Lignes directrices du Conseil de l’Europe pour concilier lutte contre le blanchiment de capitaux et protection des données
Le blanchiment de capitaux et le financement du terrorisme sont des enjeux globaux nécessitant une collaboration étroite entre entités publiques et privées. Les assujettis au régime de lutte contre le blanchiment de capitaux et le financement du terrorisme (LBC-FT) doivent observer des règles de due diligence. Ces obligations incluent notamment un processus de Know Your Customer (KYC) qui implique la collecte des informations essentielles relatives à leurs clients, telles que le nom, la date de naissance, la nationalité, et l’adresse. En cas de soupçons d’activités illégales, ces informations sont transmises aux autorités compétentes, qui, selon le besoin, peuvent les partager avec d’autres autorités, nationales ou internationales. L’ensemble de ces opérations doit aussi respecter les normes de protection des données personnelles.
Pour concilier ces obligations de LBC-FT avec les dispositions de la nouvelle Convention 108 modernisée (Convention 108+), le Comité consultatif en charge de la protection des données au sein du Conseil de l’Europe a publié le 16 juin 2023 des lignes directrices. Elles visent à permettre un traitement approprié respectant les règles de la protection des données tout en assurant l’échange d’informations, y compris transfrontières, dans le cadre de la LBC-FT. En substance, ces lignes directrices se décomposent en plusieurs sections.
La Section 3 réaffirme les principes clés de la protection des données et les juxtapose avec les responsabilités des assujettis à la LBC‑FT telles que figurant dans les Recommandations du GAFI. Pour rappel, ces recommandations sont reprises en droit interne par les États membres et définissent le standard minimal de la LBC‑FT. À la suite de cette analyse comparative, un certain nombre de recommandations sont formulées.
Sans revenir en détails sur l’ensemble des recommandations ancrées au sein de la Section 3, il ressort principalement que le traitement et l’échange de données doivent s’appuyer sur des bases légales claires et être alignés avec les objectifs poursuivis par les normes de LBC-FT (pp. 5–9).
Le traitement des données doit en outre être loyal et transparent. Les assujettis doivent notamment informer leurs clients des raisons justifiant la collecte des données personnelles. Les lignes directrices mentionnent également les registres centraux de bénéficiaires effectifs. Ces registres, instaurés par certains États membres, conservent les informations sur les bénéficiaires effectifs (i.e. ayant droit économique) des entités juridiques. Suite à la récente décision de la CJUE (cf. www.swissprivacy.law/186), il est établi que ces registres ne doivent pas être ouverts au public, un point également mis en évidence dans ces lignes directrices (pp. 9–11). Cette récente décision ainsi que ces lignes directrices entrent ainsi en contradiction avec l’actuel projet de sixième directive européenne sur la LBC-FT qui prévoit encore un accès conditionnel au grand public (art. 11‑12 AMLD 6). En Suisse, conformément à la volonté du Conseil fédéral (Rapport explicatif LPTM, p. 85), le projet de loi visant à la création d’un tel registre prévoit cependant un accès réservé uniquement aux autorités compétentes (art. 28 P‑LTPM) et n’est donc pas public. Ce projet, mis en consultation le 30 août 2023, serait donc davantage compatible sous l’angle du respect des droits fondamentaux, notamment le droit à la vie privée (cf. not art. 8 CEDH ; art. 13 Cst. féd.).
Les lignes directrices indiquent ensuite que les informations collectées et transmises doivent se limiter à l’essentiel conformément au principe de minimisation des données. Sur ce point, il est intéressant de relever que pour éviter tout risque de sanctions prudentielles ou pénales (voire un risque réputationnel), les assujettis pourraient avoir tendance à collecter et transmettre davantage de données aux autorités. Une approche qui serait ainsi en décalage avec les règles de la protection données. Pour harmoniser ces pratiques contradictoires, les lignes directrices suggèrent de faciliter la collaboration entre les autorités nationales, régionales et internationales de protection des données, les autres autorités chargées de la protection des données, financières ou non, et les forums internationaux de LBC-FT, afin que des orientations spécifiques puissent être élaborées pour assurer une cohérence entre les obligations légales applicables (pp. 11–12).
Il ressort également du document que les données collectées doivent être exactes et mises à jour régulièrement conformément au principe d’exactitude (pp. 13–15). Cette exigence est parfaitement alignée avec les obligations de LBC-FT (art. 10 par. 5 AMLD 6). En Suisse, cette obligation est explicitement mentionnée à l’art. 7 al. 1bis LBA depuis le 1er janvier 2023.
Il apparaît ensuite que les données doivent être conservées pendant une période limitée, puis détruites ou anonymisées au terme de la période de conservation (pp. 15–17). Dans le cadre de la LBC-FT, les Recommandations du GAFI prévoient une durée de conservation de 5 ans minimum après la fin de la relation d’affaires ou la dernière transaction occasionnelle. Au sein de l’UE, les États membres sont tenus de prévoir une durée de conservation entre 5 et 10 ans (art. 10 par. 12 AMLD 6). En Suisse, la documentation est conservée pendant 10 ans selon l’art. 7 al. 3 LBA. Toutefois, il convient de mentionner une exception pour les données relatives aux communications MROS, dont le délai de conservation est de 5 ans conformément à l’art. 34 al. 4 LBA. Cette différence a conduit à des débats doctrinaux quant au délai à appliquer pour les documents relatifs aux communications MROS. À notre sens, les assujettis devraient plutôt se fonder sur le délai général de 10 ans pour éviter tout risque.
La Section 3 des lignes directrices se clôt finalement en rappelant l’importance pour les assujettis de garantir la sécurité et la confidentialité des données personnelles collectées (pp. 17–19).
La Section 4 précise quant à elle le type de données pouvant faire l’objet d’un traitement de données dans le cadre de la LBC-FT. Elle est accompagnée d’une annexe qui précise d’autres définitions des types de catégories de données afin de préciser l’étendue des obligations selon la LBC-FT (pp. 19–21).
Les Sections 5 et 6 abordent les droits des personnes concernées par le traitement des données (y compris le droit d’accès). Il est notamment précisé les conditions auxquels ces droits peuvent être restreints dans le contexte de la LBC-FT (pp. 21–23).
La Section 7 met en avant des recommandations clarifiant le rôle des autorités de protection des données et leur interaction avec les autorités compétentes en matière de LBC-FT. Les recommandations accentuent l’importance de la coopération entre ces entités, envisageant des formations dédiées pour le secteur privé en LBC-FT (p. 24).
Enfin, la Section 8 établit les règles qui devraient être appliquées pour les transferts internationaux de données dans le cadre de la LBC-FT, insistant notamment sur le fait que ces échanges devraient être permis seulement si le pays destinataire garantit une protection adéquate des données conformément à la Convention 108+ (pp. 25‑27).
En somme, l’objectif recherché par ces lignes directrices, soit harmoniser des devoirs pouvant se montrer contradictoires, est louable. Néanmoins, il est manifeste que le résultat produit est à déplorer. Lesdites lignes directrices ne fournissent guère une réelle valeur ajoutée ou des recommandations pragmatiques ; elles se bornent à mettre en parallèle les obligations LBC-FT et les principes fondamentaux encadrant le droit de la protection des données, sans fournir de solution tangible. Une mise en œuvre pratique par les autorités nationales est donc encore nécessaire à ce stade.
Concernant la Suisse, ces lignes directrices revêtent également un intérêt particulier puisque la Suisse a récemment signé la Convention 108+ (FF 2020 545 ; FF 2020 577). À relever toutefois que la ratification n’a pas encore eu lieu. Elle devrait en principe se dérouler d’ici à la fin de l’année. Dès lors, bien que centrées sur le contexte européen, les recommandations figurant dans ces lignes directrices pourraient aussi concerner la Suisse, en sa qualité de nouvel état signataire de la Convention 108+. Enfin, il convient de souligner qu’il serait tant dans l’intérêt des autorités que des assujettis à la LBC-FT d’harmoniser ces corps de règles. En effet, une intégration réfléchie des normes relatives à la protection des données pourrait, à notre sens, engendrer des économies substantielles en termes de temps et de ressources financières pour la mise en œuvre des obligations de la LBC-FT.
Proposition de citation : Enzo Bastian, Lignes directrices du Conseil de l’Europe pour concilier lutte contre le blanchiment de capitaux et protection des données, 7 septembre 2023 in www.swissprivacy.law/250
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.