Le contexte

Le 20 juillet 2021, la Commission européenne a présenté une proposition de règlement européen relatif à la LCB-FT dont l’objectif est de mieux détecter les transactions susceptibles de constituer les infractions pénales de blanchiment de capitaux et de financement du terrorisme.

Le 5 décembre 2022, le Conseil de l'Union européenne a adopté sa position sur le texte en intégrant des dispositions permettant aux organismes privés soumis à cette réglementation (banques, assurances etc.) de partager entre eux des informations collectées sur leurs clients, dans l’objectif de détecter d’éventuelles infractions pénales. Elles instaurent également la possibilité d’un échange réciproque de données entre ces organismes privés et les autorités publiques compétentes (notamment, les cellules de renseignement financier).

Les inquiétudes des autorités de protection des données personnelles

Le 28 mars 2023, la CNIL et ses homologues, réunis au sein du CEPD, ont adressé au Parlement européen, à la Commission européenne, et au Conseil de l’Union européenne une lettre publique (en anglais).

Dans sa lettre, le CEPD reconnaît que la LCB-FT a un intérêt public important, qui nécessite des politiques et des mesures adaptées. Il exprime néanmoins des préoccupations sur la conformité des dispositions permettant le partage de données avec la Charte des droits fondamentaux de l’Union européenne, et conteste la proportionnalité, la nécessité et la légalité de ces mesures.

Il remarque tout d’abord que l’efficacité d’un tel partage de données sur la LCB-FT n’a pas été évaluée alors que les risques pour les droits et libertés des personnes sont importants.

La lettre met par ailleurs en avant le risque que ces dispositions contribuent à la mise en place d’une surveillance de masse par des entités privées qui seraient autorisées à partager des données relatives à leurs clients.

Le CEPD souligne également que ces dispositions peuvent entrainer un échange d’informations susceptibles d’être liées à des enquêtes pénales en cours entre acteurs privés et autorités répressives, alors que la lutte contre la criminalité est, par essence, une mission incombant aux autorités publiques.

De plus, le partage de données multiplie le risque pour des personnes suspectées à tort par les organismes privés d’être exclues de l’accès aux services bancaires (ouvrir un compte courant, utiliser des moyens de paiement, obtenir un crédit, etc.).

Enfin, un tel partage entraînerait une mutualisation de données sensibles. Des informations relatives aux convictions religieuses et opinions politiques seraient, par exemple, susceptibles d’être partagées à des fins de détection du financement du terrorisme. Le CEPD rappelle que ce type de données bénéficie d’un régime de protection renforcée en raison des risques que leur utilisation soulève, notamment de discrimination. Il considère, à cet égard, que la proposition de règlement ne pose pas les garanties appropriées pour assurer la protection des données des personnes concernées, et ne permet donc pas de lever l’interdiction de principe de partager de telles données.

Le CEPD demande, par conséquent, le retrait de ces dispositions de la proposition de règlement.