Conseil de l’Europe, Lignes direc­trices du 16 juin 2023 sur la protec­tion des données person­nelles dans le trai­te­ment des données person­nelles en matière de lutte contre le blan­chi­ment de capi­taux et le finan­ce­ment du terrorisme

Le blan­chi­ment de capi­taux et le finan­ce­ment du terro­risme sont des enjeux globaux néces­si­tant une colla­bo­ra­tion étroite entre enti­tés publiques et privées. Les assu­jet­tis au régime de lutte contre le blan­chi­ment de capi­taux et le finan­ce­ment du terro­risme (LBC-FT) doivent obser­ver des règles de due dili­gence. Ces obli­ga­tions incluent notam­ment un proces­sus de Know Your Customer (KYC) qui implique la collecte des infor­ma­tions essen­tielles rela­tives à leurs clients, telles que le nom, la date de nais­sance, la natio­na­lité, et l’adresse. En cas de soup­çons d’ac­ti­vi­tés illé­gales, ces infor­ma­tions sont trans­mises aux auto­ri­tés compé­tentes, qui, selon le besoin, peuvent les parta­ger avec d’autres auto­ri­tés, natio­nales ou inter­na­tio­nales. L’ensemble de ces opéra­tions doit aussi respec­ter les normes de protec­tion des données personnelles.

Pour conci­lier ces obli­ga­tions de LBC-FT avec les dispo­si­tions de la nouvelle Convention 108 moder­ni­sée (Convention 108+), le Comité consul­ta­tif en charge de la protec­tion des données au sein du Conseil de l’Europe a publié le 16 juin 2023 des lignes direc­trices. Elles visent à permettre un trai­te­ment appro­prié respec­tant les règles de la protec­tion des données tout en assu­rant l’échange d’informations, y compris trans­fron­tières, dans le cadre de la LBC-FT. En substance, ces lignes direc­trices se décom­posent en plusieurs sections.

La Section 3 réaf­firme les prin­cipes clés de la protec­tion des données et les juxta­pose avec les respon­sa­bi­li­tés des assu­jet­tis à la LBC‑FT telles que figu­rant dans les Recommandations du GAFI. Pour rappel, ces recom­man­da­tions sont reprises en droit interne par les États membres et défi­nissent le stan­dard mini­mal de la LBC‑FT. À la suite de cette analyse compa­ra­tive, un certain nombre de recom­man­da­tions sont formulées.

Sans reve­nir en détails sur l’ensemble des recom­man­da­tions ancrées au sein de la Section 3, il ressort prin­ci­pa­le­ment que le trai­te­ment et l’échange de données doivent s’ap­puyer sur des bases légales claires et être alignés avec les objec­tifs pour­sui­vis par les normes de LBC-FT (pp. 5–9).

Le trai­te­ment des données doit en outre être loyal et trans­pa­rent. Les assu­jet­tis doivent notam­ment infor­mer leurs clients des raisons justi­fiant la collecte des données person­nelles. Les lignes direc­trices mentionnent égale­ment les registres centraux de béné­fi­ciaires effec­tifs. Ces registres, instau­rés par certains États membres, conservent les infor­ma­tions sur les béné­fi­ciaires effec­tifs (i.e. ayant droit écono­mique) des enti­tés juri­diques. Suite à la récente déci­sion de la CJUE (cf. www​.swiss​pri​vacy​.law/​186), il est établi que ces registres ne doivent pas être ouverts au public, un point égale­ment mis en évidence dans ces lignes direc­trices (pp. 9–11). Cette récente déci­sion ainsi que ces lignes direc­trices entrent ainsi en contra­dic­tion avec l’actuel projet de sixième direc­tive euro­péenne sur la LBC-FT qui prévoit encore un accès condi­tion­nel au grand public (art. 11‑12 AMLD 6). En Suisse, confor­mé­ment à la volonté du Conseil fédé­ral (Rapport expli­ca­tif LPTM, p. 85), le projet de loi visant à la créa­tion d’un tel registre prévoit cepen­dant un accès réservé unique­ment aux auto­ri­tés compé­tentes (art. 28 P‑LTPM) et n’est donc pas public. Ce projet, mis en consul­ta­tion le 30 août 2023, serait donc davan­tage compa­tible sous l’angle du respect des droits fonda­men­taux, notam­ment le droit à la vie privée (cf. not art. 8 CEDH ; art. 13 Cst. féd.).

Les lignes direc­trices indiquent ensuite que les infor­ma­tions collec­tées et trans­mises doivent se limi­ter à l’essentiel confor­mé­ment au prin­cipe de mini­mi­sa­tion des données. Sur ce point, il est inté­res­sant de rele­ver que pour éviter tout risque de sanc­tions pruden­tielles ou pénales (voire un risque répu­ta­tion­nel), les assu­jet­tis pour­raient avoir tendance à collec­ter et trans­mettre davan­tage de données aux auto­ri­tés. Une approche qui serait ainsi en déca­lage avec les règles de la protec­tion données. Pour harmo­ni­ser ces pratiques contra­dic­toires, les lignes direc­trices suggèrent de faci­li­ter la colla­bo­ra­tion entre les autorités natio­nales, régionales et inter­na­tio­nales de protec­tion des données, les autres autorités chargées de la protec­tion des données, financières ou non, et les forums inter­na­tio­naux de LBC-FT, afin que des orien­ta­tions spécifiques puissent être élaborées pour assu­rer une cohérence entre les obli­ga­tions légales appli­cables (pp. 11–12).

Il ressort égale­ment du docu­ment que les données collec­tées doivent être exactes et mises à jour régu­liè­re­ment confor­mé­ment au prin­cipe d’exac­ti­tude (pp. 13–15). Cette exigence est parfai­te­ment alignée avec les obli­ga­tions de LBC-FT (art. 10 par. 5 AMLD 6). En Suisse, cette obli­ga­tion est expli­ci­te­ment mention­née à l’art. 7 al. 1bis LBA depuis le 1^er janvier 2023.

Il appa­raît ensuite que les données doivent être conser­vées pendant une période limi­tée, puis détruites ou anony­mi­sées au terme de la période de conser­va­tion (pp. 15–17). Dans le cadre de la LBC-FT, les Recommandations du GAFI prévoient une durée de conser­va­tion de 5 ans mini­mum après la fin de la rela­tion d’affaires ou la dernière tran­sac­tion occa­sion­nelle. Au sein de l’UE, les États membres sont tenus de prévoir une durée de conser­va­tion entre 5 et 10 ans (art. 10 par. 12 AMLD 6). En Suisse, la docu­men­ta­tion est conser­vée pendant 10 ans selon l’art. 7 al. 3 LBA. Toutefois, il convient de mention­ner une excep­tion pour les données rela­tives aux commu­ni­ca­tions MROS, dont le délai de conser­va­tion est de 5 ans confor­mé­ment à l’art. 34 al. 4 LBA. Cette diffé­rence a conduit à des débats doctri­naux quant au délai à appli­quer pour les docu­ments rela­tifs aux commu­ni­ca­tions MROS. À notre sens, les assu­jet­tis devraient plutôt se fonder sur le délai géné­ral de 10 ans pour éviter tout risque.

La Section 3 des lignes direc­trices se clôt fina­le­ment en rappe­lant l’im­por­tance pour les assu­jet­tis de garan­tir la sécu­rité et la confi­den­tia­lité des données person­nelles collec­tées (pp. 17–19).

La Section 4 précise quant à elle le type de données pouvant faire l’objet d’un trai­te­ment de données dans le cadre de la LBC-FT. Elle est accom­pa­gnée d’une annexe qui précise d’autres défi­ni­tions des types de caté­go­ries de données afin de préci­ser l’étendue des obli­ga­tions selon la LBC-FT (pp. 19–21).

Les Sections 5 et 6 abordent les droits des personnes concer­nées par le trai­te­ment des données (y compris le droit d’accès). Il est notam­ment précisé les condi­tions auxquels ces droits peuvent être restreints dans le contexte de la LBC-FT (pp. 21–23).

La Section 7 met en avant des recom­man­da­tions clari­fiant le rôle des auto­ri­tés de protec­tion des données et leur inter­ac­tion avec les auto­ri­tés compé­tentes en matière de LBC-FT. Les recom­man­da­tions accen­tuent l’im­por­tance de la coopé­ra­tion entre ces enti­tés, envi­sa­geant des forma­tions dédiées pour le secteur privé en LBC-FT (p. 24).

Enfin, la Section 8 établit les règles qui devraient être appli­quées pour les trans­ferts inter­na­tio­naux de données dans le cadre de la LBC-FT, insis­tant notam­ment sur le fait que ces échanges devraient être permis seule­ment si le pays desti­na­taire garan­tit une protec­tion adéquate des données confor­mé­ment à la Convention 108+ (pp. 25‑27).

En somme, l’ob­jec­tif recher­ché par ces lignes direc­trices, soit harmo­ni­ser des devoirs pouvant se montrer contra­dic­toires, est louable. Néanmoins, il est mani­feste que le résul­tat produit est à déplo­rer. Lesdites lignes direc­trices ne four­nissent guère une réelle valeur ajou­tée ou des recom­man­da­tions prag­ma­tiques ; elles se bornent à mettre en paral­lèle les obli­ga­tions LBC-FT et les prin­cipes fonda­men­taux enca­drant le droit de la protec­tion des données, sans four­nir de solu­tion tangible. Une mise en œuvre pratique par les auto­ri­tés natio­nales est donc encore néces­saire à ce stade.

Concernant la Suisse, ces lignes direc­trices revêtent égale­ment un inté­rêt parti­cu­lier puisque la Suisse a récem­ment signé la Convention 108+ (FF 2020 545 ; FF 2020 577). À rele­ver toute­fois que la rati­fi­ca­tion n’a pas encore eu lieu. Elle devrait en prin­cipe se dérou­ler d’ici à la fin de l’année. Dès lors, bien que centrées sur le contexte euro­péen, les recom­man­da­tions figu­rant dans ces lignes direc­trices pour­raient aussi concer­ner la Suisse, en sa qualité de nouvel état signa­taire de la Convention 108+. Enfin, il convient de souli­gner qu’il serait tant dans l’intérêt des auto­ri­tés que des assu­jet­tis à la LBC-FT d’harmoniser ces corps de règles. En effet, une inté­gra­tion réflé­chie des normes rela­tives à la protec­tion des données pour­rait, à notre sens, engen­drer des écono­mies substan­tielles en termes de temps et de ressources finan­cières pour la mise en œuvre des obli­ga­tions de la LBC-FT.