EDPB et AMLA : des lignes directrices communes pour concilier RGPD et lutte anti-blanchiment

4/7/26
👈 les autres actualités

L'EDPB et l'AMLA (l'Autorité européenne anti-blanchiment) viennent d'annoncer la préparation de lignes directrices communes sur le partage d'informations entre organismes assujettis à la lutte contre le blanchiment de capitaux. Une première : deux régulateurs européens aux logiques parfois opposées — la circulation de l'information d'un côté, sa protection de l'autre — vont devoir converger sur un même texte.

Une coopération inédite entre régulateurs de la donnée et de la lutte anti-blanchiment

Le 1er juillet 2026, l'EDPB (European Data Protection Board) et l'AMLA (Anti-Money Laundering Authority, l'autorité européenne créée pour superviser la lutte contre le blanchiment) ont annoncé le lancement conjoint de travaux sur des Joint Guidelines encadrant les partenariats de partage d'informations. Le texte s'appuiera sur l'article 75 du règlement anti-blanchiment européen (AML Regulation), qui autorisera les professionnels assujettis à la réglementation LCB-FT à échanger entre eux, et avec les autorités, des informations utiles à la détection d'opérations suspectes. Cette faculté de partage entrera en application le 10 juillet 2027.

Un comité de rédaction conjoint EDPB/AMLA pilotera les travaux. Une consultation des parties prenantes est prévue d'ici la fin de l'année 2026, suivie d'une consultation publique sur le projet de lignes directrices au premier semestre 2027.

Pourquoi cette annonce compte pour les DPO

Partager des informations entre organismes pour détecter du blanchiment de capitaux, c'est déjà, juridiquement, un traitement de données personnelles. Chaque transmission doit donc reposer sur une base légale au sens de l'article 6 du RGPD — le plus souvent l'obligation légale ou l'intérêt légitime — et respecter les principes de minimisation et de limitation des finalités. Or les obligations LCB-FT et les exigences RGPD ne parlent pas toujours le même langage : l'une pousse à la circulation de l'information pour protéger le système financier, l'autre encadre strictement sa collecte et sa conservation.

C'est précisément cette zone grise que l'EDPB et l'AMLA veulent clarifier. Le sujet n'est pas nouveau pour le régulateur européen : les autorités de protection des données coopèrent déjà entre elles au titre de l'article 50 du RGPD sur la coopération internationale, et cette initiative s'inscrit dans une dynamique plus large de recherche de cohérence dans l'application du RGPD en Europe, portée notamment par la déclaration d'Helsinki.

Ce que les organisations doivent anticiper dès maintenant

Même si l'échéance réglementaire — juillet 2027 — paraît lointaine, les organisations concernées (établissements financiers, mais aussi tous les professionnels soumis à la LCB-FT : notaires, avocats, agents immobiliers, casinos, prestataires de services sur actifs numériques) ont intérêt à s'y préparer dès maintenant :

- Cartographier les flux de données déjà échangés, ou envisagés, avec des partenaires ou des autorités dans le cadre de la lutte anti-blanchiment ;

- Documenter, pour chaque partage, la base légale retenue et la finalité précise poursuivie, en lien avec le travail habituel du DPO sur le registre des traitements ;

- Suivre la consultation à venir : les organisations professionnelles et les DPO ont tout intérêt à faire remonter leurs difficultés concrètes avant que les lignes directrices ne soient figées.

Ce que Leto pense de cette initiative

Une coordination explicite entre deux régulateurs européens sur un même cas d'usage, c'est suffisamment rare pour être salué : trop de textes sectoriels ignorent encore superbement le RGPD, laissant aux entreprises le soin de réconcilier des obligations contradictoires. Reste à voir si le texte final tranchera vraiment les questions pratiques — quelle durée de conservation, quel niveau de détail dans les informations échangées, quelles garanties pour les personnes concernées — ou s'il se contentera de grands principes. Les organisations assujetties à la LCB-FT ont, en tout cas, un an pour muscler leur documentation avant l'entrée en application de l'article 75.

Sources : EDPB — EDPB and AMLA to develop Joint Guidelines on partnerships for information sharing

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo