L'obligation légale
L'Art. L.561-12 du Code Monétaire et Financier est clair :
« Les documents et informations [...] sont conservés pendant cinq ans à compter de la clôture des comptes ou de la cessation des relations avec le client. »
Cette obligation concerne tous les professionnels assujettis, y compris les courtiers en assurance.
Que faut-il conserver ?
1. Les données d'identification (KYC)
| Document | Durée | Point de départ |
|---|---|---|
| Copie de la pièce d'identité | 5 ans | Fin de la relation d'affaires |
| Extrait Kbis | 5 ans | Fin de la relation d'affaires |
| Justificatif de domicile | 5 ans | Fin de la relation d'affaires |
| Identification des bénéficiaires effectifs | 5 ans | Fin de la relation d'affaires |
| Formulaire d'entrée en relation | 5 ans | Fin de la relation d'affaires |
2. Les données de vigilance
| Document | Durée | Point de départ |
|---|---|---|
| Résultats de criblage | 5 ans | Date du criblage |
| Rapports d'audit de conformité | 5 ans | Date de l'audit |
| Déclarations de soupçon (copie) | 5 ans | Date de la déclaration |
| Analyses de risque client | 5 ans | Fin de la relation d'affaires |
3. Les données de transactions
| Document | Durée | Point de départ |
|---|---|---|
| Enregistrements des opérations | 5 ans | Date de l'opération |
| Caractéristiques des opérations | 5 ans | Date de l'opération |
LCB-FT vs RGPD : comment concilier ?
C'est la question que se posent beaucoup de courtiers. Les deux réglementations semblent contradictoires :
- LCB-FT : obligation de conserver les données 5 ans
- RGPD : obligation de minimiser et supprimer les données
La solution : la base légale
Le RGPD prévoit explicitement que le traitement est licite lorsqu'il est nécessaire au respect d'une obligation légale (Art. 6.1.c RGPD). L'obligation de conservation LCB-FT constitue cette base légale.
En pratique
| Période | Régime applicable |
|---|---|
| Pendant la relation d'affaires | Conservation active, accès normal |
| 5 ans après la fin de la relation | Conservation en archive intermédiaire, accès restreint |
| Au-delà de 5 ans | Suppression obligatoire (sauf procédure judiciaire en cours) |
Format de conservation
Intégrité des données
Les données conservées doivent être fiables et intègres. L'ACPR attend que vous puissiez prouver que les documents n'ont pas été altérés.
Bonnes pratiques :
- Horodatage certifié (RFC 3161) des rapports
- Empreinte numérique (SHA-256) des documents
- Journalisation des accès et modifications
Support
Les données peuvent être conservées sous forme numérique, à condition de garantir :
- Lisibilité pendant toute la durée de conservation
- Intégrité (protection contre l'altération)
- Disponibilité (accès dans un délai raisonnable)
- Confidentialité (accès restreint aux personnes habilitées)
Purge automatique
À l'expiration du délai de 5 ans, les données doivent être supprimées ou anonymisées. La purge doit être :
- Automatique : pas de conservation au-delà du délai légal
- Documentée : traçabilité des suppressions effectuées
- Complète : tous les supports (base de données, sauvegardes, archives)
Sanctions
Le non-respect de l'obligation de conservation expose à :
- Sanctions ACPR : impossibilité de justifier la conformité lors d'un contrôle
- Sanctions CNIL : en cas de conservation excessive (au-delà de 5 ans sans base légale)
- Conséquences judiciaires : impossibilité de produire des preuves en cas de poursuites
Comment Conformitiel gère la conservation
- Conservation automatique 5 ans de tous les rapports et criblages
- Horodatage RFC 3161 sur chaque document généré
- Empreinte SHA-256 pour garantir l'intégrité
- Archivage structuré avec accès par organisation
- Tableau de bord conservation : dates d'expiration, alertes de purge
- Export complet du dossier en cas de contrôle ACPR