L.B.C./F.T VS. R.G.P.D. (partie 1)

Le Fil blanc : le Classique

Pour rappel, la version classique du Fil blanc aborde chaque mois (en principe une Tribune sur deux), par le biais d’un article qui se veut court et lisible, un thème spécifique relatif à la lutte contre le blanchiment de capitaux et le financement du terrorisme, pour vous informer et vous rappeler que l’assujettissement est plus rapide que beaucoup ne l’imaginent. 

Sa Spin-off examine chaque mois (l’autre Tribune sur deux) une branche spécifique du droit à la loupe, afin de déterminer où sa pratique pourrait donner lieu à un assujettissement et quels y seraient les indices d’un éventuel blanchiment.

***

L.B.C./F.T VS. R.G.P.D. (partie 1)

Cet article sera publié en deux parties. 

Cette première partie introduira le sujet et s’arrêtera à l’analyse des deux premières conditions (relatives aux finalités et aux bases de licéité) que tout traitement doit remplir pour être considéré comme conforme au R.G.P.D. 

Se conformer à la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme et à la limitation de l'utilisation des espèces (ci-après : la « L.B.C./F.T. ») est long, fastidieux, complexe et ennuyeux. Personne n’en disconviendra.

Cela est cependant nécessaire. AVOCATS.BE espère vous en avoir convaincu.

Le processus d’identification des clients et de leurs éventuels mandataires et bénéficiaires effectifs en particulier, est une tâche pour le moins ingrate. Elle nécessite de (se) poser maintes questions et la tentation est sans doute grande de considérer que tous les dossiers risquent d’être assujettis à la loi et de dès lors identifier à tour de bras, afin d’être certain d’« être en ordre ». 

Appliquer la L.B.C./F.T. dès que le dossier est susceptible d’être assujetti, même en cas de doute, est certes une bonne idée. On sait que son champ d’application est difficile à appréhender et suscite bien des désaccords, ... même au sein de la Commission anti-blanchiment d’AVOCATS.BE. Encore faut-il que doute il y ait. Et chacun sait qu’un petit règlement baptisé affectueusement « R.G.P.D. »1 est venu compliquer la donne (presque) autant que la L.B.C./F.T. Vouloir faire trop bien ou trop vite en matière de lutte contre le blanchiment peut mener à dépasser la ligne (blanche) en termes de respect de la vie privée. 

Alors que la Cour de justice de l’Union européenne vient de déclarer invalide2, au nom du droit au respect de la vie privée et à la protection des données à caractère personnel, une disposition de la 5e Directive anti-blanchiment disposant que les États membres doivent veiller à ce que les informations sur les bénéficiaires effectifs (les « registres UBO ») soient accessibles dans tous les cas à tout membre du grand public, nous allons ici tenter de baliser les deux matières qui, loin de s’opposer, se complètent. Tant la L.B.C./F.T. que le R.G.P.D comportent en effet des dispositions particulières permettant de respecter l’une sans oublier l’autre.

Pas de dispense générale – l’entité assujettie responsable de traitement

Beaucoup pensent que la L.B.C./F.T., lorsqu’il s’agit de s’y conformer, dispense purement et simplement les entités assujetties (et donc les avocats lorsqu’ils agissent dans son cadre) d’avoir à respecter le R.G.P.D. C’est tout le contraire. La L.B.C./F.T. précise explicitement, en son article 64, que les traitements de données à caractère personnel effectués en vertu de ses dispositions par les entités assujetties sont soumis au R.G.P.D. Elle va cependant, comme nous allons le voir, faciliter la mise conformité du traitement et prévoir certains aménagements.

Cela va de soi mais l’article 65 §1 alinéa 1er de la L.B.C./F.T. le précise : l’avocat est responsable des traitements des données qu’il collecte en vertu des dispositions et pour les finalités de la L.B.C./F.T. Il doit par conséquent veiller à ce que ses traitements de données à caractère personnel soient conformes au R.G.P.D.

Un traitement conforme au R.G.P.D.

Pour être conformes au R.G.P.D., les traitements doivent :

  1. être effectués en vue d’atteindre une finalité déterminée, explicite et légitime ;
  2. être fondés sur une des bases de licéité prévues par le R.G.P.D. ;
  3. faire l’objet d’une information à la personne dont les données sont traitées ;
  4. porter sur des données adéquates, pertinentes et limitées à ce qui est nécessaire pour atteindre la finalité du traitement (il s’agit de traiter le moins de données possibles au regard des objectifs poursuivis) ;
  5. porter sur des données exactes et tenues à jour ;
  6. être limités dans le temps ;
  7. être encadrés par des mesures de sécurité appropriées.
Finalités déterminées, explicites et légitimes

Précisons tout d’abord qu’un traitement peut avoir plusieurs finalités. Dans l’hypothèse qui nous occupe, le nom et l’adresse du client, par exemple, seront collectés tant pour procéder aux démarches liées à la lutte contre le blanchiment que pour envoyer la facture.

L’article 65 indique, toujours au premier alinéa de son §1, les finalités de la L.B.C./F.T. et, partant, des traitement effectués pour la respecter, à savoir « la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme, ainsi que du financement de la prolifération des armes de destruction massive »3 et « la prévention et la détection de l'infraction de blanchiment de capitaux, les infractions sous-jacentes associées et le financement du terrorisme »4.

L’alinéa 2 précise que les données visées au premier alinéa sont collectées par les entités assujetties lors de l’accomplissement de leurs obligations d'identification et de vérification de l’identité des clients, mandataires et bénéficiaires effectifs, de leur obligation d'identification des caractéristiques du client et de l'objet et la nature de la relation d'affaires ou de l'opération occasionnelle, de leur obligation de vigilance continue, de leurs obligations de vigilance accrue et de leur obligation d'analyse des opérations atypiques (faite en vue d’une éventuelle déclaration de soupçons).

La L.B.C./F.T. garantit ainsi que les finalités des traitement effectués dans son cadre puissent être qualifiées de déterminées, soient exprimées explicitement et rendues légitimes.

Bases de licéité

Tout traitement de données à caractère personnel doit être fondé sur une des bases de licéité́ reprises à l’article 6 du R.G.P.D. En outre, les traitements des données de catégories particulières, à savoir celles limitativement énoncées au paragraphe 1er de l’article 9 et à l’article 10 du R.G.P.D., doivent également rencontrer respectivement les conditions reprises au paragraphe 2 de l’article 9 du R.G.P.D et 10 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (loi-cadre).

Il convient de garder à l’esprit que, si un traitement peut avoir plusieurs finalités, chaque finalité ne peut elle-même avoir qu’une et une seule base de licéité5. Lorsqu’une finalité peut correspondre à plusieurs bases de licéité (l’obligation légale et la mission d’intérêt public, par exemple), il faudra procéder à un choix. Cela n’est pas sans importance, nous le verrons dans la seconde partie de cet article.

Article 6 du R.G.P.D. : la base de licéité

Parmi les bases de licéité que l’article 6 énumère, on trouve au paragraphe 1, point e) « l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. »

La L.B.C./F.T. vient ici faciliter l’analyse des entités qui y sont assujetties en disposant, à son article 64, que « le traitement (des données en question) est nécessaire à l'exécution d'une mission d'intérêt public au sens des articles 6, 1.e) (…) du (R.G.P.D.) et est fondé et rendu nécessaire afin de respecter les obligations légales auxquelles les entités assujetties (…) sont tenues en vertu de la présente loi. »

A noter que les traitements en question constituent également une obligation légale pour l’avocat, autre base de licéité pouvant être évoquée en vertu de l’article 6, 1.c) du R.G.P.D.

Article 9 § 2 : Conditions des traitements des données de santé, génétiques ou biométriques, origine raciale, opinions philosophique ou religieuse, appartenance syndicale, orientation sexuelle

L’article 9 vise les traitements de données « qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, les données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique particulières ».

Il ne peut être exclu que certaines de ces données soient traitées dans le cadre de la L.B.C./F.T. L’on pense avant tout aux opinions politiques dans le cadre de l’identification des personnes politiquement exposées6, mais pas seulement : d’autres informations relevant de cette catégorie pourraient également être recueillies, par exemple si la personne concernée s’est exprimée par voie de presse sur ces sujets.

L’article 9, 2.g) du R.G.P.D. dispose que le traitement de ces données n’est pas interdit lorsqu’il est nécessaire « pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ».

Le législateur n’a pas souhaité préciser dans la L.B.C./F.T. que les traitements de données effectués dans son cadre étaient nécessaires pour des motifs d’intérêt public important au sens de l’article 9, 2.g). Cela ressort cependant du considérant 42 de la 4e Directive blanchiment7 qui indique que « (l)a lutte contre le blanchiment de capitaux et le financement du terrorisme est reconnue par tous les États membres comme un intérêt public important » (au sens de la législation relative à la protection des données).

Si l’on peut considérer que la L.B.C./F.T. respecte les conditions de l’article 9 in fine du R.G.P.D. et est bien « proportionné[e] à l’objectif poursuivi » et respectueuse de « l’essence du droit à la protection des données » et qu’elle prévoit bien « des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée », l’avocat qui traiterait des données sur la base de l’article 9, 2.g) serait bien avisé de garder ces conditions à l’esprit et de veiller à ce que ses traitements, in concreto, restent toujours eux-mêmes proportionnés à l’objectif de lutte contre le blanchiment et dans l’esprit du R.G.P.D.

Article 10 du R.G.P.D. et 10 de la loi-cadre : Conditions des traitements des données relatives aux condamnations pénales et aux infractions

Ce court article du R.G.P.D. dispose : « Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes8 fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique. » 

Le législateur belge a complété cette disposition par l’article 10 § 1er de la loi-cadre : « En exécution de l'article 10 du Règlement, le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions pénales ou aux mesures de sûreté connexes est effectué :
(…) lorsque le traitement est nécessaire pour des motifs d'intérêt public important pour l'accomplissement de tâches d'intérêt général confiées par ou en vertu d'une loi, d'un décret, d'une ordonnance ou du droit de l'Union européenne ; (…)
»

Le législateur s’aligne ainsi sur les dispositions de l’article 9, 2.g) du R.G.P.D. 

La lutte contre le blanchiment de capitaux et le financement du terrorisme relevant bien des motifs d’intérêt public important, l’avocat pourra traiter les données visées à l’article 10 du R.G.P.D., toujours en veillant à rester dans les limites de la L.B.C../F.T.

Attention, dans ce dernier cas, le § 2 de l’article 10 de la loi-cadre impose alors à l’avocat d’établir. « une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées », tenue à la disposition de l'autorité de contrôle compétente.

Il reste beaucoup à dire sur l’agencement entre les législations protection des données et blanchiment. La suite de cet article traitera notamment des autres conditions de conformité d’un traitement et proposera un tableau récapitulatif pour encore plus de clarté.

Rendez-vous dans un prochain Fil blanc.

La Commission anti-blanchiment d’AVOCATS.BE

---------------------------

1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

2 Arrêt C.J.U.E., C 37/20 et C 601/20, Luxembourg Business Registers

3 Référence de l’article 65 à l’article 1 de la L.B.C./F.T.  

4 Référence de l’article 65 à l’article 64 de la L.B.C./F.T.

5 Comme l’explique la CNIL (l’autorité de protection des données française) sans avoir été contredite par ses homologues européens : https://www.cnil.fr/fr/les-bases-legales/liceite-essentiel-sur-les-bases-legales.

6 Article 31 §1 alinéa 3 de la L.B.C./F.T.

7 Directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) no 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission.

8 Attention, la définition des données visées par l’article 10 est particulièrement large pour les avocats. En effet, les informations concernant une procédure judiciaire menée contre une personne physique, - mise en examen, procès, condamnations - constituent des données relatives aux infractions et aux condamnations pénales, même si l’infraction n’a pas été déclarée établie par la justice. Ici encore il conviendra d’être particulièrement circonspect.

****

Vous pouvez toujours adresser vos questions à blanchiment@avocats.be. Nous ferons le maximum pour y apporter une réponse claire dans les meilleurs délais.
Rappelons que tous les documents proposés par la Commission anti-blanchiment pour vous faciliter la lutte anti-blanchiment se trouvent sur l’extranet d’AVOCATS.BE

A propos de l'auteur

La
Tribune
latribune

a également publié

Informations pratiques

Jurisprudence professionnelle : textes et arrêts de la CEDH

Vous trouverez sur le site internet de la Délégation des Barreaux de France les résumés en français des principaux arrêts de la Cour européenne des droits de l’homme qui concernent la profession d’avocat.

Rentrées des jeunes barreaux

  • Tournai : 1er avril 2023
  • Luxembourg : 14 avril 2023
  • Brabant wallon : 21 avril 2023
  • Dinant : 27 mai 2023

Agenda des formations

Prenez connaissance des formations, journées d'études, séminaires et conférences organisées par les Ordres des avocats et/ou les Jeunes Barreaux en cliquant ici.

Si vous souhaitez organiser une formation et que vous souhaitez l'octroi de points pour celle-ci, veuillez consulter les modalités qui s'appliquent aux demandes d'agrément dans le document suivant et complétez le formulaire de demande.