Paquet anti-blanchiment européen 2027 : comment concilier l'AMLR et le RGPD dans votre entreprise

En janvier 2022, BNP Paribas a écopé d'une amende de 350 millions de dollars pour des défaillances dans ses procédures de vérification client. En 2023, c'est Deutsche Bank qui a été condamnée à 186 millions de dollars pour les mêmes raisons. Ces deux sanctions illustrent ce que le paquet anti-blanchiment européen 2027 cherche précisément à combattre - mais au prix d'une contradiction juridique que peu d'entreprises françaises ont anticipée : celle qui oppose la nouvelle réglementation anti-blanchiment au RGPD.

L'Europe demande simultanément plus de traçabilité et plus de restrictions dans l'accès aux données, et déplace la charge de cette contradiction vers les entreprises. Le paquet AML (Anti-Money Laundering) de 2027 rend cette tension explicite.

Le calendrier de cette réforme est désormais connu. Le règlement AMLR (Anti-Money Laundering Regulation)entrera en application le 10 juillet 2027. Au cours de la même année, l'AMLA (Anti-Money Laundering Authority), basée à Francfort, désignera les groupes et institutions placés sous sa supervision directe. Sa supervision directe de premier cycle démarrera en 2028 pour les établissements financiers considérés comme les plus exposés. Enfin, à compter du 10 juillet 2029, certaines obligations nouvelles s'appliqueront notamment aux clubs de football professionnel et à certaines activités connexes. Derrière cette mise en œuvre progressive se dessine pourtant une rupture plus profonde : la volonté de faire passer la lutte contre le blanchiment d'une coordination entre États à une véritable gouvernance européenne.

Un cadre français déjà mature, confronté à une logique d'unification

La France n'aborde pas cette réforme dans un vide normatif. La lutte contre la corruption et le blanchiment s'inscrit déjà dans une dynamique ancienne, façonnée à la fois par des influences internationales et par des évolutions nationales. Les textes à portée extraterritoriale, tels que le Foreign Corrupt Practices Act américain de 1977 ou le UK Bribery Act de 2010, ont contribué à diffuser, au sein des entreprises européennes, une nécessité du contrôle et de la conformité.

En France, cette construction s'est ensuite consolidée par étapes. La loi Sapin I a posé les premières bases en matière de lutte contre la corruption, puis la loi Sapin 2 a considérablement renforcé les obligations des grandes entreprises en leur imposant des dispositifs complets de prévention, sous le contrôle de l'Agence française anticorruption (AFA). Parallèlement, le régime français de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT), structuré par le Code monétaire et financier, impose depuis longtemps aux entités assujetties des obligations approfondies de vigilance, d'identification des clients, de connaissance des bénéficiaires effectifs, de déclaration à Tracfin (Traitement du renseignement et action contre les circuits financiers clandestins) et d'organisation de la conformité interne.

Un périmètre élargi, mais une efficacité incertaine

Le paquet AML élargit significativement le périmètre des entités assujetties. Les prestataires de services sur crypto-actifs sont intégrés plus clairement, de même que certains acteurs du luxe, du marché de l'art et, à terme, du football professionnel. Cette extension repose sur des constats largement partagés : ces secteurs exposent à des flux opaques, à des valorisations complexes ou à des structures de détention difficiles à tracer. Toutefois, l'élargissement du champ réglementaire ne garantit pas automatiquement une meilleure efficacité. Il peut aussi produire une conformité de façade, dans laquelle des acteurs nouvellement soumis au droit anti-blanchiment multiplient les procédures sans disposer de véritable culture du risque.

Le plafond de 10 000 euros : une harmonisation à double tranchant

L'harmonisation des paiements en espèces témoigne du même mouvement. Le plafond général de 10 000 euros à l'échelle de l'Union, ainsi que l'obligation d'identification à partir de 3 000 euros pour certaines transactions occasionnelles, visent à réduire l'anonymat des flux. Sur le papier, la mesure paraît cohérente. Mais dans un pays comme la France, où certaines restrictions sont déjà plus sévères, cette harmonisation peut être perçue de manière ambivalente. Elle simplifie le cadre européen, certes, mais elle peut aussi donner le sentiment d'un nivellement qui ne tient pas pleinement compte des dispositifs nationaux plus restrictifs.

Le point aveugle de la réforme : la collision avec le RGPD

Deux points de friction très concrets

Conservation des données : deux horloges qui ne tournent pas à la même vitesse

La durée de conservation est sans doute la contradiction la plus révélatrice. L'AMLR impose une conservation des données KYC (Know Your Customer, connaissance du client) pendant cinq ans après la fin de la relation d'affaires, extensible dans certains cas. Le RGPD, lui, exige que les données soient supprimées dès que la finalité initiale est atteinte. La CNIL a dû produire plusieurs référentiels pour arbitrer cette tension, mais chaque nouveau cas d'espèce rouvre le débat. Pour une entreprise, cela revient à tenir deux horloges en parallèle : une pour la conformité AML, une pour la conformité RGPD, avec des règles de purge différenciées selon la nature de la donnée. C'est opérationnellement lourd, et juridiquement fragile.

Bénéficiaires effectifs : l'arrêt CJUE Sovim a changé la donne

L'accès aux registres de bénéficiaires effectifs pousse ce paradoxe encore plus loin. L'identification des personnes qui détiennent réellement le capital ou le contrôle constitue l'un des piliers de toute politique crédible de lutte contre le blanchiment. Pourtant, depuis l'arrêt rendu par la Cour de justice de l'Union européenne (CJUE) le 22 novembre 2022 dans les affaires WM et Sovim SA, l'accès généralisé du public à ces registres a été jugé contraire à la protection de la vie privée.

Cet arrêt ne remet pas en cause l'objectif de transparence, mais il en redéfinit les conditions. La CJUE refuse d'en faire un objectif absolu susceptible de justifier toute atteinte à la vie privée, et impose désormais la démonstration d'un intérêt légitime pour certains accès. Il en résulte une forme d'asymétrie. Les entités assujetties (banques, avocats, experts-comptables, notaires) conservent un accès large aux informations, dans le cadre de leurs obligations en matière de lutte contre le blanchiment, une fois leur qualité d'assujetti attestée auprès de l'Institut national de la propriété industrielle (INPI). Les journalistes, organisations non gouvernementales et lanceurs d'alerte, en revanche, doivent justifier d'un intérêt légitime à chaque demande et peuvent se voir limiter l'étendue des informations accessibles. La transparence demeure ainsi assurée pour les acteurs chargés d'appliquer la norme, mais elle devient plus encadrée pour ceux qui contribuent à son contrôle dans l'espace public. Il devient parfois plus facile de savoir qui dirige une structure que de déterminer qui la possède réellement. Or c'est précisément dans cette opacité capitalistique que se nichent les schémas les plus sophistiqués de dissimulation.

Comment rendre ce cadre plus cohérent ?

Au niveau européen, un acte d'articulation RGPD-AMLR opposable

La piste la plus structurante serait l'adoption d'un texte spécifique, piloté conjointement par l'EDPB (European Data Protection Board, le Comité européen de la protection des données) et l'AMLA, qui fixerait des standards communs sur les durées de conservation, les finalités admissibles, les modalités de croisement et les garanties minimales. Cela existe partiellement dans les lignes directrices de l'EDPB sur la LCB-FT, mais sans force contraignante. Transformer ces orientations en norme opposable éviterait à chaque entreprise de refaire seule l'arbitrage entre deux régimes.

Au niveau français, un référentiel CNIL consolidé sur la LCB-FT

La CNIL pourrait publier un référentiel équivalent à ceux qui existent déjà en matière de gestion des ressources humaines (RH), de santé ou de gestion des impayés. Il fournirait aux entreprises une présomption de conformité lorsqu'elles s'y tiennent, et réduirait l'incertitude juridique qui pèse aujourd'hui sur les DPO.

Ce qu'on pourrait faire, concrètement, pour les entreprises

Au-delà des pistes normatives, trois leviers opérationnels semblent prioritaires pour alléger la charge réelle qui pèse sur les entreprises.

La mutualisation des vérifications KYC

Aujourd'hui, chaque établissement refait les mêmes diligences sur les mêmes clients, multipliant les collectes et donc les risques RGPD. Un dispositif européen de type KYC utility, déjà évoqué dans les travaux préparatoires de l'AMLA, permettrait de collecter une fois, de partager sous conditions strictes, et de réduire le volume global de données en circulation. Ce serait un gain simultané pour l'AML, qui gagnerait en fiabilité, et pour le RGPD, qui verrait la minimisation réellement mise en œuvre.

L'interopérabilité via les identités numériques qualifiées

Le règlement eIDAS 2 (electronic IDentification, Authentication and trust Services, relatif à l'identification électronique et aux services de confiance) et le portefeuille européen d'identité numérique offrent une opportunité rarement exploitée dans le débat AML. Si l'entreprise peut s'appuyer sur une identité qualifiée plutôt que de reconstituer l'identification client à partir de pièces brutes, elle collecte moins, stocke moins et expose moins.

Une fonction conformité unifiée, plutôt qu'une juxtaposition de silos

Les entreprises qui sortent gagnantes de ces réformes sont celles qui cessent d'empiler les politiques - KYC d'un côté, RGPD de l'autre, AI Act encore ailleurs - pour construire une cartographie unique des flux, des finalités et des risques. Cela suppose une rupture organisationnelle : faire dialoguer le DPO, le responsable conformité LCB-FT, le RSSI (responsable de la sécurité des systèmes d'information) et, de plus en plus, le référent IA (intelligence artificielle). Tant que ces fonctions raisonnent séparément, chaque nouvelle norme produit un nouveau silo. Dès qu'elles travaillent ensemble, les contradictions deviennent des arbitrages explicites plutôt que des zones grises.

Conclusion

Le paquet anti-blanchiment européen 2027 ne relève pas d'un simple ajustement réglementaire : il redéfinit en profondeur les obligations de conformité LCB-FT des entreprises, avec une contradiction interne au droit européen qu'il revient aux organisations de gérer seules, au moins jusqu'à ce qu'un texte d'articulation intervienne. Anticiper cette échéance suppose d'auditer dès 2026 ses procédures KYC, ses registres de conservation, sa cartographie des bénéficiaires effectifs et la coordination entre ses fonctions de conformité.

Le cabinet Kermeur accompagne depuis plus de dix ans les directions juridiques, DPO et compliance officers dans leurs procédures de due diligence, de KYC et d'identification des bénéficiaires effectifs. Pour préparer votre mise en conformité AMLR 2027 dans le respect de vos obligations RGPD, contactez-nous pour un premier échange confidentiel.