RGPD vs LCB-FT : comment articuler les deux dans un dispositif KYC

Si vous dirigez la conformité d'un établissement bancaire, vous pilotez chaque jour deux logiques qui semblent s'opposer dans un seul dispositif KYC (Know Your Customer, la vérification d'identité client). D'un côté, le RGPD (le règlement européen sur les données personnelles) vous demande de collecter le moins de données possible (article 5.1.c), de fixer une finalité claire (article 5.1.b) et de ne conserver l'information que le temps strictement nécessaire. De l'autre, les règles de lutte contre le blanchiment et le financement du terrorisme (LCB-FT) vous imposent une vigilance continue, une identification documentée et une conservation d'au moins 5 ans après la fin de la relation client (article L.561-25 du Code monétaire et financier). Mauvais arbitrage : double sanction cumulative jusqu'à 4 % du chiffre d'affaires mondial côté CNIL et 100 millions d'euros ou 10 % du chiffre d'affaires côté ACPR. Voici comment articuler les deux cadres sans en sacrifier aucun.

Le double cadre légal qui s'impose à tout assujetti LCB-FT

Le dispositif KYC (vérification d'identité client) d'un établissement régulé n'obéit pas à un cadre, mais à deux cadres juridiques superposés, chacun avec sa propre logique et son régulateur dédié.

D'un côté, le RGPD (règlement européen sur les données personnelles, UE 2016/679) pose des principes structurants : licéité (article 6), minimisation (article 5.1.c), exactitude (article 5.1.d), limitation de la conservation (article 5.1.e), confidentialité (article 5.1.f) et interdiction des données sensibles sauf exception (article 9). La CNIL (Commission nationale de l'informatique et des libertés, l'autorité française de protection des données) sanctionne les manquements jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial (article 83 RGPD).

De l'autre, la LCB-FT (lutte contre le blanchiment et le financement du terrorisme) s'appuie sur les articles L.561-5 à L.561-36 du Code monétaire et financier, transposition des directives anti-blanchiment européennes. Elle impose une connaissance approfondie du client : identification, identification du bénéficiaire effectif, surveillance continue, déclaration de soupçon à Tracfin (la cellule française de renseignement financier). L'ACPR (Autorité de contrôle prudentiel et de résolution, le superviseur des banques et assurances) sanctionne jusqu'à 100 millions d'euros ou 10 % du chiffre d'affaires (article L.612-2-2 du Code monétaire et financier).

Ces deux cadres ne s'opposent pas en théorie, ils se complètent. Sur le terrain, l'arbitrage est permanent.

::: callout-info En bref

  • Cadre RGPD : minimisation, limitation, base légale, droits des personnes
  • Cadre LCB-FT : vigilance, conservation 5 ans minimum, secret de la déclaration de soupçon
  • Sanctions : CNIL (4 % CA mondial) et ACPR (100 M€ ou 10 % CA), cumulatives
  • Régulation 2027 : règlement AMLR (UE 2024/1624) durcit la collecte sans relâcher la minimisation

:::

Tensions concrètes entre minimisation RGPD et vigilance LCB-FT

Quatre tensions reviennent dans tous les contrôles ACPR et CNIL observés depuis 2024.

La LCB-FT exige des justificatifs fiables : pièce d'identité officielle, justificatif de domicile, extrait Kbis pour les personnes morales, justificatifs de revenus pour la vigilance renforcée. Le RGPD exige que les données soient « adéquates, pertinentes et limitées à ce qui est nécessaire ». La règle pratique consiste à distinguer trois niveaux de vigilance (simplifiée, standard, renforcée) et à aligner le volume de données collectées sur le niveau de risque réel du client. Collecter un justificatif de revenus pour un compte de paiement à 50 € de plafond mensuel constitue à la fois un excès LCB-FT (vigilance disproportionnée au risque) et un excès RGPD (collecte non nécessaire).

L'article 9 du RGPD interdit en principe le traitement des données sensibles (origine raciale, opinions, données biométriques, etc.). La biométrie utilisée pour la vérification d'identité (reconnaissance faciale, empreinte digitale) entre dans ce périmètre. L'exception applicable est celle de l'article 9.2.g : « nécessaire pour des motifs d'intérêt public important ». Les obligations LCB-FT relèvent de cette catégorie, mais la proportionnalité doit être démontrée. Position de la CNIL constante depuis ses lignes directrices : la biométrie n'est admissible que si aucun moyen moins intrusif ne permet d'atteindre le même niveau de garantie.

L'article L.561-19 du Code monétaire et financier interdit formellement à un assujetti d'informer le client qu'une déclaration de soupçon a été faite à son sujet. Or les articles 13 et 14 du RGPD imposent une information préalable de la personne concernée sur les finalités du traitement. La conciliation passe par une mention générique dans la politique de confidentialité (« vos données peuvent être traitées dans le cadre de nos obligations de lutte contre le blanchiment ») sans descendre au niveau d'une déclaration spécifique. La directive a tranché en faveur du secret LCB-FT.

Les droits de la personne concernée prévus aux articles 15 à 22 du RGPD se heurtent à la conservation 5 ans imposée par L.561-25. Le droit à l'effacement (article 17 RGPD) est explicitement limité lorsqu'une obligation légale impose la conservation. Le droit d'opposition ne s'applique pas non plus aux traitements LCB-FT, l'article 6.1.c du RGPD (obligation légale) prévalant sur le droit d'opposition. Cette articulation doit être documentée dans la politique de confidentialité du site et dans les notices d'information KYC.

« Tout est falsifiable, sauf la vie réelle. » L'arbitrage RGPD/LCB-FT repose sur cette philosophie : collecter strictement ce qui prouve l'existence et l'activité réelles du client, ni plus, ni moins.

Cinq règles pratiques pour concilier les deux cadres

L'articulation correcte tient en cinq règles opérationnelles que tout dispositif KYC conforme doit respecter.

L'approche par les risques (risk-based approach) est imposée à la fois par l'EBA (Autorité bancaire européenne, lignes directrices ML/TF Risk Factors révisées en 2024) et par le RGPD via la minimisation. Trois niveaux de vigilance doivent être formalisés : simplifiée pour les clients à faible risque, standard pour la majorité, renforcée pour les personnes politiquement exposées ou les juridictions à risque. À chaque niveau correspond un jeu de données minimal, validé par le DPO (délégué à la protection des données) et par le responsable conformité.

Le registre des traitements (article 30 RGPD) doit mentionner explicitement l'obligation légale (article 6.1.c RGPD) comme base juridique des traitements KYC, en référence aux articles L.561-5 et suivants du Code monétaire et financier. L'intérêt légitime (article 6.1.f) peut compléter pour la surveillance continue, mais le consentement (article 6.1.a) est à proscrire : il est révocable, ce qui rendrait le dispositif inopérant.

La règle de 5 ans après la fin de la relation d'affaires est un minimum légal LCB-FT, pas un maximum. Une politique conforme distingue :

  • 5 ans : durée standard pour la majorité des données d'identification
  • Jusqu'à 8 ans : si une enquête Tracfin est en cours (article L.561-25 CMF)
  • 10 ans : pour les pièces de preuve transmises lors d'une déclaration de soupçon
  • Suppression immédiate : pour les données collectées en surplus, hors périmètre LCB-FT

::: callout-info Chiffres clés conservation KYC

  • 5 ans : durée minimale post-relation (L.561-25 CMF)
  • 8 ans : si enquête Tracfin (article L.561-25 CMF, dernier alinéa)
  • 10 ans : pièces transmises avec déclaration de soupçon
  • 4 % CA mondial : sanction CNIL maximale (article 83 RGPD)
  • 100 M€ ou 10 % CA : sanction ACPR maximale (article L.612-2-2 CMF)

:::

Le RGPD impose la sécurité du traitement (article 32). La LCB-FT impose la traçabilité des consultations dans le cadre du contrôle interne. Une seule mesure couvre les deux : journaliser chaque accès à un dossier KYC, avec identité de l'agent, horodatage et motif. Les contrôles ACPR de 2024-2025 ont identifié l'absence de journalisation comme un manquement récurrent dans les sanctions publiées.

Le règlement (UE) 2024/1624 (AMLR, le futur règlement européen anti-blanchiment), applicable directement au 10 juillet 2027, élargit la liste des données collectées dans le cadre des vigilances. La position de l'EDPB (Comité européen de la protection des données) consiste à rappeler que ces extensions doivent rester proportionnelles. Les directions conformité ont jusqu'à fin 2026 pour adapter leur cartographie, leur registre des traitements et leurs notices d'information.

Cas pratiques par secteur

L'articulation prend des formes concrètes différentes selon le secteur.

L'ouverture de compte déclenche la collecte la plus large : pièce d'identité, justificatif de domicile, justificatif de revenus pour les comptes premium, RIB pour la lutte anti-fraude. La position ACPR publiée dans son rapport annuel 2025 sur la LCB-FT a rappelé que les banques en ligne avaient un taux d'abandon de 25 % au moment du KYC, ramené à environ 5 % avec un dispositif eIDV (vérification d'identité électronique) correctement intégré. La conformité RGPD passe par la minimisation au niveau de risque, la suppression automatique des dossiers abandonnés (sauf si suspicion), et un parcours biométrie optionnelle lorsque la donnée transactionnelle suffit à atteindre le niveau de garantie eIDAS substantiel.

Le secteur assurance combine LCB-FT et lutte contre la fraude. Les justificatifs médicaux relèvent de l'article 9 RGPD (données de santé) et ne doivent jamais être conservés au-delà de l'instruction du contrat. Position constante de la CNIL : les données de santé n'entrent pas dans le périmètre LCB-FT, leur traitement est régi par d'autres bases légales.

Les PSCA (Prestataires de Services sur Crypto-Actifs), désormais soumis à l'agrément CASP (Crypto-Asset Service Provider) au titre de MiCA, doivent appliquer le TFR (Travel Rule, règlement UE 2023/1113) au-dessus de 1 000 euros. La donnée voyage avec la transaction. La conciliation RGPD passe par le chiffrement bout en bout des transmissions inter-plateformes et un consentement séparé pour les transferts hors UE.

Le registre des bénéficiaires effectifs (RBE) et le seuil cash de 10 000 euros harmonisé par l'AMLR imposent une vigilance documentée. Le RGPD oblige à informer chaque personne identifiée comme bénéficiaire effectif, ce qui constitue souvent une première information pour la personne concernée.

Sanctions cumulées : ce que disent les décisions récentes

L'ACPR et la CNIL coordonnent leurs procédures dès qu'un même manquement relève des deux régimes. Les pratiques observées :

Type de manquementRégulateur principalSanction maximaleCumul possible
Conservation excessive (>5 ans sans justification LCB-FT)CNIL4 % CA mondialOui (ACPR si défaut de doc)
Vigilance insuffisanteACPR100 M€ ou 10 % CAOui (CNIL si défaut info)
Absence de registre des traitementsCNIL4 % CA mondialLimité
Données biométriques non justifiéesCNIL + ACPRCumul plafonnéOui
Information insuffisante des clientsCNIL4 % CA mondialLimité

Les sanctions publiées par la CNIL en 2024 et 2025 dans le secteur bancaire ont systématiquement porté sur la conservation excessive et l'absence de finalité clairement définie. L'ACPR a sanctionné en parallèle la défaillance du dispositif de surveillance sans intersection directe avec les traitements RGPD.

::: callout-info Les 4 zones rouges identifiées par les contrôles 2024-2025

  • Conservation : dossiers gardés au-delà du strict nécessaire LCB-FT
  • Justification : absence d'analyse de risque documentée par client
  • Information : politique de confidentialité ne mentionne pas la LCB-FT
  • Journalisation : accès aux dossiers KYC non tracés

:::

Comment Euroleads articule RGPD et LCB-FT dans ses dispositifs eIDV

Notre approche eIDV (vérification d'identité électronique) repose sur un principe simple : prouver l'existence réelle d'un client par la convergence de données transactionnelles, gouvernementales et télécoms. Nous vérifions cette identité sans réclamer une avalanche de pièces justificatives. Cette approche est conforme par construction aux deux cadres :

  • RGPD : pas de biométrie obligatoire, donc pas de données sensibles. Pas de stockage de pièces justificatives, donc minimisation. 5 millions de vérifications par mois sans constituer de bibliothèque centralisée d'identités.
  • LCB-FT : niveau de garantie eIDAS substantiel atteint sans collecte excessive. Convergence de 4 000 sources de données mondiales sur 197 pays, conformité aux exigences ACPR et FATF.

Le ROI documenté sur les banques en ligne atteint 220:1 avec une réduction des abandons de 25 % à 5 %, tout en respectant strictement la minimisation imposée par le RGPD.

::: cta Votre dispositif KYC est-il conforme au double cadre ? Audit gratuit en 5 jours. Discuter de votre projet :::

Questions fréquentes sur l'articulation RGPD/LCB-FT

Faut-il un consentement client pour les traitements KYC ? Non. La base légale est l'obligation légale (article 6.1.c RGPD), qui dispense de consentement. Demander un consentement serait juridiquement incorrect, puisqu'il pourrait être retiré.

Combien de temps conserver un dossier KYC après clôture ? 5 ans minimum à partir de la fin de la relation d'affaires (article L.561-25 CMF). Jusqu'à 8 ans en cas d'enquête Tracfin en cours. Au-delà, la suppression est imposée par le RGPD.

Peut-on transférer un dossier KYC à un sous-traitant hors UE ? Oui, sous conditions strictes : clauses contractuelles types (CCT) de la Commission, analyse d'impact sur la protection des données, et information du client. Position CNIL depuis l'arrêt Schrems II : vigilance maximale sur les transferts vers les États-Unis.

Quel niveau eIDAS pour quel risque ? Niveau faible pour les services à très faible risque ; substantiel pour la majorité des comptes bancaires et fintech ; élevé pour les prestations régulées les plus sensibles (PSCA crypto, opérations d'investissement).

Où trouver les références officielles ? CNIL (www.cnil.fr) pour le RGPD et les lignes directrices, ACPR (acpr.banque-france.fr) pour les attentes prudentielles, Tracfin (tracfin.finances.gouv.fr) pour les déclarations de soupçon, EUR-Lex pour les règlements 2024/1624 (AMLR) et 2024/1640 (AMLD6, la sixième directive anti-blanchiment), EDPB pour les avis transversaux.

En synthèse : l'articulation en quatre principes

Cartographier les traitements KYC, qualifier la base légale, journaliser les accès, supprimer ce qui dépasse l'obligation légale. Ces quatre verbes structurent un dispositif compatible avec les deux régulateurs. La concurrence ne se joue plus seulement sur le taux d'acceptation des nouveaux clients : elle se joue désormais sur la qualité de l'articulation entre conformité réglementaire et expérience utilisateur. Un parcours KYC fluide est aussi un parcours minimaliste dans la collecte de données. Si vous souhaitez confronter votre dispositif actuel à ce double cadre, nous pouvons en discuter ensemble.

Pour aller plus loin, consultez notre pilier de conformité KYC/eIDV France, notre pilier KYC, notre pilier eIDV, notre article comment mettre en place un dispositif KYC et notre comparatif KYC vs eIDV. Pour un échange direct, contactez nos experts.