AML et données personnelles : durées de conservation et RGPD

Les obligations anti-blanchiment (AML – Anti-Money Laundering) imposent aux entités assujetties de collecter, traiter et conserver des volumes considérables de données personnelles. Cette conservation, qui s’étend sur plusieurs années après la fin de la relation d’affaires, entre en tension directe avec le principe de limitation de la conservation du RGPD. L’articulation entre ces deux cadres réglementaires est source de difficultés pratiques que cet article analyse en détail, en proposant des solutions opérationnelles.

Le cadre légal de la conservation des données AML

Les durées imposées par le droit français

L’article L.561-12 du code monétaire et financier fixe les durées de conservation des données collectées dans le cadre des obligations de LCB-FT :

Documents de vigilance. Les documents et informations relatifs à l’identité du client et du bénéficiaire effectif doivent être conservés pendant cinq ans à compter de la clôture du compte ou de la cessation de la relation d’affaires. Cette durée couvre les copiés de pièces d’identité, les justificatifs de domicile, les informations relatives au bénéficiaire effectif et les documents d’analyse de risque du client.

Documents relatifs aux opérations. Les documents et informations relatifs aux opérations réalisées doivent être conservés pendant cinq ans à compter de leur exécution. Cette durée couvre les enregistrements de transactions, les pièces justificatives des opérations et les analyses de cohérence.

Documents relatifs aux déclarations de soupcon. Les documents relatifs aux déclarations effectuées auprès de Tracfin doivent être conservés pendant cinq ans à compter de la déclaration. Cette durée est indépendante de la durée de conservation des autres documents.

Les durées prévues par le droit européen

Le nouveau règlement AML européen (règlement (UE) 2024/1624) reprend et harmonise les durées de conservation au niveau européen. L’article 56 dispose que les informations et documents obtenus dans le cadre des mesures de vigilance doivent être conservés pendant cinq ans après la fin de la relation d’affaires ou après la date de la transaction occasionnelle. Les États membres peuvent autoriser ou imposer des durées de conservation supplémentaires dans la limite de cinq années additionnelles, soit un maximum de dix ans.

La 6e directive anti-blanchiment confirmé cette architecture en laissant aux États membres une marge de transposition sur la durée maximale.

Le principe de limitation de la conservation du RGPD

L’article 5, paragraphe 1, point e) du RGPD

Le RGPD pose le principe selon lequel les données personnelles doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Ce principe de limitation de la conservation impose aux responsables de traitement de définir des durées de conservation proportionnées et de mettre en oeuvre des mécanismes de suppression ou d’anonymisation à l’échéance.

L’exception de l’obligation légale

L’article 17, paragraphe 3, point b) du RGPD prévoit que le droit à l’effacement ne s’applique pas lorsque le traitement est nécessaire au respect d’une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable de traitement est soumis. Les obligations de conservation AML constituent une telle obligation légale.

Cette exception autorise la conservation des données personnelles AML pendant la durée légale imposée, mais elle ne constitue pas une autorisation de conservation illimitée. À l’expiration du délai légal, le fondement juridique de la conservation disparait et les données doivent être traitées conformément au principe de limitation de la conservation.

Les points de tension entre AML et RGPD

La collecte excessive

La première tension concerne le volume des données collectées. Les procédures de vigilance AML conduisent à collecter un ensemble large de données personnelles : identité complète, adresse, situation professionnelle, revenus, patrimoine, origine des fonds, habitudes transactionnelles. Le principe de minimisation du RGPD impose que cette collecte soit limitée au strict nécessaire au regard du niveau de vigilance requis.

En pratique, certaines entités assujetties appliquent systématiquement les mesures de vigilance renforcée à l’ensemble de leurs clients, collectant des informations qui ne sont pas justifiées par l’analyse de risque. Cette approche maximaliste, souvent motivée par la crainte des sanctions AML, constitue une violation du principe de minimisation du RGPD.

La CNIL a rappelé que l’approche par les risques de la réglementation AML est non seulement compatible mais convergente avec le principe de minimisation du RGPD : seules les données nécessaires au niveau de vigilance effectivement requis doivent être collectées.

La conservation au-delà du nécessaire

La deuxième tension concerne la durée effective de conservation. Plusieurs situations posent problème :

La conservation au-delà du délai légal. Certaines entités conservent les données AML au-delà du délai de cinq ans, par précaution ou par défaut de mécanismes de purgé automatisés. Cette conservation excessive constitue une violation du RGPD dès lors qu’aucune autre obligation légale ne la justifié.

Le calcul du point de départ. Le calcul du point de départ du délai de cinq ans peut être source de difficultés. Pour les documents de vigilance, le délai court à compter de la clôture du compte ou de la cessation de la relation d’affaires. Pour les documents relatifs aux opérations, il court à compter de l’exécution de l’opération. Les deux délais ne coincident pas nécessairement, ce qui impose une gestion differenciee.

La conservation après une déclaration de soupcon. Lorsqu’une déclaration de soupcon a été effectuée, le délai de conservation de cinq ans court à compter de la déclaration elle-même. Ce délai peut s’étendre au-delà du délai de conservation des autres données du client, ce qui impose une conservation differenciee et des mesures de sécurité renforcées.

Le droit d’accès et le secret de la déclaration

Le RGPD confère aux personnes un droit d’accès à l’ensemble des données les concernant (article 15). Or, dans le contexte AML, certaines données sont couvertes par le secret de la déclaration de soupcon prévu à l’article L.561-19 du code monétaire et financier. La communication de ces données au client compromettrait l’enquête en cours et violerait l’obligation de secret.

L’articulation se fait par le biais de l’article 23 du RGPD, qui autorise les États membres à limiter les droits des personnes lorsque cette limitation est nécessaire pour la prévention, la recherche ou la poursuite d’infractions pénales. Le droit d’accès peut donc être restreint pour les données liées à une déclaration de soupcon, sous reserve que cette restriction soit proportionnée et documentée.

Les recommandations pratiques

Définir une politique de conservation structurée

L’entité assujettie doit élaborer une politique de conservation qui distingue clairement les différentes catégories de données AML et les durées applicables à chacune :

Catégorie de données	Durée de conservation	Point de départ
Pieces d’identité du client	5 ans	Fin de la relation d’affaires
Identification du bénéficiaire effectif	5 ans	Fin de la relation d’affaires
Analyse de risque client	5 ans	Fin de la relation d’affaires
Documents relatifs aux opérations	5 ans	Execution de l’opération
Pieces justificatives des opérations	5 ans	Execution de l’opération
Déclaration de soupcon et documents associés	5 ans	Date de la déclaration
Correspondances avec Tracfin	5 ans	Date de la correspondance

Cette politique doit être inscrite au registre des traitements au titre de l’article 30 du RGPD et être accessible au DPO.

Automatiser la purgé des données

La mise en oeuvre effective de la politique de conservation requiert des mécanismes automatisés de purgé. Les systèmes d’information doivent être configures pour :

• Calculer automatiquement la date d’expiration de la conservation pour chaque donnée ou ensemble de données.
• Alerter le responsable LCB-FT et le DPO avant l’échéance pour permettre une vérification (par exemple, vérifier l’absence de procédure en cours justifiant une prolongation).
• Supprimer ou anonymiser automatiquement les données à l’échéance, sauf exception documentée.
• Journaliser les opérations de purgé pour assurer la traçabilité.

Separer les données AML des données commerciales

Les données collectées à des fins AML ne doivent pas être utilisées à des fins commerciales (profilage, ciblage, scoring commercial). Cette séparation des finalités, imposée par le RGPD, doit se traduire techniquement par un cloisonnement des accès et, idéalement, un stockage sépare. Les équipes commerciales ne doivent pas avoir accès aux données de vigilance AML.

Sécuriser spécifiquement les données AML

Les données AML présentent une sensibilité particulière qui justifié des mesures de sécurité renforcées au sens de l’article 32 du RGPD :

• Chiffrement des données au repos et en transit.
• Contrôle d’accès strict fondé sur le principe du besoin d’en connaître.
• Journalisation de tous les accès et opérations.
• Revue périodique des droits d’accès.
• Tests de sécurité réguliers incluant les bases de données AML.

L’ANSSI recommande un niveau de sécurité renforcé pour les données financières, ce qui inclut les données AML.

Gérer les demandes d’exercice des droits

Les entités assujetties doivent mettre en place une procédure spécifique pour les demandes d’exercice des droits RGPD portant sur des données AML :

• Droit d’accès (article 15) : répondre dans le délai d’un mois en excluant les informations couvertes par le secret de la déclaration de soupcon. Documenter les motifs de toute restriction.
• Droit de rectification (article 16) : traiter les demandes de rectification portant sur des données d’identification erronees, en mettant à jour simultanément les dossiers KYC.
• Droit à l’effacement (article 17) : refuser les demandes d’effacement pendant la durée légale de conservation, en informant la personne du fondement légal de ce refus. Procéder à l’effacement à l’expiration du délai.
• Droit d’opposition (article 21) : l’opposition n’est pas recevable pour les traitements fondés sur une obligation légale (article 21, paragraphe 1, dernière phrase).

Documenter les décisions

Chaque décision relative à la conservation ou à la suppression de données AML doit être documentée : motif de la conservation, base légale invoquée, durée retenue, mesures de sécurité appliquées. Cette documentation est indispensable tant pour démontrer la conformité RGPD que pour répondre aux contrôles des autorités AML (ACPR, AMF) et de la CNIL.

L’impact du nouveau cadre européen AML

Le paquet législatif européen anti-blanchiment de 2024 apporté plusieurs modifications impactant la conservation des données :

• L’harmonisation des durées de conservation au niveau européen (cinq ans, extensible a dix ans par les États membres).
• Le renforcement des obligations de transparence sur les bénéficiaires effectifs, impliquant de nouvelles catégories de données personnelles à conserver.
• La création de l’AMLA, qui pourra émettre des lignes directrices sur l’articulation entre obligations AML et protection des données.
• Le renforcement de l’approche par les risques, qui devrait permettre une meilleure calibration de la collecte de données au niveau de risque effectif.

FAQ

Peut-on conserver les données AML au-delà de cinq ans à titre de précaution ?

Non. La conservation au-delà du délai légal de cinq ans n’est justifiée que si une autre obligation légale le requiert (procédure contentieuse en cours, instruction judiciaire, demande spécifique de Tracfin). En l’absence d’un tel fondement, la conservation excedentaire constitue une violation du principe de limitation de la conservation du RGPD. L’entité assujettie doit mettre en place des mécanismes de purgé automatisés et documenter toute prolongation exceptionnelle avec son fondement légal.

Comment répondre à une demande d’effacement portant sur des données AML ?

Pendant la durée légale de conservation (cinq ans après la fin de la relation ou l’exécution de l’opération), l’entité doit refuser la demande en invoquant l’article 17, paragraphe 3, point b) du RGPD (obligation légale). Elle doit informer le demandeur du motif du refus et de son droit de saisir la CNIL. À l’expiration du délai légal, elle doit procéder à l’effacement ou à l’anonymisation dans un délai raisonnable. Si une déclaration de soupcon est en cours, la réponse ne doit révéler en aucun cas l’existence de cette déclaration.

Les données AML peuvent-elles être utilisées à des fins commerciales ?

Non. Le principe de limitation des finalités du RGPD (article 5, paragraphe 1, point b) interdit l’utilisation de données collectées à des fins de vigilance AML pour des finalités commerciales (profilage, ciblage publicitaire, scoring commercial). Les données AML et les données commerciales doivent être cloisonnees techniquement et organisationnellement. Toute utilisation secondaire devrait reposer sur une base légale autonome et ne peut en tout état de cause porter sur des données dont la collecte n’était justifiée que par l’obligation de vigilance.