Source: OJ L, 2024/1624, 19.6.2024

Current language: FR

Article 76 Traitement des données à caractère personnel

Summary What does Article 76 of the Anti-money laundering regulation (AMLR) say?

This article sits at the intersection of AML obligations and data protection, setting out the conditions under which obliged entities are permitted to process sensitive personal data — specifically special categories of data under GDPR (such as health or biometric data) and data relating to criminal convictions and offences — in the context of their AML/CFT duties.

It establishes a clear purpose limitation, prohibiting the use of such data for commercial purposes, and notably addresses the use of automated decision-making and AI systems, requiring human oversight and a right for customers to obtain an explanation and challenge decisions made about them.

Important points:

  • Process sensitive personal data and criminal conviction data only for AML/CFT purposes, not for commercial use, and only where strict safeguards are in place including customer notification, data accuracy, non-discrimination, and high-level security measures.
  • When processing data on criminal matters, maintain procedures that distinguish between allegations, investigations, proceedings, and convictions, in keeping with the presumption of innocence.
  • Automated or AI-driven decisions affecting a customer relationship must be limited to data collected under Chapter III, be subject to meaningful human intervention, and allow the customer to obtain an explanation and challenge the outcome.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Dans la mesure où cela est strictement nécessaire aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme, les entités assujetties peuvent traiter les catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, du règlement (UE) 2016/679, ainsi que les données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l’article 10 dudit règlement, sous réserve des garanties prévues aux paragraphes 2 et 3 du présent article.

    1. Les entités assujetties peuvent traiter les données à caractère personnel visées à l’article 9 du règlement (UE) 2016/679 pour autant que:

      1. elles informent leurs clients ou clients potentiels que ces catégories de données peuvent être traitées aux fins du respect des exigences prévues dans le présent règlement;

      2. les données proviennent de sources fiables, sont exactes et à jour;

      3. elles ne prennent pas de décisions susceptibles de conduire à des résultats biaisés et discriminatoires sur la base de ces données;

      4. elles adoptent des mesures pour garantir un niveau élevé de sécurité conformément à l’article 32 du règlement (UE) 2016/679, en particulier en ce qui concerne la confidentialité.

    1. Les entités assujetties peuvent traiter les données à caractère personnel visées à l’article 10 du règlement (UE) 2016/679, pour autant qu’elles respectent les conditions énoncées au paragraphe 2 du présent article, et que:

      1. ces données à caractère personnel concernent le blanchiment de capitaux, les infractions sous-jacentes associées ou le financement du terrorisme;

      2. les entités assujetties aient mis en place des procédures permettant de distinguer, dans le traitement de ces données, les allégations, les enquêtes, les procédures et les condamnations, en tenant compte du droit fondamental à accéder à un tribunal impartial, des droits de la défense et de la présomption d’innocence.

    1. Les données à caractère personnel ne sont traitées sur la base du présent règlement par des entités assujetties qu’aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme, et ne font pas l’objet d’un traitement ultérieur d’une manière incompatible avec lesdites finalités. Le traitement des données à caractère personnel sur la base du présent règlement à des fins commerciales est interdit.

    1. Les entités assujetties peuvent adopter des décisions résultant de processus automatisés, y compris le profilage au sens de l’article 4, point 4), du règlement (UE) 2016/679, ou de processus recourant à des systèmes d’IA au sens de l’article 3, point 1), du règlement (UE) 2024/xxx du Parlement européen et du Conseil(45), pour autant que:

      1. les données traitées par ces systèmes soient limitées aux données obtenues en vertu du chapitre III du présent règlement;

      2. toute décision de nouer ou de refuser de nouer ou de maintenir une relation d’affaires avec un client ou d’exécuter ou de refuser d’exécuter une transaction à titre occasionnel pour un client, ou d’augmenter ou de diminuer l’étendue des mesures de vigilance à l’égard de la clientèle appliquées conformément à l’article 20 du présent règlement, fasse l’objet d’une intervention humaine significative afin d’assurer l’exactitude et le caractère approprié d’une telle décision; et

      3. le client puisse obtenir des explications sur la décision prise par l’entité assujettie et puisse contester cette décision, excepté en ce qui concerne la déclaration visée à l’article 69 du présent règlement.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod