KYC et RGPD : concilier verification d’identite et protection des donnees

Les procedures de Know Your Customer (KYC) imposent aux organismes financiers de verifier l’identite de leurs clients et de collecter un ensemble significatif de donnees personnelles. Ces obligations, fondees sur la reglementation anti-blanchiment, entrent en tension avec les principes du RGPD de minimisation des donnees, de limitation des finalites et de limitation de la duree de conservation. Concilier ces deux imperatifs reglementaires est devenu un exercice juridique delicat qui requiert une analyse fine des textes et de la pratique.

Le cadre reglementaire du KYC

Les obligations legales de vigilance

Les obligations de KYC trouvent leur fondement principal dans la directive (UE) 2015/849 relative a la prevention de l’utilisation du systeme financier aux fins du blanchiment de capitaux ou du financement du terrorisme (4e directive anti-blanchiment), modifiee par la directive (UE) 2018/843 (5e directive). En droit francais, ces obligations sont transposees aux articles L.561-1 et suivants du code monetaire et financier.

Les entites assujetties – etablissements de credit, entreprises d’investissement, compagnies d’assurance, prestataires de services sur actifs numeriques, entre autres – doivent mettre en oeuvre des mesures de vigilance comprenant :

• L’identification du client et la verification de son identite sur la base de documents fiables.
• L’identification du beneficiaire effectif et la verification de son identite.
• La connaissance de l’objet et de la nature de la relation d’affaires.
• L’exercice d’une vigilance constante sur la relation d’affaires.

Les niveaux de vigilance

La reglementation prevoit trois niveaux de vigilance :

• La vigilance simplifiee (article L.561-9 du code monetaire et financier), applicable lorsque le risque de blanchiment est faible.
• La vigilance standard (articles L.561-5 a L.561-7), constituant le regime de droit commun.
• La vigilance renforcee (articles L.561-10 a L.561-10-2), applicable aux situations a risque eleve, notamment pour les personnes politiquement exposees (PPE), les relations d’affaires avec des pays tiers a haut risque ou les operations complexes.

Chaque niveau de vigilance implique un volume et un degre de precision differents des donnees personnelles collectees, ce qui a un impact direct sur la conformite RGPD.

L’articulation avec le RGPD : les bases legales

L’obligation legale comme base legale principale

Le traitement des donnees personnelles dans le cadre du KYC repose principalement sur la base legale de l’obligation legale prevue a l’article 6, paragraphe 1, point c) du RGPD. Les obligations de vigilance imposees par le code monetaire et financier constituent une obligation legale claire, precise et previsible qui fonde le traitement.

Cette qualification a des consequences pratiques importantes : le consentement du client n’est pas requis pour les traitements KYC obligatoires, et le client ne peut s’opposer au traitement sur le fondement de l’article 21 du RGPD lorsque le traitement est necessaire au respect d’une obligation legale.

L’interet legitime pour les traitements complementaires

Certains traitements lies au KYC depassent le strict cadre de l’obligation legale. Tel est le cas des analyses de risques internes, du scoring client ou des recoupements avec des bases de donnees commerciales. Ces traitements complementaires peuvent etre fondes sur l’interet legitime du responsable de traitement (article 6, paragraphe 1, point f), sous reserve de la realisation d’un test de mise en balance entre les interets du responsable de traitement et les droits des personnes concernees.

Le cas des donnees sensibles

Les procedures KYC peuvent impliquer le traitement de categories particulieres de donnees au sens de l’article 9 du RGPD. La copie d’une piece d’identite contient generalement une photographie (donnee biometrique au sens large) et peut reveler la nationalite ou l’origine raciale. Les procedures de vigilance renforcee peuvent en outre conduire a la collecte d’informations relatives aux opinions politiques (dans le cas des PPE) ou aux condamnations penales.

L’article 9, paragraphe 2, point g) du RGPD autorise le traitement de donnees sensibles lorsqu’il est necessaire pour des motifs d’interet public important, sur la base du droit de l’Union ou du droit d’un Etat membre. La lutte contre le blanchiment de capitaux constitue un tel motif d’interet public.

Le principe de minimisation applique au KYC

La tension entre exhaustivite et minimisation

Le RGPD impose le principe de minimisation des donnees (article 5, paragraphe 1, point c) : les donnees doivent etre adequates, pertinentes et limitees a ce qui est necessaire au regard des finalites pour lesquelles elles sont traitees. Or les obligations KYC exigent la collecte d’un ensemble parfois volumineux de documents et d’informations.

La CNIL a rappele a plusieurs reprises que le principe de minimisation s’applique pleinement aux traitements KYC. L’organisme assujetti ne peut collecter que les donnees strictement necessaires au respect de ses obligations de vigilance, au niveau de vigilance effectivement requis par l’analyse de risques.

Les donnees collectables selon le niveau de vigilance

En vigilance standard, les donnees collectables comprennent typiquement :

• L’identite du client (nom, prenoms, date et lieu de naissance, nationalite).
• L’adresse du domicile.
• Un document d’identite officiel en cours de validite (copie recto-verso).
• Les informations relatives a l’objet et a la nature de la relation d’affaires.
• L’identite du beneficiaire effectif.

En vigilance renforcee, des donnees supplementaires peuvent etre collectees : justificatifs de l’origine des fonds, informations sur la situation professionnelle et patrimoniale, documentation relative a l’exposition politique.

Il est essentiel de ne pas appliquer systematiquement les mesures de vigilance renforcee a l’ensemble des clients. Une approche graduee fondee sur le risque est non seulement conforme a la reglementation anti-blanchiment mais aussi au principe de minimisation du RGPD.

La duree de conservation des donnees KYC

Les obligations legales de conservation

L’article L.561-12 du code monetaire et financier impose la conservation des documents et informations collectes dans le cadre des mesures de vigilance pendant une duree de cinq ans a compter de la cloture du compte ou de la cessation de la relation d’affaires. Cette duree de conservation est directement imposee par la loi et s’impose au principe de limitation de la conservation du RGPD.

L’interdiction de conservation au-dela du necessaire

Si la conservation pendant cinq ans apres la fin de la relation est une obligation legale, la conservation au-dela de cette duree n’est en revanche pas justifiee par la reglementation anti-blanchiment. A l’expiration du delai de cinq ans, les donnees KYC doivent etre supprimees ou anonymisees, sauf si une autre obligation legale justifie leur conservation (procedures contentieuses en cours, par exemple).

L’organisme doit mettre en place des mecanismes automatises de purge des donnees KYC a l’echeance du delai de conservation, conformement aux recommandations de la CNIL.

La conservation des copies de pieces d’identite

La conservation des copies de pieces d’identite fait l’objet d’une attention particuliere de la CNIL. La recommandation est de ne conserver la copie de la piece d’identite que pendant la duree strictement necessaire a la verification d’identite, puis de ne conserver que les informations d’identification (nom, prenoms, date de naissance, numero du document) sans la copie elle-meme, sauf obligation legale contraire.

Pour les organismes soumis aux obligations KYC, la conservation de la copie pendant la duree de la relation d’affaires et pendant cinq ans apres sa cessation est justifiee par l’obligation legale. Il convient neanmoins de s’assurer que les conditions de stockage garantissent la securite des copies (chiffrement, controle d’acces strict).

Les droits des personnes dans le contexte KYC

Le droit d’information

L’organisme doit informer le client, au moment de la collecte, des conditions du traitement de ses donnees KYC conformement a l’article 13 du RGPD. Cette information doit mentionner la base legale du traitement (obligation legale), les finalites du traitement, la duree de conservation, les destinataires eventuels et les droits dont dispose la personne.

Le droit d’acces et les limitations

Le client dispose d’un droit d’acces a ses donnees KYC au titre de l’article 15 du RGPD. Toutefois, ce droit peut etre limite lorsque sa mise en oeuvre risquerait de compromettre les mesures de vigilance ou une declaration de soupcon en cours. L’article L.561-19 du code monetaire et financier interdit la divulgation d’une declaration de soupcon a la personne concernee, ce qui constitue une limitation legale du droit d’acces.

Le droit a l’effacement et ses restrictions

Le droit a l’effacement (article 17 du RGPD) est substantiellement limite dans le contexte KYC. L’article 17, paragraphe 3, point b) prevoit que le droit a l’effacement ne s’applique pas lorsque le traitement est necessaire au respect d’une obligation legale. Tant que l’obligation de conservation de cinq ans n’est pas arrivee a echeance, l’organisme est tenu de refuser les demandes d’effacement portant sur les donnees KYC obligatoires.

L’utilisation des technologies dans le KYC

Le KYC numerique et la verification d’identite a distance

La dematerialisation des procedures KYC pose des questions specifiques de conformite RGPD. Les solutions de verification d’identite a distance impliquent generalement :

• La capture video du document d’identite (reconnaissance optique de caracteres).
• La capture du visage du client (selfie ou video).
• La comparaison biometrique entre le visage capture et la photographie du document.

Le traitement de donnees biometriques aux fins d’identification releve de l’article 9 du RGPD (categories particulieres de donnees). Son utilisation dans le cadre KYC doit etre fondee sur un motif d’interet public important et encadree par des garanties appropriees, conformement aux recommandations de la CNIL et de l’EDPB.

L’intelligence artificielle dans le KYC

Le recours a l’intelligence artificielle pour automatiser les verifications KYC (analyse automatisee de documents, detection d’anomalies, scoring de risque) doit respecter les exigences du RGPD en matiere de decision automatisee (article 22). Lorsque le traitement produit des effets juridiques ou des effets significatifs sur la personne, celle-ci a le droit de ne pas faire l’objet d’une decision fondee exclusivement sur un traitement automatise, sauf exceptions limitees.

Les sanctions en cas de manquement

Le non-respect des obligations KYC expose l’organisme aux sanctions prevues par le code monetaire et financier (sanctions disciplinaires de l’ACPR pouvant atteindre 100 millions d’euros ou 10 % du chiffre d’affaires). Le non-respect du RGPD expose aux sanctions de la CNIL (jusqu’a 20 millions d’euros ou 4 % du chiffre d’affaires mondial). Les deux regimes de sanctions sont cumulatifs : un meme manquement peut donner lieu a des poursuites au titre des deux reglementations.

FAQ

Le consentement du client est-il necessaire pour les traitements KYC ?

Non. Les traitements KYC obligatoires reposent sur la base legale de l’obligation legale (article 6.1.c du RGPD), qui ne requiert pas le consentement de la personne concernee. Le consentement ne serait ni necessaire ni meme appropriee comme base legale dans ce contexte, car il est revocable par nature, ce qui serait incompatible avec une obligation legale imperative. Le client doit en revanche etre informe du traitement conformement a l’article 13 du RGPD.

Un client peut-il exiger l’effacement de ses donnees KYC ?

Non, tant que l’obligation legale de conservation est en vigueur. L’article L.561-12 du code monetaire et financier impose une conservation de cinq ans apres la fin de la relation d’affaires. Le droit a l’effacement (article 17 du RGPD) est expressement limite lorsque le traitement est necessaire au respect d’une obligation legale. A l’expiration du delai de cinq ans, l’organisme doit en revanche proceder a la suppression ou a l’anonymisation des donnees, sauf autre fondement legal justifiant une conservation supplementaire.

Comment appliquer le principe de minimisation aux procedures KYC renforcees ?

Le principe de minimisation impose de calibrer la collecte de donnees au niveau de vigilance effectivement requis par l’analyse de risques. Les mesures de vigilance renforcee ne doivent etre appliquees qu’aux clients identifiant un risque eleve, et non systematiquement. Pour chaque information supplementaire collectee en vigilance renforcee, l’organisme doit pouvoir justifier de sa necessite au regard du risque identifie. Les donnees collectees au-dela de ce qui est strictement necessaire violent le principe de minimisation, meme si elles sont collectees dans le cadre d’une procedure anti-blanchiment.