Anne Martini, Responsable Conformité & Privacy chez EOS France, membre de la FIGEC, a rédigé un article sur la « Comment concilier le dispositif règlementaire concernant la LCB-FT avec le dispositif RGPD ? » dans « La Revue des Directions Juridiques & Conformité » n°108 – Octobre | Novembre  2025 (accessible en cliquant ici).

« Depuis la directive européenne 2021/2167 sur les prêts non performants (NPL), transposée en droit français par l’ordonnance n°2023-1139, les gestionnaires de crédits sont soumis à l’agrément de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR). Ils sont ainsi soumis aux obligations de lutte contre le blanchiment et le financement du terrorisme (LCB-FT), ce qui implique notamment la mise en place du KYC (Know Your Customer) et de mesures de vigilance renforcée.

Cependant, ces obligations entrent en tension avec Le Règlement Général sur la Protection des Données (RGPD), qui impose des principes stricts de minimisation, de finalité et de transparence. Cette tension s’est accentuée depuis l’adoption du paquet législatif européen sur la LCBFT, et notamment du règlement (UE) 2024/1624, adopté le 31 mai 2024, dont l’entrée en application, prévue pour le 10 juillet 2027, renforcera les obligations de vigilance et élargira le champ des données à collecter.

1. Principe de minimisation de la donnée

 Le RGPD interdit expressément le traitement des données à caractère personnel de catégories particulières au sens de l’article 9.

Il s’agit notamment de données de santé, d’appartenance syndicale, des données génétiques, données biométriques aux fins d’identifier une personne physique.

Cette interdiction peut être levée dans des cas strictement limités, pour des motifs d’intérêt public important et à la condition qu’il soit proportionné à l’objectif poursuivi, qu’il respecte l’essence du droit à la protection des données, et qu’il prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée (Cf. art. 9 paragraphe 2 g) du RGPD). Dans le cadre de la LCB-FT, les obligations légales de vigilance s’inscrivent dans l’exécution de missions d’intérêt public. À ce titre, elles légitiment la collecte et le traitement de certaines catégories particulières de données à caractère personnel ».

Pour en savoir plus et accéder à l’article complet (pages 56 & 57) => cliquer ici

 Anne Martini, Responsable Conformité & Privacy chez EOS France