Rechercher
  • fmartinconsult

Impacts de la RGPD sur le filtrage des données clients

Le règlement général sur la protection des données (RGPD) entrera en application le 25 mai 2018. Ce règlement concerne toutes les entreprises dont bien évidemment les banques obligées de prendre en compte et d’assurer les nouveaux droits des clients en matière de protection des données personnelles.

Parmi les nouveaux droits prévus par le RGPD il y a le droit à la portabilité des données.

Ce droit nouveau a t-il un impact sur les traitements effectués par les banques dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme ?


Ces traitements consistent à filtrer régulièrement des données clients contre des listes de surveillance et de sanctions. Bien que les données filtrées ne soient pas, a priori, des données sensibles, il s’agit néanmoins et indéniablement de données personnelles. Les filtrages opérés sur ces données génèrent potentiellement des alertes intégrant les données personnelles des clients. Ces alertes sont alors enregistrées dans des bases de données pour y être traitées. Après traitement, elles sont conservées sur de longues périodes pour assurer la traçabilité des filtrages effectués et, si besoin, en apporter la preuve.


Si un client quitte la banque A pour aller dans la banque B, la banque A devra t-elle assurer la portabilité des données personnelles de son client éventuellement contenues dans les bases alertes ? Sera t-elle tenue de supprimer les alertes éventuelles relatives à ce client au titre du droit à l’oubli ?

Pour ce qui est du droit à la portabilité, la réponse est clairement non. En effet, ce droit ne s ‘applique qu’aux données personnelles traitées sur la base du consentement du client ou dans le cadre de l’exécution d’un contrat (avec le client).

Or, le filtrage des données clients réalisé par les banques dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme relève d’une obligation légale spécifique qui n’est ni soumise au consentement préalable du client et ni exécutée dans un cadre contractuel.


Un autre droit du client prévu par la RGDP est le droit à l’oubli. Ce droit peut-il s’appliquer pour le cas de notre client ayant quitté la banque A ? Avant tout, il faudrait que le client en fasse la demande ce qui est assez peu probable. Mais supposons qu’il le fasse. Dans ce cas, la banque aura t-elle l’obligation d’effacer les alertes générées sur ce client ?


L’article 17 de la RGPD précise les cas pour lesquels le responsable de traitement a l’obligation de supprimer les données personnelles qu’il détient. L’un des cas stipule que le droit à l’oubli s’applique lorsque les données personnelles « ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ».

A priori, nous pouvons considérer que les données personnelles liées aux alertes générées sur un ex-client d’une banque ne lui sont plus nécessaires au regard de la lutte contre le blanchiment et le financement du terrorisme.

La banque est-elle tenue pour autant d’effacer toutes les alertes concernant ce client ?

Eh bien non car l’article 17 prévoit des restrictions au droit à l’oubli, l’une d’elle rejoint ce que nous avons indiqué plus haut concernant le droit à la portabilité. Ainsi, si le traitement utilisant des données personnelles concerne une obligation légale « prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement », alors le droit à l’oubli ne s’applique pas.

La lutte contre le blanchiment et le financement du terrorisme entre dans ce cadre.


En conclusion, il semble bien que le droit à la portabilité des données et le droit à l’oubli prévu dans le RGPD ne s’appliquent pas aux données personnelles manipulées et conservées par les banques dans le cadre des traitements relatifs à la lutte contre le blanchiment et le financement du terrorisme.


0 vue

© HIDLO SAS

  • Black Twitter Icon
  • Black LinkedIn Icon