À l’heure où la sixième directive de l’Union européenne contre le blanchiment d’argent entre en vigueur, les processus de collecte et d’analyse de données sont confrontés à de nouveaux défis. L’efficacité du processus de KYC repose en grande partie sur la capacité d’une institution à exploiter en temps réel de grosses bases de données à caractère privé. Or, le Règlement général sur la protection des données (RGPD) pose des limites réelles à l’exploitation des données personnelles. Au sein des grands établissements bancaires, une guerre tactique semble s’enclencher entre les responsables de la conformité réglementaire et les directions informatiques au sujet de la confidentialité des données. Face à cette situation qui semble bien paradoxale, les banques risquent de se voir infliger des pénalités de deux côtés : d’une part, pour les manquements dans le processus de lutte contre le blanchiment ; d’autre part, pour le non-respect de la confidentialité des données de leurs clients.
Définir les données personnelles
Le rôle présumé de Cambridge Analytica dans l’ingénierie de la victoire de Trump aux élections de 2016 a changé la façon dont nous comprenons la protection des données personnelles. Le Congrès américain a auditionné les magnats californiens des médias sociaux, puis a lancé un nouvel ensemble de lois concernant la confidentialité des données des consommateurs. L’Union européenne a commencé à mettre en œuvre depuis 2018 le RGPD, entravant le traitement des données à caractère personnel dans tous les secteurs, y compris le secteur bancaire. Le RGPD limite-t-il le processus de conformité ? Si oui, quel est l’impact sur le processus de découverte des clients ?
Le RGPD définit les « données à caractère personnel » comme toute information se rapportant à une personne physique identifiée ou identifiable. La réglementation précise qu’une « personne physique identifiable » est une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Pour ce qui est du California Consumer Privacy Act (l’équivalent américain du RGPD), les informations personnelles représentent des données non publiques qui identifient, se rapportent, décrivent, sont raisonnablement susceptibles d’être associées ou pourraient raisonnablement être liées (directement ou indirectement) à une personne physique.
Le périmètre de la 6e directive contre le blanchiment
La digitalisation du monde financier accélérée par la crise de la Covid-19 pose plus de questions sur le caractère privé des personnes physiques. À l’aube de cette nouvelle ère qui semble entièrement numérique, le règlement européen a comme objectif de renforcer les droits fondamentaux des personnes physiques dans leurs relations avec les entreprises et les organismes publics engagés sur le marché unique numérique.
La sixième directive de l’Union européenne contre le blanchiment d’argent vient d’entrer en vigueur le 3 décembre 2020, donnant aux institutions financières une fenêtre de 6 mois afin de s’aligner avec le nouveau cadre normatif.
Cette nouvelle directive élargit les champs des responsabilités des institutions bancaires en mettant en exergue le rôle clé des complices dans les schémas de blanchiment d’argent. La « complicité », terme qui inclut toute personne physique facilitant le blanchiment d’argent, sera pénalisée sous la nouvelle loi européenne.
Au-delà d’une simple vérification de l’identité…
Il va sans dire qu’au sein d’une institution financière, le processus de KYC traite des données non publiques relatives à une personne physique. Afin d’établir la possible complicité d’une personne dans une affaire de blanchiment, l’institution doit multiplier les recherches dans les différentes bases de données, ainsi que le couplage entre les diverses sources. De plus, un processus complet de découverte du client permet de déduire des informations sur une personne en fonction des données disponibles. Par exemple, l’historique des adresses pourrait être un bon indicateur de l’évolution des revenus de la personne au fil du temps.
À l’instar de la sixième directive, le KYC doit aller au-delà d’une simple vérification de l’identité et d’une recherche dans les listes de repris de justice. Pour que le KYC puisse évaluer les risques relatifs à un client, il faut d’abord établir, analyser et comprendre le client et son « réseau ». Une telle démarche nécessite l’utilisation d’algorithmes complexes qui rassemblent et synthétisent les informations sur une personne physique ou morale.
Or le processus qui consiste à digérer une masse d’informations sur une personne risque de violer la réglementation concernant la confidentialité des données personnelles. En effet, la loi protège toute information non publique qui concerne une personne physique identifiable. Les informations à caractère privé ne doivent pas être utilisées par un établissement hors de leur contexte. La conformité cible en grande partie les données publiques concernant une personne, et ne devrait en théorie pas être visée par ce règlement. Le vrai problème est qu’en utilisant des algorithmes d’apprentissage, des informations non publiques peuvent être déduites de données publiques. Par exemple, les données sur les liens que jouent des personnes physiques au sein de différentes entreprises dans diverses juridictions peuvent aider à déterminer la richesse estimée d’un individu. L’inférence est nécessaire pour un processus KYC efficace, car une institution ne doit collecter que 20 % des données sur un individu pour obtenir 80 % de l’information totale.
Si les banques mettent en œuvre le RGPD à la lettre, elles ne devraient alors réaliser que des contrôles de haut niveau et éviter la plus grande partie du traitement et du stockage des données. Un processus de KYC complet nécessite plus que cocher des cases, et implique le traitement de toutes les données disponibles qui peuvent être utilisées directement ou indirectement pour brosser le tableau complet du client.
…organiser le couplage des données
À l’heure actuelle, la plupart des banques globales ont déployé des moyens importants pour refondre leurs processus de KYC afin de pouvoir effectuer des recherches de fond en comble, car les informations concernant un client peuvent être dispersées dans plusieurs bases de données. Néanmoins, passer au crible plusieurs sources d’information ne suffit pas, et afin de crayonner une image agrégée, il faut d’abord coupler ces données d’une manière cohérente. Le couplage des données consiste à rechercher des informations dans un ensemble de données faisant référence au même client dans différentes sources d’information. Une telle démarche est nécessaire lors de la jonction de divers ensembles de données basés sur des entités qui peuvent partager ou non un identifiant commun, ce qui peut être dû à des différences dans la forme ou la langue d’enregistrement.
Les données brutes peuvent être publiques, mais les résultats du processus visant à coupler les données peuvent générer une nouvelle information qui, elle, est confidentielle. Les données initiales ne sont pas concernées par les lois sur la confidentialité, mais le résultat de ce processus d’investigation est en revanche soumis au RGPD.
À titre d’exemple, une recherche sur l’homme d’affaires franco-libanais Iskandar Safa révèle des informations sur des sociétés placées sous son contrôle domiciliées en Grande-Bretagne, en France et dans les paradis fiscaux (Panama Papers). Les informations brutes sont à l’heure actuelle publiques, mais en réalisant le couplage des données, on crée une information confidentielle concernant le réseau global d’Iskandar Safa (v. Schéma 1). Cette nouvelle image globale étant non publique, elle est concernée par le règlement sur les données privées.
L’option de « pseudonymisation »
À ce stade, le système bancaire se retrouve à l’heure actuelle entre le marteau et l’enclume, car la plupart des institutions financières européennes sont confrontées à un double dilemme. D’une part, elles doivent être conformes au RGPD, ce qui pourrait laisser de grandes failles dans leur système visant à lutter contre la criminalité économique. D’autre part, la mise en œuvre d’un processus approfondi de connaissance du client, aligné sur la sixième directive de lutte contre le blanchiment, les rendrait vulnérables aux violations des règles de confidentialité des données.
Le RGPD semble laisser quelques options notamment avec la « pseudonymisation » des données. Le règlement européen définit la « pseudonymisation » comme le processus de transformation des données à caractère personnel de telle façon que celles-ci « ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».
La « pseudonymisation » est sans doute une alternative permettant l’exploration des données personnelles en utilisant des algorithmes complexes. Néanmoins, si le cadre prudentiel ne permet pas de lier les résultats des algorithmes à la personne physique identifiable, la conformité leur trouvera une utilité limitée. Cette situation est loin d’avoir des solutions simples, et toute tentative de prendre des raccourcis peut engendrer des répercussions néfastes pour une institution bancaire.
Une sortie de l’impasse pourrait être une septième directive contre le blanchiment conférant des pouvoirs spéciaux aux institutions financières.
