Traitement et protection des données à caractère personnel : commentaires et recommandations de la BNB
1. Introduction et finalités du traitement
La mise en œuvre de la Loi anti-blanchiment nécessite le traitement de données à caractère personnel. Sont concernés les traitements qui sont nécessaires pour permettre aux institutions financières de répondre à leurs obligations légales en matière de LBC/FT, de même que ceux mis en œuvre au titre de l’application du Règlement européen sur les transferts de fonds et des mesures de sanctions financières nationales et internationales.
Les traitements mis en œuvre visent en particulier à mettre en place une surveillance adaptée aux risques de BC/FT pendant toute la durée de la relation d’affaires et à apporter une aide à la surveillance, à la détection et à l’examen des opérations réalisées par des clients portant sur des sommes qui sont susceptibles de provenir d’une activité criminelle visée sous la notion de blanchiment de capitaux, de participer au financement du terrorisme ou encore à détecter des fonds et ressources économiques faisant l’objet d’une mesure de gel ou de sanction.
Les données traitées se rapportent notamment à l’identification et à la vérification de l’identité du client et, le cas échéant, de ses mandataires et bénéficiaires effectifs, au fonctionnement du compte, aux opérations financières ou aux produits souscrits. Elles incluent également l’ensemble des informations visées à l’article 34, § 1er, de la Loi anti-blanchiment et qui sont nécessaires à la mise en œuvre de la politique d’acceptation des clients, à l’exécution des obligations de vigilance continue à l’égard des relations d’affaires et des opérations, et aux obligations particulières de vigilance accrue.
Les conditions spécifiques auxquelles le traitement de ces données doit satisfaire sont énoncées à l’article 64 de la Loi anti-blanchiment. On relève notamment que ces données ne peuvent être traitées qu’aux seules fins spécifiques pour lesquelles elles sont collectées et ne peuvent en aucun cas être utilisées à des fins commerciales.
2. Un régime dérogatoire au droit commun
Lorsque les données à caractère personnel sont détenues et traitées à des fins de LBC/FT, les droits des personnes concernées sont spécifiquement modalisés à l’article 65 de la Loi anti-blanchiment. Cette disposition déroge aux règles générales du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement couramment appelé « Règlement Général de Protection des Données » ou « RGPD » – en anglais : « General Data protection Regulation » ou « GDPR ») au motif que la participation des institutions financières à la LBC/FT constitue une mission d'intérêt public et que le traitement de ces données est fondé et rendu nécessaire afin de respecter les obligations légales auxquelles ces institutions financières sont tenues.
Concernant l’application des règles générales relatives à la protection des données à caractère personnel, il est renvoyé au site de l’Autorité de protection des données et, en particulier, aux recommandations formulées en la matière par l’Autorité de protection des données.
Concernant l’application de ces règles dans le contexte particulier de la LBC/FT, il est renvoyé au commentaire consacré au « Traitement des données à caractère personnel par les entités assujetties » aux pages 97 et suivantes de l’exposé des motifs de la loi modificative du 20 juillet 2020 (voir la page « Principaux documents de référence » du site internet)
3. Politiques et procédures internes
Il appartient aux institutions financières de s’assurer que leurs politiques d’acceptation des clients et leurs procédures internes sont compatibles avec les dispositions applicables du Règlement GDPR, tout en tenant compte néanmoins des dispositions particulières énoncées en la matière aux articles 64 et 65 de la Loi anti-blanchiment.