Comment concilier protection des données personnelles et LCB-FT ?
Le Conseil de l’Europe a récemment publié des lignes directrices portant sur le respect de la protection des données personnelles dans le traitement des données à des fins de LCB-FT.
Les assujettis à la règlementation LCB-FT le savent : les obligations en matière de connaissance de la clientèle, de surveillance des opérations ou d’application des mesures restrictives impliquent la collecte et l’enregistrement de nombreuses données à caractère personnel. Outre les institutions étatiques, les services répressifs et les autorités judiciaires, ces données sont bien sûr également collectées et conservées par des acteurs privés.
Or, même si la collecte de ces informations est justifiée par des obligations règlementaires, elles-mêmes fondées sur l’intérêt public, une telle démarche doit respecter des obligations de protection des données.
C’est pour tenter de clarifier le respect entre ces deux obligations – qui peuvent parfois paraître contradictoires et poser des difficultés opérationnelles aux établissements assujettis – que le Conseil de l’Europe publie ces lignes directrices, des orientations déjà déclinées à d’autres secteurs.
Ces lignes directrices s’inscrivent dans le cadre de la Convention pour la protection des personnes à l’égard du traitement des données à caractères personnel, dite « Convention 108+ », elle-même modernisation de la Convention 108, qui a largement inspiré la règlementation de l’Union Européenne en la matière, en particulier le Règlement Général sur la Protection des Données (RGPD).
Les principes de RGPD, les contraintes de la LCB-FT
Dans les grandes lignes, le document rappelle que la collecte de données à des fins de LCB-FT ne peut être réalisée que dans les limites d’un intérêt public strictement défini et limité, et qu’il convient d’éviter une collecte excessive de données. Les récents débats quant à la pertinence de la mise à disposition d’un registre national des bénéficiaires effectifs sont d’ailleurs évoqués.
Les lignes directrices rappellent que la gestion des données doivent respecter un certain nombre de règles, parmi lesquelles:
Une collecte effectuée à des fins explicites et déterminées;
Un traitement qui repose sur le consentement des personnes concernées;
Un traitement assuré de manière loyale et transparente;
Une collecte qui respecte un principe de minimisation des données;
Une collecte qui respecte un principe d’exactitude des données;
Une conservation des données limitée en quantité et en temps, selon des termes définis;
Une conservation des données respectant des exigences de sécurité et de confidentialité.
Ces différentes exigences ne sont rien de plus que les grands principes de la protection des données, énumérés par ailleurs par RGPD. Mais ces lignes directrices permettent de les accompagner d’éléments illustratifs propres au contexte de la LCB-FT et de recommandations, et constituent de fait un document de référence sur la gestion des données appliquées à la LCB-FT.
On peut par ailleurs relever que le respect des principes de protection des données personnelles peut ne pas constituer qu’une contrainte règlementaire: les obligations d’exactitude se concilient en effet très bien avec les obligations d’actualisation de la KYC. En outre, définir une véritable politique de traitement des données KYC constitue évidemment une bonne pratique pour cadrer et harmoniser les processus d’entrée en relation, de suivi de la relations d’affaires et de contrôle des dossiers. Enfin, limiter la collecte à ce qui est strictement nécessaire pour la LCB-FT permet de réduire les contraintes opérationnelles et les coûts engrangés par un traitement de données non pertinentes.
Les Lignes Directrices sont accessibles en suivant ce lien.