2. Définition de la base de licéité pour la conservation et de la durée de conservation

16.

L’article 16 du Code de commerce prévoit l’obligation pour les commerçants de conserver les documents ou informations visés aux articles 11, 12, 14 et 15 « pendant dix ans à partir de la clôture de l'exercice auquel ils se rapportent », mais uniquement pour des finalités de comptabilité. Dès lors, toutes les données personnelles d’un client traitées dans le cadre de la comptabilité (registres, livres et pièces comptables), les lettres reçues et les copies des lettres envoyées peuvent donc être conservées par le responsable du traitement pour une durée de 10 ans à partir de la clôture de l'exercice auquel ils se rapportent (ce qui coïncide en général avec la fin de l'année civile). Les données personnelles conservées sur base de cette disposition doivent donc faire l’objet d’un effacement à intervalle régulier, sauf si elles sont également traitées pour une autre finalité (par ex. le respect d’une autre obligation légale prévoyant une durée de conservation plus longue). Une donnée personnelle collectée dans le cadre de l’exercice comptable de l’année 2024 devra donc être effacée ou anonymisée par le responsable du traitement au 1er janvier 2035, même si le compte de la personne concernée n’a toujours pas été clôturé. 

17.

Par ailleurs, l’article 27 (intitulé « L’archivage ») de la Loi de 2009 impose aux établissements de paiement et aux établissements de monnaie électronique de « conserver, conformément aux délais prévus au Code de commerce, tous les enregistrements appropriés pour permettre à la CSSF de contrôler qu’ils respectent les obligations qui leur incombent en vertu de la présente loi ».

18.

De plus, si on se réfère à la loi du 5 avril 1993 relative au secteur financier telle qu’elle a été modifiée, les établissements de crédit doivent prévoir l’enregistrement et la conservation, conformément aux délais prévus au Code de commerce, « de tout service fourni, de toute activité exercée et de toute transaction effectuée par eux-mêmes » (article 37-1 (paragraphe 6)).  Les données collectées et conservées sur base des dispositions nationales précitées peuvent donc en principe être conservées pendant maximum 10 ans à partir de la clôture de l’exercice auquel elles se rapportent et puis être effacées ou anonymisées par le responsable du traitement (sauf autre durée de conservation plus longue applicable à ces données).

19.

Conformément à l’article 3.6 de la Loi de 2004, à l'article 1.5 du Règlement grand-ducal du 1^er février 2010 portant précision de certaines dispositions de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme et à l’article 25 du Règlement CSSF N° 12-02 du 14 décembre 2012 relatif à la lutte contre le blanchiment et contre le financement du terrorisme, tel que modifié (ci-après « le Règlement CSSF »), les professionnels sont tenus de conserver pendant cinq ans après la fin de la relation d'affaires avec le client ou après la date de la transaction conclue à titre occasionnel les documents, données et informations suivantes:

•  une copie des documents, des données et informations qui sont nécessaires pour se conformer aux obligations de vigilance à l'égard de la clientèle prévues aux articles 3 à 3-3 de la Loi de 2004, les livres de comptes, la correspondance commerciale, ainsi que les résultats de toute analyse réalisée, 
• les pièces justificatives et enregistrements de transactions qui sont nécessaires pour identifier ou reconstituer des transactions individuelles afin de fournir, si nécessaire, des preuves dans le cadre d’une enquête ou instruction pénale.

20.    

La CNPD relève que les données personnelles conservées sont par exemple celles contenues dans des documents officiels d’identification des clients tels que les passeports, les cartes d’identité, les permis de conduire ou d’autres documents similaires ou les copies de ces documents ; les recherches visant à établir le contexte et l’objet des opérations complexes d’un montant anormalement élevé ; les données relatives aux bénéficiaires effectifs (par exemple celles extraites depuis le registre des bénéficiaires effectifs), etc.

21.    

La CNPD note également que la conservation de certaines données sur base des dispositions précitées peut, dans des cas plus rares, également porter sur des catégories particulières de données à caractère personnel au sens de l’article 9 du RGPD ou des données à caractère personnel relatives aux condamnations pénales et aux infractions au sens de l’article 10 du RGPD[1].

22.

En effet, les opinions politiques et les croyances religieuses peuvent être révélées par les opérations financières, par exemple, par des dons faits à des partis politiques ou à des organisations, à des églises ou à des paroisses. L’appartenance à un syndicat peut être révélée par le prélèvement d’une cotisation annuelle sur le compte bancaire d’une personne. Des données à caractère personnel concernant la santé peuvent être obtenues en analysant les factures médicales payées par une personne concernée à un professionnel de la santé (par exemple, un psychiatre). Enfin, des informations sur certains achats peuvent révéler des informations sur la vie sexuelle ou l’orientation sexuelle d’une personne[2].

23.

Par ailleurs, les obligations de vigilance découlant de la Loi de 2004 pourraient amener les responsables du traitement à collecter et conserver des données concernant une procédure judiciaire menée contre une personne physique, telles que celles relatant sa mise en examen ou le procès, et, le cas échéant, la condamnation qui en a résulté, qui constituent des données relatives aux « infractions » et aux « condamnations pénales », au sens de l’article 10 du RGPD, et ce indépendamment du fait que, au cours de cette procédure judiciaire, la commission de l’infraction pour laquelle la personne était poursuivie a effectivement été établie ou non[3].

24.

Etant donné que le contexte dans lequel ce type de données sont traitées pourrait engendrer des risques importants pour les libertés et droits fondamentaux des personnes concernées[4], les traitements de données couvertes par les articles 9 et 10 du RGPD impliquent pour le responsable du traitement la mise en place d’un certain nombre de garanties supplémentaires, comme par exemple une information spécifique que ces catégories de données sont susceptibles d’être traitées aux fins du respect de la Loi de 2004 ou encore un mécanisme permettant au responsable du traitement de s’assurer que les données proviennent de sources fiables, sont exactes et à jour[5].

25.

Les entités soumises à la Loi de 2004 peuvent conserver les données personnelles de leurs clients pour une période supplémentaire de cinq ans « lorsque cette conservation est nécessaire pour la mise en œuvre efficace des mesures internes de prévention ou de détection des actes de blanchiment de capitaux ou de financement du terrorisme. » (article 3.6, alinéa 6) ou lorsqu’une période de conservation supplémentaire est exigée par les autorités de contrôle (article 3.6, alinéa 5). Conformément à cette disposition, la CNPD rappelle qu’une durée de 10 ans ne devrait pas être la durée de conservation « par défaut » pour tous les clients d’un prestataire de service de paiement. Il appartient au responsable du traitement, conformément au principe de responsabilité, de documenter pourquoi les motifs pour lesquels une période supplémentaire de cinq ans est nécessaire.

26.

Il est également important de noter que la Loi de 2004 prévoit que « [s]ans préjudice des délais de conservation plus longs prescrits par d’autres lois, les professionnels sont tenus d’effacer les données à caractère personnel à l'issue des périodes de conservation visées à l’alinéa 1^er. » (article 3.6, alinéa 4). L’obligation d’effacer les données des personnes concernées après 5 ou 10 ans (après la fin de la relation d'affaires avec le client ou après la date de la transaction conclue à titre occasionnel) ressort donc également de la loi de 2004. Il en ressort que les responsables du traitement ne devraient donc pas conserver les données au-delà de ces délais pour des finalités de lutte contre le blanchiment et de financement de terrorisme.

27.

La CNPD prend également note de l’article 11.2 du Règlement CSSF, tel que modifié, selon lequel : « La politique d’acceptation des clients doit également prévoir les procédures à suivre lors d’un soupçon ou de motifs raisonnables de soupçon de blanchiment, d’une infraction sous-jacente associée ou de financement du terrorisme en cas de non-aboutissement d’une entrée en contact avec un client potentiel. Les raisons d’un refus de la part du client ou du professionnel de nouer une relation d’affaires ou d’effectuer une transaction doivent être documentées et conservées selon les modalités prévues à l’article 25 du présent règlement, et ce, même si le refus de la part du professionnel ne découle pas de la constatation d’un indice de blanchiment ou de financement du terrorisme. ». Par conséquent, les données d’une personne concernée qui se voit refuser l’ouverture d’un compte ou renonce elle-même à cette ouverture pourront être conservées selon les règles prévues par la Loi de 2004.

28.

Au vu de ce qui précède, la CNPD distingue principalement trois points de départ possibles pour le calcul des durées de conservation prescrites par l’article 3.6 de la Loi de 2004 :

(i) la fin de la relation d’affaire avec le client (ce qui correspond par exemple à la fermeture du compte bancaire ou compte en ligne d’une personne concernée) ;

(ii) la date d’une transaction conclue à titre occasionnelle ;

(iii) la date du refus d’entrée en relation d’affaire par le client ou le professionnel.

29.

La CNPD constate qu’il peut arriver qu’un compte soit bloqué par le responsable du traitement pour des raisons tenant à l’application de la Loi de 2004 (par exemple, conformément à l’article 3.4 de la Loi de 2004 dans l’attente d’une vérification d’identité) et qu’en cas d’absence de réaction de la part du client, le compte reste indéfiniment bloqué et ne permet pas de déclencher une durée de conservation. Cette situation pouvant conduire dans certains cas à une conservation des données de la personne concernée pour une durée illimitée en violation de l’article 5.1 (e) du RGPD [6], la CNPD recommande aux responsables du traitement concernés de mettre en place un mécanisme permettant de relancer la personne concernée et de procéder à la clôture du compte au plus tard un an après le blocage du compte (les données personnelles étant de toute façon conservées suite à la clôture pour des finalités de lutte contre le blanchiment et le terrorisme).

30.

L’article 26.1 du Règlement (UE) du Parlement et du Conseil 2023/1113 du 31 mai 2023 sur les informations accompagnant les transferts de fonds et de certains crypto-actifs, et modifiant la directive (UE) 2015/849 rappelle que les informations sur le donneur d’ordre et le bénéficiaire de fonds ou sur l’initiateur et le bénéficiaire de crypto-actifs (telles que, entre autres, le nom, le numéro de compte de paiement, l’adresse, le numéro du document d’identité officiel, le numéro d’identification de client, la date et le lieu de naissance) ne sont pas conservées au-delà de ce qui est strictement nécessaire. Le prestataire de services de paiement doit ainsi conserver ces données pendant une durée de cinq ans, période à l’issue de laquelle il doit les effacer (comme le précise l’article 26.2), sauf dispositions contraires du droit national précisant dans quelles circonstances les prestataires de services de paiement peuvent ou doivent prolonger la période de conservation de ces données. Etant donné que les données à caractère personnel traitées par les prestataires de services de paiement sur base de ce règlement ne le sont qu’aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme (article 25.2), la CNPD comprend que le point de départ de la période de conservation précitée est le même que celui pour les traitements prévus par la Loi de 2004 à savoir la fin de la relation d'affaires avec le client ou la date de la transaction conclue à titre occasionnel.

31.

L’enregistrement des conversations téléphoniques et des communications électroniques n’est, en principe, possible que dans le respect de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques (ci-après la « Loi de 2005 ») et du RGPD.

32.

Ainsi, conformément à l’article 4.3 (d) de la Loi de 2005, les communications peuvent être enregistrées :

• sur base du consentement préalable, libre, spécifique, éclairé et univoque du client ; ou
• lorsqu’il est effectué dans le cadre des usages professionnels licites, afin de fournir la preuve d’une transaction commerciale ou de toute autre communication commerciale.

33.

L’exception des « communications commerciales » peut viser par exemple les enregistrements des conversations téléphoniques effectués par les « call center », les « Help-desk », les services après-vente, etc.

34.

Dans les deux cas, il est nécessaire d’informer les clients et les salariés de manière préalable et transparente, notamment sur la ou les finalité(s) de l’enregistrement ainsi que la durée de conservation. Cette information doit répondre aux exigences du RGPD[7].

35.

Pour respecter ces exigences, la CNPD estime nécessaire que lors de chaque entretien téléphonique soumis à surveillance, les correspondants soient spécifiquement rendus attentifs à l’enregistrement, moyennant diffusion d’un message automatisé ou non au début de l’appel.

36.

 En ce qui concerne plus spécifiquement les établissements de crédit, l’article 37-1 (paragraphe 6bis) de la loi du 5 avril 1993 relative au secteur financier telle qu’elle a été modifiée prévoit l’obligation de conserver les enregistrements des conversations téléphoniques ou des communications électroniques « en rapport, au moins, avec les transactions conclues dans le cadre d’une négociation pour compte propre et la prestation de services relatifs aux ordres de clients qui concernent la réception, la transmission et l’exécution d’ordres de clients » et ce « pendant cinq ans et, lorsque la CSSF le demande, pendant une durée pouvant aller jusqu’à sept ans. » Les conversations téléphoniques et communications électroniques doivent donc en principe être effacées cinq ans après leur enregistrement, à moins qu’une conservation plus longue ne soit justifiée par une autre finalité compatible avec la finalité initiale et qu’une des bases de licéité prévues à l’article 6 du RGPD ne soit applicable.

37.

Conformément à l’article 12.6 du RGPD, lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne physique présentant la demande visée aux articles 15 à 21 (par exemple, une demande d’accès ou d’effacement), il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l'identité de la personne concernée.

38.

De manière générale, la carte d’identité ne devrait pas être considérée comme un moyen d’authentification approprié pour confirmer l’identité de la personne concernée à moins qu’une évaluation de proportionnalité démontre le contraire. Une telle évaluation de proportionnalité doit tenir compte du type des données traitées, de la nature de la demande ainsi que du contexte de la demande tout en évitant une collecte excessive des données et en garantissant un niveau adéquat de sécurité du traitement [8].

39.

Dans une telle situation, le responsable du traitement doit alors mettre en œuvre des garanties pour empêcher le traitement non autorisé ou illicite de la carte d’identité. Il peut s’agir notamment de s’abstenir de faire une copie près avoir vérifié la carte d’identité ou de supprimer une copie d’un document d’identité immédiatement après l’authentification réussie de l’identité de la personne concernée. Le CEPD a d’ailleurs rappelé que « la conservation ultérieure d’une copie d’un document d’identité est susceptible de constituer une violation des principes de limitation des finalités et de limitation de la conservation [article 5, paragraphe 1, points b) et e) du RGPD] et, en outre, de la législation nationale relative au traitement du numéro d’identification national (article 87 du RGPD). L’EDPB recommande, à titre de bonne pratique, que le responsable du traitement, après avoir vérifié la carte d’identité, fasse une note, indiquant par exemple « la carte d’identité a été vérifiée » afin d’éviter la copie ou le stockage inutile de copies de cartes d’identité. »[9].

40.

La CNPD rappelle également que le traitement d'une carte d'identité à des fins d'authentification dans le contexte de l'exercice des droits des personnes concernées est sans préjudice des obligations de conservation d’une copie de la carte d’identité au titre de la Loi de 2004 (l’effacement de la carte d’identité collectée pour confirmer l’identité d’une personne exerçant par exemple un droit d’accès conformément à l’article 15 du RGPD, ne suppose pas l’effacement de sa carte d’identité conservée pour des finalités en lien avec la lutte contre le blanchiment et le financement du terrorisme (« LBC/FT ») dans une base de données à part)[10].

41.

L’article 6.1 (f) du RGPD prévoit la licéité d’un traitement si ce traitement « est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. ».

42.   

La CNPD souhaite rappeler les trois conditions cumulatives pour qu’un responsable du traitement puisse se fonder sur l’article 6.1 (f) du RGPD[11] :

i)       la poursuite d’un intérêt légitime par le responsable du traitement ou par un tiers ;

ii)      la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi (l’intérêt légitime du traitement des données poursuivi ne peut raisonnablement être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux libertés et aux droits fondamentaux des personnes concernées) ;

iii)    les intérêts ou les libertés et les droits fondamentaux de la personne concernée par la protection des données ne prévalent pas sur l’intérêt légitime du responsable du traitement ou d’un tiers (c’est le cas par exemple lorsque des données personnelles sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un tel traitement).

43.

Il convient d’interpréter les conditions de l’application de l’intérêt légitime de manière restrictive[12]. L’intérêt légitime ne doit pas constituer une base de licéité par défaut. La CNPD recommande de procéder à une mise en balance des droits et intérêts en cause pour chaque traitement, cette analyse devant être détaillée et documentée avant le traitement en cause.

44.

Il s’agit ainsi d’évaluer le degré d’intrusion du traitement envisagé dans la sphère individuelle, en mesurant ses incidences sur la vie privée des personnes (traitement de données sensibles, traitement portant sur des personnes vulnérables, profilage, etc.) et sur leurs autres droits fondamentaux (liberté d’expression, liberté d’information, liberté de conscience, etc.) ainsi que les autres impacts concrets du traitement sur leur situation (suivi ou surveillance de leurs activités, exclusion bancaire, etc.). Ces incidences doivent être mesurées afin de déterminer, au cas par cas, l’ampleur de l’intrusion causée par le traitement dans la vie des personnes[13].

45.

Le recours à cette base légale implique certaines obligations supplémentaires pour le responsable du traitement dans la gestion des droits des personnes concernées :

• Obligation d’information spécifique concernant les intérêts légitimes poursuivis (article 13.1 (d) du RGPD lorsque les données personnelles sont collectées auprès de la personne concernée et 14.2 (b) du RGPD lorsque les données personnelles n'ont pas été collectées auprès de la personne concernée) ;
• Droit d’opposition de la personne concernée (article 21.1 du RGPD) : droit de la personne concernée de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’intérêt légitime, y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne doit alors plus traiter les données personnelles, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice ;
• Droit à la limitation du traitement (article 18 du RGPD) : droit de la personne concernée d’obtenir la limitation d’un traitement lorsque la personne concernée s'est opposée au traitement en vertu de l'article 21.1 du RGPD, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

46.

Pour plus de précisions sur les critères que les responsables du traitement doivent remplir pour traiter des données personnelles sur la base de l'intérêt légitime, la CNPD invite les acteurs concernés à prendre connaissance du projet de lignes directrices du CEPD sur l’intérêt légitime[14].

47.

Dans les prochaines sections, la CNPD analysera des finalités qui pourraient être poursuivies sur base de l’intérêt légitime d’un prestataire de service de paiement.

48.

Le considérant 65 du RGPD précise que la conservation ultérieure des données à caractère personnel devrait être licite lorsqu'elle est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice. Dans ce contexte, les durées de prescription peuvent donc donner des indications importantes pour déterminer les durées de conservation[15].

49.

L’article 189 du Code de commerce dispose que « les obligations nées à l’occasion de leur commerce entre commerçants ou entre commerçants et non-commerçants se prescrivent par dix ans si elles ne sont pas soumises à des prescriptions plus courtes ». Il est donc possible pour un prestataire de service de paiement de conserver les données personnelles qui pourraient lui être nécessaires dans le cadre d’un litige avec le client. Seules les données personnelles en lien avec l’exécution des contrats et les services fournis par le responsable du traitement devront être conservées pour cette finalité. 

50.    

La prévention de la fraude est indiquée dans le considérant 47 du RGPD comme l’un des intérêts légitimes possibles protégés par l’article 6.1 (f) du RGPD.

51.

Concernant plus particulièrement les prestataires de services de paiement, il convient de rappeler les dispositions de l’article 105 de la Loi de 2009 : « Les systèmes de paiement et les prestataires de services de paiement sont autorisés à traiter les données à caractère personnel lorsque cela est nécessaire pour garantir la prévention, la recherche et la détection des fraudes en matière de paiements. […]»[16].

52.

Dans le cadre de ses lignes directrices relatives à l’interaction entre la deuxième directive sur les services de paiement et le RGPD[17], le CEPD a rappelé que le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude peut constituer un intérêt légitime du prestataire de services de paiement concerné, pour autant que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent pas sur ces intérêts. Les activités de traitement à des fins de prévention de la fraude devraient alors reposer sur une évaluation approfondie au cas par cas par le responsable du traitement, conformément au principe de responsabilité.

53.  

Par ailleurs, le CEPD a, dans ses lignes directrices sur l’intérêt légitime, indiqué que le traitement des données personnelles dans le cadre de l'intérêt légitime de prévention de la fraude ne s'applique pas sans conditions ni limites, notamment parce que ce type de traitement peut avoir un impact significatif sur les personnes concernées. Par exemple, le considérant 47 du RGPD précise que le traitement des données personnelles doit être « strictement nécessaire à des fins de prévention de la fraude », ce qui doit être examiné conjointement avec le principe de minimisation des données inscrit à l'article 5.1 (c) du RGPD. Le CEPD indique également qu’en même temps, le principe de limitation de la conservation, prévu à l'article 5.1(e) du RGPD, doit être pris en compte lors de la définition des politiques de conservation des données applicables aux données traitées à des fins de détection ou de prévention de la fraude[18].

54.

En pratique, le traitement mis en œuvre à des fins de contrôle et de lutte contre la fraude se traduit par un profilage au moyen d’algorithmes qui utilisent l'ensemble des données disponibles pour calculer un taux de risque de fraude ou d'erreur pour chaque client (par exemple sur base d’un historique des fraudes déjà commises). Tout en reconnaissant pleinement l'importance de la lutte contre la fraude en matière de paiements, la CNPD souhaite néanmoins rappeler la très grande prudence avec laquelle ces algorithmes doivent être conçus et utilisés, eu égard aux risques qu'ils présentent et aux biais dont ils peuvent faire l'objet. 

55.

Dans un contexte en ligne, ce type de traitement peut impliquer la collecte de données relatives aux transactions mais aussi de données liées au contexte d’une opération de paiement telles que des données comportementales (analyse comportementale telle que la dynamique de frappe au clavier, des données liées aux habitudes d’achat et de consommation), des données de navigation et de connexion aux systèmes d’information (données de géolocalisation, données relatives au matériel : adresse IP, paramètre de l’écran ou du navigateur…).

56.

La prévention, la recherche et la détection des fraudes en matière de paiements peut impliquer différents types de traitement tels que la détection d’actes présentant une anomalie ou une incohérence, la gestion et l’analyse de ces alertes, la constitution de listes de personnes dûment identifiées comme auteur d’actes qualifiés de fraude ou de tentative de fraude qualifiées comme telle par le responsable du traitement. Ces traitements peuvent être qualifiés de « profilage » au sens du RGPD[19]. Bien qu’il puisse y avoir des avantages à conserver les données dans le cas du profilage, puisqu’il y aura plus de données dont l’algorithme pourra s’inspirer, les responsables du traitement doivent respecter le principe de minimisation des données lorsqu’ils collectent des données à caractère personnel et veiller à ce qu’ils ne conservent ces données à caractère personnel que le temps nécessaire et proportionné aux finalités pour lesquelles ces données sont traitées[20].

57.

Au vu de ce qui précède, la CNPD estime que la durée de conservation des données dans le cadre de la prévention et de la détection de la fraude devra être limitée au temps strictement nécessaire à l’accomplissement de cette finalité. Par exemple, la conservation des données d’une personne concernée pour laquelle aucune fraude n’a été détectée pendant la durée du contrat après la clôture de son compte ne semble ni nécessaire, ni proportionnée. Dans cette hypothèse, la CNPD estime que le responsable du traitement devrait effacer (ou anonymiser) les données traitées pour lutter contre la fraude après la fin de la relation contractuelle avec le client.