← Tous les articles

redaction

Partage d’infos LBC/FT: l’EDPB et l’AMLA préparent des lignes directrices

L’EDPB et l’AMLA annoncent des lignes directrices conjointes sur les partenariats de partage d’informations prévus par l’article 75 de l’AMLR, applicables dès le 10 juillet 2027. Objectif: un cadre de partage compatible RGPD pour la LBC/FT.

Excerpt: Le 1er juillet 2026, l’EDPB et l’AMLA annoncent des lignes directrices conjointes sur les « partenariats de partage d’informations » prévus par l’article 75 de l’AMLR, applicables dès le 10 juillet 2027. Cap sur un cadre RGPD‑compatible pour la LBC/FT.

Les faits

Le 1er juillet 2026, l’European Data Protection Board (EDPB) et la nouvelle Autorité européenne de lutte contre le blanchiment (AMLA) ont annoncé l’élaboration de lignes directrices conjointes pour encadrer les « partenariats de partage d’informations » entre entités assujetties (banques, PSF, assureurs, etc.) en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme (LBC/FT). Selon l’annonce, la nouvelle possibilité de partage instaurée par le règlement (UE) 2024/1624 (« AMLR ») s’appliquera à compter du 10 juillet 2027, avec une consultation publique au premier semestre 2027. Objectif: clarifier comment partager des données pertinentes pour détecter la criminalité financière tout en respectant le RGPD.

Cadre légal et fondement

  • AMLR — Article 75. Il crée un cadre juridique pour des « partenariats de partage d’informations » entre entités assujetties, soumis à des garde‑fous précis. Les entités doivent notamment notifier leur autorité de surveillance; les autorités (en consultation le cas échéant avec l’autorité chargée du RGPD) vérifient l’existence de mécanismes de conformité, y compris la réalisation préalable d’une AIPD. Le texte autorise, dans des conditions strictes, le traitement de catégories particulières de données si nécessaire à la prévention et à la lutte contre le blanchiment et le financement du terrorisme.
  • Interaction RGPD. Les lignes directrices EDPB/AMLA visent l’articulation avec le RGPD (base légale, minimisation, conservation, droits). En pratique, on mobilisera les articles 5(1)(a)-(c), 6(1)(c)/(e) et 9(2)(g) selon les cas, avec documentation du test de nécessité et de proportionnalité dans l’AIPD exigée par l’art. 75(4)(h) AMLR. Voir l’articulation avec le RGPD pour les principes clés.
  • Calendrier et gouvernance. La nouvelle faculté de partage au titre de l’article 75 s’applique à partir du 10 juillet 2027; un projet de lignes directrices sera soumis à consultation au 1er semestre 2027.

Ce que cette affaire change pour les entreprises luxembourgeoises

Pour les établissements financiers et autres entités assujetties au Luxembourg (banques, PSF, établissements de paiement, gestionnaires d’actifs, assurances), cette annonce ouvre un chantier de gouvernance des données LBC/FT qui ne peut plus attendre. D’ici au 10 juillet 2027, les groupes et consortiums sectoriels pourront constituer ou rejoindre des partenariats de partage d’informations, mais seulement si:

  • une AIPD documente les flux et risques;
  • des politiques/procédures internes définissent précisément les finalités, rôles, bases légales, critères de « nécessité stricte », durées de conservation et modalités d’exercice des droits;
  • la notification à l’autorité de surveillance compétente est faite, et la conformité RGPD vérifiée avec l’autorité de protection des données (au Luxembourg: CNPD), avec une attention à la conformité CNPD au Luxembourg.

L’annonce EDPB/AMLA signale qu’un référentiel interprétatif arrive, ce qui sécurise les directions conformité/risques et DPO pour calibrer la licéité et la minimisation des échanges (y compris sur des données sensibles en cas de stricte nécessité). Pour les groupes transfrontaliers (Luxembourg/Belgique/France/Allemagne), cela facilite la mise en place de cadres communs et de contrôles internes homogènes, mais impose une préparation juridique, technique et contractuelle soignée. Les organes de direction devront approuver la politique de partage et s’assurer qu’elle s’articule avec les dispositifs existants (surveillance des transactions, alerting, dépôts TRACFIN/CRF, conservation probatoire) sans dérives de finalité.

Actions concrètes à entreprendre cette semaine

  • Cartographier les cas d’usage de partage d’informations LBC/FT: typologies de risques, catégories de données (y compris potentiellement sensibles), destinataires envisagés, et lister les écarts actuels avec l’article 75 (notification, contrôle d’accès, traçabilité).
  • Lancer l’AIPD « partenariat de partage »: définir finalités, base(s) légale(s), critères de nécessité stricte, minimisation, durées de conservation, DPI techniques (pseudonymisation/chiffrement), journalisation des consultations/échanges; prévoir une revue par le DPO et la conformité.
  • Préparer la gouvernance et les accords: projet de politique interne, clauses contractuelles entre membres du partenariat (rôles RGPD, responsabilités AMLR art. 75(4)), procédure de droits des personnes, plan de réponse incident, et dossier de notification aux autorités (surveillance et CNPD) prêt pour Q4‑2026; caler un point d’étape en janvier 2027 pour intégrer le projet de lignes directrices EDPB/AMLA dès sa mise en consultation. Si besoin d’un relais local, envisagez un DPO Luxembourg pour piloter le dispositif.

Sources

  • EDPB and AMLA to develop Joint Guidelines on partnerships for information sharing
  • Regulation (EU) 2024/1624 — AMLR, Article 75: Exchange of information in the framework of partnerships for information sharing

Pour échanger sur vos besoins ou obtenir un accompagnement, contactez-nous via la page contact.

Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.

NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →