Deux superviseurs, un seul règlement
Pour la première fois, le Comité européen de la protection des données et l'Autorité de lutte contre le blanchiment, nouvellement opérationnelle, rédigent ensemble un unique corps de regles. Leur annonce du 1er juillet 2026 engage les deux organes sur des lignes directrices communes sur la maniere dont les entreprises peuvent mettre en commun des renseignements pour combattre le blanchiment et le financement du terrorisme tout en respectant le Règlement général sur la protection des données. Une équipe de rédaction issue des deux autorités pilotera le travail, et les deux superviseurs déclarent contribuer à parts égales.
L'enjeu pour les propriétaires et les opérateurs est structurel. Jusqu'ici, une banque souhaitant partager des signaux d'activité suspecte avec un concurrent faisait face a deux superviseurs pouvant tirer des conclusions divergentes sur le même transfert. Un texte coordonné supprime cette bifurcation. C'est le signal le plus clair à ce jour que Bruxelles entend gérer la supervision de la criminalité financière et la protection des données comme un régime imbriqué, et non comme deux agences qui se parlent sans s'entendre.
Ce que l'article 75 permet reellement
Le moteur juridique est l'article 75 du Règlement antiblanchiment. Il autorise les entités assujetties - banques, établissements de paiement, prestataires de crypto-actifs et autres professions réglementées - a échanger des informations entre elles et avec les autorités publiques lorsque cela sert la lutte contre la criminalité financière. C'est un élargissement notable des canaux par lesquels les données des clients peuvent circuler licitement entre concurrents.
Le hic est que chaque echange de ce type est aussi un traitement de données personnelles et releve donc du RGPD. Les lignes directrices communes existent pour résoudre cette tension : préciser comment un partenariat de partage peut être construit de facon a être défendable sous les deux régimes à la fois. Les propriétaires doivent y voir le plan de conformite qui définira ce à quoi ressemble un partenariat de partage juridiquement propre dans tout le bloc.
Le compte à rebours du 10 juillet 2027
Le mécanisme de partage d'informations du Règlement entre en vigueur le 10 juillet 2027. Ce n'est pas un objectif souple. Les banques et institutions financières qui comptent utiliser les nouveaux pouvoirs de partage - ou à qui des partenaires demanderont de recevoir des données partagees - ont besoin d'une gouvernance, de contrats et d'analyses d'impact sur la protection des données avant cette date.
Le calendrier est serré. Les régulateurs prévoient un événement avec les parties prenantes fin 2026 pour faire remonter les points à clarifier en priorité, puis d'ouvrir une consultation publique sur le projet au premier semestre 2027. Cela laisse une fenetre etroite entre le texte final et la date d'entree en vigueur, de sorte que les entreprises ne peuvent pas attendre les lignes directrices achevées avant d'entamer la conception.
Le coup du proprietaire
La consigne pratique pour les conseils est de traiter cela comme un programme conjoint AML et vie privee, et non comme une corvee de conformite d'un seul bureau. Les fonctions juridique, criminalité financière et protection des données qui fonctionnaient historiquement séparément doivent désormais répondre a un unique standard coordonné, ce qui signifie qu'elles devraient planifier ensemble maintenant plutot que réconcilier des positions après l'arrivee des lignes directrices.
Il y a aussi un avantage stratégique. Les entreprises qui s'engagent dans l'événement et la consultation de 2027 pourront façonner le règlement sous lequel elles vivront, et les premières à bouger peuvent transformer un cadre de partage propre en avantage concurrentiel de confiance et de rapidite. Le coût de l'attente est une course précipitée au second semestre 2027 face à une échéance qui ne bougera pas.
À lire ensuite: Une première demande de données peut être abusive | Des données illicites peuvent gagner en justice



