La lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) s’impose aujourd’hui comme un pilier de la régulation financière mondiale. Elle repose sur un arsenal juridique dense imposant aux institutions financières, mais aussi à de nombreux autres acteurs (notaires, avocats, agents immobiliers, plateformes numériques, etc.), une obligation de vigilance renforcée à l’égard de leurs clients et partenaires. Cette obligation prend la forme de traitements massifs et parfois intrusifs de données personnelles : identification, vérification, surveillance des opérations suspectes, conservation des données pendant plusieurs années…
Mais cette surveillance, bien qu’indispensable à l’ordre public économique et à la sécurité nationale, entre inévitablement en tension avec un autre pan essentiel du droit contemporain : la protection des données personnelles. En Europe, cette protection est consacrée notamment par l’article 8 de la Charte des droits fondamentaux de l’Union européenne et mise en œuvre par le Règlement général sur la protection des données (RGPD), qui exige que toute collecte ou traitement de données respecte des principes de légalité, de proportionnalité et de finalité.
Dès lors, comment concilier les exigences de vigilance imposées par le droit LCB-FT, notamment la directive (UE) 2015/849, modifiée par la directive (UE) 2018/843 (5e directive anti-blanchiment), avec les exigences de protection des données du RGPD (règlement (UE) 2016/679) ? L'articulation entre ces deux corpus normatifs pose de réels défis juridiques et opérationnels. La jurisprudence et les lignes directrices des autorités de protection des données (notamment la CNIL en France) tentent de baliser cette zone de frottement.

I- Une obligation de vigilance fondée sur un traitement intensif des données personnelles

La législation anti-blanchiment repose sur un principe fondamental : "connaître son client". Ce principe se traduit par des obligations concrètes de collecte et d’analyse des données.

A- Des obligations juridiques strictes pour les assujettis

La lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB/FT) repose sur un encadrement juridique rigoureux imposant aux entités dites "assujetties" telles que les établissements financiers, les assureurs, les notaires, les avocats ou encore certains prestataires de services numériques une série d’obligations précises et contraignantes. Ces exigences trouvent leur fondement dans le Code monétaire et financier (CMF), notamment aux articles L561-5 et suivants, et sont guidées par le principe du "Know Your Customer" (KYC), ou "connaissance du client".
Concrètement, les assujettis sont tenus, dès l’entrée en relation d’affaires, d’identifier leur client et, le cas échéant, le bénéficiaire effectif, c’est-à-dire la ou les personnes physiques qui contrôlent en dernier ressort une entité juridique. Cette identification repose sur la collecte de documents officiels tels que des pièces d’identité, des justificatifs de domicile ou encore des statuts juridiques d’entreprises.
En complément, les entités doivent évaluer le niveau de risque lié à chaque relation d’affaires en tenant compte de divers critères comme la nature des services sollicités, l’origine des fonds, ou la situation géographique du client. Cette analyse de risque initiale doit ensuite s’accompagner d’un suivi constant de la relation, afin de détecter toute opération atypique ou incohérente avec le profil du client.
Les données collectées ne sont pas conservées indéfiniment, mais doivent l’être pendant une durée de cinq ans après la fin de la relation d’affaires, conformément à l’article L561-12 du CMF. Cette conservation vise à permettre aux autorités de disposer d’un historique fiable en cas d’enquête ou de contrôle.
Les informations traitées dans ce cadre sont souvent hautement sensibles. Il peut s’agir de données à caractère personnel telles que des informations financières, l’état civil, les coordonnées bancaires, mais aussi, dans certains cas, des informations relatives à des condamnations pénales, ou encore le statut de personne politiquement exposée (PEP), ce qui requiert un traitement avec des garanties renforcées au regard du droit des données personnelles. La vigilance imposée par la réglementation LCB/FT se traduit donc par une collecte massive et systématique de données, au service d’une surveillance proactive mais aussi potentiellement intrusive, soulevant des défis importants en matière de protection de la vie privée.

B- La légitimité juridique de ces traitements encadrée par le RGPD

Le traitement intensif des données personnelles dans le cadre de la lutte contre le blanchiment de capitaux (LCB) ne peut s’opérer que dans le respect du Règlement général sur la protection des données (RGPD), qui constitue le socle du droit européen en matière de protection des données à caractère personnel. En vertu de l’article 6 du RGPD, un traitement n’est licite que s’il repose sur une base légale déterminée. Dans le contexte de la LCB, cette base est généralement l’obligation légale pesant sur les entités assujetties (article 6-1.c RGPD), laquelle découle des exigences du Code monétaire et financier et des directives européennes en la matière.
Toutefois, le fait qu’un traitement soit fondé sur une obligation légale ne dispense pas les responsables de traitement de se conformer aux principes fondamentaux du RGPD. Le premier d’entre eux est le principe de minimisation des données (article 5-1.c), qui impose que seules les données strictement nécessaires à la finalité poursuivie soient collectées. Cela peut sembler en tension avec la logique de la LCB, qui incite souvent à une collecte large et préventive de données pour anticiper d’éventuels comportements suspects. De même, le principe de limitation de la finalité (article 5-1. b) exige que les données ne soient utilisées qu’aux fins définies au moment de leur collecte, ce qui interdit leur réutilisation à des fins incompatibles, y compris à des objectifs de sécurité plus larges sans justification spécifique.
Le RGPD impose également une obligation de transparence à l’égard des personnes concernées (articles 13 et 14). Cela signifie que les clients doivent être informés de manière claire et accessible de la nature des données collectées, de leur finalité, de la durée de conservation, ainsi que de leurs droits (accès, rectification, effacement, etc.). Or, dans le cadre de la LCB, cette transparence peut être limitée par la nécessité de ne pas compromettre l’efficacité des mécanismes de détection, ce qui crée une tension entre le droit à l’information et les impératifs de surveillance.
Par ailleurs, les responsables de traitement doivent garantir la sécurité et la confidentialité des données collectées (article 32 RGPD), compte tenu de la sensibilité des informations manipulées. Cela suppose la mise en place de mesures techniques et organisationnelles robustes pour prévenir toute fuite ou accès non autorisé. Enfin, la durée de conservation des données doit être limitée au strict nécessaire (article 5-1.e), ce qui rejoint ici l’article L561-12 du CMF qui fixe une durée maximale de conservation de cinq ans après la fin de la relation d’affaires.
L’ensemble de ces principes souligne une tension structurelle : d’un côté, la LCB repose sur une logique de suspicion préventive qui justifie une collecte large et proactive des données ; de l’autre, le RGPD vise à encadrer strictement cette collecte pour éviter tout usage excessif ou injustifié. Cette articulation complexe nécessite un équilibre constant entre les impératifs de sécurité financière et les droits fondamentaux des individus.
Ainsi, si la législation LCB impose un traitement intensif et structuré des données personnelles, ce traitement n’échappe pas au cadre protecteur du RGPD. L’enjeu réside alors dans un équilibre délicat entre impératif de vigilance et respect des droits fondamentaux, posant les bases d’une nécessaire articulation entre sécurité juridique et protection de la vie privée.

II- Une conciliation progressive entre sécurité économique et libertés individuelles

Si la LCB semble justifier des traitements de données exceptionnels, ceux-ci ne sont pas pour autant en dehors du champ de contrôle du droit à la protection des données. L’équilibre est subtil, mais indispensable.

A- Le contrôle exercé par les autorités de protection des données

Face aux enjeux de conciliation entre les exigences de la lutte contre le blanchiment de capitaux (LCB) et les droits fondamentaux en matière de protection des données, les autorités de contrôle, au premier rang desquelles la CNIL en France, jouent un rôle central. La Commission nationale de l’informatique et des libertés a publié plusieurs lignes directrices et recommandations à destination des acteurs soumis aux obligations LCB, qu’il s’agisse des établissements bancaires, des professions juridiques réglementées ou encore de certaines plateformes numériques. Dans ces publications, la CNIL insiste sur le fait que, même dans le cadre d’une obligation légale, les principes du RGPD doivent être respectés.
Elle rappelle notamment que l’information des personnes concernées demeure obligatoire, conformément aux articles 13 et 14 du RGPD, sauf dans des cas strictement encadrés par la loi, notamment lorsque la fourniture de cette information est de nature à compromettre les objectifs de la LCB ou à gêner des enquêtes en cours. Toutefois, ces dérogations doivent faire l’objet d’une appréciation rigoureuse et proportionnée.
La CNIL souligne également que les données collectées dans le cadre de la LCB ne peuvent être détournées de leur finalité initiale, en particulier à des fins commerciales ou de prospection. Ainsi, un établissement financier ne saurait utiliser les informations issues du processus KYC pour proposer des produits adaptés au profil financier du client sans avoir recueilli un consentement distinct, sous peine de violer le principe de limitation des finalités.
Par ailleurs, pour les traitements présentant un risque élevé pour les droits et libertés des personnes physiques, notamment ceux portant sur des données sensibles ou impliquant une surveillance systématique, la CNIL rappelle l’obligation de réaliser une analyse d’impact relative à la protection des données (AIPD), prévue à l’article 35 du RGPD. Cette analyse vise à évaluer les risques associés au traitement envisagé et à mettre en place des mesures de sécurité adaptées, renforçant ainsi l’accountability des responsables de traitement.
Sur le plan européen, le G29, groupe des autorités européennes de protection des données remplacé depuis par le Comité européen de la protection des données (EDPB), a confirmé cette approche équilibrée. Il a précisé que le RGPD n’a pas pour objectif d’entraver les mécanismes de LCB, mais que ceux-ci doivent être mis en œuvre dans le respect des garanties substantielles du droit européen, notamment en matière de transparence, de proportionnalité et de respect des droits des personnes concernées. Autrement dit, la conformité à la réglementation LCB ne dispense pas d’une mise en conformité avec le RGPD, les deux régimes devant être articulés de manière cohérente.

B- Vers un dialogue entre les deux régimes : sécurité juridique recherchée

Dans un contexte où la lutte contre le blanchiment de capitaux mobilise des outils de surveillance et de collecte massive de données personnelles, le droit européen cherche à instaurer un équilibre entre la protection des droits fondamentaux et la nécessité de préserver l’ordre public. Ce souci de conciliation se manifeste tant dans les textes que dans la jurisprudence, illustrant une volonté d’instaurer un dialogue constructif entre les impératifs de sécurité et le respect de la vie privée.
Ainsi, le considérant 45 du RGPD joue un rôle clé dans cette articulation. Il reconnaît que certains traitements de données personnelles peuvent être imposés par la loi lorsqu’ils répondent à des objectifs d’intérêt public important, comme la sécurité publique ou la prévention du blanchiment de capitaux. Cette disposition permet de légitimer, sur le plan juridique, les obligations pesant sur les entités assujetties dans le cadre de la LCB, tout en les soumettant à des conditions strictes de nécessité et de proportionnalité.
Dans le même esprit, le législateur européen a adopté la directive (UE) 2019/1153, qui encadre l’accès des autorités compétentes notamment policières et judiciaires, aux informations financières et aux registres bancaires dans le cadre des enquêtes pénales. Cette directive vise à renforcer la coopération entre les États membres en matière de lutte contre la criminalité financière, tout en posant des garanties procédurales : les accès doivent être justifiés, encadrés juridiquement, et faire l’objet d’un contrôle effectif. L’objectif est d’éviter toute dérive vers une surveillance généralisée contraire aux principes démocratiques européens.
La jurisprudence de la Cour de justice de l’Union européenne (CJUE) vient renforcer cette exigence d’équilibre. Dans l’affaire La Quadrature du Net, la Cour a affirmé que l’accès aux données personnelles, même pour des motifs de sécurité nationale ou de lutte contre la criminalité, ne saurait être illimité ni automatique. Elle rappelle que de tels accès doivent être strictement nécessaires, proportionnés au regard de la finalité poursuivie, et accompagnés de garanties suffisantes contre les abus, comme un contrôle judiciaire ou indépendant préalable

La lutte contre le blanchiment de capitaux ne saurait se faire au détriment des droits fondamentaux. Si le RGPD reconnaît la nécessité de traitements spécifiques dans un but de sécurité publique, il impose aussi des garde-fous pour éviter les dérives. L’enjeu est donc de maintenir une vigilance efficace mais encadrée, afin que le remède ne devienne pas pire que le mal.