Données personnelles

RGPD secteur bancaire 2026 : LCB-FT, scoring, durées + sanctions

RGPD dans le secteur bancaire : articulation LCB-FT et connaissance client (KYC), scoring de crédit et article 22, durées de conservation, bases légales et sanctions CNIL.

Une banque conforme au RGPD articule ses obligations de lutte anti-blanchiment (LCB-FT) avec la protection des données : la connaissance client (KYC) est une obligation légale (base article 6-1-c), les données correspondantes se conservent 5 ans après la fin de la relation (article L561-12 du Code monétaire et financier), le scoring de crédit et le profilage sont encadrés par l’article 22 du RGPD (droit à une intervention humaine, droit de contester, information sur la logique), et la sécurité répond à l’article 32. À cela s’ajoutent les fichiers Banque de France (FICP, FCC), l’enregistrement des communications imposé par MIF II, la supervision de l’ACPR, et la gestion des sous-traitants cloud et des transferts hors UE.

La difficulté propre à la banque, c’est la superposition des régimes : le CMF impose de collecter et de garder ; le RGPD impose de minimiser et de purger. La bonne conformité ne choisit pas un camp, elle documente précisément quelle obligation justifie quelle donnée, pour quelle durée. Voici comment tenir les deux bouts.

Obligations RGPD spécifiques au secteur bancaire

Articuler LCB-FT et RGPD : le KYC est une obligation légale

La connaissance du client (identité, justificatifs, origine des fonds, profil de risque) découle des articles L561-1 et suivants du Code monétaire et financier. Sa base légale RGPD n’est ni le consentement ni le contrat, mais l’obligation légale de l’article 6-1-c : le client ne peut pas s’y opposer, et la banque ne peut pas y renoncer. Cette qualification est structurante : elle justifie la collecte de pièces sensibles et une conservation longue, mais elle enferme aussi ces données dans la seule finalité LCB-FT — les réutiliser pour du marketing serait un détournement de finalité.

Durée LCB-FT : 5 ans après la fin de la relation

L’article L561-12 du CMF impose de conserver les documents et informations relatifs à l’identité du client et aux opérations 5 ans à compter de la fin de la relation d’affaires (ou de l’exécution de l’opération). C’est une durée d’archivage à accès restreint, distincte de la base active de gestion commerciale. Passé ce délai, la donnée doit être purgée — la conserver « au cas où » est précisément le manquement que la CNIL sanctionne.

Scoring de crédit, profilage et article 22

Une décision d’octroi ou de refus de crédit fondée exclusivement sur un traitement automatisé produisant des effets juridiques relève de l’article 22 du RGPD. Le client a droit à une intervention humaine, au droit d’exprimer son point de vue et de contester la décision, et à une information sur la logique sous-jacente du scoring. En pratique : documenter le modèle, prévoir un réexamen humain effectif (pas symbolique), et informer clairement dans la politique de confidentialité. Le profilage doit aussi respecter la minimisation : ne pas agréger plus de variables que nécessaire à la finalité. Le secteur de l’assurance applique une logique identique à la tarification et à la sélection des risques par profilage.

Fichiers Banque de France : FICP et FCC

L’inscription au FICP (incidents de remboursement de crédits) et au FCC (chèques) obéit à des durées réglementaires fixées par la Banque de France. La banque doit informer la personne de l’inscription et respecter les délais de radiation. Une inscription maintenue au-delà du délai réglementaire est un manquement à l’exactitude et à la durée de conservation.

Enregistrement des communications (MIF II)

La directive MIF II impose l’enregistrement des communications téléphoniques et électroniques liées à des transactions, avec une conservation d’au moins 5 ans. C’est un traitement fondé sur l’obligation légale : information des interlocuteurs, accès restreint, durée bornée, inscription au registre des traitements.

Sous-traitants cloud, transferts hors UE et sécurité

La banque externalise massivement (cloud, éditeurs, centres d’appels). Chaque prestataire traitant des données doit être lié par un DPA (article 28), et tout transfert hors UE encadré (décision d’adéquation, clauses contractuelles types + analyse d’impact du transfert). La sécurité (article 32) est un enjeu majeur, tout comme la notification des violations sous 72 heures, la fuite bancaire étant à fort impact.

Durées de conservation

Donnée / traitement Durée en base active Archivage / justification
Données KYC / LCB-FT Durée de la relation d’affaires 5 ans après la fin (art. L561-12 CMF)
Enregistrements d’appels (MIF II) Selon la transaction 5 ans (obligation MIF II)
Données clients (gestion du compte) Durée de la relation + délais de prescription applicables
Incidents de paiement (FICP / FCC) Durées réglementaires Banque de France Radiation aux délais fixés
Prospection commerciale 3 ans après le dernier contact Puis suppression ou anonymisation

La méthode : documenter, pour chaque donnée, l’obligation qui justifie la durée, et distinguer base active et archivage à accès restreint. Voir notre guide des durées de conservation.

Bases légales par traitement

Traitement Base légale (art. 6 / art. 9) Commentaire
KYC / LCB-FT Art. 6-1-c (obligation légale) Articles L561 et s. du CMF
Tenue de compte, crédit, paiements Art. 6-1-b (exécution du contrat) Nécessaire au service souscrit
Lutte contre la fraude Art. 6-1-f (intérêt légitime) Mise en balance documentée
Marketing, prospection Art. 6-1-a (consentement) Consentement pour la prospection électronique

Le KYC illustre bien le principe d’accountability : c’est à la banque de prouver que chaque donnée collectée sert bien une obligation légale identifiée, et non un usage marketing déguisé.

Sanctions CNIL réelles du secteur bancaire

Soyons honnêtes : les sanctions CNIL purement bancaires sont rares. La supervision de l’ACPR chevauche celle de la CNIL, et beaucoup de sujets se règlent en contrôle prudentiel. Mais le risque durées de conservation et sécurité est bien réel, et une décision de référence vise directement le groupe Carrefour.

CARREFOUR BANQUE — 800 000 € — 18 novembre 2020. Dans la même délibération (SAN-2020-009), la CNIL a sanctionné Carrefour Banque pour avoir transmis des données au-delà de l’engagement pris envers les clients — un manquement à la loyauté et à la finalité. Le volet établissement de crédit du dossier montre que le secteur n’est pas hors de portée de la CNIL.

CARREFOUR FRANCE — 2 250 000 € — 18 novembre 2020. La même décision sanctionne, côté enseigne, la conservation de données de 28 millions de clients inactifs pendant 5 à 10 ans, le dépôt de cookies avant consentement et une information peu accessible. Pour une banque, c’est le scénario type : des durées excessives, faute de purge des relations closes. Détail de la sanction Carrefour France et Carrefour Banque.

À retenir : la rareté des amendes bancaires n’est pas une immunité. Les manquements les plus probables — durées de conservation excessives sous couvert de LCB-FT, sécurité insuffisante, information lacunaire sur le scoring — sont exactement ceux que la CNIL sait sanctionner ailleurs. Le bilan des durées de conservation publié par la CNIL le confirme.

Erreurs courantes

  • Étendre la durée LCB-FT (5 ans) à toutes les données du client, alors que seules les données pertinentes pour la lutte anti-blanchiment sont concernées ; le reste suit ses propres durées.
  • Réutiliser les données KYC à des fins marketing : détournement de finalité, la base légale « obligation légale » n’autorise que la LCB-FT.
  • Automatiser une décision de crédit sans intervention humaine réelle ni information sur la logique (article 22).
  • Maintenir une inscription FICP au-delà du délai réglementaire de radiation Banque de France.
  • Transférer des données hors UE via un cloud sans clauses contractuelles types ni analyse d’impact du transfert.
  • Négliger l’information sur l’enregistrement des appels imposé par MIF II.
  • Conserver indéfiniment les prospects au-delà de 3 ans après le dernier contact.

FAQ

La lutte anti-blanchiment prime-t-elle sur le RGPD ?

Ni l’un ni l’autre ne « prime » : ils s’articulent. Le CMF impose de collecter et de conserver certaines données (KYC, 5 ans après la fin de la relation) ; le RGPD fournit la base légale (obligation légale, article 6-1-c) et impose que ces données ne servent qu’à cette finalité, avec un accès restreint et une purge au terme. La bonne pratique consiste à documenter précisément le lien entre chaque donnée et l’obligation qui la justifie.

Un client peut-il contester un refus de crédit décidé par un algorithme ?

Oui, lorsque la décision est fondée exclusivement sur un traitement automatisé produisant des effets juridiques. L’article 22 du RGPD lui ouvre le droit d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision. La banque doit aussi l’informer de la logique sous-jacente du scoring. Un réexamen humain purement formel ne suffit pas.

Combien de temps une banque conserve-t-elle les données KYC ?

Cinq ans à compter de la fin de la relation d’affaires ou de l’exécution de l’opération, en application de l’article L561-12 du CMF. C’est une conservation en archivage à accès restreint, réservée à la finalité LCB-FT, et suivie d’une purge. Conserver au-delà « par prudence » constitue un manquement à la durée de conservation.

Conclusion

La conformité bancaire n’est pas un arbitrage entre RGPD et LCB-FT : c’est un travail de traçabilité qui relie chaque donnée à son obligation, chaque durée à son texte, chaque décision automatisée à un réexamen humain effectif. Documentez le KYC comme obligation légale, bornez les durées (5 ans après la relation pour la LCB-FT, 3 ans pour les prospects), encadrez le scoring par l’article 22, et sécurisez les transferts hors UE. Un outil comme Legiscope, qui automatise le registre des traitements et les AIPD, permet de matérialiser cette articulation et de la présenter en cas de contrôle. Dans un secteur où les amendes sont rares mais l’exposition maximale, la documentation est la meilleure assurance.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →