Le livre blanc des logiciels de name screening
Faut-il vraiment acheter des listes dans le cadre de la lutte anti-blanchiment ?

Faut-il vraiment acheter des listes dans le cadre de la lutte anti-blanchiment ?

GEL DES AVOIRS (GDA) ET PERSONNES POLITIQUEMENT EXPOSÉES (PPE) :
LES LIMITES DE LA LÉGALITÉ SONT-ELLES FRANCHIES ?

1) Les listes GDA et PPE, ou la déréglementation de la conformité réglementaire

 

J’aimerais aborder aujourd’hui avec vous les enjeux éthiques des listes GDA (Gel Des Avoirs) et PPE (Personnes Politiquement Exposées) dans le cadre de la conformité réglementaire, et vous faire part de mes interrogations et inquiétudes.

Réglementairement, le GDA est le produit de résolutions, de décrets, pris par différentes instances officielles. Il est rendu public et mis à disposition sur les sites officiels. De quel droit, par quelle autorité, un data broker compile-t-il ces données accessibles gratuitement, les modifie-t-il, pour les revendre sous forme de listes ? Qui nous assure de l’intégrité, de la justesse, de la légalité des informations ainsi vendues ?

Ces sociétés, américaines pour la plupart, décident en effet unilatéralement d’ajouter des personnes à ces listes, sur des critères totalement discutables et n’ayant aucune existence légale. On a ainsi vu des Palestiniens être listés du seul fait de leur nationalité, sans être visés par la moindre sanction.

Ces abus ont été documentés à plusieurs reprises dans différents articles :

Ces sociétés privées ont, pourrait-on dire, une interprétation déréglementée de la réglementation. Dès lors, des questions de fond sur les libertés individuelles et la souveraineté surgissent dans l’exercice de notre métier.

2) Rigueur et conformité réglementaire : le mariage compliqué de l’éthique et de l’efficacité

 

Alors que la rigueur devrait être au cœur de la conformité réglementaire, c’est, et je le déplore, de moins en moins le cas. Nous nous affranchissons, soit par choix pour les data brokers, soit contraints et forcés pour leurs clients, de l’éthique et d’un cadre légal qui fait parfois défaut, pour nous aventurer vers des territoires hors de contrôle, où une rumeur de suspicion a la même valeur qu’un décret paru au Journal Officiel, la loi que l’arbitraire le plus brutal.

Les critères objectifs de risque (résidence dans un paradis fiscal, patrimoine à l’origine litigieuse, milieu professionnel propice aux commissions occultes, etc.) cèdent peu à peu le pas au simple fait de figurer sur ces listes, sans que quiconque ne puisse vérifier le bien-fondé et la légalité de ce qu’il faut bien appeler un « fichage ».

Les conséquences de ces abus sont dramatiques pour ceux qui en sont indûment victimes : vente impossible de leur patrimoine immobilier, carte bancaire inutilisable, comptes bancaires gelés… Derrière chaque nom ajouté arbitrairement sur ces listes il y a un homme ou une femme, une vie, une liberté bafouée. Des procès intentés aux USA par des personnes listées à tort se sont d’ailleurs plusieurs fois conclus par des dédommagements en millions de dollars.

3) La longueur des listes Gel des Avoirs et PPE fait-elle leur valeur ?

 

Nous l’avons vu dans la partie précédente, la constitution de listes GDA et PPE par des sociétés de Data-Broking soulève des questions éthiques et légales.

La situation me semble d’autant plus préoccupante que le « monstre » data-broker ainsi créé a en permanence besoin d’ajouter des personnes à ses listes, leurs valeurs dépendant de leur volume.
« Plus je liste, plus chères sont mes listes » : la parfaite illustration du contraire d’un cercle vertueux. L’augmentation de la taille des listes est à la fois l’argument commercial principal de ces data brokers, le vecteur de leur croissance, et à mon sens la porte ouverte à toutes les dérives.

De plus, ces listages abusifs et leur mise circulation créent une équivalence pour le moins problématique entre le pouvoir d’une instance légitime et celui d’un data broker listant qui bon lui semble, selon des critères par lui seul définis et connus. Ils ont dans les faits la même valeur, la même capacité à sanctionner, et il faut le rappeler, à nuire. Ce parallèle va même plus loin puisque les USA imposent à toute société travaillant en dollar de se conformer aux listes des data brokers, exactement comme ce pays le fait pour ses sanctions décidées au niveau fédéral.

Dans ces listes apparaît l’identité de personnes, soit une somme d’informations permettant de les identifier (nom, prénom et date de naissance a minima). Même ces données purement factuelles peuvent faire l’objet d’interprétation et d’erreurs, puisque personne ne sait si les informations en question sont correctement qualifiées, d’où elles proviennent et si elles ont été légalement sourcées.

4) Gel des Avoirs à perpétuité : quand l’abus devient la règle

Autre exemple : une personne sanctionnée apparaît sur les listes GDA le jour où cette sanction est effective. Cette personne est ensuite rayée de la liste le jour où ladite sanction est levée et que cette information est rendue publique.
A contrario, une personne listée abusivement par un data broker, a toutes les chances de ne jamais disparaître des listes puisque, nous savons que plus elles sont longues, plus elles sont valorisées. « Size matters », CQFD.

On voit ainsi se répandre des cas de schizophrénie révélateurs des lacunes de la réglementation : le salarié d’une banque ou d’une compagnie d’assurances trouve tout à fait légitime que ses données privées soient protégées par le RGPD. Pourtant, il refusera sans sourciller à telle personne un emprunt ou un contrat d’assurance-vie sur la seule foi de listes dont la légalité au regard du droit français est caduque.

Le feu orange qui laisse la place à l’interprétation n’existe pas dans la conformité réglementaire.
Il est rouge ou vert. Des règles existent, elles sont publiées et facilement applicables, particulièrement dans le domaine du GDA. Qu’attendons-nous pour nous y conformer ?

5) PPE et conformité réglementaire : l’absence de règles génère-t-elle des abus ?

Les questions soulevées par les listes GDA entrent dans une tension encore plus grande pour les PPE, en l’absence de critères et de limites fixés par l’État, ainsi que d’une liste par lui publiée.

Pour mémoire, la réglementation française précise qu’une PPE est une personne titulaire d’un mandat national (sénateur, député, député européen) et ayant accès de par sa fonction à des fonds publics susceptibles d’être détournés.

Nous l’avons vu, la liste de ces personnes n’est pas publiée. Dès lors, la porte était ouverte à toutes sortes d’abus.
Les data brokers ont ainsi, en dehors de toute réglementation, ajouté les quelques 35 000 maires de France à leur liste de PPE. De la même manière, aux quatre grades militaires réglementairement considérés comme PPE, ont été arbitrairement additionnés des grades subalternes.

6) Qu’est-ce qu’une PPE ? La définition à géométrie (très) variable

La réglementation précise également que les membres de la famille d’une PPE sont eux-mêmes, ascendants et descendants, PPE. Même chose pour ses relations d’affaires (associés par exemple). Les data brokers ont, j’ai presque envie de dire évidemment, poussé leur logique de listage abusif encore plus loin, en ajoutant parfois des amis ou une simple relation amoureuse apparue sur Instagram… La récente sanction (mars 2023) d’Axa Banque par l’ACPR soulève d’ailleurs des questions fondamentales à ce sujet. Elles sont développées par Isabelle Monin Lafin dans un article des Éditions Législatives.

Autre exemple : la réglementation stipule que le listage PPE doit simplement perdurer un an après la fin du mandat électif ou le changement de poste. La « mise à jour » des listes des data brokers, au lieu de supprimer les personnes ne devant plus y figurer, donne naissance à une nouvelle catégorie ad-hoc, hors réglementation, et bien évidemment facturée : les ex-PPE.

7) Gel des Avoirs, PPE et conformité réglementaire : plaidoyer pour des règles claires

Je débuterai ma conclusion par un constat fort peu réjouissant : chaque jour les banques et compagnies d’assurances françaises achètent et utilisent des listes constituées à partir de données collectées en dehors des règles RGPD, avec la bénédiction tacite de pouvoirs publics n’ayant pas encore légiféré sur la question. On mesure l’étendue des questions légales et éthiques posées par ces pratiques.

A celles-ci s’ajoute celle de la souveraineté de l’État, puisque de fait, les entreprises françaises sont contraintes d’utiliser des données de data brokers américains, collectées et conservées illégalement au regard du droit français.

Je n’ai guère le goût de m’ériger en donneur de leçons – je les ai en horreur – mais je souhaite que collectivement les acteurs de nos marchés et l’État se posent les bonnes questions, redéfinissent avec clarté les limites à ne pas franchir, laissent le moins possible la porte ouverte aux interprétations abusives dictées par le seul profit, et veillent pour le bien et la sécurité de tous au respect sacré des libertés individuelles.

 

Si vous souhaitez plus d’informations sur nos solutions, n’hésitez pas à nous contacter.

 

 

Related Posts