérées comme incompatibles (par exemple, une finalité commerciale).
Minimisation des données : Les données personnelles collectées par les organismes financiers doivent « être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Les organismes financiers doivent donc se limiter à collecter les seules informations nécessaires à l’identification de leurs clients et à la qualification des relations d’affaires, en fonction de son exposition au risque BC-FT et de l’intensité des vigilances associées (simplifiées, renforcées et / ou complémentaires).
Exactitude des données : Les données personnelles collectées par les organismes financiers doivent être « exactes et tenues à jour ». De la même manière, la directive LCB-FT impose aux organismes financiers de maintenir à jour et d’actualiser, selon une fréquence définie par le niveau de risque BC-FT du client, les données relatives à la connaissance client et à la relation d’affaires.
Licéité du traitement : Le traitement de données personnelles doit être « licite », c’est-à-dire fondé sur une ou plusieurs bases légales limitativement définies : le consentement de la personne concernée, l’obligation contractuelle, l’obligation légale, l’intérêt légitime ou l’exécution d’une mission d’intérêt public pesant sur les organismes financiers publics. La réglementation LCB-FT précise que les traitements de données personnelles réalisés dans le cadre de la prévention du blanchiment d’argent et du financement du terrorisme relèvent de l’intérêt public. Toutefois, les lignes directrices émises le 16 juin 2023 par le Comité consultatif de la Convention pour la protection des personnes à l’égard du traitement de données à caractère personnel précisent que le choix de cette base légale doit être dûment motivée par les institutions du secteur privé et soigneusement examinée.
Loyauté et transparence : Le RGPD requiert la communication dans « des termes clairs et simples » d’informations sur le traitement de données personnelles (catégories de données traitées, base légale, finalité du traitement, identité du responsable du traitement, durée de conservation) ainsi que les modalités d’exercice des droits des personnes concernées. Cette obligation est confirmée par la réglementation LCB-FT qui indique que les clients doivent notamment être informés des obligations légales des organismes financiers en ce qui concerne le traitement de données personnelles aux fins de la prévention du blanchiment d’argent et du financement du terrorisme.
La détection et l’examen renforcé des opérations atypiques
La réglementation LCB-FT impose aux organismes financiers de détecter, à l’aide d’actions manuelles et d’outils automatisés, les opérations particulièrement complexes, d’un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d’objet licite (opération atypique). L’examen renforcé de ces opérations porte sur l’origine et la destination des fonds, l’objet de l’opération et l’identité de la personne qui en bénéficie.
Privacy by default : Le RGPD requiert que « par défaut, seules les données à caractère personnel nécessaires au regard de la finalité du traitement » soient traitées, et qu’elles ne soient pas « rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée ». Dans le cadre de la détection automatisée des opérations atypiques, l'outil utilisé pour la détection doit donc s’appuyer sur des critères limitatifs afin de ne traiter par défaut que les informations utiles à la prévention du blanchiment d’argent et du financement du terrorisme en fonction du niveau de risque BC-FT. Au stade de l’examen renforcé, l’analyse peut être standardisée et, en partie, automatisée pour ne collecter que les informations nécessaires à l’appréciation du risque de blanchiment d’argent et de financement du terrorisme (exemple : mise en place d’un menu déroulant dans le corps de l’analyse afin de renseigner les informations simples et récurrentes concernant le client et l’opération).
Sécurité des données : Les organismes financiers doivent, conformément au RGPD, mettre en œuvre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Les données personnelles traitées dans le cadre de la détection et de l'examen des opérations atypiques doivent donc être consultées et analysées par les seules personnes habilitées et formées à cet effet. Leur traitement doit garantir la confidentialité, l’intégrité et la disponibilité des données.
Le signalement des opérations suspectes
Les organismes financiers sont tenus de déclarer à Tracfin (service de renseignement financier chargé de la lutte contre les circuits financiers clandestins, le blanchiment d’argent et le financement du terrorisme) les sommes ou opérations dont ils « savent, soupçonnent ou ont de bonnes raisons de soupçonner qu’elles proviennent d’une infraction passible d’une peine privative de liberté supérieure à un an ou participent au financement du terrorisme » (opération suspecte). La déclaration doit notamment comporter des éléments d’identification du client, l’objet et la nature de la relation d’affaires, le descriptif de l’opération ainsi que les éléments d’analyse qui ont conduit à effectuer la déclaration.
Limitation de la conservation : Les données traitées doivent être conservées pour une « durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Une fois celles-ci atteintes, elles doivent être supprimées ou anonymisées. Après l’examen renforcé des opérations atypiques et, le cas échéant, le signalement des opérations suspectes, le Code Monétaire et Financier impose aux organismes financiers de conserver les documents et informations relatifs à leurs relations d'affaires, aux mesures de vigilance mises en œuvre et aux opérations effectuées pendant 5 ans suivant la cessation de la relation d’affaires ou l’exécution de l’opération. A l’expiration de ce délai, les données personnelles contenues dans ces documents doivent être supprimées ou anonymisées de telle manière que la personne concernée ne soit plus identifiable.
Droits des personnes : Les personnes dont les données ont été traitées ont, conformément au RGPD, des droits (droits à l’information, l’accès, la rectification, l’effacement, la limitation du traitement, la portabilité des données et l’opposition au traitement de données). Cependant, le RGPD prévoit la possibilité de restreindre ces droits lorsque la limitation constitue une mesure nécessaire et proportionnée pour garantir la sécurité et la défense nationale, la prévention et la détection d’infractions pénales, ou d’autres objectifs d’intérêts public général. Le CMF interdit notamment de diffuser la déclaration de soupçon, sous peine d’une amende de 22.500 euros. Le client faisant l’objet d’une déclaration de soupçon peut donc obtenir accès à ses données à caractère personnel à condition qu’elles ne fassent pas mention d’une déclaration de soupçon à son encontre.
Ces exemples permettent de démontrer l’articulation possible entre la réglementation LCB-FT et le RGPD. Toutefois, cette articulation pourrait être remise en cause dans le cadre de la proposition de règlement européen relatif la LCB-FT qui prévoit notamment la possibilité pour les organismes privés de partager entre eux des informations sur leurs clients dans l’objectif de détecter d’éventuelles infractions pénales. A ce titre, le 28 mars 2023, la CNIL (Commission Nationale de l’Informatique et des Libertés) et le CEPD (Contrôleur européen de la protection des données) ont exprimé leur inquiétude concernant la proposition de règlement européen relatif à la LCB-FT et souhaitent être associés à la rédaction de cette proposition. Les organismes financiers devront donc faire preuve de vigilance pour s’assurer de respecter le RGPD lorsqu’ils feront évoluer leurs dispositifs LCB-FT pour se conformer aux nouvelles obligations imposées par le règlement européen sur la LCB-FT.
