Depuis une dizaine d’années, la France et plus globalement l’Union européenne connaissent un développement continu de leurs législations en matière de lutte contre le blanchiment et le financement du terrorisme (LCB-FT).
Evaluée une première fois en 2011 par le Groupe d’Action Financière (GAFI), organisme intergouvernemental de lutte contre le blanchiment d’argent et le financement du terrorisme, la France a de nouveau fait l’objet d’une évaluation en 2021, dont le rapport a été publié le 17 mai 2022. Le GAFI y relève l’essor considérable des moyens juridiques et administratifs nationaux accordés à la LCB-FT en dix ans. La France a particulièrement développé ses moyens d’enquêtes, de poursuite, de confiscation et de sanction, mais aussi sa coopération à l’international.
A l’échelle nationale, l’ACPR est à l’origine de plusieurs initiatives visant au renforcement des modèles de détection utilisés par les entités assujetties (travaux sur l’intelligence artificielle, expérimentation sur la mutualisation de données en LCB-FT notamment).
A l’échelle européenne, un processus d’élaboration d’un nouveau cadre législatif de lutte contre le blanchiment de capitaux et le financement du terrorisme a été engagé en 2020.
Ayant relevé des imprécisions dans les propositions de textes, les représentants des autorités de contrôle réunis au sein du Comité européen de la protection des données (CEPD) ont, dans le cadre de l’adoption de ce paquet législatif, adressé une lettre publique le 12 mai 2022 aux institutions européennes pour souligner les difficultés que posent ces nouveaux dispositifs de LCB-FT en matière de protection des données personnelles.
Un nouveau paquet législatif européen en matière de LCB-FT
Proposition déposée le 20 juillet 2021 par la Commission européenne devant le Parlement et le Conseil européens, ce paquet législatif se compose de quatre textes.
Une sixième directive, intitulée AMLD6, viendrait tout d’abord remplacer les précédentes en la matière. Deux nouveaux règlements, cœur du projet, s’y ajouteraient : l’un vise à renforcer les règles de vigilance auprès de la clientèle et des bénéficiaires effectifs dans le secteur privé (règlement n°2021/0239), l’autre vise à créer l’AMLA (Anti-Money Laundering Authority), autorité européenne dédiée à la LCB-FT (règlement n°2021/0240). Enfin, une révision du règlement 2015/847/UE sur les transferts de fonds vise à garantir la traçabilité des transferts de cryptoactifs est envisagée pour adapter la législation préexistante aux dispositifs précités.
Le CEPD avait tout d’abord émis, le 15 décembre 2020 lorsque la Commission européenne avait proposé son plan d’action en matière de LCB-FT, un avis sur ces textes. Il avait ensuite adressé une première lettre à la Commission européenne le 19 mai 2021 détaillant les lacunes de ces textes face aux enjeux de la protection des données. S’en était suivie la publication d’un avis portant directement sur cette proposition législative le 22 septembre 2021. Il y relevait certaines lacunes des textes – particulièrement du règlement dédié au secteur privé – en matière de protection des données et un manque d’articulation de ces nouvelles exigences avec le règlement général sur la protection des données (RGPD).
Malgré une prise en compte partielle des recommandations du CEPD, ce dernier s’est trouvé insatisfait des garanties accordées à la protection des données en la matière. Les différentes autorités de contrôle réunies au sein du CEPD ont donc adressé une lettre publique le 12 mai 2022 à la Commission européenne ainsi qu’au Parlement européen et au Conseil européen, pour alerter sur l’importance de revoir l’encadrement des traitements de données impliqués par la mise en œuvre du futur paquet législatif européen en matière de LCB-FT.
Quels points de vigilance pour la protection des données en matière de LCB-FT ?
Le CEPD se concentre principalement sur l’article 55 de la proposition de règlement n°2021/0239 dédié au traitement des données à caractère personnel.
Il convient de noter que cet article vise, pour l’essentiel, à expressément autoriser les entités assujetties à la LCB-FT à traiter des catégories particulières de données au sens de l’article 9 du RGPD, ainsi que les données personnelles relatives aux infractions et condamnations au sens de l’article 10 du RGPD sous réserve du respect de certaines garanties (information des clients et prospects sur le traitement de catégories particulières de données, sources des données, données d’infractions et condamnations en lien avec le blanchiment de capitaux, les infractions sous-jacentes ou encore le financement du terrorisme, etc.). Cet article restreint les finalités de traitement à la prévention du blanchiment et du financement du terrorisme. L’usage des données précitées à des fins commerciales est interdit.
Le CEPD relève tout d’abord que les conditions d’utilisation des données collectées sont encore trop imprécises. Le CEPD demande à ce que la Commission européenne intègre notamment des limites au traitement et précise plusieurs points au sein de cet article dont la nature des données strictement nécessaires dans le cadre spécifique de la LCB-FT et les finalités de traitement. La lettre des autorités de contrôle relève d’ailleurs que les entités concernées font déjà une distinction de finalités, qui n’apparaît pas dans le texte, entre les traitements dédiés à la détection d’infractions de blanchiment, et ceux dédiés à la détection du financement du terrorisme. En outre, il s’agirait d’intégrer au texte une obligation, pour les entités amenées à mettre en œuvre ces traitements, d’adoption de mesures de sécurité des données les plus avancées possibles au regard de la connaissance en la matière. Le CEPD recommande aussi d’inclure des obligations de formation du personnel en charge du traitement des données au sein des entités concernées, ou de mettre en place des techniques de minimisation des données spécifiques à la LCB-FT.
Par ailleurs, le CEPD relève que les entités concernées par le règlement devront collecter des données portant sur « les allégations, les enquêtes, les procédures et les condamnations » des individus visés. Le terme « allégation », précisément, n’est pas défini par le texte. Le CEPD considère qu’en l’absence de précisions sur l’articulation de ce type de données avec les autres, les entités assujetties pourraient commettre des atteintes aux droits fondamentaux des individus. Dans ce contexte, le CEPD enjoint les institutions européennes à modifier le texte ou à supprimer la référence aux allégations.
Le CEPD souligne, par ailleurs, que le texte conditionne le traitement des données dites sensibles recueillies à ce qu’elles proviennent de sources fiables, exactes et actuelles, sans préciser le sens de cette exigence. Pour remédier à cette lacune, le CEPD recommande d’intégrer une exigence de documentation concernant lesdites sources.
Enfin, le CEPD souligne le recours récurrent des entités assujetties à des prestataires de service spécialisés dans la fourniture de l’information (les watchlists). Pour autant, ces acteurs ne sont pas visés par l’article 55 de la proposition. Le CEPD insiste sur l’importance de les inclure en spécifiant des règles qui leur sont applicables. Il conseille aussi de faire référence aux articles 40 et 42 du RGPD afin de mettre en place des codes de conduites et certifications spécifiques à ces acteurs du traitement de données personnelles.