[...] prudentiel et de résolution (ACPR) et présentées à la CNIL dans le cadre de leurs travaux relatifs à la mutualisation de données bancaires pour la lutte contre le blanchiment de capitaux et le financement du terrorisme [...]
N° de demande d’avis : 2236389 | Thématiques : lutte contre la fraude ; moyens de paiement ; fichier national des comptes signalés pour risque de fraude |
Organisme(s) à l’origine de la saisine : ministère de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique | Fondement de la saisine : article L. 521-6-1 du CMF |
L’essentiel :
Le projet d’arrêté précise les modalités techniques et de fonctionnement du FNC-RF créé par l’article L. 521-6-1 du code monétaire et financier pour améliorer la prévention, la recherche et la détection de la fraude en matière de paiements. La CNIL considère que ce fichier de mutualisation à large échelle de données bancaires hautement personnelles revêt une sensibilité particulière ;
La CNIL estime que la Banque de France et les prestataires de services de paiement (PSP) sont responsables conjoints des traitementsde centralisation et de partage des données mis en œuvre dans le cadre du FNC-RF ;
Elle considère que, compte tenu de la sensibilité du traitement et de l’impact potentiel sur les personnes concernées, les garanties prévues par le projet d’arrêté en termes d’exactitude des données traitées doivent être améliorées ; elle prend notamment acte de l’engagement du ministère de préciser dans l’arrêté que les vérifications effectuées par les PSP sur le caractère frauduleux des comptes dont ils sont teneurs devront être faites "dans les plus brefs délais" ;
La CNIL invite le ministère à compléter le projet d’arrêté en précisant que les demandes d’exercice des droits doivent pouvoir s’exercer auprès de la Banque de France et des PSP, et rappelle que ces acteurs doivent définir clairement les modalités de réponse à ces demandes dans un document contraignant encadrant leurs responsabilités ;
La CNIL estime enfin que l’architecture technique retenue, consistant en un partage de copies intégrales et synchronisées des données en clair avec les PSP et leurs éventuels prestataires (instances locales du FNC-RF), accroît fortement la surface d’exposition des données et, par conséquent, le risque de fuite, d’accès non autorisé ou de réutilisation indue.
___________________
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ("loi informatique et libertés") ;
Vu la loi n° 2025-1058 du 6 novembre 2025 visant à renforcer la lutte contre la fraude bancaire ;
Après avoir entendu le rapport de M. Philippe-Pierre Cabourdin, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. La saisine
A. Le contexte
La loi n°2025-1058 du 6 novembre 2025 visant à renforcer la lutte contre la fraude bancaire a introduit dans le code monétaire et financier (CMF) un article L. 521-6-1 portant création d’un fichier national des comptes bancaires signalés pour risque de fraude (FNC-RF). Ce fichier a pour objectif d’améliorer la prévention, la recherche et la détection de la fraude en matière de paiements.
Le FNC-RF, géré par la Banque de France, recense les informations permettant d'identifier les comptes de paiement et les comptes de dépôt que les prestataires de services de paiement (PSP), établis ou exerçant en France, estiment susceptibles d'être frauduleux, et les éléments caractérisant la fraude ou la suspicion de fraude.
B. L’objet de la saisine
Conformément à l’article L. 521-6-1 du CMF, le projet d’arrêté fixe le cadre relatif au FNC-RF, prévoyant les modalités de collecte, d'enregistrement, de conservation et de consultation des données ainsi que la liste des informations appelées à figurer dans le fichier.
Le 17 mars 2026, le ministère de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique a saisi la CNIL, en urgence, pour avis sur ce projet.
Le projet d’arrêté prévoit notamment qu’il incombe aux PSP de :
La CNIL relève que ces traitements sont fondés sur la base légale de l’obligation légale (article 6, I, c) du RGPD).
À titre d’élément de contexte, la Banque de France indique envisager à terme un élargissement des catégories de données partagées dans le cadre de ce dispositif, ainsi qu’une intégration dans un dispositif européen de partage de données de fraude.
II. L’avis de la CNIL
Le FNC-RF a vocation à améliorer la prévention, la recherche et la détection de la fraude en matière de paiements grâce à un partage d’informations entre prestataires de service de paiement.En particulier, la mutualisation des informations dès le stade de la suspicion de fraude vise à empêcher la propagation des fraudes auprès de multiples acteurs. La CNIL estime que ces finalités sont déterminées et légitimes.
L’article L. 521-6-1 du CMF prévoit certaines garanties visant à limiter les risques du traitement :
La CNIL souligne que le FNC-RF est un fichier particulièrement sensible à plusieurs égards :
En outre, la CNIL estime que l’élargissement envisagé par la Banque de France des catégories de données partagées dans le cadre de ce dispositif serait susceptible d’avoir un impact sur la proportionnalité du traitement compte tenu de l’impact potentiel pour les droits et libertés des personnes concernées.
A. Sur les responsabilités de traitement
Le deuxième alinéa de l’article 8 du projet d’arrêté prévoit que la Banque de France et les PSP "sont responsables de traitement, chacun en ce qui les concerne". L’AIPD de la Banque de France transmise par le ministère précise également que la Banque de France est responsable du traitement de centralisation et de partage des informations contenues dans le FNC-RF. A ce titre, la Banque de France et les PSP ont, en tout état de cause, chacun des obligations en tant que responsable de traitement, ce que le projet d’arrêté n’intègre pas puisqu’il prévoit uniquement des obligations à la charge des PSP (particulièrement information des personnes et exercice de leurs droits).
La CNIL considère cependant que la Banque de France et les PSP sont également conjointement responsables des traitements de centralisation et de partage des données au sein du FNC-RF.
En effet, l’analyse de la qualification des PSP et de la Banque de France doit être effectuée au regard du traitement central mis en œuvre dans le cadre du FNC-RF et de ce point de vue plusieurs éléments permettent de conclure à une responsabilité conjointe :
La CNIL rappelle que, selon les lignes directrices 07/2020 du CEPD sur les notions de responsable de traitement et de sous-traitant dans le RGPD, "les notions de responsable du traitement et de sous-traitant sont des concepts fonctionnels : ils visent à répartir les responsabilités en fonction des rôles réels des parties" (point 12). Si le responsable de traitement peut être désigné par le droit de l’Union ou par le droit d’un Etat membre, "cela présuppose que le législateur a désigné comme responsable du traitement l’entité qui est véritablement en mesure d’exercer le contrôle" (point 23).
La CNIL invite donc le ministère à modifier le projet d’arrêté en indiquant que les PSP et la Banque de France sont conjointement responsables des traitements de données à caractère personnel mis en œuvre dans le cadre du FNC-RF.
Le projet d’arrêté doit indiquer, en outre, que les acteurs responsables conjoints du traitement définissent ensemble, dans un document contraignant et de manière transparente, la répartition des obligations que leur impose le RGPD, conformément aux dispositions de l’article 26 du RGPD et aux lignes directrices 07/2020 du CEPD concernant les notions de responsable du traitement et de sous-traitant dans le RGPD. Ce document devra notamment définir : qui répond aux demandes des personnes concernées et informe les personnes, qui gère la sécurité, les fuites de données ou les analyses d’impact sur la protection des données, etc.
B. Sur les données collectées
L’article 3 du projet d’arrêté prévoit que, pour chaque événement dont le caractère frauduleux est suspecté par le PSP, ce dernier déclare sans délai, au sein du fichier, un certain nombre d’informations relatives à cet événement, le ministère ayant précisé que cette liste est limitative.
Ces informations comprennent notamment l’"événement de fraude", le "canal d’origine de la transaction", la "catégorie de fraude", la "source de fraude" et le "type d’opération". La CNIL estime toutefois que ces termes ne sont pas suffisamment précis et invite le ministère à les définir dans le projet d’arrêté.
En outre, les données à déclarer se rapportent à des événements de fraude suspectée et, le cas échéant, avérée. Le FNC-RF contient notamment des éléments sur la méthode utilisée par le potentiel fraudeur, la catégorie et la source de la fraude suspectée, ainsi que, le cas échéant, l’existence d’une réclamation ou d’une plainte d’un utilisateur des services de paiement pour usurpation d’identité (article 226-4-1 du code pénal). La CNIL déduit que le dispositif envisagé est susceptible d’impliquer la collecte et le traitement de données relatives à des condamnations pénales ou des infractions au sens de l’article 10 du RGPD dans la mesure où ces données sont collectées dans le but d’établir l’existence ou de prévenir la commission d’infractions.
Conformément aux articles 46 de la loi informatique et libertés et 10 du RGPD, le traitement de données d’infraction est possible lorsque le traitement est autorisé par le droit de l’Union ou d’un Etat membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. A cet égard, l’article L. 521-6-1 du CMF prévoit certaines garanties évoquées ci-dessus de nature à permettre le traitement de telles données. Ces garanties devraient néanmoins être substantiellement revues dans l’hypothèse d’un élargissement des données à déclarer ou des acteurs pouvant accéder au fichier ou le consulter.
La CNIL relève, de manière incidente, l’absence de mention, dans le projet d’arrêté, des modalités d’alimentation du FNC-RF par les unions de recouvrement des cotisations de sécurité sociale et d’allocations familiales (URSSAF), alors qu’en l’état actuel du droit, le III de l’article L. 521-6-1 du CMF leur octroie la possibilité de signaler au gestionnaire du fichier les comptes qu’elles estiment susceptibles d’être frauduleux. Elle invite le ministère à modifier le projet d’arrêté afin d’indiquer que la Banque de France instruit les signalements des URSSAF et assume, à ce titre, la responsabilité des déclarations qu’elle effectue sur leur fondement.
C. Sur le principe d’exactitude des données
L’article 5, 1., d) du RGPD prévoit que les données à caractère personnel traitées doivent être exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.
L’exactitude des données constitue une exigence centrale pour la conformité du FNC-RF au RGPD. En effet, comme développé précédemment, l’impact pour les personnes concernées d’une information erronée au sein du FNC-RF pourrait être significatif. Si le IV de l’article L. 521-6-1 du CMF prévoit que "l’inscription des informations relatives à un compte dans le fichier n’emporte pas d’interdiction de réaliser des opérations de paiement impliquant ce compte", ces dispositions n’empêchent toutefois pas un PSP de suspendre ou refuser de réaliser une opération de paiement du fait de la présence de l’identifiant unique d’un compte d’une personne dans le FNC-RF. Ainsi, une personne soupçonnée à tort de fraude pourrait :
Le projet d’arrêté prévoit que le FNC-RF est alimenté de la manière suivante :
La nature et le fonctionnement du FNC-RF, qui mutualise des suspicions de fraude, sont susceptibles d’engendrer des risques d’inexactitude des données qu’il contient et ainsi des conséquences importantes pour les droits des personnes concernées. Ce sera particulièrement le cas lorsque le PSP teneur de compte n’entre pas dans la définition du I de l’article L. 521-6-1 du CMF, notamment parce qu’il n’est pas établi ou n’exerce pas en France, car dans ce cas la suspicion de fraude ne peut être confirmée ou infirmée par le PSP teneur de compte.
La CNIL insiste donc sur la nécessité pour chaque PSP d’appliquer strictement le mécanisme de vérification des déclarations de fraude prévu par les articles 3 et 4 du projet d’arrêté afin d’assurer l’exactitude du FNC-RF et de limiter les impacts pour les droits et libertés des personnes de déclaration de fraude qui ne serait finalement pas caractérisée.
La CNIL considère que, compte tenu de la sensibilité du traitement et de son impact potentiel sur les personnes concernées, les garanties prévues par le projet d’arrêté en termes d’exactitude des données doivent être améliorées.
La CNIL prend acte de l’engagement du ministère d’indiquer, dans le projet d’arrêté, que :
Elle recommande au ministère d’indiquer également, dans le projet d’arrêté :
Elle prend acte des précisions apportées par le ministère selon lesquelles la Banque de France suivra des indicateurs, notamment sur la fréquence d’actualisation par les PSP de leurs instances locales, et contrôlera, dans le cadre de ses fonctions, le respect par les PSP de la réglementation.
En outre, la CNIL constate une contradiction, dans le projet d’arrêté, concernant la fréquence d’actualisation des instances locales par les PSP. Le premier alinéa de l’article 2 prévoit en effet que les PSP actualisent "au moins une fois par jour ou, à défaut, avant toute nouvelle opération de paiement, les instances locales du fichier dont ils sont responsables". Or, cette formulation semble conduire à une fréquence d’actualisation supérieure à un jour si le PSP n’opère pas de paiement de manière quotidienne. La CNIL considère, au contraire, que la fréquence d’actualisation doit être a minima quotidienne, ce qu’indique d’ailleurs l’AIPD de la Banque de France. Par conséquent, l’article 2 du projet d’arrêté doit être modifié pour indiquer que les PSP "actualisent au moins une fois par jour et, en tout état de cause, avant toute nouvelle opération de paiement", les instances locales du fichier dont ils sont responsables.
Elle insiste également sur la nécessité, pour les PSP, de supprimer immédiatement de leurs instances locales les événements de fraude dès leur suppression du FNC-RF par la Banque de France, et a minima quotidiennement et avant toute nouvelle opération de paiement. En effet, la persistance de ces événements de fraude figurant indument au sein des instances locales des PSP pourrait avoir des conséquences négatives importantes pour la personne concernée.
D. Sur l’information des personnes
L’article 5 du projet d’arrêté réserve l’obligation d’information des personnes concernées par les traitements de données mis en œuvre, au titre des articles 12 à 14 du RGPD, aux seuls PSP, sans mentionner d’obligation d’information à la charge de la Banque de France.
Or, l’article 12 1. du RGPD impose à tout responsable de traitement de prendre des mesures appropriées pour fournir toute information visée aux articles 13 et 14 du RGPD, relatifs à l’information des personnes. En conséquence, autant la Banque de France que les PSP, respectivement responsables des traitements de données à caractère personnel mis en œuvre dans le cadre du fichier central et des instances locales du fichier et conjointement responsables du FNC-RF dans son ensemble, sont tenus d’informer les personnes concernées par ces traitements.
Cette information pourrait par exemple se faire via une information générale sur la page du site de la Banque de France spécifique au fonctionnement du FNC-RF et à destination des personnes concernées. Conformément à l’article 26 du RGPD, les responsables conjoints du traitement pourront définir de manière transparente, par voie d’accord entre eux, leurs obligations respectives en ce qui concerne la communication des informations visées aux articles 13 et 14 du RGPD.
La CNIL rappelle qu’en tout état de cause, une prise de décision par un PSP ayant un effet direct sur la personne, telle que la résiliation d’un contrat ou d’une convention ou le refus de réaliser une opération de paiement, sur le fondement, notamment, de sa mention dans le FNC-RF, doit s’accompagner d’une information individuelle de la personne concernée sur ce fichier, afin de lui permettre d’exercer ses droits.
La CNIL prend acte de l’engagement du ministère de préciser, dans le projet d’arrêté, l’obligation d’information à la charge de la Banque de France.
E. Sur les droits d’accès et de rectification
Les droits d’accès et de rectification sont prévus par l’article 8 du projet d’arrêté, lequel dispose qu’ils s’exercent auprès du PSP teneur de compte.
Or, les articles 15, 16 et 18 du RGPD prévoient que les droits d’accès, de rectification et à la limitation du traitement s’exercent, par la personne concernée, auprès du responsable de traitement. Là encore, autant la Banque de France que les PSP, respectivement responsables des traitements de données à caractère personnel mis en œuvre dans le cadre du fichier central et des instances locales du fichier doivent permettre aux personnes concernées d’exercer leurs droits sur leurs données conformément au RGPD. Au surplus, l’existence d’une responsabilité conjointe de traitement entre les PSP et la Banque de France permet aux personnes concernées, conformément à l’article 26, 3. du RGPD, d’exercer leurs droits à l'égard de chacun des responsables du traitement.
Conformément à l’article 21, 1. du RGPD, la personne concernée ne dispose pas de droit d’opposition lorsque le traitement est fondé sur la base légale de l’obligation légale.
La CNIL invite donc le ministère à modifier le projet d’arrêté pour rappeler l’existence pour les personnes concernées d’un droit d’accès, de rectification et de limitation du traitement auprès de la Banque de France, et auprès de l’ensemble des PSP visés par l’article 1er du projet d’arrêté.
Elle estime ces précisions d’autant plus nécessaires que, comme évoqué plus haut, la présence dans le fichier d’informations relatives à une personne soupçonnée de fraude emporte des conséquences potentiellement très importantes pour elles. Ce risque est d’autant plus important pour les clients de PSP qui n’entrent pas dans le champ du FNC-RF, et dont la suspicion de fraude ne peut faire l’objet d’une information par ce prestataire.
Les modalités de réponse aux demandes d’exercices de droits devraient être définies conjointement entre la Banque de France et les PSP, de manière à permettre à la personne concernée d’obtenir les informations la concernant les plus à jour possible. Elles devraient figurer dans le document contraignant qui encadre la responsabilité conjointe des PSP et de la Banque de France, précédemment mentionné.
F. Sur la durée de conservation
Le premier alinéa de l’article 6 du projet d’arrêté prévoit que les informations mentionnées à l’article 3 sont conservées dans le fichier pendant treize mois à compter de la date de la déclaration ou de la dernière déclaration correctrice, sans préjudice des obligations d’archivage s’imposant aux PSP.
Le second alinéa précise que les PSP sont responsables de la suppression des informations visées à l’article 3 au niveau de leur instance locale.
Selon le ministère, la durée de conservation de treize mois des informations contenues dans le fichier a été déterminée en considération des deux éléments :
La CNIL considère que ce délai de conservation n’est pas suffisamment justifié en regard des finalités de ce projet d’arrêté.
G. Sur les modalités techniques de mise en œuvre et les mesures de sécurité
Les mesures de sécurité mises en œuvre pour sécuriser les accès par les PSP et leurs éventuels prestataires techniques aux interfaces mises en œuvre par la Banque de France pour le partage des données apparaissent à ce stade et sous réserves des pièces communiquées, conformes à l’état de l’art.
Cependant, dans un contexte où ces données seront traitées de manière autonome par plusieurs centaines d’organismes extérieurs à la Banque de France, la CNIL invite le ministère à prévoir au sein du projet d’arrêté que ces organismes mettent en œuvre des mesures appropriées, notamment :
La CNIL estime que l’architecture retenue, consistant en un partage de copies intégrales et synchronisées des données en clair avec les PSP et leurs éventuels prestataires, accroît fortement la surface d’exposition des données et, par conséquent, la vraisemblance d’une fuite, d’un accès non autorisé ou d’une réutilisation indue.
S’agissant en particulier des risques auxquels les personnes concernées seraient exposées en cas de fuite des données, la CNIL estime nécessaire de tenir compte du fait que plusieurs violations de données passées ont conduit à la diffusion illégale de millions d’IBAN associés au nom de leur titulaire, donc de la possibilité accrue que les personnes concernées puissent être identifiées. Elle rappelle que les données bancaires contenues dans le fichier constituent des données hautement personnelles au sens des lignes directrices du CEPD du 4 octobre 2017 concernant l’analyse d’impact relative à la protection des données. Le risque pour les personnes concernées pourrait en outre devenir encore plus important dans l’hypothèse où la nature des données concernées par le traitement viendrait à évoluer, notamment par l’ajout de nouvelles catégories de données.
Enfin, la CNIL regrette que l’architecture et les modalités techniques du traitement, déjà complètement déterminées au moment où elle a été saisie, n’aient pas davantage intégré des mesures techniques qui, sans amoindrir la fonctionnalité du système, auraient contribué "par conception" à la protection de la vie privée des personnes concernées. En particulier, le recours à des techniques de mutualisation confidentielle des données, telles que celles étudiées par l’Autorité de contrôle prudentiel et de résolution (ACPR) et présentées à la CNIL dans le cadre de leurs travaux relatifs à la mutualisation de données bancaires pour la lutte contre le blanchiment de capitaux et le financement du terrorisme, aurait pu être envisagé. Plus simplement, un partage reposant sur l’utilisation de pseudonymes déterministes, plutôt que sur la diffusion des identifiants bancaires en clair, aurait pu permettre à chaque partie prenante de rapprocher les signalements portant sur un même compte, ou plus généralement des comptes qui lui sont connus, tout en réduisant le risque réel attaché à une diffusion généralisée des données en clair.
Les autres dispositions du projet d’arrêté n’appellent pas d’observations de la part de la CNIL.
La présidente,
M.-L. Denis
