4e directive antiblanchiment et protection des données : quels impacts possibles ?

La Commission européenne a publié le 5 février 2013 une proposition de 4^e directive relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme (LCB/FT). Cette proposition abrogeant et remplaçant la 3^e directive Antiblanchiment [1] vise à adopter les dispositions applicables à l'évolution du phénomène du blanchiment et aux nouvelles règles du GAFI [2] .

Les avancées de la 4^e directive

La publication de cette proposition a été précédée par la parution, en avril 2012, d'un rapport sur l'application de la 3^e directive et d'une analyse d'impact visant à identifier des solutions d'amélioration du dispositif existant. Parmi ces solutions figure la prise en compte de la protection des données à caractère personnel. La Commission européenne propose de « clarifier l'interaction » entre ces deux catégories d'exigences et affirme la nécessité de « trouver un juste équilibre entre la volonté de mettre en place des mesures de prévention et des systèmes et dispositifs de contrôles solides contre le blanchiment de capitaux et le financement du terrorisme, d'une part, et celle de protéger les droits des personnes concernées par le traitement de données à caractère personnel d'autre part ». Dès lors, cette 4^e directive intègre directement, et de manière inédite, des dispositions relatives à la protection des données.

À la suite de la transposition de la 3^e directive LCB/FT en droit français, la Commission nationale de l'informatique et des Libertés (CNIL) avait mis à jour son autorisation unique AU 003 [3] visant à encadrer les traitements automatisés de données à caractère personnel mis en œuvre à des fins de prévention et de lutte contre le blanchiment [4] . Issu d'un processus de concertation de l'ensemble des parties prenantes, ce texte visait déjà à encadrer et clarifier les interactions entre les exigences LCB/FT et la protection des données.

Il convient, dès lors, d'examiner les dispositions relatives à la protection des données figurant dans ce projet de directive, d'apprécier leur cohérence par rapport aux dispositions du CMF et de l'AU 003, et enfin d'en évaluer les impacts pour les organismes assujettis soumis à la loi française.

Les dispositions relatives à la protection des données dans le projet de directive

Elles portent essentiellement sur trois points : la finalité des traitements mis en œuvre, la durée de conservation des données et le droit d'accès.

Sur les finalités des traitements, la Commission européenne rappelle que la mise en œuvre des dispositions LCB/FT implique « la collecte, l’analyse, l’enregistrement et le partage de données », notamment « le traitement de données à caractère personnel ». Ces traitements ont principalement pour finalité « l’application de mesures de vigilance à l’égard de la clientèle, l’exercice d’un suivi continu, la conduite d’enquêtes sur les transactions inhabituelles et suspectes et la déclaration de ces transactions, […] le partage d’informations par les autorités compétentes et par les établissements financiers , etc. [5] ». Conformément aux dispositions de la Directive 95/46/CE [6] , il convient de respecter les principes de finalité et de proportionnalité des données collectées. Ces données ne doivent pas être traitées postérieurement à leur collecte de manière non conforme avec la finalité principale. Ainsi, la Commission européenne considère qu'une exploitation des données à des fins commerciales ne saurait être considérée comme telle et affirme que celle-ci « devrait être strictement interdit[e] ».

Le projet d'article 39 relatif à la « conservation des documents et pièces et données statistiques » fixe des durées de conservation des documents collectés en matière de LCB/FT. En ce qui concerne l'application des mesures de vigilance à l'égard du client, une copie ou les références des documents exigés dans le cadre de l'entrée en relation pourront être conservés pendant 5 ans à compter de la fin de la relation d'affaires. À l'issue, les données devraient être effacées, sauf s'il existe une disposition contraire résultant de la législation nationale applicable. Il convient de noter que cette législation doit préciser « dans quelles circonstances les entités [concernées] […] peuvent ou doivent prolonger la conservation de [ces] données ». La Commission européenne fixe en outre une durée de conservation maximum : ces données ne pourront être conservées plus de 10 ans à compter de la fin de la relation d'affaires. Des dispositions équivalentes sont prévues pour les documents et données relatifs aux transactions.

En ce qui concerne le droit d'accès des personnes aux données les concernant, la Commission européenne rappelle que ce droit reste applicable [7] . Elle précise cependant que l’accès aux informations contenues dans une déclaration de soupçon « nuirait gravement à l’efficacité de la lutte contre le blanchiment de capitaux et le financement du terrorisme ». Des limitations au droit d'accès, conformément aux règles prévues à l’article 13 de la Directive 95/46/CE, peuvent donc être introduites. Cette disposition figurant au considérant 34 du projet de directive n'est cependant pas reprise dans le corps du texte lui-même.

Des procédures à l’échelle du groupe

L'article 42 du projet de directive stipule que les États membres sont tenus d'imposer aux  organismes assujettis faisant partie d'un groupe de mettre en œuvre des « politiques et procédures à l'échelle du groupe, notamment des politiques de protection des données et des politiques et procédures relatives au partage des informations au sein du groupe aux fins de lutte contre le blanchiment de capitaux et le financement du terrorisme ». Ces politiques et procédures doivent être mises en œuvre au niveau « des succursales et des filiales détenues en majorité, établies dans les États membres et dans des pays tiers ». Cette notion de politique et de procédure n'est pas sans rappeler celle des Binding Corporate Rules (BCR) qui visent à encadrer les transferts de données hors Union européenne vers des pays n'offrant pas un niveau de protection adéquat, ou les privacy policies figurant dans le projet de Règlement européen relatif à la protection des données [8] (voir infra).

Les impacts de ces dispositions sur les organismes assujettis

De manière générale, l'introduction de dispositions relatives à la protection des données dans le corpus juridique applicable en matière de LCB/FT n'est pas une nouveauté en France. Ainsi l'article L. 561-12 du Code monétaire et financier (CMF) fixe une durée de conservation des documents relatifs à l'identité des clients de 5 ans à compter de la clôture du compte ou de la cessation de la relation contractuelle, sous réserve de dispositions plus contraignantes. La même durée est applicable aux documents relatifs aux opérations. L'article L. 511-45 du CMF prévoit déjà des restrictions au droit d'accès des personnes. Ainsi, en matière de traitements ayant pour finalité la lutte antiblanchiment, ce droit s'exerce de manière indirecte, via la CNIL qui procède aux vérifications. Enfin, les articles L. 561-20 et 21 du CMF relatifs aux échanges intra-groupe et extra-groupe précisent que les transferts de données vers des pays ne présentant pas un niveau suffisant de protection de la vie privée doivent respecter les dispositions figurant aux articles 68 et 69 de la loi n° 78-17 modifiée.

Dès lors, les apports de ce projet de directive par rapport aux règles figurant au CMF ou fixées par la CNIL dans l'AU 003 résident principalement dans trois points :

• la fixation d'une durée maximale de conservation des données. Celle-ci aurait pour effet de clarifier les dispositions figurant à l'article L. 561-12 du CMF qui peuvent être interprétées comme fixant une durée minimale et non maximale des informations.
• la suggestion de la Commission d'interdire une utilisation à des fins de prospection commerciale des données collectées et traitées à des fins de lutte contre le blanchiment. Sur ce point la Commission européenne semble plus stricte que la CNIL. En effet, dans le cadre de la réforme de l'Autorisation unique AU 003, celle-ci a admis l'utilisation des données collectées pour une finalité de lutte contre le blanchiment « dans le cadre de la gestion de la relation bancaire sous réserve que les personnes soient informées conformément au I de l'article 32 de la loi du 6 janvier 1978 et qu'elles soient en mesure d'exercer leur droit d'opposition ». Or, les opérations de prospection font couramment partie des opérations de gestion de la relation bancaire notamment pour adapter les produits aux besoins du client. Une telle interdiction pourrait donc conduire certains professionnels à procéder à une double collecte des mêmes informations d'une part à des fins de lutte contre le blanchiment, d'autre part à des fins de gestion de la relation.
• enfin, la Commission européenne propose d'inclure dans les « politiques et procédures » relatives au partage des informations au sein du groupe des aspects relatifs à la protection des données. Cette nouvelle obligation pourrait avoir un impact significatif sur les organismes assujettis notamment pour les groupes ayant des succursales et filiales à l'étranger. Il apparaîtrait non seulement nécessaire d'élaborer ces politiques, mais également d'en vérifier l’applicabilité. En outre, les salariés des établissements concernés devront disposer de connaissances adaptées en matière de protection des données (article 43 du projet).

L’autorité en charge du contrôle

Mais quelle sera l'autorité en charge du contrôle de l'application de ces dispositions ? La surveillance en matière de blanchiment incombe à l'Autorité de contrôle prudentiel (ACP) ; or, en matière de protection des données, l'autorité compétente est la CNIL.

Le projet de directive ne tranche pas cette question précisant simplement que « les États membres exigent des autorités compétentes qu'elles assurent un suivi effectif du respect des obligations prévues par la présente directive et qu'elles prennent les mesures nécessaires à cet effet  [9] ». Dès lors, ces deux autorités pourraient-elles envisager des contrôles communs ? En tout état de cause, cette question devra être éclaircie.

 

Un prochain Règlement européen relatif à la protection des données

Ce projet de directive a été rédigé à la lumière de la Directive 95/46 qui devrait prochainement être remplacée par un Règlement européen relatif à la protection des données. Ce dernier, actuellement en cours de débat au Parlement européen, pose notamment des règles spécifiques en matière de profilage. Dès lors, la question de l'articulation de ces dispositions avec le projet de 4^e directive LAB se pose. La Commission européenne précise cependant que les modifications qu'elle entend apporter à la 3^e Directive LAB/FT sont « conformes » aux récentes propositions faites en matière de protection des données. Dans la mesure où plus de 3 300 amendements ont été déposés sur le projet de Règlement relatif à la protection des données, il faut espérer que la Commission veillera à cette cohérence.

 

1 Directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme. 2 Groupe d'action financière. 3 Délibération n°2011-180 du 16 juin 2011 portant autorisation unique de traitements de données à caractère personnel mis en œuvre par des organismes financiers relatifs à la lutte contre le blanchiment de capitaux et le financement du terrorisme ainsi qu'à l'application des sanctions financières. 4 Aurélie Banck, « Lutte contre le blanchiment de capitaux et le financement du terrorisme : la CNIL se prononce sur les traitements à mettre en œuvre », Revue Banque n° 739, p. 46. 5 Considérant 31. 6 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. 7 Considérant 34. 8 Proposition du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) publiée le 25 janvier 2012. 9 Article 44 du projet de Directive.