Lignes directrices de l'Autorité de Contrôle Prudentiel et de résolution (ACPR) portant sur le fameux Know your customer (KYC) applicable aux organismes financiers (dont les banques de détail). Rédigées à la demande des organismes financiers (cf. point 1 du doc'). Se faire une idée des données personnelles qu'une banque peut collecter à ce titre (je ne parlerai pas de ce qu'elle voit passer sur le compte), même si le principe général est qu'elle peut demander ce qu'elle veut, si t'es pas content, tu vas voir ailleurs, et comme elles demandent toutes la même chose, ben t'as perdu.
J'insiste : les lignes directrices (de l'ACPR ou autre) sont un instrument de droit souple (voir). Elles ne peuvent pas prescrire une interdiction générale. Elles guident, définissent un socle minimal / raisonnable, rien interdit à une banque d'aller au-delà sans que ça soit illégal. Néanmoins, l’énumération et l’analyse de la réglementation par l’ACPR est factuelle. De plus, ces lignes cadrent, définissent les objectifs à atteindre, les moyens minimaux à mettre en œuvre, les critères d’évaluation, l’état d’esprit, la logique, et la réflexion à mener, etc. Ça permet d'avoir le sentiment d'y comprendre un peu quelque chose…
Mon résumé ci-dessous concerne uniquement le cas simple : personne de nationalité française lambda (pas publiquement exposée) salariée (pas artisan, auto-entrepreneur, etc.), compte courant unipersonnel (pas joint), pas d'autres services (crédit, épargne, etc.).
Note : l’arrêté du 6 janvier 2021 relatif au dispositif et au contrôle interne en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme apporte aucun changement.
Pour la profession, la situation financière, le patrimoine, et tout le reste, l'idée générale est que la banque doit évaluer le risque qu'elle prend avec toi au sens de la lutte contre le blanchiment et le financement du terrorisme (LCB-FT). Elle doit te coller un profil de risque et se prémunir, via une collecte de papelards, de ce risque.
Les critères pertinents qui se dégagent en lisant les lignes de l'ACPR sont : nature de la clientèle (personne publiquement exposée ?), nature du service (un compte courant est un produit financier à « risque standard » donc ni faible ‒ la vérification est légère, sur simple déclaration orale ‒, ni élevé ‒ il faut tout justifier avec une masse de documents probants ‒), compréhension de l'activité financière du client (absence d'opérations exotiques, salaire d'un côté, dépenses courantes de l'autre, etc.).
Je ne comprends pas la collecte de la situation familiale (célibataire, marié, pacsé, etc.), du statut d'occupation d'un logement (locataire, propriétaire, etc.), et de la date de début de l'activité pro / du dernier changement du statut d'occupation d'un logement. Quelle pertinence pour évaluer un profil de risque ? Finance-t-on plus le terrorisme quand on est célibataire ? Ces informations ne sont pas significatives et ne se suffisent pas à elles-mêmes pour conclure quoi que ce soit… Pour l'ACPR, elles ne font pas partie du socle minimal, de la réflexion à avoir. Pourtant, c'est bien à ce titre qu'elles sont collectées et conservées, d'après le délégué à la protection des données personnelles de ma banque (Populaire).
Ces informations peuvent être collectées sur la base légale de l'intérêt légitime afin de prospecter / communiquer. Ça a du sens : il est plus pertinent de proposer un crédit immobilier à un locataire qu'à un proprio (et encore…). On peut s'opposer à un tel démarchage, et, si c'est la seule finalité, les données doivent être effacées puisqu'elles sont deviennent inutiles.
La banque peut aussi faire valoir son intérêt légitime à lutter contre la fraude (non, cela ne relève pas d'une obligation légale), mais on retombe alors sur l'absence de pertinence des informations (fraude-t-on plus quand on est locataire ?) et de leur nécessité (les données collectées dans le cadre des obligations légales suffisent à établir un profil de risque concernant le blanchiment et le financement du terro, mais pour la fraude, moins grave, il faudrait des infos supplémentaires ?!), ce qui invalide le test en trois parties de l'intérêt légitime.
Il est difficile de savoir pourquoi une information est demandée par une banque. Ses petits soldats te font croire qu'elle est obligatoire, que c'est comme ça, ne cherche pas à comprendre, c'est pour ton bien et pour lutter contre les mézants terros pas gentils pas beaux. En décembre 2019, par téléphone, la conseillère bancaire qui m'est affectée à la Banque Populaire m'a ainsi informé :
En février 2020, la même conseillère a refusé d'effacer ma situation familiale, mon statut d'occupation d'un logement (et depuis quand), etc. de mon dossier au motif qu'un verrou informatique passerait mon dossier en défaut. Oui, enfin, ce n'est pas l'ordinateur qui décide, qui définit le réel. Exemple : si ton système ne sait pas stocker un nom / prénom accentué, change-en, il n'est pas conforme au RGPD.
Le délégué à la protection des données personnelles de la Populaire m'a répondu que leur collecte relève de la réglementation LCB-FT… Pas de réponse à mon objection que le traitement n'est pas adéquat ni nécessaire à la finalité (cf. le raisonnement au paragraphe précédent)… De plus, la banque ne vérifie pas si ces informations sont à jour / exactes, ce qui donne un indice sur leur caractère facultatif (on a vu plus haut qu'au moindre doute raisonnable, la banque doit procéder au contrôle de l'identité)…
La CNIL a clôturé ma demande (j'insiste, ce n'était pas une plainte, elle n'était pas liée à ma demande à ma banque sus-relatée) en décembre 2020 : « la CNIL n’a pas vocation à se prononcer, au cas par cas, sur le profil de la relation contractuelle établie avec votre banque, qui définie son degré d’exposition au risque et la nature des informations qu’elle est susceptible de recueillir auprès de vous pour se prémunir contre ce risque ». Elle me renvoie vers le médiateur de la consommation auprès de ma banque.
C'est là où ça me dépasse… L'ACPR défini un socle minimal que les banques peuvent dépasser par extrême prudence. La CNIL dit que la réglementation LCB-FT permet à une banque de demander ce qu'elle veut. Le jour où un banquier expliquera qu'il croit voir une corrélation entre la taille du zboub et le blanchiment de fric, il pourra collecter ladite taille chez ses clients afin d'évaluer le risque dans le cadre de la LCB-FT ?! Sérieux…
À la décharge de la CNIL, ma question était générale ("d'une manière générale, quelles informations une banque peut collecter sur son client doté d'un seul compte courant, ceci, cela ?"). Or, la CNIL ne peut légalement pas définir ce qui doit être fait (ou interdit) en général, mais elle peut apprécier des situations individuelles (dans tel cas précis, la collecte n'est pas adaptée et/ou n'est pas nécessaire et/ou est disproportionnée par rapport à la finalité présentée). J'ai déposé une plainte à la CNIL (en bonne forme, c'te fois-ci). ÉDIT DU 29/12/2022 : plainte clôturée, la CNIL peut rien faire. FIN DE L'ÉDIT. Affaire à suivre.
P. S. : la version 2018 des mêmes lignes directrices.