Article paru dans l’Echo le 29 novembre 2017

Les banques sont devenues des clientes discrètes des systèmes technologiques d’agrégation de données.

Les datas obtenues dans la cadre du blanchiment d’argent et celles obtenues d’une manière classique vont-elles se compléter à l’effet de rejeter un citoyen hors de la société ? Comment dans un tel environnement réglementaire la banque concilie-t-elle le respect de la réglementation et les opportunités d’affaires avec leurs clients ?

Par Jean-Claude Renard
Avocat, EM in Management Solvay Brussels School of Economics and Management

La loi du 18 septembre 2017 portant sur le blanchiment d’argent (définit comme une opération par laquelle des fonds provenant d’activités illégales donnent une apparence de légitimité aux capitaux), et entrée en vigueur le 10 octobre 2017, vient renforcer le rôle des banques dans la lutte contre la fraude fiscale qui endossent une mission régalienne de surveillance de leurs clients (risk profiling, customer identification et KYC compliance)…à leur risques et périls et selon un système de contrôle propre à toutes les banques. Il s’agit d’un véritable pouvoir d’instruction qui doit être exercé en permanence sur le comportement du client tout au long de sa relation bancaire.

Cette obligation de vigilance impose aux banques de dénoncer à la Ctif une opération/transaction financière qui apparait douteuse. Les pouvoirs publics requalifie donc la qualité de commerçant de la banque en fonctionnaires qui ont l’obligation de dénoncer toutes infractions découvertes sur un simple indice-et qui n’est pas une preuve- dans le cadre de leur activité. En contrepartie, aucune participation financière de l’Etat ne vient compenser la charge organisationnelle et fonctionnelle de cette obligation de profilage, base de l’obligation de vigilance, qui en réalité lui incombe. Au niveau mondial le coût pour les banques pour accéder aux nouvelles technologies de lutte contre le blanchiment atteint plusieurs milliards de $.

Lors de la notification à la Ctif, celui-ci doit également approfondir la réalité des éléments dénoncés. Si celle-ci se confirme la Ctif transmet la dénonciation au Parquet.

Les données recueillies par les banque sur leurs clients est énorme d’autant qu’elles utilisent un nouvel outil pour obtenir de informations ” cachées “.

Les banques sont devenues des clientes discrètes des systèmes technologiques d’agrégation de données comme Worldcheck (Thomson Reuters), Dow Jones Factiva , Swird Fircosoft, Actimize ou encore Fiserv qui collectent et traitent des informations obtenues de sources publiques à l’échelle mondiale et ne sont pas communiquées à leurs clients. Les fiches d’informations individuelles obtenues, et soumises aux analyses des algorithmes bancaires, permettent une indexation et une hiérarchisation du risque. Ces fournisseurs de datas ne sont soumis à aucune obligation de vigilance alors que l’obligation de vigilance des banques alourdit tant son organisation que son coût.

Une relation totalement redéfinie

Aujourd’hui, cet outil d’aide à la décision ne se limite plus à l’autorisation préalable d’une transaction financière mais redéfinit la relation globale de la banque avec son client.

On en vient à établir une relation de suspicion entre la banque et son client basé notamment sur des projections comportementales du client, de nature prédictive, définis arbitrairement par des algorithmes: le client devient l’objet d’une décision, non pas analytique, mais automatisée.

On peut comprendre que les banques souhaitent réduire au strict minimum leur responsabilité, tout en assurant un rôle sociétal dans la lutte contre la fraude, mais un simple risque de vigilance peut avoir pour effet de renoncer à toutes relations bancaires. Ainsi, l’ouverture d’un compte en banque peut être refusé alors que son utilisation est indispensable pour effectuer des opérations économiques dans notre société. Ou encore mettre fin à toutes relations bancaires sous couvert de conditions générales unilatérales.

Ces données doivent être soumise à l’analyse critique d’un compliance officer qui devrait conforter le risque de non-conformité d’une opération avec l’avis du gérant de l’agence bancaire de son client. Mais est-ce le cas ? Connait-on le nombre de compliance officers dont disposent les banques ? Quelle est leur formation ? A partir de quels éléments interviennent-ils dans l’analyse des datas ? L’algorithme définit -il un seuil qualitatif et quantitatif à partir duquel le compliance officer doit intervenir ?

Le pouvoir politique impose donc aux banques un coût découlant de la gestion de la compliance mais également des sanctions pénales et financières (lourdes) aux banques dès lors où une dénonciation à la Ctif serait jugée par les Cours et Tribunaux comme défaillante ou légère.

Le 21 mai 2018 entre en vigueur le RGPD portant sur la protection des données personnelles des personnes physiques (en ce compris les organes de gestion personnes physiques des personne morales). Cela mettra les compliance officers à dure épreuve car les banques devront, outre communiquer, via un data protection officer, les données personnelles recueillies sur leur client, obtenir leur consentement, et permette à celui-ci la possibilité de rectifier ou d’effacer ses données sur base du droit à l’oubli (ou droit à l‘effacement). Ceci pour éviter la perte de contrôle de ses données et éventuellement la mercantilisation de celles-ci.

Hors de la société

Questions : les datas obtenues dans la cadre du blanchiment d’argent et celles obtenues d’une manière classique (par les Apps ou les Gafaim qui enregistrent notre servitude volontaire, aveuglé par une illusion de liberté, à l’effet de communiquer nos datas tout azimut) vont-elles se compléter (en renforçant l’analyse supposée criminelle du client) à l’effet de rejeter un citoyen hors de la société ?Comment dans un tel environnement réglementaire la banque concilie-t-elle le respect de la réglementation et les opportunités d’affaires avec leurs clients ? Le système de gouvernance ne doit pas être aisé.

Ces réflexions, nous porte à analyser la vie privée en regard de la protection des données, notions intimement liées.

Le vie privée est le droit d’être autonome et de contrôler toutes informations vous concernant. Ce droit est reconnu tant par la Convention européenne des droits de l’Homme (article 8) que par la Charte des droits fondamentaux de l’Union européenne (article 7).

La protection des données vise à protéger toutes informations nous concernant.

Tant la vie privée que la protection des données peuvent être limitées et mises en balance avec l’intérêt public, dont la lutte contre le blanchiment d’argent est l’une de composantes. L’accès à des données à des fins répressives donnera certainement lieu à des procédures dès lors que l’équilibre entre la vie privée et la sécurité publique (dont la fraude fiscale est l’un des éléments perturbateurs) est menacé. Mais où se situe cet équilibre ? Quel critère définit la qualité des données et le caractère sensible, c.à.d. intrusif, de celles-ci ?

Ainsi, une opération financière légitime mais complexe, liée à une analyse négative résultant d’un profilage automatisé, peut être disqualifiée sur base de simples suspicions.

Bienvenue dans le monde du droit de l’environnement digital qui n’a rien d’écologique.