Lutter contre le blanchiment des capitaux et le financement du terrorisme dans le respect du RGPD

Pour mieux encadrer le traitement des données à caractère personnel dans le cadre de la LCB-FT, le Comité consultatif de la convention pour la protection des personnes à l’égard des données à caractère personnel a publié de nouvelles lignes directrices le 16 juin 2023, afin de fournir des orientations sur la manière d’intégrer les exigences de la Convention 108+ dans le domaine de la LCB-FT. Ces lignes directrices visent à faciliter les flux transfrontières de données, renforcer la protection des données dans certains domaines de la LCB-FT et fournir aux instances décisionnaires des recommandations de base à intégrer dans les politiques et les instruments réglementaires.

Quels sont les principes de base que le responsable de traitement et les sous-traitants doivent respecter dans le cadre de l’exploitation des données à caractère personnel ? Que recommande le Comité dans le cadre du traitement des données sensibles ? Au nom de l’intérêt public général, les entités peuvent-elles réaliser tout type de traitements sur les données des personnes assujetties ?

Les principes de base du traitement des données à caractère personnel dans le cadre de la LBC-FT

Pour mettre en œuvre les obligations réglementaires, notamment de vigilance à l’égard de la clientèle, les entités assujetties réalisent des traitements de données personnelles en vue de connaître et d’évaluer la relation d’affaires (profil client, opérations, risques géographiques, produit, canal de distribution).

Tout en rappelant les principes de base de la protection des données issues du RGPD, les lignes directrices viennent préciser ce que doivent respecter les responsables de traitement et les sous-traitants dans le cadre de la LCB-FT. Il s’agit notamment :

• Du principe de limitation de la finalité : Les entités assujetties doivent collecter des données dans le respect de la finalité de traitement initiale ou directe et pour d’autres finalités à condition qu’elles soient compatibles avec la finalité de traitement initiale. Pour exemple, dans le secteur assurantiel, lors de la souscription, les données du souscripteur seront collectées à des fins d’exécution du contrat et de vigilance constante (traitement initial) qui pourront éventuellement être utilisées pour une déclaration de soupçon, dans le cas de la détection d’une opération suspecte (finalité supplémentaire). Cette finalité supplémentaire est considérée comme compatible avec la finalité de traitement initiale. En ce qui concerne le partage d’information entre entités appartenant à un groupe, le Comité recommande de disposer de politiques et procédures claires, permettant de définir quel type de données personnelles peuvent être échangées entre elles, sur quelle base et dans quel but en vue d’appliquer le principe de limitation de la finalité.

• Du principe de licéité du traitement : En principe pour être légal et conforme, tout traitement de données personnelles requiert le consentement des personnes concernées. Ce consentement doit être donné de façon libre, éclairée, spécifique, et non équivoque. La question du consentement dans le cadre de la LCB-FT peut être sujette à réflexion car aucune personne ne donne manifestement son consentement pour le criblage de ses opérations et l’analyse de son profil sur les listes de sanctions par exemple. En raison de la confidentialité de ces process, le traitement des données doit s’appuyer sur une base juridique valable, à savoir l’intérêt public pour les entités publiques. Pour les entités privées assujetties, le traitement des données dans le cadre de la LCB-FT doit reposer sur des principes de nécessité et de proportionnalité avec la mise en place de garanties appropriées. Les entités assujetties privées peuvent se baser sur l’intérêt public comme fondement juridique mais ce choix doit être motivé par l’établissement de règles précisant la nécessité et les conditions de traitement (liste des données nécessaires à l’analyse opérationnelle, type de traitements, etc.).

• Du principe de minimisation des données : Dans le cadre de la LCB-FT, en vertu de l’approche par les risques, il subsiste un flou en droit interne sur la nature et la typologie des données à collecter pour répondre aux obligations LCB-FT. Tout en essayant de respecter les obligations LCB-FT qui nécessitent un croisement de plusieurs informations relatives à la relation d’affaires, ces entités sont confrontées au principe de minimisation de la donnée. Dans cette optique, le Comité recommande aux responsables de traitement et aux sous-traitants de veiller à ce que les exigences en matière de protection des données soient intégrées au stade de l’architecture et de la conception du système dans le cadre du traitement automatisé des données.

• Du principe d’exactitude des données : Pour pouvoir respecter les obligations de LCB-FT à savoir de connaissance client à travers l’identification des clients et des PPE (personnes politiquement exposées), des personnes faisant l’objet de mesures de gel des avoirs, des sanctions internationales, et plus classiquement les obligations de mise en œuvre de la vigilance, les entités assujetties doivent s’assurer que les données et informations collectées soient de qualité en termes d’exactitude, d’actualité et d’exhaustivité. Ce concept de qualité des données au sens de la LCB-FT ne peut être atteint que par l’actualisation de la KYC. Par ailleurs, ayant de plus en plus recours à des outils basés sur l’intelligence artificielle pour les aider dans la détection des opérations et profils suspects, les entités assujetties ont tout intérêt à fiabiliser leurs bases de données afin de réduire l’intervention humaine post-outil qui reste tout de même nécessaire pour vérifier l’exactitude des résultats et éviter tout risque d’erreur inhérent au criblage (impact négatif sur les personnes concernées, risque de réputation de l’entité assujettie). La qualité des données est donc primordiale car elle contribue à une mise en œuvre opérationnelle efficiente des obligations LCB-FT (précision des déclarations de soupçon, niveau de vigilance corrélé au profil de risque du client, etc.).

• Du principe de limitation de la conservation : Les entités assujetties ont l’obligation de conserver les données relatives à une relation d’affaires 5 ans maximum à compter de la fin de cette relation.Cependant, il convient de préciser que dans le cadre d’investigations menées par TRACFIN à la suite d’une déclaration de soupçon, TRACFIN peut faire une demande de communication des pièces conservées quel que soit le support utilisé pour leur conservation et dans des délais fixés par TRACFIN (article L. 561-25 du code monétaire et financier¹).

• Du principe de sécurité des données : Les entités assujetties doivent appliquer le principe de sécurité des données qui nécessite de mettre en place des mesures techniques et organisationnelles (le chiffrement, l’anonymisation, la pseudonymisation) en tenant compte de la spécificité des opérations. En ce qui concerne la sécurité des données dans le cadre d’un partage d’information entre autorités compétentes, le Comité rappelle la recommandation du GAFI qui propose une coopération visant à garantir la compatibilité entre les exigences LCB-FT et celles de protection des données.

Après analyse, les responsables de traitement des entités assujetties ainsi que leurs sous-traitants doivent appliquer les obligations LCB-FT dans le respect des principes fondamentaux imposés par les réglementations en matière de protection des données personnelles.

Cependant, afin de mener à bien leur mission d’assurer l’intégrité du système notamment financier, ceux-ci doivent restreindre les droits des personnes concernées sur leurs données.

Les droits et restrictions en matière de protection des données dans le cadre de la LCB-FT

Dans l’exercice de leurs activités, les responsables de traitement ainsi que leurs sous-traitants doivent, de prime abord, appliquer les obligations de protection des données personnelles notamment concernant les droits de toute personne physique sur ses données. Pour rappel, au nom du RGPD, toute personne physique a la possibilité d’exercer ses droits d’accès, de rectification, d’opposition, de limitation du traitement, d’oubli et de portabilité. Les responsables de traitement doivent donc mettre en place des mesures permettant de faciliter l’exercice de ces droits même en cas d’automatisation des process. Cependant, certains droits octroyés à une personne dans le cadre de la législation en matière de protection des données peuvent être restreints afin de répondre aux obligations de la LCB-FT.

En effet, le régime de LCB-FT prévoit des traitements dont le client ne doit avoir connaissance. La confidentialité de la déclaration de soupçon, par exemple, requiert la non-divulgation de l’information auprès du client. Dans l’hypothèse où celui-ci en serait informé d’une manière ou d’une autre, il ne pourra exercer ses droits d’accès et d’opposition.

Cette prérogative des entités assujetties doit être cependant encadrée. Le Comité rappelle que lorsque les droits des personnes concernées sont restreints à des fins de LCB-FT, ces restrictions doivent reposer uniquement sur la législation en matière de LCB-FT et se limiter strictement à ce qui est nécessaire et proportionné.

En ce qui concerne le traitement des données sensibles dans le cadre de la LCB-FT, les entités assujetties peuvent les traiter à condition qu’elles s’inscrivent dans la finalité poursuivie. Les données de santé et celles qui concernent l’orientation sexuelle par exemple, ne peuvent faire l’objet d’un traitement à des fins de LCB-FT. A contrario, les données relatives aux infractions pénales sont pertinentes pour la LCB-FT. Mais, les personnes concernées peuvent s’opposer à la légalité du traitement si celui-ci vient compromettre une enquête en cours. Une fois le risque levé, ce droit peut à nouveau être restreint pour des raisons de LCB-FT.

Les nouvelles lignes directrices en matière de protection des données viennent préciser les modalités de traitement des données personnelles dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT).

Dans un contexte renforcé de LCB-FT comme le témoigne la recrudescence des contrôles et des sanctions du superviseur (ACPR), les entités assujeties ont l’obligation de mieux connaitre leurs clients et leurs relations d’affaires pouvant parfois nécessiter une ingérence dans la vie privée des clients voire la restriction de leurs droits sur leurs données personnelles.

Il convient cependant de noter que les données personnelles ne peuvent être exploitées par les entités assujetties qu’à des fins de traitement déterminées et nécessaires à la LCB-FT. La frontière étant poreuse, une coopération entre les autorités de la LCB-FT et celles de la protection des données est donc nécessaire afin de lister les données personnelles indispensables aux traitements LCB-FT et ainsi éviter tout abus. 

[1] Article L561-25 – Code monétaire et financier (14 février 2020)