Le 27 août 2025, l’autorité polonaise de protection des données (UODO) a sanctionné une banque pour avoir systématiquement scanné et conservé les cartes d’identité de ses clients, sans vérifier la nécessité de cette collecte. Cette décision rappelle aux acteurs financiers que les obligations en matière de lutte contre le blanchiment (AML/CFT) ne justifient pas une collecte excessive de données personnelles.
Les faits reprochés à la banque
Lors de l’enquête, l’UODO a constaté que la banque procédait à la copie systématique des documents d’identité de ses clients. Or, cette pratique n’était pas toujours nécessaire au regard de ses obligations réglementaires. La banque n’avait pas mené d’analyse individuelle des risques propres à chaque client et n’avait pas adapté son niveau de vérification en fonction des profils. Autrement dit, tous les clients étaient soumis au même traitement, sans distinction entre un profil à faible risque et un profil à haut risque.
Le problème de fond : la proportionnalité
Le RGPD impose le principe de minimisation des données (article 5.1.c) : ne collecter que les données strictement nécessaires à l’objectif poursuivi. Dans ce cas, l’objectif légitime était de répondre aux obligations de lutte contre le blanchiment d’argent et le financement du terrorisme. Cependant, scanner systématiquement les cartes d’identité, sans vérifier si cette opération était indispensable, revient à collecter et conserver des données sensibles de manière disproportionnée.
L’articulation entre RGPD et obligations légales
Les banques et établissements financiers doivent concilier deux cadres : d’un côté, les obligations AML/CFT, qui exigent de vérifier l’identité et le profil de risque des clients, et de l’autre, les principes du RGPD, qui interdisent toute collecte excessive ou injustifiée. L’UODO rappelle que la conformité à la réglementation financière ne peut pas être utilisée comme justification automatique pour collecter toutes les données possibles. Une analyse doit être menée pour adapter le niveau de vérification aux risques réels.
Les leçons pour les entreprises
Cette décision illustre un enjeu clé : la conformité ne se résume pas à appliquer des procédures uniformes. Elle nécessite une approche proportionnée et contextualisée. Pour les banques, assurances et fintechs, cela implique de réaliser une véritable évaluation des risques propres à chaque client, d’adapter la collecte de données à ces risques, de documenter les analyses effectuées et de s’assurer que les équipes appliquent ces principes dans leur pratique quotidienne.
Conclusion : la vigilance reste de mise
En sanctionnant cette banque, l’UODO rappelle que les obligations légales ne dispensent pas de respecter le RGPD. Même dans des secteurs hautement régulés comme la finance, les principes de minimisation et de proportionnalité doivent guider la collecte de données. Pour les entreprises, c’est un signal fort : mettre en place des procédures adaptées, justifiées et documentées est essentiel pour éviter des sanctions… et pour renforcer la confiance des clients.
