AML et donnees personnelles : durees de conservation et RGPD

Les obligations anti-blanchiment (AML – Anti-Money Laundering) imposent aux entites assujetties de collecter, traiter et conserver des volumes considerables de donnees personnelles. Cette conservation, qui s’etend sur plusieurs annees apres la fin de la relation d’affaires, entre en tension directe avec le principe de limitation de la conservation du RGPD. L’articulation entre ces deux cadres reglementaires est source de difficultes pratiques que cet article analyse en detail, en proposant des solutions operationnelles.

Le cadre legal de la conservation des donnees AML

Les durees imposees par le droit francais

L’article L.561-12 du code monetaire et financier fixe les durees de conservation des donnees collectees dans le cadre des obligations de LCB-FT :

Documents de vigilance. Les documents et informations relatifs a l’identite du client et du beneficiaire effectif doivent etre conserves pendant cinq ans a compter de la cloture du compte ou de la cessation de la relation d’affaires. Cette duree couvre les copies de pieces d’identite, les justificatifs de domicile, les informations relatives au beneficiaire effectif et les documents d’analyse de risque du client.

Documents relatifs aux operations. Les documents et informations relatifs aux operations realisees doivent etre conserves pendant cinq ans a compter de leur execution. Cette duree couvre les enregistrements de transactions, les pieces justificatives des operations et les analyses de coherence.

Documents relatifs aux declarations de soupcon. Les documents relatifs aux declarations effectuees aupres de Tracfin doivent etre conserves pendant cinq ans a compter de la declaration. Cette duree est independante de la duree de conservation des autres documents.

Les durees prevues par le droit europeen

Le nouveau reglement AML europeen (reglement (UE) 2024/1624) reprend et harmonise les durees de conservation au niveau europeen. L’article 56 dispose que les informations et documents obtenus dans le cadre des mesures de vigilance doivent etre conserves pendant cinq ans apres la fin de la relation d’affaires ou apres la date de la transaction occasionnelle. Les Etats membres peuvent autoriser ou imposer des durees de conservation supplementaires dans la limite de cinq annees additionnelles, soit un maximum de dix ans.

La 6e directive anti-blanchiment confirme cette architecture en laissant aux Etats membres une marge de transposition sur la duree maximale.

Le principe de limitation de la conservation du RGPD

L’article 5, paragraphe 1, point e) du RGPD

Le RGPD pose le principe selon lequel les donnees personnelles doivent etre conservees sous une forme permettant l’identification des personnes concernees pendant une duree n’excedant pas celle necessaire au regard des finalites pour lesquelles elles sont traitees. Ce principe de limitation de la conservation impose aux responsables de traitement de definir des durees de conservation proportionnees et de mettre en oeuvre des mecanismes de suppression ou d’anonymisation a l’echeance.

L’exception de l’obligation legale

L’article 17, paragraphe 3, point b) du RGPD prevoit que le droit a l’effacement ne s’applique pas lorsque le traitement est necessaire au respect d’une obligation legale qui requiert le traitement prevue par le droit de l’Union ou par le droit de l’Etat membre auquel le responsable de traitement est soumis. Les obligations de conservation AML constituent une telle obligation legale.

Cette exception autorise la conservation des donnees personnelles AML pendant la duree legale imposee, mais elle ne constitue pas une autorisation de conservation illimitee. A l’expiration du delai legal, le fondement juridique de la conservation disparait et les donnees doivent etre traitees conformement au principe de limitation de la conservation.

Les points de tension entre AML et RGPD

La collecte excessive

La premiere tension concerne le volume des donnees collectees. Les procedures de vigilance AML conduisent a collecter un ensemble large de donnees personnelles : identite complete, adresse, situation professionnelle, revenus, patrimoine, origine des fonds, habitudes transactionnelles. Le principe de minimisation du RGPD impose que cette collecte soit limitee au strict necessaire au regard du niveau de vigilance requis.

En pratique, certaines entites assujetties appliquent systematiquement les mesures de vigilance renforcee a l’ensemble de leurs clients, collectant des informations qui ne sont pas justifiees par l’analyse de risque. Cette approche maximaliste, souvent motivee par la crainte des sanctions AML, constitue une violation du principe de minimisation du RGPD.

La CNIL a rappele que l’approche par les risques de la reglementation AML est non seulement compatible mais convergente avec le principe de minimisation du RGPD : seules les donnees necessaires au niveau de vigilance effectivement requis doivent etre collectees.

La conservation au-dela du necessaire

La deuxieme tension concerne la duree effective de conservation. Plusieurs situations posent probleme :

La conservation au-dela du delai legal. Certaines entites conservent les donnees AML au-dela du delai de cinq ans, par precaution ou par defaut de mecanismes de purge automatises. Cette conservation excessive constitue une violation du RGPD des lors qu’aucune autre obligation legale ne la justifie.

Le calcul du point de depart. Le calcul du point de depart du delai de cinq ans peut etre source de difficultes. Pour les documents de vigilance, le delai court a compter de la cloture du compte ou de la cessation de la relation d’affaires. Pour les documents relatifs aux operations, il court a compter de l’execution de l’operation. Les deux delais ne coincident pas necessairement, ce qui impose une gestion differenciee.

La conservation apres une declaration de soupcon. Lorsqu’une declaration de soupcon a ete effectuee, le delai de conservation de cinq ans court a compter de la declaration elle-meme. Ce delai peut s’etendre au-dela du delai de conservation des autres donnees du client, ce qui impose une conservation differenciee et des mesures de securite renforcees.

Le droit d’acces et le secret de la declaration

Le RGPD confere aux personnes un droit d’acces a l’ensemble des donnees les concernant (article 15). Or, dans le contexte AML, certaines donnees sont couvertes par le secret de la declaration de soupcon prevu a l’article L.561-19 du code monetaire et financier. La communication de ces donnees au client compromettrait l’enquete en cours et violerait l’obligation de secret.

L’articulation se fait par le biais de l’article 23 du RGPD, qui autorise les Etats membres a limiter les droits des personnes lorsque cette limitation est necessaire pour la prevention, la recherche ou la poursuite d’infractions penales. Le droit d’acces peut donc etre restreint pour les donnees liees a une declaration de soupcon, sous reserve que cette restriction soit proportionnee et documentee.

Les recommandations pratiques

Definir une politique de conservation structuree

L’entite assujettie doit elaborer une politique de conservation qui distingue clairement les differentes categories de donnees AML et les durees applicables a chacune :

Categorie de donnees	Duree de conservation	Point de depart
Pieces d’identite du client	5 ans	Fin de la relation d’affaires
Identification du beneficiaire effectif	5 ans	Fin de la relation d’affaires
Analyse de risque client	5 ans	Fin de la relation d’affaires
Documents relatifs aux operations	5 ans	Execution de l’operation
Pieces justificatives des operations	5 ans	Execution de l’operation
Declaration de soupcon et documents associes	5 ans	Date de la declaration
Correspondances avec Tracfin	5 ans	Date de la correspondance

Cette politique doit etre inscrite au registre des traitements au titre de l’article 30 du RGPD et etre accessible au DPO.

Automatiser la purge des donnees

La mise en oeuvre effective de la politique de conservation requiert des mecanismes automatises de purge. Les systemes d’information doivent etre configures pour :

• Calculer automatiquement la date d’expiration de la conservation pour chaque donnee ou ensemble de donnees.
• Alerter le responsable LCB-FT et le DPO avant l’echeance pour permettre une verification (par exemple, verifier l’absence de procedure en cours justifiant une prolongation).
• Supprimer ou anonymiser automatiquement les donnees a l’echeance, sauf exception documentee.
• Journaliser les operations de purge pour assurer la tracabilite.

Separer les donnees AML des donnees commerciales

Les donnees collectees a des fins AML ne doivent pas etre utilisees a des fins commerciales (profilage, ciblage, scoring commercial). Cette separation des finalites, imposee par le RGPD, doit se traduire techniquement par un cloisonnement des acces et, idealement, un stockage separe. Les equipes commerciales ne doivent pas avoir acces aux donnees de vigilance AML.

Securiser specifiquement les donnees AML

Les donnees AML presentent une sensibilite particuliere qui justifie des mesures de securite renforcees au sens de l’article 32 du RGPD :

• Chiffrement des donnees au repos et en transit.
• Controle d’acces strict fonde sur le principe du besoin d’en connaitre.
• Journalisation de tous les acces et operations.
• Revue periodique des droits d’acces.
• Tests de securite reguliers incluant les bases de donnees AML.

L’ANSSI recommande un niveau de securite renforce pour les donnees financieres, ce qui inclut les donnees AML.

Gerer les demandes d’exercice des droits

Les entites assujetties doivent mettre en place une procedure specifique pour les demandes d’exercice des droits RGPD portant sur des donnees AML :

• Droit d’acces (article 15) : repondre dans le delai d’un mois en excluant les informations couvertes par le secret de la declaration de soupcon. Documenter les motifs de toute restriction.
• Droit de rectification (article 16) : traiter les demandes de rectification portant sur des donnees d’identification erronees, en mettant a jour simultanement les dossiers KYC.
• Droit a l’effacement (article 17) : refuser les demandes d’effacement pendant la duree legale de conservation, en informant la personne du fondement legal de ce refus. Proceder a l’effacement a l’expiration du delai.
• Droit d’opposition (article 21) : l’opposition n’est pas recevable pour les traitements fondes sur une obligation legale (article 21, paragraphe 1, derniere phrase).

Documenter les decisions

Chaque decision relative a la conservation ou a la suppression de donnees AML doit etre documentee : motif de la conservation, base legale invoquee, duree retenue, mesures de securite appliquees. Cette documentation est indispensable tant pour demontrer la conformite RGPD que pour repondre aux controles des autorites AML (ACPR, AMF) et de la CNIL.

L’impact du nouveau cadre europeen AML

Le paquet legislatif europeen anti-blanchiment de 2024 apporte plusieurs modifications impactant la conservation des donnees :

• L’harmonisation des durees de conservation au niveau europeen (cinq ans, extensible a dix ans par les Etats membres).
• Le renforcement des obligations de transparence sur les beneficiaires effectifs, impliquant de nouvelles categories de donnees personnelles a conserver.
• La creation de l’AMLA, qui pourra emettre des lignes directrices sur l’articulation entre obligations AML et protection des donnees.
• Le renforcement de l’approche par les risques, qui devrait permettre une meilleure calibration de la collecte de donnees au niveau de risque effectif.

FAQ

Peut-on conserver les donnees AML au-dela de cinq ans a titre de precaution ?

Non. La conservation au-dela du delai legal de cinq ans n’est justifiee que si une autre obligation legale le requiert (procedure contentieuse en cours, instruction judiciaire, demande specifique de Tracfin). En l’absence d’un tel fondement, la conservation excedentaire constitue une violation du principe de limitation de la conservation du RGPD. L’entite assujettie doit mettre en place des mecanismes de purge automatises et documenter toute prolongation exceptionnelle avec son fondement legal.

Comment repondre a une demande d’effacement portant sur des donnees AML ?

Pendant la duree legale de conservation (cinq ans apres la fin de la relation ou l’execution de l’operation), l’entite doit refuser la demande en invoquant l’article 17, paragraphe 3, point b) du RGPD (obligation legale). Elle doit informer le demandeur du motif du refus et de son droit de saisir la CNIL. A l’expiration du delai legal, elle doit proceder a l’effacement ou a l’anonymisation dans un delai raisonnable. Si une declaration de soupcon est en cours, la reponse ne doit reveler en aucun cas l’existence de cette declaration.

Les donnees AML peuvent-elles etre utilisees a des fins commerciales ?

Non. Le principe de limitation des finalites du RGPD (article 5, paragraphe 1, point b) interdit l’utilisation de donnees collectees a des fins de vigilance AML pour des finalites commerciales (profilage, ciblage publicitaire, scoring commercial). Les donnees AML et les donnees commerciales doivent etre cloisonnees techniquement et organisationnellement. Toute utilisation secondaire devrait reposer sur une base legale autonome et ne peut en tout etat de cause porter sur des donnees dont la collecte n’etait justifiee que par l’obligation de vigilance.