Retour aux actualités
Contenu éducatif

Partage des données clients et KYC : ce qui est autorisé et ce qui ne l'est pas

Partage des données clients et KYC : ce qui est autorisé et ce qui ne l'est pas

Le partage des données KYC n'est pas synonyme de partage des responsabilités en matière de lutte contre le blanchiment d'argent : une distinction juridique cruciale pour toute transaction immobilière

Dans les transactions immobilières multipartites — où agents, promoteurs, avocats et notaires ont chacun des obligations indépendantes en matière de lutte contre le blanchiment d’argent —, une question d’une urgence pratique croissante concerne la licéité du partage des informations KYC entre les entités assujetties. La position juridique au titre du règlement (UE) 2024/1624 (AMLR) est souvent mal comprise dans la pratique, et les conséquences de cette incompréhension vont dans les deux sens : certains professionnels refusent de partager des données que le règlement autorise — et même encourage — à partager ; d’autres partent du principe que le fait de recevoir des données KYC d’un tiers les décharge de leurs propres obligations de conformité, ce qui n’est pas le cas.

La position juridique correcte est à la fois claire et lourde de conséquences. Cet article l'expose.

Le cadre juridique : ce que dit réellement l’AMLR

L'AMLR établit trois principes fondamentaux relatifs au partage des données KYC dans le secteur immobilier :

1. Chaque entité assujettie assume une responsabilité indépendante en matière de CDD. Indépendamment de ce qu’a pu faire toute autre partie à une transaction, chaque entité assujettie — l’agent, le promoteur, le notaire et l’avocat — reste indépendamment responsable de sa propre diligence raisonnable à l’égard de la clientèle. Cette responsabilité n’est pas transférable.

2. Le recours à une autre entité assujettie est autorisé, sous certaines conditions. Les dispositions de l’AMLR relatives au recours à un tiers permettent à une entité assujettie de s’appuyer sur la diligence raisonnable effectuée par une autre, mais l’entité qui s’appuie conserve l’entière responsabilité juridique devant son propre superviseur. Le recours à un tiers est une facilitation procédurale, et non une exemption.

3. Le partage d'informations est autorisé dans des cadres juridiques définis. Le considérant 147 de l'AMLR stipule explicitement : « Les entités assujetties et les autorités compétentes devraient pouvoir échanger des informations dans le cadre d'un partenariat de partage d'informations. » Ce même considérant précise également que les entités assujetties « ne devraient pas se fonder uniquement sur les informations reçues dans le cadre de l’échange d’informations pour tirer des conclusions sur le risque de blanchiment de capitaux et de financement du terrorisme présenté par le client ».

Ces trois principes définissent précisément la limite juridique : les documents et les données factuelles vérifiées peuvent être partagés ; les évaluations des risques, les déterminations relatives à la diligence renforcée, les décisions de déclaration et les obligations de surveillance continue ne peuvent l'être.

D'où provient le malentendu dans la pratique

Dans une transaction immobilière type impliquant un agent, un promoteur, un avocat et un notaire, chaque partie peut légalement échanger des données d’identification du client, des informations sur le bénéficiaire effectif, des documents relatifs à la propriété de l’entreprise, des preuves de l’origine des fonds et les résultats de la vérification — sous réserve des garanties applicables en matière de RGPD, de confidentialité et de lutte contre le blanchiment d’argent.

Ce qu'aucune de ces parties ne peut faire, c'est considérer la réception de ces informations comme un substitut à ses propres obligations indépendantes. Un notaire qui accepte le dossier KYC d'un agent immobilier sans effectuer sa propre évaluation des risques ne s'est pas conformé à l'AMLR — il s'est fié, sans vérification indépendante, au jugement d'une autre partie. Un promoteur qui s'en remet aux vérifications préalables du client effectuées par un avocat sans appliquer sa propre classification des risques a manqué à son obligation de surveillance.

Comme le confirme l'analyse par DLA Piper des dispositions de l'AMLR relatives au partage d'informations : « En tant que membres de partenariats pour le partage d'informations, les entités assujetties peuvent partager des informations aux fins de la diligence raisonnable à l'égard de la clientèle et de la déclaration de soupçons aux CRF. » Le nouveau paquet AML s'oriente vers une plus grande coopération entre les entités assujetties — et non vers un point unique de responsabilité en matière de conformité.

La loi n'interdit pas le partage. Elle interdit le transfert de responsabilité.

La distinction structurelle : une architecture à deux niveaux

La position juridique décrite ci-dessus se traduit naturellement par une architecture à deux niveaux pour tout modèle de partage de données KYC conforme :

Couche centrale autorisée — partageable entre les entités assujetties :

  • Vérification de l'identité et de l'adresse

  • Identification et vérification du bénéficiaire effectif (UBO)

  • Structures de propriété des entreprises

  • Documentation relative à l'origine des fonds

  • Historique des transactions immobilières

  • Résultats des vérifications relatives aux sanctions, aux personnes politiquement exposées (PPE) et aux informations médiatiques défavorables

Niveau spécifique à l'entité — non partageable, déterminé de manière indépendante par chaque entité assujettie :

  • Évaluation et classification des risques

  • Exigences et résultats en matière de vigilance renforcée

  • Évaluation des soupçons et décisions relatives au dépôt de déclarations SAR/STR

  • Paramètres et résultats de la surveillance continue

  • Déclaration à la cellule de renseignement financier nationale

C'est l'architecture vers laquelle tend l'AMLR : collecter les données des clients une seule fois, évaluer les risques à plusieurs reprises — de manière indépendante, par chaque entité assujettie, au regard de ses propres obligations réglementaires.

L'exigence technologique : pourquoi les plateformes KYC standard ne peuvent pas répondre à cette exigence

La distinction juridique ci-dessus crée une exigence technologique précise que la plupart des plateformes KYC du marché sont structurellement incapables de satisfaire. Les solutions standard de vérification d'identité et de KYC sont conçues pour collecter et partager des données. Elles ne sont pas conçues pour faire respecter la séparation juridique entre les données factuelles partagées sur les clients et les obligations d'évaluation des risques indépendantes et non partageables que chaque entité assujettie doit remplir pour elle-même.

Une plateforme KYC générique qui collecte des documents et les partage entre les parties ne gère que le premier niveau. Elle ne fournit aucun mécanisme structuré permettant à chaque partie de mener et d'enregistrer de manière indépendante sa propre classification des risques, sa détermination EDD ou son évaluation des soupçons au sein du même environnement. Les données et l'obligation de conformité sont dissociées — et le dossier réglementaire requis pour démontrer la conformité indépendante de chaque entité assujettie n'existe pas.

Il ne s'agit pas d'une lacune opérationnelle mineure. En vertu de l'AMLR, l'incapacité à démontrer une évaluation indépendante des risques par chaque entité assujettie constitue un manquement à la conformité pour chaque partie ayant reçu des données partagées sans produire sa propre évaluation documentée.

Immosurance : la seule plateforme offrant les deux niveaux dans un environnement unique conforme au RGPD

Immosurance est la seule plateforme de conformité LCB en Europe spécialement conçue pour le secteur immobilier qui offre les deux niveaux de l'architecture de partage KYC conforme au sein d'un environnement unique, intégré et conforme au RGPD.

La couche centrale — vérification d'identité, cartographie des bénéficiaires effectifs, documentation sur la propriété des entreprises, preuves de l'origine des fonds, et filtrage continu des sanctions, des PPE et des informations médiatiques défavorables — peut être collectée une seule fois et mise à la disposition de plusieurs entités assujetties dans le cadre légal et de protection des données autorisé. Cela élimine la duplication qui caractérisait la conformité immobilière multipartite et réduit la charge pesant sur les clients, qui devaient auparavant répéter le même processus de vérification auprès de chaque partie à leur transaction.

La couche spécifique à l'entité est mise en œuvre de manière structurellement distincte au sein de la plateforme. Chaque entité assujettie utilisant Immosurance gère son propre dossier de conformité indépendant, sa propre évaluation des risques documentée, son propre flux de travail EDD et son propre registre de rapports — dont aucun n'est accessible aux autres parties ni partagé avec elles. L'architecture d'accès basée sur les rôles garantit que ce que chaque entité assujettie est tenue de déterminer de manière indépendante en vertu de la loi est, de par sa conception, déterminé de manière indépendante.

Aucun fournisseur KYC générique, service de vérification d’identité ou plateforme de partage de documents sur le marché n’offre cette combinaison. La séparation des données clients partageables de l’obligation d’évaluation des risques non partageable — toutes deux mises en œuvre au sein de la même plateforme, toutes deux conformes au RGPD, toutes deux prêtes pour un audit — est une caractéristique unique à Immosurance.

Il ne s'agit pas d'une fonctionnalité future. Immosurance est opérationnel dès aujourd'hui, accessible aux agents immobiliers, promoteurs, avocats et notaires à travers l'Europe, en 14 langues, avec une architecture de partage KYC légalement alignée sur l'orientation confirmée par l'AMLR.

La distinction juridique est claire. Les exigences technologiques qu'elle engendre sont rigoureuses. Immosurance est la réponse.

Tous les articles
Offre de réservation anticipée

CONDITIONS POUR LES LÈVE-TÔT

Des conditions exceptionnelles sont disponibles pour les personnes qui se sont manifestées tôt et qui ne seront bientôt plus disponibles. Réservez votre tarif préférentiel dès aujourd'hui.
Voir le prix