RGPD banque : LCB-FT, scoring crédit, FICP (2026)
RGPD et banque : LCB-FT vs minimisation, conservation longue, scoring crédit (art. 22 + AI Act), FICP/FCC, secret bancaire, DPO obligatoire. Guide 2026.
- Ce qui rend la banque particulière au regard du RGPD
- Le statut de la banque : responsable de traitement
- Les bases légales à mobiliser, finalité par finalité
- Le point critique n°1 : LCB-FT contre minimisation
- Le point critique n°2 : le scoring de crédit et l’article 22
- Le point critique n°3 : FICP, FCC et fichiers d’incidents
- Secret bancaire et droit d’accès
- Erreurs fréquentes et sanctions
- Plan d’action pour une banque
- FAQ
L’essentiel. Une banque est responsable de traitement pour l’ensemble des données de ses clients, et c’est l’un des secteurs où le RGPD entre le plus frontalement en tension avec d’autres obligations légales. Trois points structurent tout dossier bancaire : la conservation longue imposée par la LCB-FT (cinq ans après la fin de la relation d’affaires) qui contredit en apparence le principe de minimisation ; le scoring de crédit, qui relève de l’article 22 du RGPD sur les décisions automatisées et devient un système d’IA à haut risque au sens de l’AI Act ; enfin l’articulation entre secret bancaire et droit d’accès. Une banque de détail relève par ailleurs du DPO obligatoire. Voici le cadre complet.
Peu de secteurs concentrent autant de traitements sensibles qu’une banque. Un établissement de crédit sait où vous vivez, combien vous gagnez, à qui vous versez de l’argent, quels commerces vous fréquentez, si vous êtes à découvert, si vous remboursez vos échéances et, de plus en plus, ce qu’un algorithme pense de votre solvabilité. Dans les missions de conseil que je mène auprès d’établissements financiers et de leurs prestataires, le réflexe des équipes conformité est presque toujours le même : la matière est vue à travers le prisme du contrôle prudentiel (ACPR) et de la lutte anti-blanchiment, rarement à travers celui de la protection des données. Or les deux corpus se télescopent en permanence, et c’est de cette friction que naissent la plupart des risques. Ce guide traite le sujet là où il fait mal : la conservation, le scoring et les fichiers d’incidents.
Ce qui rend la banque particulière au regard du RGPD
Quatre caractéristiques distinguent le traitement bancaire de celui d’un commerçant ordinaire.
Une masse de données financières à fort potentiel de préjudice. Solde, opérations, bénéficiaires, moyens de paiement, incidents : ce sont des données personnelles dont la fuite ou le détournement expose directement le client à la fraude et à l’usurpation d’identité. Le niveau de sécurité attendu est donc parmi les plus élevés.
Des obligations légales concurrentes. Là où le commerçant applique le RGPD presque seul, la banque compose avec le Code monétaire et financier, la réglementation LCB-FT, le secret bancaire, la réglementation prudentielle et, pour les paiements, la directive sur les services de paiement (DSP2). Le RGPD ne s’efface pas devant ces textes : il s’articule avec eux, chaque finalité gardant sa base légale propre.
Des décisions automatisées à enjeu vital. Accorder ou refuser un crédit, plafonner une carte, clôturer un compte : ces décisions sont de plus en plus produites ou préparées par des algorithmes de scoring. Elles tombent dans le champ de l’article 22 du RGPD et, depuis 2024, dans celui de l’AI Act.
Un DPO obligatoire. Le suivi régulier et systématique de personnes à grande échelle rend la désignation d’un délégué à la protection des données obligatoire au titre de l’article 37(1)(b) du RGPD. Aucune banque de détail n’y échappe.
Le statut de la banque : responsable de traitement
La banque qui détermine les finalités et les moyens des traitements est responsable de traitement au sens de l’article 4(7). C’est vrai pour la tenue de compte, le crédit, l’épargne, l’assurance et la prospection.
Ses prestataires techniques — éditeur du système d’information bancaire, hébergeur, plateforme de signature électronique, prestataire de scoring externe, centre de relation client, société de recouvrement mandatée — agissent comme sous-traitants au sens de l’article 4(8) dès lors qu’ils traitent les données pour le compte de la banque. Un contrat conforme à l’article 28 du RGPD est obligatoire avec chacun, avec une attention particulière aux clauses de sécurité, de sous-traitance ultérieure et de localisation des données.
Attention à une confusion fréquente : la Banque de France, qui gère le FICP et le FCC, n’est pas un sous-traitant des banques. Elle est responsable de traitement de ces fichiers pour une mission d’intérêt public, et les établissements y déclarent ou consultent des informations dans un cadre légal défini. La relation n’est pas contractuelle mais réglementaire.
Les bases légales à mobiliser, finalité par finalité
La base légale se choisit finalité par finalité, et non « pour la banque » en bloc. C’est l’erreur méthodologique la plus répandue.
| Finalité | Base légale (Art. 6) | Remarque |
|---|---|---|
| Ouverture et tenue de compte, exécution des opérations | Art. 6(1)(b) — exécution du contrat | Cœur de l’activité |
| Vigilance LCB-FT (KYC, gel des avoirs) | Art. 6(1)© — obligation légale | Code monétaire et financier |
| Octroi de crédit et évaluation de solvabilité | Art. 6(1)(b) et © | Voir scoring ci-dessous |
| Conservation à des fins probatoires et fiscales | Art. 6(1)© — obligation légale | Durées légales dédiées |
| Lutte contre la fraude aux moyens de paiement | Art. 6(1)(f) — intérêt légitime | Documenter le triple test |
| Prospection de produits bancaires auprès des clients | Art. 6(1)(f) — intérêt légitime | Voir règles prospection |
| Prospection par e-mail ou SMS de prospects | Art. 6(1)(a) — consentement | Opt-in préalable |
Le point d’attention : le fait qu’une finalité repose sur une obligation légale (LCB-FT, conservation fiscale) ne dispense pas d’informer le client et de respecter les durées. L’obligation légale est une base, pas un blanc-seing.
Le point critique n°1 : LCB-FT contre minimisation
C’est le premier faux paradoxe qu’il faut lever. Le principe de minimisation commande de ne conserver que ce qui est nécessaire, aussi longtemps que nécessaire. La réglementation de lutte contre le blanchiment et le financement du terrorisme (LCB-FT), elle, impose de conserver les documents et informations relatifs à l’identité des clients et aux opérations pendant cinq ans à compter de la clôture du compte ou de la fin de la relation d’affaires (article L. 561-12 du Code monétaire et financier).
Ces deux exigences ne se contredisent pas : elles se combinent. La conservation LCB-FT constitue précisément la « durée nécessaire » au sens du RGPD, parce qu’elle répond à une obligation légale identifiée. La bonne pratique consiste à :
- isoler les données conservées au seul titre de la LCB-FT dans un archivage intermédiaire à accès restreint, distinct de la base active ;
- verrouiller cet archivage : seules les personnes habilitées au dispositif anti-blanchiment ou à la réponse aux réquisitions y accèdent ;
- ne pas réutiliser ces données à d’autres fins (marketing, scoring commercial) — la finalité de conservation est probatoire, pas commerciale ;
- purger au terme des cinq ans, sauf réquisition ou contentieux en cours.
La faute classique n’est donc pas de conserver longtemps : c’est de laisser les données de conservation légale dans la base vive, accessibles à tous les conseillers et réutilisées pour la relation commerciale. Un tableau des durées de conservation documenté, distinguant base active et archivage intermédiaire, est le premier livrable à produire.
Le point critique n°2 : le scoring de crédit et l’article 22
Refuser un crédit sur la seule foi d’un score, sans intervention humaine, est une décision entièrement automatisée produisant des effets juridiques ou significatifs pour la personne. Elle relève de l’article 22 du RGPD, interdite par principe sauf trois exceptions : nécessité contractuelle, autorisation par le droit de l’Union ou d’un État membre, ou consentement explicite.
La Cour de justice de l’Union européenne a précisé la portée de ce texte dans son arrêt SCHUFA du 7 décembre 2023 : l’établissement d’un score de solvabilité par un organisme tiers constitue lui-même une décision automatisée au sens de l’article 22 lorsque ce score joue un rôle déterminant dans la décision du prêteur. Autrement dit, on ne peut pas se retrancher derrière « ce n’est que le fournisseur qui score, la banque décide » si, en pratique, un score sous un certain seuil entraîne mécaniquement le refus.
Concrètement, une banque qui utilise du scoring de crédit doit :
- garantir une intervention humaine réelle — un analyste qui peut contredire le score, pas une validation de pure forme ;
- offrir au client le droit d’obtenir une explication de la logique du traitement, d’exprimer son point de vue et de contester la décision ;
- documenter les variables du modèle et vérifier qu’elles n’introduisent pas de discrimination indirecte (code postal, type d’emploi) ;
- réaliser une analyse d’impact (AIPD), le scoring de personnes à grande échelle figurant parmi les traitements pour lesquels elle est requise.
Depuis l’entrée en application de l’AI Act, l’évaluation de la solvabilité des personnes physiques est classée système d’IA à haut risque. Les obligations documentaires, de supervision humaine et de gestion des risques se superposent alors à celles du RGPD. Le sujet est détaillé dans notre analyse dédiée à l’IA dans la banque et l’assurance.
Le point critique n°3 : FICP, FCC et fichiers d’incidents
Les banques déclarent et consultent des fichiers d’incidents gérés par la Banque de France. Deux sont centraux.
Le FICP (Fichier national des incidents de remboursement des crédits aux particuliers) recense les incidents de remboursement caractérisés et les mesures de traitement du surendettement. L’inscription au titre d’un incident de remboursement est en principe limitée à cinq ans ; les durées liées aux procédures de surendettement peuvent être plus longues. Les modalités exactes de durée sont fixées par la réglementation applicable et doivent être vérifiées au cas par cas.
Le FCC (Fichier central des chèques) recense les incidents de paiement par chèque et les interdictions bancaires, l’inscription courant en principe sur cinq ans en cas d’interdiction d’émettre des chèques.
Au regard du RGPD, trois obligations pèsent sur la banque :
- Informer le client, préalablement à l’inscription, de la déclaration et de ses conséquences — l’inscription à tort ou son maintien indu est une source récurrente de litiges et de plaintes auprès de la CNIL ;
- Rectifier ou radier sans délai lorsque l’incident est régularisé ou l’inscription erronée — le droit de rectification s’exerce ici avec une intensité particulière car l’inscription bloque l’accès au crédit ;
- Ne consulter ces fichiers que dans le cadre légal prévu (octroi de crédit, ouverture de compte), la consultation hors cadre étant un détournement de finalité.
Secret bancaire et droit d’accès
Le secret bancaire, prévu à l’article L. 511-33 du Code monétaire et financier, protège le client vis-à-vis des tiers. Il ne s’oppose pas au droit d’accès du client lui-même : celui-ci peut demander copie des données que la banque détient sur lui. Le secret bancaire est un bouclier contre les tiers, pas contre la personne concernée.
En pratique, la banque doit organiser une procédure de réponse aux demandes d’accès dans le délai d’un mois, en veillant à ne pas divulguer les données de tiers (par exemple l’identité d’un bénéficiaire de virement peut être une donnée d’un tiers). L’équilibre se fait au cas par cas, en occultant ce qui relève des droits d’autrui.
Erreurs fréquentes et sanctions
Dans les audits bancaires, les mêmes écarts reviennent :
- conserver les données LCB-FT dans la base active et les réutiliser à des fins commerciales — détournement de finalité et défaut de minimisation ;
- présenter le scoring comme « humain » alors que l’agent ne fait que valider mécaniquement un score sous seuil — violation de l’article 22 ;
- maintenir des inscriptions FICP/FCC après régularisation — atteinte au droit de rectification ;
- omettre l’information sur les durées de conservation longues et leur fondement légal ;
- négliger la notification en cas de fuite de données de paiement — voir nos règles sur la notification des violations de données.
La CNIL a déjà sanctionné des acteurs du secteur financier pour des durées de conservation excessives, des défauts de sécurité et des manquements à l’information. Les montants, adossés au chiffre d’affaires des groupes concernés, peuvent atteindre plusieurs millions d’euros. Pour cadrer l’exposition, notre synthèse sur les sanctions RGPD donne les ordres de grandeur.
Plan d’action pour une banque
| Étape | Action | Priorité |
|---|---|---|
| 1 | Cartographier les traitements et distinguer base active / archivage LCB-FT | Immédiate |
| 2 | Rédiger un tableau des durées par finalité (relation, LCB-FT, fiscal, contentieux) | Immédiate |
| 3 | Documenter les modèles de scoring et instaurer une intervention humaine réelle | Élevée |
| 4 | Réaliser l’AIPD scoring crédit et vérifier le statut « haut risque » AI Act | Élevée |
| 5 | Formaliser la procédure de radiation FICP/FCC après régularisation | Élevée |
| 6 | Mettre à jour les contrats article 28 avec les prestataires (SI, scoring, recouvrement) | Moyenne |
| 7 | Outiller le registre et le pilotage des durées | Continue |
La tenue d’un registre à jour et le pilotage des durées de conservation sur des dizaines de traitements est exactement le type de tâche qu’un logiciel RGPD permet d’industrialiser, plutôt que de maintenir à la main sur des tableurs qui divergent d’une agence à l’autre.
FAQ
Une banque doit-elle obligatoirement désigner un DPO ?
Oui, en pratique. Le suivi régulier et systématique des clients à grande échelle rend le DPO obligatoire au titre de l’article 37(1)(b) du RGPD. Le traitement de données relatives aux incidents financiers renforce encore cette obligation. Aucune banque de détail ne peut sérieusement s’y soustraire.
La LCB-FT autorise-t-elle à tout conserver indéfiniment ?
Non. La LCB-FT impose une conservation de cinq ans après la fin de la relation d’affaires (article L. 561-12 du Code monétaire et financier), pas une conservation illimitée. Au-delà, et hors contentieux ou réquisition, les données doivent être purgées. La conservation légale justifie une durée précise, elle ne suspend pas le principe de minimisation.
Un refus de crédit fondé sur un score est-il légal ?
Il l’est à condition de respecter l’article 22 du RGPD : intervention humaine réelle, information sur la logique du traitement, possibilité de contester. Un refus purement automatique, sans réexamen possible, est irrégulier. L’arrêt SCHUFA de la CJUE (décembre 2023) a confirmé que le score déterminant relève lui-même de l’article 22.
Le secret bancaire empêche-t-il un client d’accéder à ses données ?
Non. Le secret bancaire protège le client contre les tiers ; il ne fait pas obstacle à son propre droit d’accès. La banque doit répondre dans le délai d’un mois, en occultant seulement les données qui appartiennent à des tiers.
Comment faire radier une inscription FICP erronée ?
Le client adresse une demande de rectification à l’établissement déclarant, qui doit corriger ou radier sans délai lorsque l’incident est régularisé ou l’inscription infondée. En cas d’inertie, une plainte auprès de la CNIL et une saisine de la Banque de France sont possibles. Une inscription maintenue à tort engage la responsabilité de la banque.
Le scoring de crédit est-il concerné par l’AI Act ?
Oui. L’évaluation de la solvabilité des personnes physiques est classée système d’IA à haut risque par l’AI Act. Les obligations de gestion des risques, de documentation et de supervision humaine s’ajoutent à celles du RGPD. Le sujet est développé dans notre guide sur l’IA dans la banque et l’assurance.
Cet article a une vocation informative et ne constitue pas un conseil juridique individualisé. La réglementation bancaire et LCB-FT évolue ; vérifiez l’état des textes applicables avant toute décision. Pour une situation particulière, consultez un professionnel.
Version : juillet 2026.