Par une décision rendue le 15 février 2023 (ACPR, Déc. CDS n° 2022-01), la Commission des sanctions de l’Autorité de contrôle prudentiel et de résolution (ACPR) prononce un blâme et une sanction pécuniaire d’un million d’euros à l’encontre d’une banque pour divers manquements en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT).

Gestion d'entreprise

Découvrir tous les contenus liés

Outre les griefs classiques et habituels en matière de LCB-FT – défaut de vigilance et des mesures de vigilance, défaut de déclaration de soupçon, dispositif de suivi et d’analyse des opérations insuffisant… –, l’apport majeur de cette décision réside dans la consécration jurisprudentielle d’une obligation déjà évoquée par les autorités européennes et internes dans leurs lignes directrices, menaçant fortement le respect des libertés et droits fondamentaux des personnes.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Le contexte

Les organismes assujettis (banques, assureurs, intermédiaires, professions réglementées…) doivent analyser le risque de blanchiment de capitaux et de financement du terrorisme de leurs relations d’affaires afin de pouvoir adopter des mesures de vigilance appropriées en conséquence (C. mon. fin., art. L. 561-4-1).

L’analyse de ce risque s’effectue notamment par l’axe « client », c’est-à-dire l’analyse de son profil dès l’entrée en relation d’affaires, puis par une obligation de connaissance actualisée et un recueil conséquent d’informations [identité, situation professionnelle, revenus, patrimoine, origine des fonds… (C. mon. fin., art. L. 561-5-1 et R. 561-12) – les Anglo-Saxons utilisant le terme de KYC (Know Your Customer)].

Or, au soutien d’une interprétation très large des textes susvisés, les autorités de régulation requièrent depuis plusieurs années [v. Orientations de l’Autorité bancaire européenne (ABE) en matière de BC-FT : EBA/GL/2021/02, 1^er mars 2021, point 2.3, p. 14], une analyse de la réputation du client via un recueil des informations négatives à son sujet auprès notamment des médias ou autres bases de données.

Remarque : les lignes directrices de l’ACPR et de TRACFIN relatives à la déclaration de soupçon l’énoncent depuis le 1^er octobre 2018 : « les organismes financiers tiennent compte des risques attachés à leurs clients en relation d’affaires […] à l’aune des informations recueillies […] auprès de tiers (autorités, bases de données, médias, etc..) ».

On parle alors d’analyse de la « couverture médiatique négative d’une personne » ou « adverse media screening » en anglais.

Cette obligation inspirée des pratiques recommandées par les autorités financières américaines dans les années 2010 à destination des institutions financières afin de lutter contre les crimes financiers (v. Department of the treasury financial crimes enforcement Network Customer Due Diligence Requirements for Financial Institution : Federal Register, vol. 81, n° 91) désigne un processus selon lequel le risque de BC-FT d’une relation d’affaires est analysé en fonction des informations collectées dans la presse, informations à caractère négatif, ou de sources de données comprenant des informations négatives sur un client/prospect (blog, presse, internet, réseaux sociaux, listes fournies par des sociétés commerciales…).

La collecte et le traitement de ces informations sur le client/prospect, généralement à son insu, engendre la mise en œuvre de mesures de vigilance renforcées, au sens de l’article L. 561-10-1 du code monétaire et financier et, dans certains cas, un refus de contracter de la part de l’organisme assujetti (refus d’ouverture de compte en banque, d’octroi de crédit, de souscription d’une assurance…).

La Commission confirme cette règle qu’elle érige en principe : les organismes doivent collecter des informations négatives.

Sur le fondement de ces textes (C. mon. fin., art. L. 561-4, L. 561-5, L 561-10-1 et R. 561-12), la Commission des sanctions juge et édicte un principe : « s’ils ne sont pas en cette matière soumis à une obligation de résultat, les organismes assujettis doivent, pour respecter leur obligation de connaissance actualisée de leurs clients, s’organiser et accomplir des diligences suffisantes pour recueillir les informations négatives à leur sujet que mentionnent notamment des médias ou base de données » (grief n° 3 point 18 de la décision).

La consécration jurisprudentielle d’une telle obligation par l’organe de sanction de l’ACPR soulève, en l’absence de précisions ou d’encadrement de sa part, de multiples interrogations quant à sa compatibilité avec le respect des droits et libertés fondamentaux.

Une atteinte aux droits et libertés fondamentaux ?

Le fait d’analyser le risque d’une relation d’affaires en considération de démarches actives relevant de la collecte spontanée « d’informations négatives » issues de médias ou de bases de données évoquant des « mises en examen » ou des « condamnations pénales », et de pouvoir se fonder sur ces seules données pour refuser de contracter avec une personne physique ou morale, se heurte à différentes règles impératives protégeant la présomption d’innocence et le respect de la vie privée, droits ayant pleine valeur constitutionnelle.

Il doit être relevé que sur la relation des faits matériels qualifiant l’infraction, la Commission n’est pas très claire dans ses attendus.

Elle évoque la circonstance de fait aux termes de laquelle l’organisme bancaire aurait, au sein des dossiers de chacun de ses clients, reçu des « réquisitions judiciaires » l’informant de « condamnations pénales » ou de « mises en examen ».

Tant les organismes bancaires que les organismes d’assurance peuvent en effet être destinataires de la part des autorités judiciaires d’un certain nombre de demandes d’information les obligeant à obtempérer.

Néanmoins, et à ce stade, la détention de l’information par l’organisme est parfaitement légale puisqu’elle résulte d’un acte émanant de l’autorité judiciaire habilitée dans le cadre des règles posées par le code pénal à effectuer des actes d’instruction ou d’exécution auxquels les organismes doivent se conformer.

Il est donc parfaitement admis et nécessaire qu’en application des règles du code monétaire et financier susvisées, dans le contexte d’une approche par les risques, l’organisme assujetti destinataire de réquisitions judiciaires se doive d’actualiser sa connaissance client et mette en œuvre des mesures de vigilance renforcées lorsque, sur la base de la documentation propre au dossier du client, au vu de pièces confidentielles, il est amené à prendre connaissance d’une situation particulière parfaitement vérifiable au demeurant.

Néanmoins, et alors même que la décision mentionne ces circonstances classiques, c’est sur le fondement d’une absence de collecte « d’informations négatives à leur sujet que mentionnent notamment les médias ou des bases de données » que la Commission sanctionne la banque.

Il est donc reproché à la banque, non pas d’avoir omis de traiter comme il se doit, dans le cadre d’une approche par les risques, la mise à jour de sa connaissance client sur la base des informations reçues des autorités judiciaires dans chacun des dossiers concernés de ses clients, mais de ne pas avoir consulté des bases de données ou des articles de presse, afin de rechercher des informations négatives sur ses clients.

Or, même s’il apparaît que la mise en examen d’un client justifie la mise en œuvre d’un examen renforcé de la relation d’affaires par l’organisme assujetti, il conviendra de rappeler que celle-ci ne signifie en aucun cas que l’on est coupable, en témoigne le code de procédure pénale : « Toute personne mise en examen, présumée innocente, demeure libre » (C. pén., art. 137).

Ainsi, et à tout le moins en respect de cette présomption d’innocence, la manipulation d’une telle information ne devrait, selon nous, ne pouvoir résulter que d’une information confidentielle transmise à l’organisme d’assurance ou à la banque exclusivement par l’autorité judiciaire, seule autorité susceptible de pouvoir prononcer une telle mesure à l’égard d’une personne physique ou morale, ou par la personne concernée (en vertu de l’article 6 du RGPD).

L’exploitation d’une telle information issue seulement d’une base de données ou d’un média (liste, blog, réseau social…), voire de la presse, n’est pas en mesure selon nous de satisfaire au respect de la présomption d’innocence. D’une part, car même si la presse est protégée par la liberté d’expression, les personnes concernées sont en mesure de pouvoir, au visa du délit de diffamation, remettre en cause la publication d’une information les concernant et obtenir dans ce contexte, soit un droit de réponse, soit une suppression de cette information (L. 29 juill. 1881 sur la liberté de la presse, art. 23).

D’autre part, la divulgation de ce type d’information aujourd’hui ne peut plus s’avérer fiable (le fléau des « fake news ») et n’est plus effectuée exclusivement par des organes de presse, mais souvent par les réseaux sociaux, des blogs, voire la constitution de listes par des sociétés qui les commercialisent et qui agrègent donc ces données collectées sur internet, afin de permettre aux établissements de pouvoir opérer des traitements sur la base de ces informations non vérifiées.

Ces pratiques qui ne sont pas contrôlées par des autorités judiciaires ou les États, nous semblent contraires au respect de la présomption d’innocence et constituent de plus une infraction aux dispositions de l’article 10 du Règlement général sur la protection des données (RGPD) qui dispose : « Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique. », infraction prévue et punie par les dispositions de l’article 226-19 du code pénal : « le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté […] est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».

Si l’exploitation par un organisme assujetti d’informations concernant ses clients, relevant de données sensibles, est tout à fait nécessaire pour opérer une approche circonstanciée et adéquate du risque que représente un client dans une relation d’affaires, il nous paraît nécessaire d’encadrer très fortement l’accès à ces données et les conditions dans lesquelles la personne concernée devra, dans le respect du contradictoire, autre droit fondamental des personnes (C. pr. civ., art. 16), pouvoir apporter son point de vue et défendre sa situation, pour éviter d’être confrontée à des prises de décisions disproportionnées voire abusives, conformément aux dispositions de l’article 6 du RGPD.

Il n’apparaît pas dans le principe posé par la Commission des sanctions qu’elle ait formulé de telles réserves dans sa décision, n’ayant pour autant et selon la lecture de la décision, pas été alertée sur ces sujets par la défense.

Il sera intéressant de connaître dans l’hypothèse d’un recours devant le Conseil d’État, l’analyse que pourra faire la juridiction de recours au visa des textes ci-dessus cités.

Les dérives de telles pratiques ne sont pourtant pas qu’une vue de l’esprit et ont déjà fait l’objet d’actions d’ampleur entreprises par des actions de groupe, notamment lorsque l’exploitation sans discernement d’informations issues précisément de bases de données générait des atteintes caractérisées aux droits des personnes (v. l’article « Exclusive : Secret Blacklist Grows Even After Journalists Placed on ‟Terror » List Are Paid Off » sur le site vice.com et l’article « 16 000 Belges sur la liste noire des banques » sur le site du journal belge l’Echo).

Enfin, il est nécessaire d’évoquer le fait qu’en mai 2022, la Commission nationale de l’informatique et des libertés (CNIL) et l’European Data Protection Board (EDPB - Autorité européenne en matière de protection des données) avaient déjà alerté les institutions européennes sur ce risque de traitement de données illicites et plus largement sur les questions importantes de protection des données soulevées par la mise en œuvre des obligations LCB-FT (EDPB, Lettre, 12 mai 2022, point 12).

Une règle faisant le lit de dérives intolérables

La décision mentionne dans son considérant la règle suivante : « Il y a lieu d’apprécier dans chaque cas, au regard notamment de la notoriété des informations négatives en cause, si les diligences effectuées par l’organisme peuvent être regardées comme suffisantes. Si la poursuite estime que tel n’est pas le cas, il lui appartient de préciser pourquoi ces diligences sont, selon elle, insuffisantes ».

Estimons-nous rassurés sur un point : la Commission confirme que la charge de la preuve incombe à la poursuite (le Collège), et qu’en conséquence, exposé sur le fondement d’une obligation de moyens, l’organisme assujetti se doit de mettre en œuvre les mesures de collecte d’informations à caractère négatif de façon proportionnée et suffisante, pour justifier le niveau de risque affecté à sa relation d’affaires, et les mesures de vigilance associées appropriées.

Néanmoins, reste qu’il est assez compliqué de considérer et de définir un cadre sécurisé, indispensable à la protection des droits des personnes.

Rappelons que toute privation de liberté peut être prévue par une loi, mais elle se doit d’être limitée et proportionnée pour être légale.

Or, quel sens et quelle portée doit-on donner à l’expression « informations négatives » ?

Aucune limite n’est fixée par la Commission, aucun cadre n’est formulé de sorte que, l’expression en tant que telle, dans son appréciation littérale, vise tout type d’informations subjectives liées à la personne que l’organisme ou la société commercialisant des listes estimera nécessaire de retenir pour constituer une information négative sur une personne. Nul besoin de détailler les graves dérives qui peuvent découler de ce type de pratiques incontrôlées et parfois exclusivement gouvernées par la nécessité d’enrichir les bases de données constituées à des fins purement commerciales. Exploiter les rumeurs sur les modes de vie, sur l’état de fortune, sur les relations amicales, familiales ou d’affaires, favoriserait ainsi le jugement de valeur en toute subjectivité, sans cadre et en toute impunité.

Il est surprenant que la Commission des sanctions ait purement et simplement repris cette expression sans l’encadrer, alors même que le cas d’espèce qui lui était soumis lui permettait de définir une règle jurisprudentielle limitant la notion « d’informations négatives » à des données sensibles en lien avec l’objectif poursuivi (lutter contre le blanchiment ou le financement du terrorisme), en protégeant le droit des personnes concernées par une limite posée à l’accès à ces informations, notamment par l’échange contradictoire avec la personne concernée ou l’accès aux bases de données judiciaires ou administratives.

Que signifie la « notoriété de l’information » ?

Doit-on comprendre que la notion de notoriété résulte du niveau de diffusion de l’information négative publiée sur le client, répondant à un adage bien connu aux termes duquel « plus c’est gros plus ça passe… ! » ?

Doit-on se référer à la qualité du média et à sa propre notoriété ? A la capacité pour l’organisme concerné de pouvoir vérifier la véracité de l’information ?

Quelles sont par ailleurs les règles ou les contraintes que les autorités souhaiteraient recommander aux organismes afin d’éviter les abus dans les exploitations de ces informations sensibles, dont il est rappelé qu’elles sont nécessaires en matière de LCB-FT ?

Ces questions ne sont pas neutres puisqu’elles déterminent du point de vue de l’organisme concerné le choix du processus de sélection des informations et du mode opératoire de collecte et de traitement.

En l’espèce, l’organisme s’est défendu en indiquant que son fournisseur d’informations n’avait pas quant à lui collecté les informations négatives (et pour cause, il n’en a pas le droit).

La Commission balaie cet argument et confirme une règle classique aux termes de laquelle la responsabilité incombe à l’organisme, que l’analyse se fait au cas par cas, ce qui instaure ainsi une très grande incertitude sur le caractère subjectif de l’appréciation qui sera portée par la poursuite.

Dans le cas d’espèce, on notera néanmoins la rigueur de la rapporteure et de la Commission des sanctions qui estiment que la poursuite a failli dans son obligation de preuve de sorte que, sur le terrain de ce grief particulièrement, l’organisme bancaire est très largement relevé des fins de la poursuite.

Il n’en demeure pas moins que la règle est posée et que les organismes assujettis restent pantois sur un principe qui pourrait générer de très graves dérives en matière d’exploitation d’informations de tous ordres sur les personnes physiques ou morales non maîtrisées par les autorités publiques.

« Quand l’innocence des citoyens n’est pas assurée, la liberté ne l’est pas non plus » disait Montesquieu. Plus prosaïquement, n’est-il donc pas urgent, au vu d’une décision et non plus d’une recommandation, comme nous le préconisons de longue date, qu’une discussion de place ait lieu afin que des règles précises soient définies, tout autant pour permettre la juste appréciation d’un risque de blanchiment et de financement du terrorisme dans sa dimension client, que pour préserver les droits fondamentaux des personnes concernées, comme la CJUE l’a déjà jugé en matière de LCB-FT au regard de l’exploitation des registres de bénéficiaires effectifs (CJUE, 22 nov. 2022, aff. C-37/20 et C-601/20).