Gérer les défis de la lutte LCB à l’heure du RGPD

Depuis l’entrée en vigueur du RGPD, les établissements financiers de l’UE et hors UE sont tenus de s’acquitter de leurs obligations en matière de lutte contre le blanchiment (LCB) dans le cadre d’un nouveau régime de protection des données.

La mise en œuvre du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018 a transformé la manière dont les entreprises de l’UE traitent les données personnelles de leurs clients et des consommateurs. Créant, clarifiant et harmonisant la législation sur la sécurité des données sur l’ensemble des États membres, le RGPD concerne également les entreprises de pays non européens qui souhaitent faire des affaires au sein de l’UE.

En pratique, le RGPD restreint les conditions de collecte, d’utilisation et de stockage par les entreprises des données personnelles de leurs clients et des consommateurs. Ce texte a par ailleurs des répercussions sur les établissements financiers qui ont des obligations en matière de LCB.

RGPD vs la LCB

Parce que les efforts de lutte contre le blanchiment d’argent (LCB) se concentrent sur les données personnelles, les restrictions instaurées par le RGPD peuvent représenter un défi pour les établissements financiers. Plus exactement, le champ d’application juridique du RGPD peut aller à l’encontre des méthodes utilisées par ces établissements pour identifier les clients dans le cadre de leurs obligations de vigilance à l’égard de la clientèle et, ensuite, pour gérer leur risque.

Pour un établissement financier, se conformer au RGPD tout en assumant ses obligations LCB est une priorité majeure, d’autant que les pénalités pour non-conformité au RGPD peuvent atteindre 20 millions d’euros (ou 4 % du chiffre d’affaires global de l’entreprise). Face à des enjeux aussi élevés, il est important d’étudier les points de discordance entre les deux cadres législatifs et la manière de résoudre d’éventuelles frictions réglementaires.

Base juridique

L’Article 6 du RGPD exige des responsables du traitement des données qu’ils définissent une base juridique pour la collecte et le traitement des données personnelles, y compris les données nécessaires à la lutte LCB. Pour les établissements soumis à des obligations LCB, les justifications les plus pertinentes fournies par l’Article 6 sont les suivantes

• L’Article 6(c) – qui autorise le traitement des données personnelles si « le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis » – généralement, la réglementation ou les sanctions LCB.
• L’Article 6(f)– qui autorise le traitement des données personnelles s’il « est nécessaire aux fins des intérêts légitimes poursuivis », justifiable au cas par cas.

ComplyAdvantage justifie ses activités de sous-traitant de données en vertu de l’Article 6(f), ces données étant nécessaires pour servir les intérêts légitimes de ses clients en matière de respect des lois et sanctions LCB.

Le droit à l’oubli

L’un des aspects majeurs du RGPD est l’Article 17 qui instaure le « droit à l’oubli », lequel permet aux personnes concernées de demander la suppression de leurs données personnelles dans certaines circonstances. Cette règle peut être en conflit avec l’obligation faite par la réglementation LCB de conserver les données longtemps après la fin d’une relation commerciale.

Toutefois, en vertu de l’Article 17(3)(b) du RGPD, le respect d’une obligation légale prime sur le droit à l’oubli. Du point de vue de la lutte LCB, la 4ème Directive anti-blanchiment  (4AMLD) de l’UE introduit l’obligation de conserver les archives relatives aux obligations de vigilance à l’égard de la clientèle et aux transactions pendant cinq ans après la fin de la relation avec le client. Dans ce contexte, le droit à l’oubli ne serait applicable qu’après l’expiration de cette période.

Désignation des sous-traitants

L’Article 28 du RGPD stipule que les responsables du traitement des données doivent faire appel uniquement à des sous-traitants, tels que ComplyAdvantage, qui présentent des « garanties suffisantes » de conformité au RGPD. C’est pourquoi il peut être nécessaire d’inscrire les exigences de conformité au RGPD, et le droit de les auditer, dans les contrats avec des tiers. De même, la transmission de données entre les responsables du traitement et les tiers sous-traitants doit être sécurisée et conforme aux règles RGPD pertinentes.

Puisque ComplyAdvantage traite les données personnelles de chacun de ses clients à des fins de LCB, ses garanties de conformité aux règles RGPD sont énoncées d’office dans les conditions générales de ses contrats de service.

Comment ComplyAdvantage se conforme-t-elle au RGPD ?

En tant que sous-traitant, ComplyAdvantage fournit à ses clients une clarté absolue sur les protections que l’entreprise met en place pour protéger les données personnelles. Grâce à nos politiques strictes en matière de sécurité des données, nos clients restent en conformité avec le RGPD tout en procédant en toute sécurité à l’ensemble des contrôles LCB nécessaires. Nos protections relatives à la sécurité des informations comprennent :

• Le chiffrement des données en cours de transfert et au repos
• Une infrastructure hébergée par AWS, fournisseur mondialement reconnu en matière de sécurité de l’information
• La certification ISO27001, un système de gestion de la sécurité de l’information certifié ISO27001(le protocole de référence) par le British Standards Institute pour tous nos systèmes et sites

Nous sommes conscients que nos clients doivent s’assurer que leurs propres clients ne blanchissent pas de capitaux ou ne participent pas au financement du terrorisme et que ces efforts doivent l’emporter sur certaines préoccupations en matière de sécurité des données. Même dans le cadre du RGPD, cette nécessité vous donne le droit de stocker des informations personnelles et de conserver la trace des contrôles et des processus déployés. Les lois relatives à la LCB et à la protection des données évoluent en permanence et, dans le sillage de nouvelles législations, dont la 5ème directive anti-blanchiment  (5AMLD), votre solution de conformité doit vous permettre de vous adapter aux nouvelles mesures juridiques adoptées pour faire face à l’évolution des stratégies de la criminalité financière.

Dans cette optique, votre solution anti-blanchiment conforme au RGPD doit, avant tout, assurer la sécurité des informations personnelles que vous détenez, un objectif qui converge avec les objectifs plus vastes du paysage de la protection des données.

Découvrez comment nos solutions vous aideront à rester en conformité avec les réglementations les plus récentes en matière de lutte contre le blanchiment.

En savoir plusRead more:

[siblings post_type= »knowledgebase »]