KYC et RGPD sont-ils compatibles ?

&Agrave; l&rsquo;heure o&ugrave; la sixi&egrave;me directive de l&rsquo;Union europ&eacute;enne contre le blanchiment d&rsquo;argent entre en vigueur, les processus de collecte et d&rsquo;analyse de donn&eacute;es sont confront&eacute;s &agrave; de nouveaux d&eacute;fis. L&rsquo;efficacit&eacute; du processus de KYC repose en grande partie sur la capacit&eacute; d&rsquo;une institution &agrave; exploiter en temps r&eacute;el de grosses bases de donn&eacute;es &agrave; caract&egrave;re priv&eacute;. Or, le R&egrave;glement g&eacute;n&eacute;ral sur la protection des donn&eacute;es (RGPD) pose des limites r&eacute;elles &agrave; l&rsquo;exploitation des donn&eacute;es personnelles. Au sein des grands &eacute;tablissements bancaires, une guerre tactique semble s&rsquo;enclencher entre les responsables de la conformit&eacute; r&eacute;glementaire et les directions informatiques au sujet de la confidentialit&eacute; des donn&eacute;es. Face &agrave; cette situation qui semble bien paradoxale, les banques risquent de se voir infliger des p&eacute;nalit&eacute;s de deux c&ocirc;t&eacute;s : d&rsquo;une part, pour les manquements dans le processus de lutte contre le blanchiment ; d&rsquo;autre part, pour le non-respect de la confidentialit&eacute; des donn&eacute;es de leurs clients. D&eacute;finir les donn&eacute;es personnelles Le r&ocirc;le pr&eacute;sum&eacute; de Cambridge Analytica dans l&rsquo;ing&eacute;nierie de la victoire de Trump aux &eacute;lections de 2016 a chang&eacute; la fa&ccedil;on dont nous comprenons la protection des donn&eacute;es personnelles. Le Congr&egrave;s am&eacute;ricain a auditionn&eacute; les magnats californiens des m&eacute;dias sociaux, puis a lanc&eacute; un nouvel ensemble de lois concernant la confidentialit&eacute; des donn&eacute;es des consommateurs. L&rsquo;Union europ&eacute;enne a commenc&eacute; &agrave; mettre en œuvre depuis 2018 le RGPD, entravant le traitement des donn&eacute;es &agrave; caract&egrave;re personnel dans tous les secteurs, y compris le secteur bancaire. Le RGPD limite-t-il le processus de conformit&eacute; ? Si oui, quel est l&rsquo;impact sur le processus de d&eacute;couverte des clients ? Le RGPD d&eacute;finit les &laquo; donn&eacute;es &agrave; caract&egrave;re personnel &raquo; comme toute information se rapportant &agrave; une personne physique identifi&eacute;e ou identifiable. La r&eacute;glementation pr&eacute;cise qu&rsquo;une &laquo; personne physique identifiable &raquo; est une personne physique qui peut &ecirc;tre identifi&eacute;e, directement ou indirectement, notamment par r&eacute;f&eacute;rence &agrave; un identifiant, tel qu&rsquo;un nom, un num&eacute;ro d&rsquo;identification, des donn&eacute;es de localisation, un identifiant en ligne, ou &agrave; un ou plusieurs &eacute;l&eacute;ments sp&eacute;cifiques propres &agrave; son identit&eacute; physique, physiologique, g&eacute;n&eacute;tique, psychique, &eacute;conomique, culturelle ou sociale. Pour ce qui est du California Consumer Privacy Act (l&rsquo;&eacute;quivalent am&eacute;ricain du RGPD), les informations personnelles repr&eacute;sentent des donn&eacute;es non publiques qui identifient, se rapportent, d&eacute;crivent, sont raisonnablement susceptibles d&rsquo;&ecirc;tre associ&eacute;es ou pourraient raisonnablement &ecirc;tre li&eacute;es (directement ou indirectement) &agrave; une personne physique. Le p&eacute;rim&egrave;tre de la 6e directive contre le blanchiment La digitalisation du monde financier acc&eacute;l&eacute;r&eacute;e par la crise de la Covid-19 pose plus de questions sur le caract&egrave;re priv&eacute; des personnes physiques. &Agrave; l&rsquo;aube de cette nouvelle &egrave;re qui semble enti&egrave;rement num&eacute;rique, le r&egrave;glement europ&eacute;en a comme objectif de renforcer les droits fondamentaux des personnes physiques dans leurs relations avec les entreprises et les organismes publics engag&eacute;s sur le march&eacute; unique num&eacute;rique. La sixi&egrave;me directive de l&rsquo;Union europ&eacute;enne contre le blanchiment d&rsquo;argent vient d&rsquo;entrer en vigueur le 3 d&eacute;cembre 2020, donnant aux institutions financi&egrave;res une fen&ecirc;tre de 6 mois afin de s&rsquo;aligner avec le nouveau cadre normatif. Cette nouvelle directive &eacute;largit les champs des responsabilit&eacute;s des institutions bancaires en mettant en exergue le r&ocirc;le cl&eacute; des complices dans les sch&eacute;mas de blanchiment d&rsquo;argent. La &laquo; complicit&eacute; &raquo;, terme qui inclut toute personne physique facilitant le blanchiment d&rsquo;argent, sera p&eacute;nalis&eacute;e sous la nouvelle loi europ&eacute;enne. Au-del&agrave; d&rsquo;une simple v&eacute;rification de l&rsquo;identit&eacute;&hellip; Il va sans dire qu&rsquo;au sein d&rsquo;une institution financi&egrave;re, le processus de KYC traite des donn&eacute;es non publiques relatives &agrave; une personne physique. Afin d&rsquo;&eacute;tablir la possible complicit&eacute; d&rsquo;une personne dans une affaire de blanchiment, l&rsquo;institution doit multiplier les recherches dans les diff&eacute;rentes bases de donn&eacute;es, ainsi que le couplage entre les diverses sources. De plus, un processus complet de d&eacute;couverte du client permet de d&eacute;duire des informations sur une personne en fonction des donn&eacute;es disponibles. Par exemple, l&rsquo;historique des adresses pourrait &ecirc;tre un bon indicateur de l&rsquo;&eacute;volution des revenus de la personne au fil du temps. &Agrave; l&rsquo;instar de la sixi&egrave;me directive, le KYC doit aller au-del&agrave; d&rsquo;une simple v&eacute;rification de l&rsquo;identit&eacute; et d&rsquo;une recherche dans les listes de repris de justice. Pour que le KYC puisse &eacute;valuer les risques relatifs &agrave; un client, il faut d&rsquo;abord &eacute;tablir, analyser et comprendre le client et son &laquo; r&eacute;seau &raquo;. Une telle d&eacute;marche n&eacute;cessite l&rsquo;utilisation d&rsquo;algorithmes complexes qui rassemblent et synth&eacute;tisent les informations sur une personne physique ou morale. Or le processus qui consiste &agrave; dig&eacute;rer une masse d&rsquo;informations sur une personne risque de violer la r&eacute;glementation concernant la confidentialit&eacute; des donn&eacute;es personnelles. En effet, la loi prot&egrave;ge toute information non publique qui concerne une personne physique identifiable. Les informations &agrave; caract&egrave;re priv&eacute; ne doivent pas &ecirc;tre utilis&eacute;es par un &eacute;tablissement hors de leur contexte. La conformit&eacute; cible en grande partie les donn&eacute;es publiques concernant une personne, et ne devrait en th&eacute;orie pas &ecirc;tre vis&eacute;e par ce r&egrave;glement. Le vrai probl&egrave;me est qu&rsquo;en utilisant des algorithmes d&rsquo;apprentissage, des informations non publiques peuvent &ecirc;tre d&eacute;duites de donn&eacute;es publiques. Par exemple, les donn&eacute;es sur les liens que jouent des personnes physiques au sein de diff&eacute;rentes entreprises dans diverses juridictions peuvent aider &agrave; d&eacute;terminer la richesse estim&eacute;e d&rsquo;un individu. L&rsquo;inf&eacute;rence est n&eacute;cessaire pour un processus KYC efficace, car une institution ne doit collecter que 20 % des donn&eacute;es sur un individu pour obtenir 80 % de l&rsquo;information totale. Si les banques mettent en œuvre le RGPD &agrave; la lettre, elles ne devraient alors r&eacute;aliser que des contr&ocirc;les de haut niveau et &eacute;viter la plus grande partie du traitement et du stockage des donn&eacute;es. Un processus de KYC complet n&eacute;cessite plus que cocher des cases, et implique le traitement de toutes les donn&eacute;es disponibles qui peuvent &ecirc;tre utilis&eacute;es directement ou indirectement pour brosser le tableau complet du client. &hellip;organiser le couplage des donn&eacute;es &Agrave; l&rsquo;heure actuelle, la plupart des banques globales ont d&eacute;ploy&eacute; des moyens importants pour refondre leurs processus de KYC afin de pouvoir effectuer des recherches de fond en comble, car les informations concernant un client peuvent &ecirc;tre dispers&eacute;es dans plusieurs bases de donn&eacute;es. N&eacute;anmoins, passer au crible plusieurs sources d&rsquo;information ne suffit pas, et afin de crayonner une image agr&eacute;g&eacute;e, il faut d&rsquo;abord coupler ces donn&eacute;es d&rsquo;une mani&egrave;re coh&eacute;rente. Le couplage des donn&eacute;es consiste &agrave; rechercher des informations dans un ensemble de donn&eacute;es faisant r&eacute;f&eacute;rence au m&ecirc;me client dans diff&eacute;rentes sources d&rsquo;information. Une telle d&eacute;marche est n&eacute;cessaire lors de la jonction de divers ensembles de donn&eacute;es bas&eacute;s sur des entit&eacute;s qui peuvent partager ou non un identifiant commun, ce qui peut &ecirc;tre d&ucirc; &agrave; des diff&eacute;rences dans la forme ou la langue d&rsquo;enregistrement. Les donn&eacute;es brutes peuvent &ecirc;tre publiques, mais les r&eacute;sultats du processus visant &agrave; coupler les donn&eacute;es peuvent g&eacute;n&eacute;rer une nouvelle information qui, elle, est confidentielle. Les donn&eacute;es initiales ne sont pas concern&eacute;es par les lois sur la confidentialit&eacute;, mais le r&eacute;sultat de ce processus d&rsquo;investigation est en revanche soumis au RGPD. &Agrave; titre d&rsquo;exemple, une recherche sur l&rsquo;homme d&rsquo;affaires franco-libanais Iskandar Safa r&eacute;v&egrave;le des informations sur des soci&eacute;t&eacute;s plac&eacute;es sous son contr&ocirc;le domicili&eacute;es en Grande-Bretagne, en France et dans les paradis fiscaux (Panama Papers). Les informations brutes sont &agrave; l&rsquo;heure actuelle publiques, mais en r&eacute;alisant le couplage des donn&eacute;es, on cr&eacute;e une information confidentielle concernant le r&eacute;seau global d&rsquo;Iskandar Safa (v. Sch&eacute;ma 1). Cette nouvelle image globale &eacute;tant non publique, elle est concern&eacute;e par le r&egrave;glement sur les donn&eacute;es priv&eacute;es. L&rsquo;option de &laquo; pseudonymisation &raquo; &Agrave; ce stade, le syst&egrave;me bancaire se retrouve &agrave; l&rsquo;heure actuelle entre le marteau et l&rsquo;enclume, car la plupart des institutions financi&egrave;res europ&eacute;ennes sont confront&eacute;es &agrave; un double dilemme. D&rsquo;une part, elles doivent &ecirc;tre conformes au RGPD, ce qui pourrait laisser de grandes failles dans leur syst&egrave;me visant &agrave; lutter contre la criminalit&eacute; &eacute;conomique. D&rsquo;autre part, la mise en œuvre d&rsquo;un processus approfondi de connaissance du client, align&eacute; sur la sixi&egrave;me directive de lutte contre le blanchiment, les rendrait vuln&eacute;rables aux violations des r&egrave;gles de confidentialit&eacute; des donn&eacute;es. Le RGPD semble laisser quelques options notamment avec la &laquo; pseudonymisation &raquo; des donn&eacute;es. Le r&egrave;glement europ&eacute;en d&eacute;finit la &laquo; pseudonymisation &raquo; comme le processus de transformation des donn&eacute;es &agrave; caract&egrave;re personnel de telle fa&ccedil;on que celles-ci &laquo; ne puissent plus &ecirc;tre attribu&eacute;es &agrave; une personne concern&eacute;e pr&eacute;cise sans avoir recours &agrave; des informations suppl&eacute;mentaires, pour autant que ces informations suppl&eacute;mentaires soient conserv&eacute;es s&eacute;par&eacute;ment et soumises &agrave; des mesures techniques et organisationnelles afin de garantir que les donn&eacute;es &agrave; caract&egrave;re personnel ne sont pas attribu&eacute;es &agrave; une personne physique identifi&eacute;e ou identifiable &raquo;. La &laquo; pseudonymisation &raquo; est sans doute une alternative permettant l&rsquo;exploration des donn&eacute;es personnelles en utilisant des algorithmes complexes. N&eacute;anmoins, si le cadre prudentiel ne permet pas de lier les r&eacute;sultats des algorithmes &agrave; la personne physique identifiable, la conformit&eacute; leur trouvera une utilit&eacute; limit&eacute;e. Cette situation est loin d&rsquo;avoir des solutions simples, et toute tentative de prendre des raccourcis peut engendrer des r&eacute;percussions n&eacute;fastes pour une institution bancaire. Une sortie de l&rsquo;impasse pourrait &ecirc;tre une septi&egrave;me directive contre le blanchiment conf&eacute;rant des pouvoirs sp&eacute;ciaux aux institutions financi&egrave;res.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Gestion des données

KYC et RGPD sont-ils compatibles ?

À retrouver dans la revue

Dette et déficit publics : comment éviter le précipice

Capital-investissement

« Plus de 35 milliards d’euros seront investis dans les fonds labellisés non cotés »

Politique monétaire

Les banques centrales commencent leur pivot monétaire

Blockchain/Cryptoactifs

Ne parlons plus de security token !

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous