Anti-blanchiment
et protection des données personnelles,
la petite révolution
du dernier règlement européen

Pour commencer par le moins impactant, notons la façon dont le nouveau règlement a écorné la décision de la Cour de Justice de l’Union européenne (CJEU) au sujet de l’accès au registre des bénéficiaires effectifs (RBE). En effet, celle-ci avait invalidé la modification de l’article 30 d’AMLD4 ouvrant l’accès au RBE pour le grand public, et restreint cet accès aux autorités et aux entités assujetties.

Le nouveau règlement réouvre partiellement l’accès au RBE, en autorisant l’accès des « sous-traitants » d’entités assujetties au sens RGPD du terme, c’est-à dire les fournisseurs de données, de logiciels, les courtiers, IOB et autres analystes de premier niveau. Cette ouverture n’était pas obligatoire, dans la mesure où, par exemple, ceux-ci utilisent actuellement les codes d’accès de leurs clients pour accéder aux API des registre nationaux. En ouvrant cet accès, le nouveau règlement va volontairement au-delà de la limite imposée par la CJEU, et ouvre le RBE à tous les prestataires fournissant des services directement ou indirectement liés à la LCB-FT.

Une disposition plus impactante du nouveau règlement est la fixation d’une période déterminée pour la mise à jour des données clients, là où les textes précédents se contentaient de préciser que la périodicité devait être « adaptée », avec des critères de risques faibles ou de risques élevés impactant la fréquence. En imposant une mise à jour des informations clients tous les ans pour les risques élevés, et de cinq ans pour les autres risques, AMLR impose un rythme de collecte des données personnelles déconnecté des réels besoins des établissements… et limite au regard du RGPD.

Si l’on prend l’exemple de l’activité de crédit non renouvelable, ou du placement unitaire en assurance-vie, la pertinence d’une mise à jour des informations clients en l’absence de toute nouvelle opération et de tout contact interroge, au même titre que la capacité des établissements à obtenir quoi que ce soit de leurs clients, à défaut du moindre levier d’action prévu dans leur engagement contractuel. En France, où la documentation contractuelle est strictement encadrée, l’ajout d’obligations de mise à jour, ou la suspension du contrat dans le cas contraire, semble difficilement réaliste.

Néanmoins, c’est avec la question de la collecte et du traitement des données sensibles que le nouveau règlement franchit un pas majeur.

En toute logique, AMLR entérine la capacité des établissements à collecter les données relatives aux infractions et condamnations pouvant donner lieu à blanchiment … ce qu’ils faisaient déjà. Point positif, il exige que les établissements fassent la distinction entre les allégations, les enquêtes, les procédures et les condamnations, en tenant compte de la présomption d’innocence. Ce dernier point, parfois oublié par les établissements au moment de catégoriser un client en risque élevé, va nécessiter des développements utiles d’outils et de procédures, notamment pour gérer l’évolution des enquêtes.

Ce qui est plus surprenant est l’autorisation de collecte et de traitement des autres typologies de données sensibles (données de santé, religion, appartenance syndicale, origine ethnique ou orientation sexuelle), sans distinction de pertinence entre ces typologies et avec des conditions minimales d’encadrement, malgré un risque majeur pour les clients. La sécurité de ces données personnelles étant à la seule main des établissements, le temps et les autorités de protection des données diront si cette autorisation a ouvert la porte à des pratiques abusives.

Enfin, particulièrement impactante en France, est l’obligation de collecte du numéro national (NIR, plus connu sous le nom de numéro de sécurité sociale), et du numéro fiscal. Rappelons que le RGPD avait laissé aux autorités nationales le choix de classer le numéro national en donnée sensible, et que la France, par le biais du décret du 19 avril 2019, avait choisi d’en limiter l’utilisation à une liste restreinte de cas strictement autorisés. Pour les établissements financiers dans le cadre de la lutte anti-blanchiment, cela se limitait aux cas (sans usage possible) où le NIR figurerait sur une liste de sanctions. Avec les obligations de l’article 22 d’AMLR, et compte tenu de la hiérarchie des textes dans l’Union européenne, c’est toute une série d’acteurs auxquels le traitement du NIR était jusqu’à présent interdit, qui vont pouvoir en profiter.

D’après l’article 22, le NIR et le numéro fiscal ont pour objectif l’identification du client, comme tout document d’identité. Cependant, l’unicité du NIR est bien plus efficace que des éléments d’identité usuels, sujets à erreurs ou à homonymie. Cette collecte est donc la porte ouverte à l’interconnexion de fichiers, compatible avec le RGPD, pour des objectifs de consolidation des encours et d’analyse globale des transactions, nécessaires dans le cadre de la lutte anti-blanchiment. La plus grosse difficulté pour les établissements va être de se limiter à ces utilisations légales, et de résister à la tentation d’usages ultérieurs incompatibles. Connaissant la sensibilité de la Commission Nationale Informatique et Libertés (CNIL) sur le sujet, il y a fort à parier que les établissements seront surveillés de très près dans leurs usages, ainsi que dans les mesures de protection mises en œuvre.

Au-delà des données elles-mêmes, c’est l’étendue du partage et du transfert desdites données qui est considérablement accrue par le nouveau règlement. Avec la création de la notion de partenariat, AMLR établit le partage de données entre établissements sans lien capitalistique ou contractuel, dérogeant considérablement au RGPD sur ce dernier point. Le partenariat n’étant pas spécifiquement défini par l’article 2 d’AMLR, mais sujet à déclaration préalable à l’autorité de tutelle, ce sera, pour la France, l’ACPR qui décidera de l’étendue du partage de données. Une jurisprudence à suivre.

Pour terminer, soulevons une lueur d’espoir dans la protection des données, avec l’introduction d’une limitation majeure à l’utilisation de l’IA dans les systèmes anti-blanchiment. L’article 76 d’AMLR indique en effet que seules les données directement obtenues par les établissements pourront être traitées par les systèmes d’IA. Cela signifie que toutes les données calculées ou induites seront exclues des moteurs d’entraînement. Tandis que l’article 75 indique que les données générées par IA sans intervention humaine seront interdites de partage au sein d’un partenariat.

Pour conclure, nous dirons que le nouveau règlement AMLR a largement ouvert à la fois les typologies de données et les acteurs habilités à traiter les données personnelles dans le cadre de la lutte anti-blanchiment, tout en plaçant des exigences imprécises, qui ouvrent la voie à un cadrage futur par jurisprudence. Cette dernière étant à la main tant des autorités de protection des données que des autorités de tutelle, pour la France, espérons que la CNIL et l’ACPR collaboreront aussi efficacement que l’ACPR et Tracfin le font actuellement.