L’application du Règlement général sur la protection des données (RGPD) au regard des obligations en matière de LCB-FT
Par Delya Douglas
Le Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données (ci-après RGPD) est entré en vigueur le 25 mai 2018 et s’applique au traitement[1], automatisé ou non, de données à caractère personnel des personnes physiques contenues ou appelées à figurer dans un fichier[2].
Il convient de remarquer que le RGPD laisse une marge d’interprétation significative aux États Membres,malgré la nature de ce texte, en ce qu’il laisse 56 possibilités de renvoi au droit national[3](notamment pour la détermination de certaines conditions de licéité du traitement[4], le régime applicable aux données dites sensibles[5]ou aux mineurs, les limitations pour des motifs d’ordre public aux obligations des responsables de traitement et droits des personnes concernées[6]) en plus du chapitre IX qui porte sur des « Dispositions relatives à des situations particulières de traitement » qui prévoient que les États Membres pourront prendre des dispositions spécifiques. Par conséquent, des disparités de normes subsisteront probablement entre les juridictions nationales.
- Conditions de licéité du traitement des données à caractère personnel
L’article 5 du RGPD prévoit que le traitement des données à caractère personnel[7]doit être licite, loyal et transparent vis-à-vis de la personne concernée ; ces données doivent être collectées pour des finalités déterminées, explicites et légitimes. Ces deux premières conditions semblent remplies en cas de traitement des données de clients d’une part parce qu’un tel traitement n’est interdit par aucun texte, découle des obligations de vigilance prévues par le CMF, et d’autre part parce que la finalité de LCB-FT semble claire en ce qu’elle constitue une obligation légale.
La question se pose cependant de savoir si le caractère explicite des finalités suppose d’informer le client dont les données font l’objet d’un traitement. Il n’est en effet pas certain que les organismes assujettis indiquent le motif de recueil et de traitement de ses données à leurs clients en matière de LCB-FT. À cet égard, cette exigence pourrait poser des difficultés pratiques aux organismes assujettis.
Par ailleurs, les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement: la LCB-FT est une finalité impliquant de disposer de données suffisamment précises. Cette condition ne semble ainsi pas poser de difficultés à première vue.
En outre, l’article 6 du règlement subordonne le caractère licite du traitement à l’une des conditions énumérées audit article (conditions alternatives), parmi lesquelles figure le respect d’une obligation légale à laquelle le responsable de traitement est soumis. Le règlement donne la possibilité aux États membres d’adopter ou maintenir des dispositions plus spécifiques relativement à cette condition. Il importe par conséquent d’analyser la Loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 dans sa version révisée (révision en cours au 31 mai 2018).
En particulier, l’une d’elles porte sur le consentement de la personne concernée, ce qui peut sembler contradictoire avec l’obligation que les finalités du traitement présentent un caractère explicite. En effet, de quelle manière une finalité pourrait-elle être explicite si le client n’en a pas connaissance ? Il est regrettable que la personne physique ou l’entité à l’aune de laquelle le caractère explicite est évalué ne soit pas précisée par le règlement (s’agit-il de la personne concernée, de l’organisme qui effectue le traitement, de l’État membre où le traitement a lieu?).
Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Cette définition exige un acte positif de la personne concernée et semble ainsi exclure tout consentement implicite. Un « consentement explicite » est cependant exigé dans le cadre du recueil de données sensibles définies à l’article 9 paragraphe 1[8]. Un tel consentement pourrait signifier qu’un « effort supplémentaire » serait requis de la part du responsable de traitement selon certains auteurs[9].
L’article 7 du RGPD prévoit d’ailleurs que « dans les cas où le traitement repose sur le consentement, le responsable du traitement[10]est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. » Cette disposition ne semble pas faire obstacle au recueil de données relatives à l’identification et à la connaissance des relations d’affaires auprès de ces derniers par les organismes assujettis étant donné que l’article 7 vise « des cas » où le consentement est requis. Il ne s’agit ainsipas d’une condition préalable au recueil de données à caractère personnel.
Au vu de la définition du consentement et de la mention du consentement explicite propre aux données sensibles, la jurisprudence de la CJUE et/ou de la CNIL devra clarifier l’interprétation de ces notions et ce qui les différencie.
- Conservation des données à caractère personnel
L’article 5 du RGPD ne prévoit pas de durée maximale relative à la conservation des données à caractère personnel. Il faut que cette durée soit nécessaire au regard des finalités pour lesquelles elles sont traitées, ce qui laisse une marge d’interprétation relativement large pour les États membres. Ainsi, il n’existerait a priori par d’incompatibilité entre les obligations de conservation des données relatives aux opérations et clients au titre des obligations de LCB-FT notamment prévues à l’article L.561-12du CMF, qui constituent des données à caractère personnel, et l’obligation de conservation des données à caractère personnel prévue par le RGPD.
Les futures décisions de la CJUE et de la CNIL pourraient néanmoins limiter ou préciser la notion de « durée nécessaire au regard des finalités» d’un traitement de données à caractère personnel.
- Le droit à l’oubli
L’article 17 du RGPD prévoit le droit à l’oubli[11]à la demande des personnes concernées dans les meilleurs délais[12]pour les motifs limitativement énumérés par cette disposition[13]. En réalité, les motifs de suppression des données ne sont pas nouveaux et il apparaît difficile de différencier le droit à l’effacement de la personne physique concernée, d’ores et déjà prévu à l’article 40 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, du droit à l’oubli.
Quoiqu’il en soit, parmi les motifs d’inapplicabilité du droit à l’oubli figure le respect d’une obligation légale prévue par le droit de l’UE ou par le droit national auquel le responsable du traitement est soumis, qui requiert le traitement des données à caractère personnel collectées. Les obligations en matière de LCB-FT et de gel des avoirs peuvent dès lors constituer un motif d’inapplicabilité du droit à l’oubli.
[1]L’article 4 paragraphe 2 définit le traitement comme« toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. »
[2]Article 2 paragraphe 1 du RGPD. Le traitement des données doit également présenter un lien de rattachement au territoire de l’UE (présence du responsable du traitement, personnes concernées, comportement, application du droit d’un État membre sur un territoire hors UE).
[3]Annexe 1 du rapport d’information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française de Mme Le Dain et de M. Gosselin (AN, n° 4544).
[7]La pseudonymisation est par ailleurs un traitement de données à caractère personnel défini à l’article 4 paragraphe 5 du RGPD et faisant l’objet de règles spécifiques de façon à empêcher tout ré-identification de la personne concernée.
[8]Les données sensibles sont celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.
[9]« GDPR: comment recueillir un consentement valide ? », Bojana Salovic et Etienne Wery, publié le 18 décembre 2017 sur le site Droit & Technologies créé par Me Etienne Wery, associé-fondateur du cabinet franco-belge Ulys.
[10]Le responsable du traitement est défini à l’article 4 comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».
[11]Codification de la décision de la CJUE Google Spain c/Agencia Espanola de Proteccion de Datosdu 13 mai 2014, aff. C.131/12.
[12]Opposable au responsable du traitement des données à caractère personnel de la personne concernée.
[13]Article 17- RGPD: « […] a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1. »