Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/DORA / Finance/KYC et RGPD : concilier vérification d'identité et protectio...
DORA / Finance

KYC et RGPD : concilier vérification d'identité et protection des données

Concilier les obligations KYC de vérification d'identité avec le RGPD. Bases légales, minimisation, conservation et droits des personnes.

Par Thiébaut DevergrannePublie le 7 fevrier 2026Mis a jour le 7 fevrier 202610 min de lecture
Sommaire
  1. Le cadre réglementaire du KYC
  2. L’articulation avec le RGPD : les bases légales
  3. Le principe de minimisation appliqué au KYC
  4. La durée de conservation des données KYC
  5. Les droits des personnes dans le contexte KYC
  6. L’utilisation des technologies dans le KYC
  7. Les sanctions en cas de manquement
  8. FAQ

Les procédures de Know Your Customer (KYC) imposent aux organismes financiers de vérifier l’identité de leurs clients et de collecter un ensemble significatif de données personnelles. Ces obligations, fondées sur la réglementation anti-blanchiment, entrent en tension avec les principes du RGPD de minimisation des données, de limitation des finalités et de limitation de la durée de conservation. Concilier ces deux impératifs réglementaires est devenu un exercice juridique délicat qui requiert une analyse fine des textes et de la pratique.

Le cadre réglementaire du KYC

Les obligations légales de vigilance

Les obligations de KYC trouvent leur fondement principal dans la directive (UE) 2015/849 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme (4e directive anti-blanchiment), modifiée par la directive (UE) 2018/843 (5e directive). En droit français, ces obligations sont transposees aux articles L.561-1 et suivants du code monétaire et financier.

Les entités assujetties – établissements de crédit, entreprises d’investissement, compagnies d’assurance, prestataires de services sur actifs numériques, entre autres – doivent mettre en oeuvre des mesures de vigilance comprenant :

  • L’identification du client et la vérification de son identité sur la base de documents fiables.
  • L’identification du bénéficiaire effectif et la vérification de son identité.
  • La connaissance de l’objet et de la nature de la relation d’affaires.
  • L’exercice d’une vigilance constante sur la relation d’affaires.

Les niveaux de vigilance

La réglementation prévoit trois niveaux de vigilance :

  • La vigilance simplifiée (article L.561-9 du code monétaire et financier), applicable lorsque le risque de blanchiment est faible.
  • La vigilance standard (articles L.561-5 a L.561-7), constituant le régime de droit commun.
  • La vigilance renforcée (articles L.561-10 a L.561-10-2), applicable aux situations à risque élevé, notamment pour les personnes politiquement exposées (PPE), les relations d’affaires avec des pays tiers à haut risque ou les opérations complexes.

Chaque niveau de vigilance implique un volume et un degré de précision différents des données personnelles collectées, ce qui à un impact direct sur la conformité RGPD.

L’articulation avec le RGPD : les bases légales

L’obligation légale comme base légale principale

Le traitement des données personnelles dans le cadre du KYC repose principalement sur la base légale de l’obligation légale prévue à l’article 6, paragraphe 1, point c) du RGPD. Les obligations de vigilance imposées par le code monétaire et financier constituent une obligation légale claire, précise et prévisible qui fondé le traitement.

Cette qualification à des conséquences pratiques importantes : le consentement du client n’est pas requis pour les traitements KYC obligatoires, et le client ne peut s’opposer au traitement sur le fondement de l’article 21 du RGPD lorsque le traitement est nécessaire au respect d’une obligation légale.

L’intérêt légitime pour les traitements complémentaires

Certains traitements liés au KYC dépassent le strict cadre de l’obligation légale. Tél est le cas des analyses de risques internes, du scoring client ou des recoupements avec des bases de données commerciales. Ces traitements complémentaires peuvent être fondés sur l’intérêt légitime du responsable de traitement (article 6, paragraphe 1, point f), sous reserve de la réalisation d’un test de mise en balance entre les intérêts du responsable de traitement et les droits des personnes concernées.

Le cas des données sensibles

Les procédures KYC peuvent impliquer le traitement de catégories particulières de données au sens de l’article 9 du RGPD. La copié d’une pièce d’identité contient généralement une photographie (donnée biométrique au sens large) et peut révéler la nationalité ou l’origine raciale. Les procédures de vigilance renforcée peuvent en outre conduire à la collecte d’informations relatives aux opinions politiques (dans le cas des PPE) ou aux condamnations pénales.

L’article 9, paragraphe 2, point g) du RGPD autorise le traitement de données sensibles lorsqu’il est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre. La lutte contre le blanchiment de capitaux constitue un tel motif d’intérêt public.

Le principe de minimisation appliqué au KYC

La tension entre exhaustivité et minimisation

Le RGPD impose le principe de minimisation des données (article 5, paragraphe 1, point c) : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Or les obligations KYC exigent la collecte d’un ensemble parfois volumineux de documents et d’informations.

La CNIL a rappelé à plusieurs reprises que le principe de minimisation s’applique pleinement aux traitements KYC. L’organisme assujetti ne peut collecter que les données strictement nécessaires au respect de ses obligations de vigilance, au niveau de vigilance effectivement requis par l’analyse de risques.

Les données collectables selon le niveau de vigilance

En vigilance standard, les données collectables comprennent typiquement :

  • L’identité du client (nom, prénoms, date et lieu de naissance, nationalité).
  • L’adresse du domicile.
  • Un document d’identité officiel en cours de validité (copié recto-verso).
  • Les informations relatives à l’objet et à la nature de la relation d’affaires.
  • L’identité du bénéficiaire effectif.

En vigilance renforcée, des données supplémentaires peuvent être collectées : justificatifs de l’origine des fonds, informations sur la situation professionnelle et patrimoniale, documentation relative à l’exposition politique.

Il est essentiel de ne pas appliquer systématiquement les mesures de vigilance renforcée à l’ensemble des clients. Une approche graduée fondée sur le risque est non seulement conforme à la réglementation anti-blanchiment mais aussi au principe de minimisation du RGPD.

La durée de conservation des données KYC

Les obligations légales de conservation

L’article L.561-12 du code monétaire et financier impose la conservation des documents et informations collectés dans le cadre des mesures de vigilance pendant une durée de cinq ans à compter de la clôture du compte ou de la cessation de la relation d’affaires. Cette durée de conservation est directement imposée par la loi et s’impose au principe de limitation de la conservation du RGPD.

L’interdiction de conservation au-delà du nécessaire

Si la conservation pendant cinq ans après la fin de la relation est une obligation légale, la conservation au-delà de cette durée n’est en revanche pas justifiée par la réglementation anti-blanchiment. À l’expiration du délai de cinq ans, les données KYC doivent être supprimées ou anonymisées, sauf si une autre obligation légale justifié leur conservation (procédures contentieuses en cours, par exemple).

L’organisme doit mettre en place des mécanismes automatisés de purgé des données KYC à l’échéance du délai de conservation, conformément aux recommandations de la CNIL.

La conservation des copiés de pièces d’identité

La conservation des copiés de pièces d’identité fait l’objet d’une attention particulière de la CNIL. La recommandation est de ne conserver la copie de la pièce d’identité que pendant la durée strictement nécessaire à la vérification d’identité, puis de ne conserver que les informations d’identification (nom, prénoms, date de naissance, numéro du document) sans la copie elle-même, sauf obligation légale contraire.

Pour les organismes soumis aux obligations KYC, la conservation de la copie pendant la durée de la relation d’affaires et pendant cinq ans après sa cessation est justifiée par l’obligation légale. Il convient néanmoins de s’assurer que les conditions de stockage garantissent la sécurité des copiés (chiffrement, contrôle d’accès strict).

Les droits des personnes dans le contexte KYC

Le droit d’information

L’organisme doit informer le client, au moment de la collecte, des conditions du traitement de ses données KYC conformément à l’article 13 du RGPD. Cette information doit mentionner la base légale du traitement (obligation légale), les finalités du traitement, la durée de conservation, les destinataires éventuels et les droits dont dispose la personne.

Le droit d’accès et les limitations

Le client dispose d’un droit d’accès à ses données KYC au titre de l’article 15 du RGPD. Toutefois, ce droit peut être limite lorsque sa mise en oeuvre risquerait de compromettre les mesures de vigilance ou une déclaration de soupcon en cours. L’article L.561-19 du code monétaire et financier interdit la divulgation d’une déclaration de soupcon à la personne concernée, ce qui constitue une limitation légale du droit d’accès.

Le droit à l’effacement et ses restrictions

Le droit à l’effacement (article 17 du RGPD) est substantiellement limite dans le contexte KYC. L’article 17, paragraphe 3, point b) prévoit que le droit à l’effacement ne s’applique pas lorsque le traitement est nécessaire au respect d’une obligation légale. Tant que l’obligation de conservation de cinq ans n’est pas arrivée a échéance, l’organisme est tenu de refuser les demandes d’effacement portant sur les données KYC obligatoires.

L’utilisation des technologies dans le KYC

Le KYC numérique et la vérification d’identité à distance

La dématérialisation des procédures KYC pose des questions spécifiques de conformité RGPD. Les solutions de vérification d’identité à distance impliquent généralement :

  • La capture vidéo du document d’identité (reconnaissance optique de caractères).
  • La capture du visage du client (selfie ou vidéo).
  • La comparaison biométrique entre le visage capture et la photographie du document.

Le traitement de données biométriques aux fins d’identification relève de l’article 9 du RGPD (catégories particulières de données). Son utilisation dans le cadre KYC doit être fondée sur un motif d’intérêt public important et encadrée par des garanties appropriées, conformément aux recommandations de la CNIL et de l’EDPB.

L’intelligence artificielle dans le KYC

Le recours à l’intelligence artificielle pour automatiser les vérifications KYC (analyse automatisée de documents, détection d’anomalies, scoring de risque) doit respecter les exigences du RGPD en matière de décision automatisée (article 22). Lorsque le traitement produit des effets juridiques ou des effets significatifs sur la personne, celle-ci à le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, sauf exceptions limitées.

Les sanctions en cas de manquement

Le non-respect des obligations KYC exposé l’organisme aux sanctions prévues par le code monétaire et financier (sanctions disciplinaires de l’ACPR pouvant atteindre 100 millions d’euros ou 10 % du chiffre d’affaires). Le non-respect du RGPD exposé aux sanctions de la CNIL (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial). Les deux régimes de sanctions sont cumulatifs : un même manquement peut donner lieu à des poursuites au titre des deux réglementations.

FAQ

Le consentement du client est-il nécessaire pour les traitements KYC ?

Non. Les traitements KYC obligatoires reposent sur la base légale de l’obligation légale (article 6.1.c du RGPD), qui ne requiert pas le consentement de la personne concernée. Le consentement ne serait ni nécessaire ni même appropriée comme base légale dans ce contexte, car il est revocable par nature, ce qui serait incompatible avec une obligation légale impérative. Le client doit en revanche être informe du traitement conformément à l’article 13 du RGPD.

Un client peut-il exiger l’effacement de ses données KYC ?

Non, tant que l’obligation légale de conservation est en vigueur. L’article L.561-12 du code monétaire et financier impose une conservation de cinq ans après la fin de la relation d’affaires. Le droit à l’effacement (article 17 du RGPD) est expressément limite lorsque le traitement est nécessaire au respect d’une obligation légale. À l’expiration du délai de cinq ans, l’organisme doit en revanche procéder à la suppression ou à l’anonymisation des données, sauf autre fondement légal justifiant une conservation supplémentaire.

Comment appliquer le principe de minimisation aux procédures KYC renforcées ?

Le principe de minimisation impose de calibrer la collecte de données au niveau de vigilance effectivement requis par l’analyse de risques. Les mesures de vigilance renforcée ne doivent être appliquées qu’aux clients identifiant un risque élevé, et non systématiquement. Pour chaque information supplémentaire collectée en vigilance renforcée, l’organisme doit pouvoir justifier de sa nécessité au regard du risque identifie. Les données collectées au-delà de ce qui est strictement nécessaire violent le principe de minimisation, même si elles sont collectées dans le cadre d’une procédure anti-blanchiment.

Articles lies

DORA / Finance

Tests de résilience DORA : TLPT et obligations

12 mars 2026 · 13 min
DORA / Finance

Gestion des risques TIC sous DORA : cadre et exigences

26 fevrier 2026 · 14 min
DORA / Finance

DORA et NIS2 : articulation et double conformité financière

12 fevrier 2026 · 12 min