Point de vue
L’articulation du RGPD avec la réglementation LCB-FT
Le RGPD (Règlement Général sur la Protection des Données) et la règlementation relative à la LCB-FT (Lutte contre le Blanchiment de Capitaux et le Financement du Terrorisme) semblent à bien des égards contradictoires. Le RPGD encadre le traitement de données personnelles, tandis que la réglementation LCB-FT impose de collecter et de traiter de nombreuses informations afin de lutter contre le blanchiment de capitaux et le financement du terrorisme.
Le RGPD1, en application depuis le 25 mai 2018, s’applique aux organismes publics et privés qui traitent des données personnelles au sein de l’Union Européenne. Il définit plusieurs principes et obligations reposant sur les responsables de traitement de données et consacre des droits aux personnes physiques dont les données sont traitées (personnes concernées). Le RGPD impose également de réaliser une analyse d’impact sur la protection des données (AIPD) pour évaluer et limiter les risques de porter atteinte aux droits et libertés fondamentales des personnes, notamment lorsque le traitement de données personnelles remplit certains critères, tels que l’évaluation ou la notation, le croisement de bases de données, ou encore l’utilisation innovante de technologie, etc.
La règlementation relative à la LCB-FT a pour objectif de prévenir et détecter les actes, comportements ou pratiques qui aboutissent aux infractions de blanchiment des capitaux et de financement du terrorisme. Les 4ème, 5ème et 6ème directives, transposées en droit français notamment dans le Code Monétaire et Financier (CMF), imposent aux organismes financiers (banques et assurances) de collecter et de traiter de nombreuses données, en particulier dans le cadre des obligations de vigilance à l’égard de la clientèle, de détection et d’examen des opérations atypiques, et de signalement des opérations suspectes. Ces obligations peuvent nécessiter la réalisation d’analyses d’impact sur la protection des données.
Est-il possible de répondre aux obligations prévues par la règlementation relative à la LCB-FT tout en respectant celles prévues par le RGPD ? Ces deux règlementations sont-elles conciliables ?
En France, le CMF impose aux assujettis, d’une part, d’identifier et de vérifier l’identité de leurs clients et, le cas échéant, de leur(s) bénéficiaire(s) effectif(s) et, d’autre part, de recueillir et analyser les informations relatives à l’objet et à la nature de la relation d’affaires (obligation de vigilance). La mise en œuvre de ces obligations s’effectue selon une approche par les risques et conduit à collecter et conserver des données et pièces justificatives telles que : le nom, le prénom, la date et le lieu de naissance, un document officiel en cours de validité comportant une photographie, la profession, la fonction, les revenus, le patrimoine, la résidence fiscale du client, le secteur d’activité et l’environnement des opérations, l’origine et la destination des fonds. La nature et l’étendue des informations collectées sont adaptées au risque de blanchiment de capitaux et de financement du terrorisme (BC-FT) présenté par la relation d’affaires.
La réglementation LCB-FT impose aux organismes financiers de détecter, à l’aide d’actions manuelles et d’outils automatisés, les opérations particulièrement complexes, d’un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d’objet licite (opération atypique). L’examen renforcé de ces opérations porte sur l’origine et la destination des fonds, l’objet de l’opération et l’identité de la personne qui en bénéficie.
Les organismes financiers sont tenus de déclarer à Tracfin (service de renseignement financier chargé de la lutte contre les circuits financiers clandestins, le blanchiment d’argent et le financement du terrorisme) les sommes ou opérations dont ils « savent, soupçonnent ou ont de bonnes raisons de soupçonner qu’elles proviennent d’une infraction passible d’une peine privative de liberté supérieure à un an ou participent au financement du terrorisme » (opération suspecte). La déclaration doit notamment comporter des éléments d’identification du client, l’objet et la nature de la relation d’affaires, le descriptif de l’opération ainsi que les éléments d’analyse qui ont conduit à effectuer la déclaration.
Ces exemples permettent de démontrer l’articulation possible entre la réglementation LCB-FT et le RGPD. Toutefois, cette articulation pourrait être remise en cause dans le cadre de la proposition de règlement européen relatif la LCB-FT qui prévoit notamment la possibilité pour les organismes privés de partager entre eux des informations sur leurs clients dans l’objectif de détecter d’éventuelles infractions pénales. A ce titre, le 28 mars 2023, la CNIL (Commission Nationale de l’Informatique et des Libertés) et le CEPD (Contrôleur européen de la protection des données) ont exprimé leur inquiétude concernant la proposition de règlement européen relatif à la LCB-FT et souhaitent être associés à la rédaction de cette proposition. Les organismes financiers devront donc faire preuve de vigilance pour s’assurer de respecter le RGPD lorsqu’ils feront évoluer leurs dispositifs LCB-FT pour se conformer aux nouvelles obligations imposées par le règlement européen sur la LCB-FT.
Sur le même sujet
Data Privacy & Compliance
La conformité au service de votre stratégie numérique
Lutte contre le blanchiment d’argent et le financement du terrorisme
Mise en place d’un dispositif de LCB-FT